Jusqu'où l'entreprise peut-elle aller dans sa prévention du risque Internet ?

Perte de productivité mais également augmentation des risques de virus informatiques, de saturation de la bande passante et des capacités de stockage des ordinateurs : l'utilisation d'Internet à des fins personnelles par les salariés peut être lourde de conséquences pour l'entreprise. Une situation qui pousse logiquement à mieux connaître et contrôler les flux entrants et sortants : envoi et réception d'e-mails, téléchargements, visites de sites web.

Mais entre régulation de l'utilisation de l'outil informatique et respect de la vie privée des salariés, la frontière est parfois difficile à cerner. L'éclairage de Me Olivier Iteanu, avocat spécialisé dans les technologies de l'information, pour rester dans la légalité.

L'interdiction de l'usage personnel d'Internet : la position la plus fiable d'un point de vue juridique

Est considéré comme usage à titre personnel toutes les correspondances ou visites de sites Internet ne rentrant pas dans la fonction du salarié. La limitation de cette utilisation fait donc partie intégrante du pouvoir de direction de l'employeur car, comme l'explique Olivier Iteanu, "l'entreprise est propriétaire de son service Internet."

La Cnil estime ainsi "qu'un usage raisonnable, susceptible de ne pas amoindrir les conditions d'accès professionnel au réseau et ne mettant pas en cause la productivité paraît généralement et socialement admis par la plupart des entreprises ou administrations."

Mais l'avocat recommande d'aller plus loin et d'interdire formellement toute utilisation personnelle d'Internet. "Cela n'empêche pas, en pratique, une certaine tolérance mais permet de se protéger juridiquement." Un conseil qui peut paraître radical mais qui tire son origine du cas Lucent Technologies. La société a été condamnée suite à la création, par l'un de ses salariés, grâce à des moyens informatiques mis à sa disposition par l'entreprise, d'un site contenant des propos diffamatoires. L'entreprise avait eu le tort d'autoriser formellement ses salariés, dans une note de service, à utiliser l'équipement informatique à des fins personnelles, en dehors de leur temps de travail et dans des "limites raisonnables".

Les conditions de validité d'une politique de cybersurveillance

Et que risquent les contrevenants ? A cette question, il faut d'abord préciser que l'utilisation d'Internet ou des messageries électroniques à but privé ne constitue pas une faute professionnelle en tant que telle, sauf si cet usage est abusif. Or l'explique Olivier Iteanu, "cette évaluation se fait au cas par cas. Elle dépend de nombreux éléments dont la productivité du salarié, le préjudice porté à l'entreprise, le temps passé, etc."

En outre, constituant bien plus qu'une faute professionnelle, un usage délictuel de l'outil informatique par un salarié peut être poursuivi pénalement.

Dans tous les cas, ces recours supposent d'avoir eu connaissance de l'usage fait par le salarié, donc d'avoir procédé à une surveillance ad hoc.

Or, la mise en place d'outils de régulation d'Internet par l'employeur est soumise à plusieurs obligations :

» Le principe de transparence : l'employeur doit informer préalablement les salariés. Cette information doit être effective, compréhensible et mise à jour afin que les salariés ait une réelle connaissance du dispositif.

» Le principe de discussion collective : il faut recueillir l'avis des représentants du personnel, sans exigence toutefois de recevoir leur accord.

» Le principe de proportionnalité : les moyens mis en œuvre doivent être proportionnels à l'objectif visé, ce qui revient à motiver le recours à la cyber-surveillance. En pratique Olivier Iteanu explique qu'"évoquer le risque juridique est suffisant." Toutefois, plus l'enjeu est important pour l'entreprise, plus l'établissement d'une surveillance étroite sera acceptée.

Outre l'obligation d'information, la mise en place d'outils visant la collecte de données sur l'usage fait d'Internet par les salariés doit être déclarée à la Cnil (Commission nationale de l'informatique et des libertés). Le volume du trafic ainsi que les types de fichiers attachés aux e-mails peuvent être contrôlés puis exploités dans une procédure contre un salarié.

Par contre, la jurisprudence entourant la lecture des messages électroniques incite à la plus grande précaution. Depuis 2001, l'arrêt Nikon fait loi. Le juge a déclaré que l'employeur ne peut lire les e-mails personnels de ses employés envoyés depuis leur messageries professionnelles, cela même si cet usage est interdit par l'entreprise. Ces courriers tombent en effet sous le joug de la correspondance privée et du droit au respect de la vie privée (articles 9 du Code civile et 432-9 du Code pénal). Depuis, certains juges ont accepté la présomption d'usage professionnel de la messagerie tant que le courrier n'est pas mentionné "personnel" ou classé dans des dossiers portant le même intitulé. Une hypothèse qui permet de lever le secret de la correspondance privée. Toutefois, Olivier Iteanu préfère prendre toutes les précautions à ce sujet. "La teneur personnelle d'un e-mail est avant tout déterminée par rapport à son contenu. En outre, on ne peut pas s'assurer que tous les courriers privés reçus comporteront la mention 'personnel'. C'est pourquoi la surveillance des flux de messageries ne doit pas amener l'employeur à lire les e-mails de ses salariés."

Néanmoins, si l'employeur a la conviction qu'un de ses salariés utilise sa messagerie électronique à des fins déloyales ou illicites, une sauvegarde de la messagerie doit être réalisée sous contrôle d'un huissier. Si l'employeur décide d'aller en justice, un recours juridique pourra alors être formulé afin d'autoriser la lecture des courriers suspects. Une précaution à prendre pour s'assurer que la preuve sera valable devant un tribunal.