Risques et obligations des chefs d'entreprise en matière de surveillance des salariés

La fraude interne représente un dénager réel pour les entreprises. Les employeurs doivent donc pouvoir contrôler les actions de leurs salariés tout en respectant certaines règles.

La fraude et la malveillance interne sont toutes aussi importantes sinon plus que les fraudes externes.  Le mode opératoire d’une fraude interne est par ailleurs généralement plus aisé qu’une fraude externe car la plupart du temps, si l’entreprise se protège efficacement du "monde extérieur", elle néglige la menace interne.
En terme d’impact, la fraude interne est souvent plus dévastatrice que la fraude externe car l’attaquant interne dispose d’un accès direct aux informations et connaît mieux que quiconque la nature sensible ou pertinente d’une information et sa valeur économique pour la concurrence.
Les entreprises (terme pris au sens large acteurs privés ou publics) doivent donc :
- prendre conscience de l’importance de ce "risque interne"
- disposer des outils nécessaires à la maîtrise de ce risque particulier.
Ces outils sont de différents niveaux : 
outils techniques qui sont l'ensemble des moyens techniques mis en œuvre pour limiter les risques et/ou les identifier aussi vite que possible après la survenance d'un événement  
outils organisationnels qui consistent à définir une organisation adaptée à la menace : désignation ou non de responsables, chaîne d'alerte, cellule de crise, PCA/PRA... 
A coté des outils techniques et organisationnels existent un ensemble d'outils juridiques qui contribuent à limiter les risques pour l'entreprise. Ces risques sont de deux niveaux : 
- ne pas en faire assez
- en faire trop
 

Ne pas en faire assez
Cela ramène à une question simple : l'entreprise a-t-elle l'obligation de surveiller ses collaborateurs ? 
Il existe généralement trois sources qui fondent une obligation : légale, contractuelle
et prudentielle.  
L'obligation légale est la plus claire : la loi impose-t-elle une obligation ? En d'autres termes la loi oblige-t-elle l'employeur à surveiller son salarié ? L'obligation elle-même se distingue en deux types de règles : les règles générales et les règles sectorielles. En terme général il n'existe pas de texte, article de code ou autre qui impose de manière formelle à l'employeur de contrôler ses salariés. En terme sectoriel, la donne est plus complexe car selon la "qualité" de l'entreprise, le référentiel légal dans lequel elle intervient, il peut exister des obligations de surveillance. Il en est ainsi dans bon nombre de secteurs dit sensibles comme ceux de la banque, de bourse, secteur de la défense...  Il revient donc à chaque entreprise d'identifier "son" référentiel légal pour savoir si elle doit ou non surveiller ses collaborateurs. 
L'obligation contractuelle consiste à répondre à une obligation définie contractuellement. Les entreprises ne se méfient pas suffisamment de ce point de vue des engagements qu'elles prennent vis-à-vis de leur co-contractant. Les engagements pris, les niveaux de garanties assumés, impliquent souvent la mise en oeuvre de moyens de contrôle directe ou indirecte des collaborateurs. 
Enfin l'obligation prudentielle est sans doute la plus insidieuse. Il ne s'agit pas à proprement parler de répondre à une obligation légale ou contractuelle clairement énoncée mais de faire en sorte de limiter les risques pour l'entreprise en "contrôlant" et "surveillant" l'activité de ses collaborateurs. Cette obligation consiste à mettre en œuvre un certain nombre de mesures de contrôle des salariés pour éviter que leur responsabilité ne soit exposée. 
L'entreprise surveillera ainsi ses collaborateurs pour éviter : l'accès à des contenus illicites, le téléchargement de contenu contrefaisant, les fuites d'informations en tout genre, l'accès non autorisé à telle ou telle application ou telle ou telle donnée... 
Mais d'une manière générale l'entreprise surveillera ses collaborateurs pour éviter que sa propre responsabilité ne soit engagée du fait de leurs agissements. Cette responsabilité peut être d'ordre civil ou pénal. Au plan civil il faut rappeler que l'employeur est responsable des agissements de ses salariés pour autant qu'ils agissent dans le cadre des fonctions auxquelles ils sont employés (article 1384 du code civil). Au plan pénal, il faut rappeler que l'entreprise peut aussi voir sa responsabilité engagée si elle bénéficie, a priori en connaissance de cause, des agissements frauduleux de ses salariés. 
L'évolution des technologies légitime de plus en plus le contrôle opéré par l'employeur. Nomadisme et télé-travail sont des formes de travail qui imposent la mise en oeuvre de moyens de contrôles particuliers du seul fait de l'absence du salarié des "murs" de l'entreprise. 

