Usage des moyens informatiques dans l’entreprise : la Cour de cassation pousserait-elle à la mise à jour des chartes ?

Les employeurs, contraints à des obligations légales de plus en plus fortes concernant la maîtrise de leur système d’information et qui, à ce titre, sont tenus en pratique de contrôler l’usage de celui-ci, doivent s’interroger sur la nécessaire mise à jour régulière de leurs chartes.

Dans deux décisions de mai et de juin 2012 qui doivent être lues au regard l’une de l’autre, la Cour de cassation montre à la fois qu’elle peut adapter sa jurisprudence aux nouveaux défis auxquels est confrontée l’entreprise (BYOD), mais également que cette adaptation ne va pas de soi pour l’employeur, si celui-ci a inséré dans son règlement intérieur une charte qui prévoit des garanties plus protectrices des intérêts du salarié.
Ce sont deux arrêts fondamentaux pour l'employeur, en matière de contrôle de l'utilisation qui est faite de son système d'information (SI), qui viennent d'être rendus par la  chambre sociale de la Cour de cassation en l'espace de quelques semaines. En effet, ces deux décisions risquent d'avoir un impact fort sur la rédaction des chartes, et plus globalement des règlements intérieurs d'entreprises encadrant l'usage par les salariés des outils informatiques au sein de l'entreprise.

I. De la relative liberté d’interprétation par la Cour de cassation des règles entourant le contrôle du BYOD…
C'est tout d'abord par une décision rendue le 23 mai 2012, dans un domaine où l'on ne l'attendait à vrai dire pas si tôt, que la chambre sociale de la Cour de cassation a statué par un arrêt qui risque de s'avérer crucial. En l'espèce, les discussions se concentraient sur un « simple » dictaphone appartenant à un salarié (ce n’était donc pas un outil professionnel fourni par l’employeur) et qui, laissé en fonctionnement dans un bureau de façon peu visible, avait enregistré les propos d'autres salariés de l'entreprise à leur insu.
Dans cette affaire, la Cour suprême pose le principe qu'un contrôle par l’employeur des enregistrements réalisés par le salarié avec son propre outil n’est possible que sous réserve de la présence du salarié ou si celui-ci a été « dûment appelé ». Est-ce une nouveauté ? Non en aucun cas : on retrouve ici une formulation proche de celle posée par la chambre sociale dans son arrêt du 17 mai 2005 pour le contrôle des fichiers privés du salarié et dans son arrêt du 17 juin 2009 concernant les messages privés du salarié.
Surtout, la formulation négative utilisée par la Cour de cassation ne doit pas laisser place à l’ambiguïté : les magistrats posent le principe d’un contrôle possible de l’employeur sur les contenus privés. Simplement, celui-ci doit suivre des règles strictes. La question de l’importance de la copie des contenus a par ailleurs été mise en avant par la Cour car dans cette affaire, les enregistrements avaient été effacés avant de pouvoir être produits en justice (l’employeur avait donc fourni des attestations d’autres salariés pour apporter la preuve de la faute, mais les magistrats les avaient considérés insuffisants à démontrer la teneur des enregistrements litigieux sur lesquels reposait le licenciement).

Pourquoi reconnaître tant d'importance à l’arrêt du 23 mai 2012 ? Car la Cour suprême reconnaît que le contrôle est possible (sous conditions) sur des contenus privés se trouvant dans un matériel appartenant au salarié. Or le principe dégagé ici semble pouvoir très largement s'appliquer à la pratique du BYOD tant les faits semblent similaires.

Rappelons que le BYOD (pour Bring Your Own Device) fait référence à la pratique de plus en plus répandue de permettre, à l’origine à la demande des salariés, l’utilisation par ceux-ci de leurs outils personnels (tablette, smartphone, ordinateurs portables, etc.) au sein de l’entreprise pour effectuer des tâches professionnelles. Cela suppose quasi-nécessairement la connexion au système d’information de l’employeur et soulève notamment des problématiques de sécurité fortes (risque de contamination de virus, de failles de sécurité, de perte d’informations confidentielles en cas de vol, etc.).
Alors que le sujet de la possibilité d’un contrôle de l’employeur sur ces contenus et surtout de ces limites est encore discuté au plan juridique, cet arrêt pose les premières pierres d’un encadrement par la jurisprudence.
Toutefois, prenons l’hypothèse d’un employeur qui aurait considéré ou qui considérerait encore que, du fait de la nature privé de ces outils, il ne peut en aucun cas effectuer de contrôle sur leurs contenus ou alors uniquement dans des formes extrêmement strictes (recours à un juge par exemple). Dans ce cas, s’il insère cette exigence dans son règlement intérieur, il ne pourra en rien « profiter » de la relative souplesse reconnue par la Cour de cassation dans cette décision. Pourquoi ? En raison de l’arrêt du 26 juin 2012.

