Par Me Murielle-Isabelle Cahen
Accès Internet des salariés : charte ou bridage technique ?

Il existe des règles qui s'imposent à l'employeur qui veut mettre en place des procédés de contrôle de ses salariés concernant l'accès Internet. Dans ce domaine, deux principes s'opposent et doivent être mis en balance : d'un côté l'employeur est en droit de contrôler la bonne exécution du travail par ses salariés. D'un autre côté, le salarié a droit au respect de sa vie privée, même dans le cadre de son contrat de travail. Le contrôle de l'employeur doit donc s'opérer sans porter atteinte à la vie privée de ses salariés.

Trois conditions concernant le contrôle de l'accès Internet doivent être respectées par l'entreprise :
L'information préalable des salariés : la jurisprudence a consacré un principe posé par l'article L 121-8 du Code du travail : "Aucune information concernant personnellement un salarié ou un candidat à l'emploi ne peut être collectée par un dispositif qui n'a pas été porté préalablement à la connaissance du salarié ou du candidat à un emploi".
L'information des organes représentatifs : selon l'article 432-2-1 du Code du travail, "le comité d'entreprise est informé et consulté, préalablement à la décision de mise en œuvre dans l'entreprise, sur les moyens ou les techniques permettant un contrôle de l'activité des salariés."
La justification du contrôle : le dispositif de contrôle doit être justifié par un intérêt légitime.

Le principe de la charte
Dans les faits, depuis plusieurs années, les employeurs adoptent au sein de leur entreprise, un certain nombre de dispositions qui visent à informer les salariés sur les modalités d'usage d'internet. Le terme employé pour qualifier ces textes est celui de "charte". Il peut s'avérer utile pour attirer l'attention de chacun sur ses responsabilités de rédiger une charte d'utilisation de l'Internet. Cette charte résumera les droits et obligations des salariés, attirera l'attention sur leur responsabilités.

Le contenu de ces chartes est très divers. Certaines ne sont que des rappels généraux de consignes de prudence ou de bonne utilisation des technologies. D'autres entendent poser des obligations pouvant faire l'objet de sanctions. De même, le statut des chartes diffère d'une entreprise à l'autre. Certaines prennent la forme d'annexes au règlement intérieur, d'autres sont de simples documents portés à la connaissance des salariés.

Un usage raisonnable afin de garantir un accès normal"

L'importance des chartes est incontestable : elles ont souvent permis une première clarification des règles applicables dans l'entreprise. La charte est un document confidentiel discuté avec les représentants du personnel et diffusé en interne de manière à être consultable par tous les employés. Pour être applicable, elles doit être soumise pour avis au Comité d'Entreprise ou, à défaut, à l'avis des délégués du personnel ainsi que, le cas échéant, à l'avis du comité d'hygiène et de sécurité. Elle doit également faire l'objet de mesures de publicité et être transmise à l'inspecteur du travail (article L122-36 du Code du travail).

Concernant la cybersurveillance, cet aspect peut porter sur la quantité de travail produite par le salarié à l'aide de l'outil informatique, ou sur son affectation à l'usage pour lequel il lui a été remis. En pratique, la plupart des chartes optent pour le deuxième type de contrôle.

La Cnil a énoncé qu'"une interdiction générale et absolue de toute utilisation d'Internet à des fins autres que professionnelles ne paraît pas réaliste dans une société de l'information et de la communication". Elle a recommandé un "usage raisonnable", afin de garantir un accès normal au réseau Internet sans entraver la liberté d'action du salarié.

Place au bridage technique
Malgré tout, on observe que les entreprises utilisent de plus en plus un bridage technique de l'accès à l'Internet, ce qui démontre que la mise en place d'une charte n'a pas été suffisante pour limiter les abus.

A ce titre, en février 2002, la Cnil, dans un rapport, a estimé que les entreprises avaient atteint une étape supplémentaire en termes de surveillance dans les activités des employés, l'outil informatique permettant de décrire précisément des profils et le type d'activité exercée. Alors que les systèmes de vidéosurveillance et les badges sont visibles, la traçabilité informatique s'opère de façon "invisible". Cette nouvelle situation entraîne alors une nouvelle conception du lien de subordination.

La mise en place devra être justifiée par un intérêt légitime"

Etant donné que l'employeur doit préserver son réseau informatique des virus et des intrusions, il doit mettre en place des logiciels pare-feu et un contrôle de plus en plus omniprésent du trafic des communications et des navigations des salariés sur l'Internet, donc un rôle de plus en plus croissant et technique des administrateurs réseaux. Malgré le fait que ces contrôles sont nécessaires pour la sécurité informatique de l'entreprise, le principe de la confidentialité doit être respecté.

Pour des raisons de sécurité, les entreprises peuvent également justifier un contrôle plus étroit. Outre le fait qu'un tel système devrait faire l'objet d'une déclaration à la Cnil, d'une information des salariés et du comité d'entreprise le cas échéant, sa mise en place devrait être justifiée par un intérêt légitime et non dans le seul but de contrôler l'activité professionnelle des salariés.

La CNIL a préconisé plusieurs points en ce qui concerne le contrôle des connexions à Internet :
La mise en place de mesures préventives (dispositifs de filtrage et contrôle a posteriori des connexions) avec informations auprès des salariés. Selon l'article L432-2-1 du code de travail, il doit y avoir consultation du comité d'entreprise dans le cadre privé, ou du comité technique paritaire dans la fonction publique, ou encore de toute instance représentative présente dans l'entreprise. Pour un contrôle individualisé, l'employeur a l'obligation de déclarer à la Cnil les moyens mis en œuvre pour cette surveillance. -
Le contrôle de l'usage de la messagerie en respect de l'intimité de la vie privée du salarié.
Les consultations à titre personnel et dans un délai raisonnable, ainsi que les consultations ponctuelles de sites dont le "contenu n'est pas contraire à l'ordre public et aux bonnes mœurs" seraient admises. -
Le rôle des administrateurs de réseaux est limité par "aucune exploitation à des fins autres que celles liées au bon fonctionnement et à la sécurité des applications des informations". -
L'utilisation des technologies de l'information et de la communication par les instances représentatives dans la société ou dans le cadre de la représentation syndicale dans l'entreprise serait souhaitable.
Un bilan annuel "informatique et libertés" devrait être soumis aux comités d'entreprise sur les mesures de sécurité permettant une traçabilité de l'usage du réseau. -
La désignation d'un délégué à la protection des données pourrait être nommé en accord avec les instances représentatives présentes, ayant une mission de "correspondant informatique et libertés " dans la société, sur les thèmes abordés.

En savoir +

Réguler l'accès Internet des salariés

Pour conclure on peut mentionner le fait qu'aujourd'hui, la majorité des entreprises ont décidé de mettre en place des limites sur les usages du Net de leurs salariés. 70 % des entreprises régulent désormais l'Internet. Pour 49 %, cette régulation passe par un bridage technique de l'accès. Un bridage plus ou moins fort, notamment selon le niveau hiérarchique des salariés.