L'entreprise responsable mettra donc en place les 3 étapes clefs de mise en oeuvre d'une politique adaptée à la menace qui est la sienne : 
Etape 1 : Identification des risques. Les risques sont différents d'une entreprise à l'autre. Appliquer des règles générales à tous est un non sens. Les outils déployés techniques, organisationnels et juridiques doivent être plaqués sur les risques réels de l'entreprise
- Etape 2 : Audit de risque. S'il est impératif d'identifier les risques propres à chaque entreprise, il importe ensuite d'auditer ses risques pour définir un "facteur risque" pour chacun d'entre eux. Certains risques auront été anticipés, d'autres traités, d'autres enfin ignorés. Il faut ensuite procéder à l'établissement d'un plan d'actions guidé par les urgences identifiées
Etape 3 : Mise en oeuvre d'outils de techno-surveillance. Dans le plan d'actions figurera pour chaque risque la "contre-mesure" ou l'outil technique adapté. Souvent un seul et même outil permet de traiter plusieurs sources de risque. Tel est le cas par exemple des outils de filtrage multifonction puisqu'ils permettent : d'éviter l'accès à des contenus illicites, d'empêcher ou d'identifier le téléchargement de contenus illicites ; de surveiller la "consommation" internet tant en terme qualitative que quantitative, de prendre des mesures d'urgence... Les outils de filtrage ne sont pas les seuls outils techniques on notera aussi : les badges, les technologies biométriques, la RFID, la vidéo, les DRM... 


En faire trop
La protection de l'entreprise et son droit, parfois son obligation, à contrôler l'activité de ses salariés ne peut légitimer n'importe quoi. Ce contrôle impose que les règles du contrôle soient connues de tous et que les opérations de contrôle soient menées dans des conditions conformes aux exigences règlementaires. S'agissant de l'information des collaborateurs elle passera nécessairement par l'adoption en interne des "indispensables" que sont :
la charte d'utilisation du système d'information accompagnée de son livret technique (traduction de la charte en règles techniques) et du guide utilisateur (explication juridique sur la raison d'être des articles de la charte)
la charte des droits d'administration
la charte des personnels extérieurs
D'autres textes peuvent être mis en oeuvre : charte du télétravail, charte éthique, plan de continuité d'activité, politique d'archivage... Dans les entreprises internationales, l'exercice est d'autant plus compliqué du fait de la juxtaposition des régimes légaux. 
Dans le domaine de la sécurité interne, il est important que les personnels aient parfaitement compris les enjeux de la sécurité et les risques pour l'entreprise. De fait, une sensibilisation apparaît indispensable tout comme l'adhésion à une véritable "culture" de la sécurité par l'envoi régulier d'une information des salariés sur les risques et les mesures prises pour les contrer.  
Il convient également de respecter l'ensemble des autres règles qui s'imposent, autre que la seule consultation/information des salariés, et au  premier rang desquelles figure le respect de la loi informatique et libertés. Les dernières décisions prises par la Cnil en la matière devraient convaincre les derniers récalcitrants de l'importance de cette loi, des pouvoir réels de la Cnil et de l'incidence même des décisions prises par cette autorité plus souvent en termes d'image qu'en terme financier. "En faire trop" c'est aussi croire que la protection de l'entreprise légitime n'importe quelle opération de contrôle, réalisée n'importe comment. 
Il faut ici rappeler que l'entreprise ne dispose pas de pouvoirs d'enquête qui relèvent de la responsabilité des autorités habilitées (policie, gendarmerie, justice, autorités administratives...). Sans se transformer en policier ou en juge d'instruction, l'entreprise dispose heureusement du droit de se protéger et de prendre les mesures appropriées. Ces mesures sont au nombre de deux : la conservation et la préservation de la preuve d'une part ; l'initialisation des procédures judiciaires adaptées d'autre part. 
Face à un risque, réel ou potentiel, l'entreprise pourrait être amenée à accéder à tout ou partie du SI et même à tout ou partie de l'ordinateur d'un utilisateur. Or à ce stade, de nombreuses questions se posent :  
- qui doit être présent pendant les opérations de contrôle ? La présence du salarié est-elle nécessaire, à défaut faut-il un témoin et lequel ou un homme de l'art (huissier par exemple) ?
- à quoi peut-on accéder ? Tout le SI, l'ensemble du disque dur du salarié, tout sauf une partie (mel personnel)... 
- quel type de moyens peut-on ou doit-on utiliser (logiciel spécifique de copie) ? 
- quel nombre de copie doit-on faire ?
- comment les opérations d'accès et d'analyse des contenus doivent-elles être réalisées ? 
- comment les informations ainsi obtenues doivent être conservées ?
- à qui ces informations doivent-elles être communiquées (autorités compétentes, le salarié suspect ? des autorités particulières ? ...). 
La plupart du temps les entreprises sont totalement démunies, même lorsqu'elles disposent d'une charte d'utilisation des systèmes d'information, pour savoir en pratique, comment mener les opérations de conservation de preuve. C'est la raison pour laquelle il est nécessaire que l'entreprise puisse disposer d'un document de référence, calé sur ses propres réalités fonctionnelles et techniques, qui lui permette de savoir quoi faire en pratique, en cas de suspicion de fraude ou d'acte malveillant interne.

Autour du même sujet