La cybersurveillance dans l'entreprise est-elle encore possible?
- 10 avril 2001 -

La question de la cybersurveillance doit être posée publiquement. Sa pratique doit être encadrée strictement.

par Olivier Iteanu, avocat.

Dans un jugement prononcé le 2 novembre 2000 par la 17ème Chambre correctionnelle du Tribunal de grande instance de Paris, les juges affirment le principe selon lequel il convient d'assimiler le courrier électronique à une correspondance privée. Aussi, en tant que tel, l'e-mail est protégé par le secret des correspondances privées prévu et réprimé par les articles 226-13 et 432-9 du Code Pénal.

Pour mémoire, cela signifie que la violation de ce principe constitue un délit, notamment "le fait, par une personne dépositaire de l'autorité publique ou chargée d'une mission de service public, agissant dans l'exercice ou à l'occasion de l'exercice de ses fonctions, ou de sa mission, d'ordonner, de commettre ou de faciliter, hors les cas prévus par la loi, le détournement, la suppression ou l'ouverture de correspondances ou la révélation du contenu de ces correspondances, est puni de trois ans d'emprisonnement et de 300.000 francs d'amende." Aux dernières nouvelles, les prévenus avaient décidé de faire appel du jugement. On attend donc que la Cour d'Appel de Paris se penche sur la question.

Mais, il convient d'aller plus loin que la première analyse. Le fait que e-mail = correspondance privée n'est pas en soi une grande nouvelle : remarquons cependant que l'affirmation doit être nuancée et qu'il nous semble, dans certains cas (par exemple de diffusion) que le caractère public pourrait être appliqué. Pour répondre à notre question, regardons les faits en cause.

En l'espèce, un étudiant en informatique effectuait des recherches pour sa thèse dans un laboratoire de l'Ecole supérieure de physique et de chimie industrielle. Il disposait, pour cela, d'un équipement qui lui avait été remis, muni d'un code d'accès. En septembre 1996, une seconde étudiante se plaint de la disparition de certains de ses fichiers informatiques. Elle fait part de ses soupçons à l'ingénieur système du laboratoire. Trois mois plus tard, cette même étudiante fait l'objet d'une usurpation d'identité au sujet d'un article scientifique qu'elle entendait diffuser. A la suite de ces événements, le directeur du laboratoire décide de surveiller la messagerie électronique de l'étudiant soupçonné. Les soupçons semblent se confirmer et le compte informatique de l'étudiant est clos et son exclusion du laboratoire de l'Ecole supérieure de physique et de chimie industrielle est prononcée. Mais l'étudiant n'accepte pas la décision. Il porte plainte pour "vol de données informatiques", atteinte à la vie privée, violation et détérioration de correspondances privées et discrimination à son encontre.

C'est dans ces conditions que l'on aboutit à la décision du Tribunal rappelée plus haut. Le Tribunal précise que "la messagerie électronique permet de transmettre un message écrit d'une personne à une autre, de manière analogue au courrier", que "le message transmis revêt les caractéristiques suivantes : il est exclusivement destiné à une personne physique ou morale, il s'adresse à une personne individualisée, si son adresse est nominative, ou déterminée, si son adresse est fonctionnelle (...), il est personnalisé". C'est donc, pour les juges, la violation d'une correspondance privée au même titre qu'un courrier papier que l'on aurait ouvert à l'insu de son destinataire ou propriétaire. Les trois responsables du laboratoire sont condamnés à 5.000 et 10.000 francs d'amende. L'étudiant obtient 10.000 francs de dommages et intérêts. Les sommes peuvent paraître peu importantes, mais le principe de condamnation est posé.

Comment, dans ces conditions, et dans quelle mesure, un administrateur de réseau va-t'il désormais pouvoir exercer un contrôle sur son réseau? Le jugement du 2 novembre 2000 ne donne aucune piste.

La Commission Nationale de l'Informatique et des Libertés (CNIL) a, quant à elle, eu l'occasion de se pencher sur la question de la cybersurveillance des salariés dans l'entreprise. Dans un rapport d'étude et de consultation publique de mars 2001, elle rappelle l'exigence d'équilibre entre le droit reconnu à l'entreprise d'assurer sa propre sécurité et celui, tout aussi légitime, des salariés au respect de leur vie privée et de leurs libertés. Elle rappelle ainsi que toute mise en place d'une quelconque surveillance doit être précédée de l'information des salariés et, le cas échéant, de l'avis de leurs représentants. Elle pose également une règle, à savoir le principe dit de proportionnalité. Selon ce principe, toute mesure susceptible d'être attentatoire à un droit fondamental doit être justifié et surtout proportionnel au but recherché. Cette condition est de bon sens et correspond à la doctrine habituelle de la CNIL. Les Tribunaux, quant à eux, ne semblent pas suivre systématiquement cette dernière condition.

Enfin, la CNIL précise les actes de contrôles qu'elle considère comme admissibles dans le cadre de la cybersurveillance des salariés dans leurs usages d'une mesagerie. Les trois actes de contrôle admis sont, d'une part, le contrôle du volume des messages échangés, d'autre part, le contrôle de la taille des messages échangés, et enfin, le contrôle du format des pièces jointes. A aucun moment, la CNIL ne considère comme admissible le fait d'intercepter et de prendre connaissance du contenu des messages. Bien évidemment, sur autorisation et sous contrôle judiciaire, l'ouverture des messages pourrait être admise.

La cybersurveillance est une question qui doit être posée publiquement, car elle est une pratique inévitable des entreprises. Il faut donc l'encadrer strictement. Ce premier jugement rendu par les Tribunaux français devrait rassurer les salariés jaloux de leurs droits fondamentaux. Le rapport d'étude de la CNIL devrait donner aux entreprises quelques pistes sur les normes comportementales admissibles. Le chemin de l'équilibre risque cependant d'être encore long. Dans l'attente d'une réforme législative sur ce point, et dans ce contexte, le recours à une charte d'entreprise discutée et acceptée par les deux parties semble la solution à court terme la plus sécurisée.
[oiteanu@iteanu.com]