L'administrateur de réseaux a en charge la mise en place, la maintenance et la sécurité des systèmes d'information de l'entreprise. Il cherche notamment à éviter les risques d'intrusions ou de virus, à prévenir les fuites de savoir-faire ou de fichiers clients, et à s'assurer d'une utilisation normale par les salariés des systèmes informatiques de l'entreprise. Lorsqu'il ne prend pas les mesures nécessaires à cette mission, il risque de manquer aux obligations définies dans son contrat de travail et d'engager sa responsabilité civile et pénale, tout comme celle de l'entreprise.

Pour assurer cette sécurité, il est tenu de surveiller l'usage que font les salariés de la messagerie et de l'accès à internet mis à disposition par l'entreprise. Or, cette surveillance, autrement appelée "cybersurveillance", peut également dans certains cas engager sa responsabilité. L'administrateur de réseaux est ainsi dans une position difficile, où, pour protéger les droits de l'entreprise, il risque d'outrepasser les siens.

1 - Le principe : l'administrateur de réseaux peut contrôler l'activité des salariés et le contenu des messages
La CNIL a rappelé, dans son rapport du 5 février 2002 concernant la cybersurveillance sur les lieux de travail, que les administrateurs de réseaux "sont conduits par leurs fonctions même à avoir accès à l'ensemble des informations relatives aux utilisateurs (messagerie, connexions au réseau internet, fichiers "logs" ou de journalisation, etc.)…", et qu'un tel accès, tout comme l'utilisation de logiciels de télémaintenance, n'est contraire à aucune disposition de la loi Informatique et Libertés du 6 janvier 1978.

De même, la jurisprudence a-t-elle précisé (arrêt dit "ESPCI" de la Cour d'Appel de Paris, 17 décembre 2001) qu'"il est dans la fonction des administrateurs de réseaux d'assurer le fonctionnement normal de ceux-ci ainsi que leur sécurité, ce qui entraîne, entre autre, qu'ils aient accès aux messageries et à leur contenu, ne serait-ce que pour les débloquer ou éviter des démarches hostiles".

Dans cette même décision, la Cour a considéré avec bon sens que la lecture et la retranscription de messages par les administrateurs de réseaux ne peuvent être qualifiées d'interception illicite (sanctionnée par l'article 432-9 du Code pénal) dans la mesure où celles-ci "ne nécessitent ni dérivation ou branchement et sont effectuées sans artifice ni stratagème".

Le principe du contrôle par l'administrateur de réseaux de l'activité des salariés et du contenu des messages semble donc désormais acquis, ce qui clarifie grandement le rôle de celui-ci. L'exercice de ce contrôle reste toutefois soumis à certaines conditions et limites.

2 - Les conditions de ce contrôle : transparence, déclaration à la CNIL et proportionnalité
· Le comité d'entreprise, ou à défaut les délégués du personnel, devra avoir été informé et consulté préalablement à la décision de mise en œuvre d'un dispositif de contrôle et de surveillance de l'activité des salariés sur leur lieu de travail (article L.432-2-1 du Code du travail).

· Les salariés doivent avoir été préalablement informés par l'employeur de l'existence d'un tel dispositif (article L.121-8 du Code du travail). Cette information peut se faire au moyen d'une mention spécifique dans les contrats de travail, ainsi qu'au moyen d'une charte informatique ou d'un communiqué intégré au règlement intérieur de l'entreprise.

· Une déclaration simplifiée auprès de la CNIL doit avoir été préalablement faite si le dispositif de contrôle constitue un traitement automatisé de données personnelles. C'est notamment le cas d'un dispositif de contrôle individuel produisant, poste par poste, un relevé nominatif des durées de connexion ou des sites visités.

· De manière générale, un tel contrôle doit respecter le principe de proportionnalité des moyens utilisés (article L.120-2 du Code du travail), les éventuelles restrictions aux libertés individuelles et collectives devant être proportionnelles au but recherché par l'administrateur de réseaux. Il s'agit par exemple d'interdire le contrôle systématique du contenu de tous les messages échangés par les salariés ou par un salarié en particulier. En revanche, rien n'empêche l'administrateur de réseaux de contrôler le nombre, l'origine ou le destinataire ainsi que le volume et le type de fichiers attachés des messages émis et reçu par les salariés.

