Réseaux sociaux d’entreprise : quels sont les risques juridiques ?

La mode des réseaux sociaux se décline désormais comme outil de travail collaboratif au sein de l’entreprise. Cependant, la procédure de déploiement d’un Réseau Social d'Entreprise (RSE), puis la gestion du réseau dans le temps, ne doivent pas négliger la prise en compte du volet juridique.

Les réseaux sociaux d’entreprise (RSE) peuvent intégrer des fonctionnalités diverses, depuis le classique profil de l’utilisateur, en passant par l’annuaire des collaborateurs, l’accès à des contenus divers. Le RSE peut également intégrer des fonctionnalités de collaboration active telles la consultation, l’édition et la modification de documents.
Quelles sont les obligations légales ainsi que la prise en compte des risques juridiques du RSE avant de déployer un tel service ? Et par la suite au cours de son utilisation dans l’entreprise.  


1. Le déploiement d’un RSE : les règles de fonctionnement et le traitement des données personnelles
Comme pour tout projet, il est important de définir l’objet du RSE et ses règles de fonctionnement,  sans oublier a prise en compte des obligations légales, et ce préalablement à la mise en ligne de l’outil.

    1.1 L’objet du RSE et les règles d’utilisation du service
Préalablement au lancement du service, il est important d’en délimiter le périmètre d’utilisation. L’objet du RSE sera en principe déjà défini dans le cahier des charges. Cet objet sera repris au moment de la rédaction des conditions d’utilisation du RSE.
Les conditions d’utilisation indiqueront notamment les règles d’utilisation de l’outil et ses limites. Il est important de s’assurer que chaque collaborateur de l’entreprise accepte effectivement les conditions d’utilisation de l’outil lors de sa première connexion au service, ainsi qu’à chaque modification ultérieure des conditions d’utilisation. En effet, en cas d’absence de procédure d’acceptation effective des conditions d’utilisation, celles-ci pourront être considérées comme non opposables au collaborateur en cas de litige entre celui-ci et l’entreprise par exemple.
Ces conditions d’utilisation peuvent par ailleurs être mentionnées dans la charte informatique de l’entreprise, avec un renvoi vers le service et la page web correspondante. La charte informatique permettra ici de décrire l’objet du RSE et ses conditions d’utilisation et ses conditions d’accès, notamment le fait que le RSE est limité à une utilisation professionnelle, et pour les activités de l’entreprise et qu’il n’est pas prévu pour les échanges privés.

    1.2 L’objet du RSE et le traitement des données à caractère personnel
Dans la mesure où la mise en œuvre d’un réseau social, fut-il interne à l’entreprise, implique la collecte de données à caractère personnel des collaborateurs inscrits au service, l’entreprise devra s’assurer que le traitement envisagé est conforme aux dispositions de la loi Informatique et Libertés et entre dans le cadre des conditions prévues à la norme simplifiée n°46 “Gestion du personnel”.(1)
Cette déclaration de conformité “Gestion du personnel” a pour finalité non seulement la gestion administrative du personnel de l’entreprise (dossier professionnel du salarié, annuaire des salariés), la gestion de carrière (évaluations professionnelles, etc.), mais également la mise à disposition d’outils informatiques, tels la mise à disposition des salariés de matériels informatiques, l’accès à la messagerie électronique, ou à l’intranet.
L’entreprise aura en principe fait une déclaration en application de cette norme lors du lancement de son activité pour les premières embauches de personnel. Si les règles de fonctionnement et de gestion du RSE entrent dans le cadre des conditions définies à la norme simplifiée Gestion du personnel (finalité du traitement, données collectées, destinataires des données, lieu de stockage des données, durée de conservation), il ne sera pas nécessaire de procéder à une nouvelle déclaration. En revanche, si les conditions de fonctionnement du RSE impliquent une modification des conditions de traitement des données des collaborateurs, une nouvelle déclaration (une mise  à jour ou une modification de la première déclaration) devra être faite auprès des services de la CNIL.

    1.3 La consultation du Comité d’entreprise
Les entreprises ayant le projet de déployer un RSE compteront généralement plus de 50 salariés et disposeront donc d’un comité d’entreprise. Dès lors, en application des dispositions de l’article L.2323-13 du Code du travail, le comité d’entreprise doit être informé et consulté préalablement à tout projet important d’introduction de nouvelles technologies, les éléments d’information devant être communiqués un mois avant la réunion.(2) Suivant l’objet du RSE, notamment si le service est appelé à être utilisé à grande échelle dans l’entreprise comme outil de travail collaboratif, la consultation du CE pourra ainsi être nécessaire.


2. La gestion du RSE dans le temps : quelques précautions pour éviter les problèmes juridiques
Une fois que le réseau social de l’entreprise est déployé, il conviendra de s’assurer que l’exploitation du service est gérée en appliquant quelques règles permettant d’éviter les problèmes d’ordre juridique.
On retiendra notamment les règles suivantes :

    2.1 Les utilisateurs et la gestion des droits d’accès

Certains réseaux sociaux d’entreprise sont strictement limités aux salariés de l’entreprise, alors que d’autres réseaux sont ouverts à des tiers.
Selon que l’entreprise opte pour le modèle fermé ou le modèle ouvert, il est très important de gérer les accès de manière stricte et structurée. Les droits d’utilisation et d’accès aux différentes catégories de contenus et services devront être paramétrés en fonction du statut des utilisateurs.