II. … à la stricte application par les magistrats des garanties formelles inscrites dans le règlement intérieur par la charte

Dans ce second arrêt, la chambre sociale de la Cour de cassation s'est une nouvelle fois penchée sur la consultation par l'employeur des messages électroniques du salarié. Les faits de l’espèce renvoient à la consultation par l’employeur de messages électroniques professionnels du salarié. La règle, différente de celle régissant l’accès aux messages privés, est ici connue et régulièrement rappelée par la chambre sociale de la Cour de cassation depuis un arrêt du 30 mai 2007 (v. par exemple l’arrêt du 15 décembre 2009) : « les courriels adressés ou reçus par le salarié à l'aide de l'outil informatique mis à sa disposition par l'employeur pour les besoins de son travail sont présumés avoir un caractère professionnel en sorte que l'employeur est en droit de les ouvrir hors la présence de l'intéressé, sauf s'ils sont identifiés comme personnels ». En conséquence, l’employeur peut en prendre connaissance sans formalisme particulier et les opposer valablement au salarié sans risquer l’illicéité de la preuve.
C’est ce principe qui a été suivi par l’employeur dans cette affaire : il a licencié pour faute grave un salarié sur la base des contenus de certains de ses messages professionnels contrôlés en l’absence de l’intéressé.

Pourtant, la consultation est jugée comme illicite et les contenus ne sont pas retenus contre le salarié, la preuve de la faute grave n’étant pas apportée. En conséquence, la société est condamnée par la Cour d’appel saisie du litige à payer à son ex-salarié 50.000 € de dommages-intérêts pour rupture abusive du contrat de travail et environ 38.000 € d’indemnités et rappels divers de primes et salaires. Cette analyse est reprise par la Cour de cassation, qui rejette le pourvoi formé contre l’arrêt d’appel.

La raison en est simple et tient au contenu du règlement intérieur concernant le contrôle des messageries, dispositions habituellement insérées par une charte d’utilisation des ressources informatiques. En l’occurrence, l’employeur avait pris l’engagement unilatéral dans son règlement intérieur que les messageries électroniques des salariés ne pourraient être consultées par la direction qu'en présence du salarié, sans établir la distinction, qui aurait pourtant été fondamentale, entre les messages électroniques privés et professionnels.
A lire en effet la jurisprudence, les premiers nécessitent en effet un « risque ou événement particulier », ou la présence du salarié ou le fait de l’avoir dûment appelé (cf. l’arrêt du 15 décembre 2009 de la chambre sociale de la Cour de cassation), alors que la jurisprudence n’a pas de telles exigences pour les seconds (cf. supra).

Il n’en reste pas moins que, le critère de présence de salarié pour le contrôle de tous les messages du salarié étant inscrit dans le règlement intérieur, la Chambre sociale de la Cour de cassation précise que « le règlement intérieur peut toutefois contenir des dispositions restreignant le pouvoir de consultation de l'employeur, en le soumettant à d'autres conditions ». Appliquant implicitement – et avec logique - le principe de faveur existant en droit social, la décision de la Cour revêt une importance majeure pour les dispositions des règlements intérieurs en général et pour les contrôles prévus dans les chartes en particulier, que celles-ci concernent la consultation de site internet, la qualification des abus d’utilisation, l’encadrement du BYOD, la messagerie électronique, ou, comme ici, le contrôle de ces usages : si l’employeur dispose d’une ou de plusieurs chartes (concernant les utilisateurs, les administrateurs, le BYOD, etc.) dans lesquels il a prévu un des conditions de contrôle plus restrictives que ce que prévoit la jurisprudence la plus récente pour les abus ou pour les contrôles, c’est la règle ou les règles qu’il s’est lui-même imposé qu’il doit suivre.

Face aux règlementations strictes en matière de sécurité des SI, il devient nécessaire pour l’employeur de prévoir des chartes adéquates et surtout de prévoir leur mise à jour régulière.
Alors que la jurisprudence portant sur le contrôle par l'employeur de l'usage de son système d'information (par ses salariés notamment) se construit lentement depuis plus de dix ans et que de nouveaux défis apparaissent (BYOD ou utilisation des outils personnels par le salarié dans l'entreprise), les chartes et règlements d'utilisation internes se doivent d'évoluer régulièrement afin de s'adapter aux évolutions réglementaires et surtout jurisprudentielles (tous les deux à trois ans environ).

On peut citer ici les lois HADOPI de 2009 à l’avenir incertain et leurs impacts pour les entreprises ou encore la problématique de la notification des violations de données à caractère personnel, qui est apparue avec l’ordonnance du 24 août 2011 relative aux communications électroniques, et qui s’étendra à tous les secteurs d’activité avec le Règlement européen en matière de protection des données à caractère personnel (dont la proposition de texte est encore en discussion)… Les exemples imposant la prise en compte d'évolutions de rédaction afin de prendre en compte de nouvelles règles sont en effet nombreux.

Certes, la tentation pourrait être grande pour les entreprises de décider de ne pas prévoir de charte, préférant se reposer dans ces conditions sur la seule jurisprudence. Mais ce serait oublier que, si les lignes de partage dressées par la Chambre sociale de la Cour de cassation apparaissent claires (règles différentes en fonction du caractère privé ou non du message, du contenu, présomption du caractère professionnel des contenus, etc.), la saine gestion du bon fonctionnement et de la sécurité du SI imposent des règles précises que seule une charte peut prévoir (ex : labellisation des contenus privés par un formalisme unique partagé par tous pour éviter la gestion chaotique et sauvage de mots clés inventés par chaque utilisateur, procédure formalisée de situations particulières du type décès du salarié, interdiction de contenus que la Cour de cassation ne trouveraient pas abusifs sans règle l’indiquant expressément, etc.).

Anticipation, adaptation, suivi attentif de l'actualité juridique et adoption des documents opposables nécessaires, apparaissent donc ainsi de plus en plus incontournables au chef d’entreprise et à son DSI afin de protéger de façon licite et efficace le système d'information de l’entreprise.