3- Limite liée au caractère privé des fichiers et messages personnels des salariés
La Cour de cassation, dans un arrêt "NIKON" du 2 octobre 2001, a posé le principe selon lequel "le salarié a droit, même au temps et au lieu de travail, au respect de l'intimité de sa vie privée ; que celle-ci implique en particulier le secret des correspondances ; que l'employeur ne peut dès lors sans violation de cette liberté fondamentale prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail et ceci même au cas ou l'employeur aurait interdit une utilisation non professionnelle de l'ordinateur". Les tribunaux ont ainsi étendu aux messages électroniques personnels le principe énoncé par l'article 226-15 du Code pénal selon lequel il est notamment interdit de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications.

De la même manière, si l'administrateur de réseaux a la possibilité, en raison de la nature de ses fonctions, de prendre connaissance du contenu des messages ou fichiers personnels d'un salarié, il ne peut le communiquer à son employeur, même à la demande de ce dernier : l'administrateur est ainsi soumis à une obligation de confidentialité à l'égard du contenu des messages ou fichiers personnels des salariés, sous peine de rendre illicite (et donc nul) le moyen de preuve ainsi obtenu, et d'engager sa responsabilité pénale et/ou celle de son employeur.

En pratique, cette interdiction de divulgation à l'employeur est extrêmement difficile à respecter pour les administrateurs de réseaux, justement chargés de la surveillance de ceux-ci. Si l'employeur était néanmoins amené à connaître le contenu de fichiers ou de messages à caractère personnel, il ne devrait donc en aucun cas en faire état au salarié.

L'administrateur de réseaux et son employeur ne sont pourtant pas désarmés face à des fichiers ou messages privés mettant en péril la sécurité des réseaux, violant la confidentialité des informations de l'entreprise ou indiquant clairement les manquements du salarié à son contrat de travail.

4 - Le recours à une charte informatique précise
Il n'est parfois pas nécessaire de connaître le contenu des fichiers ou messages personnels d'un salarié, ou tout au moins de s'en prévaloir, pour faire sanctionner une pratique abusive, dangereuse ou illicite. La production d'une simple liste des titres de messages électroniques échangés par un salarié peut par exemple permettre de caractériser l'utilisation abusive à titre personnel de la messagerie de l'entreprise.

Bien plus, lorsque la charte informatique de l'entreprise définit clairement les modalités et limites de l'utilisation des moyens informatiques mis à disposition des salariés, il est possible d'alerter ou de sanctionner pour simple manquement à cette charte. A titre d'exemple, il peut ainsi être prévu dans la charte l'interdiction de se connecter à internet via un modem autonome, de télécharger certains types de fichiers, de s'inscrire à des forums de discussion sans autorisation préalable… Dans tous ces cas, le manquement d'un salarié pourra être constaté sans que l'ouverture des fichiers et des messages personnels ne soit nécessaire.

Si toutefois il apparaît indispensable à l'employeur de prendre connaissance d'un contenu d'un message ou fichier privé d'un salarié, une procédure contradictoire devra alors être mise en place.

5 - La saisie des fichiers et messages privés de manière contradictoire
Afin de pouvoir prendre connaissance, puis faire état devant les tribunaux, du contenu de fichiers ou messages privés considérés comme abusifs, dangereux ou illicites, l'employeur devra préalablement demander par requête au tribunal compétent l'autorisation de faire procéder de manière contradictoire à leur lecture, et éventuellement à leur saisie.

Pour motiver cette requête, l'employeur, avec l'aide de l'administrateur de réseaux, devra rassembler suffisamment d'éléments permettant de justifier de doutes sérieux sur la loyauté ou la légalité des pratiques du salarié.

En quelques années, le rôle et la responsabilité de l'administrateur de réseaux ont été largement précisés. Toutefois, les contours de la marge de manœuvre dont il dispose en cas de situation critique pour l'entreprise nécessiteraient encore d'être clarifiés. En attendant, la définition dans l'entreprise d'une politique transparente et précise concernant les moyens informatiques reste l'atout majeur des administrateurs de réseaux.

[sylvainstaub@wanadoo.fr]

Sommaire de la rubrique