* Dans un RSE “fermé”, limité aux collaborateurs de l’entreprise, il conviendra de définir ce que l’on entend par collaborateur autorisé à utiliser le RSE: le service est-il autorisé pour tous les salariés de l’entreprise, ou seulement pour certaines catégories de salariés (personnels impliqués dans la conduite de projet par exemple, ou personnels mobiles) ? Le service est-il autorisé pour les collaborateurs nouvellement arrivés dans l’entreprise, pour les personnels en CDD ?
* Dans un RSE “ouvert” à des tiers à l’entreprise, il sera indispensable de définir les catégories de tiers autorisés à accéder et à utiliser le RSE (ou une seule partie de ses fonctionnalités) : les intérimaires, les consultants indépendants, les sous-traitants.

    2.2 Les données de l’entreprise et la confidentialité

L’une des principales différences entre un réseau social “classique” (de type Facebook) et un réseau social d’entreprise tient non seulement au statut des utilisateurs autorisés à utiliser le service, mais également à la confidentialité des informations échangées entre les utilisateurs.
Toutes les informations échangées sur le RSE ne sont évidemment pas confidentielles. Cependant, les échanges internes relatifs à des clients de l’entreprise, ou à des projets en cours (négociations, projets en cours de développement ou de déploiement par exemple), ou encore à des projets internes (recherche), à des informations financières, etc. sont généralement de nature confidentielle. D’où l’importance de gérer les accès et les autorisations d’utilisation pour éviter les fuites d’informations et risquer de mettre en jeu la responsabilité de l’entreprise pour violation de son obligation de confidentialité vis-à-vis de ses clients notamment.
Il est par ailleurs recommandé de distinguer entre l’objet du RSE et ses modes d’utilisation et les situations dans lesquelles les échanges 1/1 verbaux, par email ou autres doivent être maintenus. Même si le RSE intègre une fonctionnalité de tchat ou de messagerie, ce service n’a pas pour objet de remplacer les échanges “traditionnels”, au moins dans l’immédiat.

    2.3 La liberté d’expression et ses limites

Comme pour tout service collaboratif en ligne, les informations mises en ligne sur un RSE sont soumises aux règles de la responsabilité éditoriale. Dans la mesure où les informations mises en ligne et les échanges entre utilisateurs n’ont pas vocation à être modérés/validés par l’entreprise avant leur mise en ligne, chaque utilisateur est responsable du contenu des messages (messages, photos, documents) qu’il/elle met en ligne et des informations divulguées.
Le principe de la liberté d’expression s’applique, même au sein de l’entreprise, comme rappelé à l’article L.1121-1 du Code du travail.(3) Cependant, ce principe connaît des limites, par exemple en cas de violation de la confidentialité des informations échangées, de mise en ligne de messages diffamatoires ou injurieux, ou de nature à porter une atteinte grave à l’image de la société.
A ce titre, deux jugements du Conseil des prud’hommes de Boulogne-Billancourt, rendus le 19 novembre 2010 ont confirmé la décision de licenciement de salariés ayant dénigré leur employeur et leur supérieur hiérarchique sur Facebook. Les juges ont retenu que les échanges n’étaient pas d’ordre privé car ils étaient visibles par les “amis des amis” sur Facebook et non par les seules personnes impliquées activement dans ces échanges. Dans ces deux affaires, il a été jugé que les salariés avaient abusé du droit d’expression consacré à l’article L.1121-1 du Code du travail.(4)
Même si en l’espèce il s’agissait d’échanges sur un réseau social public, on peut penser que des propos insultants échangés sur un réseau social d’entreprise et accessibles à un large groupe de collaborateurs pourraient entraîner l’application de sanctions à l’égard du/des auteur(s) : suspension des droits d’accès au service et, le cas échéant, compte tenu de la gravité de la situation, mise en oeuvre d’une procédure disciplinaire, en conformité avec les règles de droit du travail. Il est recommandé de prévoir, dans les conditions d’utilisation, les règles de suspension d’accès au service en cas de violation desdites conditions d’utilisation.

    2.4 La durée de conservation des profils

Dans le cadre de l’administration des autorisations d’accès au service, il conviendra de gérer attentivement la cessation des droits d’utilisation et la durée de conservation des profils.
Concernant la cessation des droits d’utilisation, les règles de désactivation des codes d’accès au RSE devront correspondre à l’objet du service. Si le RSE est limité à l’activité de conduite de projet par exemple, les profils des utilisateurs seront désactivés à l’issue du projet, mais également, lors du départ d’un des collaborateurs de la société en cours de projet, ou lors du départ d’un consultant ou d’un sous-traitant. Si le RSE a un objet plus large, d’outil de communication au sein de l’entreprise, les profils seront désactivés au départ du collaborateur de l’entreprise.

Enfin, les données relatives aux profils des utilisateurs devront en principe être effacées dès la clôture du compte.


* * * * * * * * * * *


(1) La norme simplifiée n°46 “Gestion du personnel” est accessible sur le site de la CNIL, rubrique vos responsabilités > déclarer un fichier.

(2) L’article L.2323-13 du Code du travail dispose que “Le comité d’entreprise est informé et consulté, préalablement à tout projet important d'introduction de nouvelles technologies, lorsque celles-ci sont susceptibles d'avoir des conséquences sur l'emploi, la qualification, la rémunération, la formation ou les conditions de travail.

Les membres du comité reçoivent, un mois avant la réunion, des éléments d'information sur ces projets et leurs conséquences sur chacun des sujets mentionnés au premier alinéa.”

(3) L’art L.1121-1 du Code du travail dispose que : “Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché.”

(4) Conseil des prud’hommes de Boulogne-Billancourt, jugements de départage du 19 novembre 2010, M. B. c/ Alten Sir et Mme B. c/ Alten Sir

Autour du même sujet