Usage des moyens informatiques dans l’entreprise : la Cour de cassation pousserait-elle à la mise à jour des chartes ?
Les employeurs, contraints à des obligations légales de plus en plus fortes concernant la maîtrise de leur système d’information et qui, à ce titre, sont tenus en pratique de contrôler l’usage de celui-ci, doivent s’interroger sur la nécessaire mise à jour régulière de leurs chartes.
Dans deux décisions de mai et de juin 2012 qui doivent être lues au regard l’une de l’autre, la Cour de cassation montre à la fois qu’elle peut adapter sa jurisprudence aux nouveaux défis auxquels est confrontée l’entreprise (BYOD), mais également que cette adaptation ne va pas de soi pour l’employeur, si celui-ci a inséré dans son règlement intérieur une charte qui prévoit des garanties plus protectrices des intérêts du salarié.
Ce
sont deux arrêts fondamentaux pour l'employeur, en matière de contrôle de
l'utilisation qui est faite de son système d'information (SI), qui viennent d'être
rendus par la chambre sociale de la Cour de cassation en l'espace de
quelques semaines. En effet, ces deux décisions risquent d'avoir un impact fort
sur la rédaction des chartes, et plus globalement des règlements intérieurs
d'entreprises encadrant l'usage par les salariés des outils informatiques au
sein de l'entreprise.
I. De la relative liberté d’interprétation
par la Cour de cassation des règles entourant le contrôle du BYOD…
C'est
tout d'abord par une décision rendue le 23 mai 2012, dans un domaine où l'on ne
l'attendait à vrai dire pas si tôt, que la chambre sociale de la Cour de
cassation a statué par un arrêt qui risque de s'avérer crucial. En l'espèce,
les discussions se concentraient sur un « simple » dictaphone appartenant
à un salarié (ce n’était donc pas un outil professionnel fourni par
l’employeur) et qui, laissé en fonctionnement dans un bureau de façon peu
visible, avait enregistré les propos d'autres salariés de l'entreprise à leur
insu.
Dans
cette affaire,
la Cour suprême pose le principe qu'un contrôle par l’employeur des
enregistrements réalisés par le salarié avec son propre outil n’est possible
que sous réserve de la présence du salarié ou si celui-ci a été « dûment
appelé ». Est-ce une nouveauté ? Non en aucun cas : on retrouve
ici une formulation proche de celle posée par la chambre sociale dans son arrêt
du 17 mai 2005 pour le contrôle des fichiers privés du salarié et dans
son arrêt du 17 juin 2009 concernant les messages privés du salarié.
Surtout, la formulation négative utilisée
par la Cour de cassation ne doit pas laisser place à l’ambiguïté : les
magistrats posent le principe d’un contrôle possible de l’employeur sur les
contenus privés. Simplement, celui-ci doit suivre des règles strictes. La
question de l’importance de la copie des contenus a par ailleurs été mise en
avant par la Cour car dans cette affaire, les enregistrements avaient été
effacés avant de pouvoir être produits en justice (l’employeur avait donc
fourni des attestations d’autres salariés pour apporter la preuve de la faute, mais
les magistrats les avaient considérés insuffisants à démontrer la teneur des
enregistrements litigieux sur lesquels reposait le licenciement).
Pourquoi reconnaître tant d'importance à l’arrêt du 23 mai 2012 ? Car la Cour suprême reconnaît que le contrôle est possible (sous conditions) sur des contenus privés se trouvant dans un matériel appartenant au salarié. Or le principe dégagé ici semble pouvoir très largement s'appliquer à la pratique du BYOD tant les faits semblent similaires.
Rappelons
que le BYOD (pour Bring Your Own Device)
fait référence à la pratique de plus en plus répandue de permettre, à l’origine
à la demande des salariés, l’utilisation par ceux-ci de leurs outils personnels
(tablette, smartphone, ordinateurs portables, etc.) au sein de l’entreprise
pour effectuer des tâches professionnelles. Cela suppose quasi-nécessairement
la connexion au système d’information de l’employeur et soulève notamment des
problématiques de sécurité fortes (risque de contamination de virus, de failles
de sécurité, de perte d’informations confidentielles en cas de vol, etc.).
Alors
que le sujet de la possibilité d’un contrôle de l’employeur sur ces contenus et
surtout de ces limites est encore discuté au plan juridique, cet arrêt pose les
premières pierres d’un encadrement par la jurisprudence.
Toutefois,
prenons l’hypothèse d’un employeur qui aurait considéré ou qui considérerait encore
que, du fait de la nature privé de ces outils, il ne peut en aucun cas
effectuer de contrôle sur leurs contenus ou alors uniquement dans des formes
extrêmement strictes (recours à un juge par exemple). Dans ce cas, s’il insère
cette exigence dans son règlement intérieur, il ne pourra en rien
« profiter » de la relative souplesse reconnue par la Cour de
cassation dans cette décision. Pourquoi ? En raison de l’arrêt du 26 juin 2012.
II. … à la stricte application par les magistrats des garanties formelles inscrites dans le règlement intérieur par la charte
Dans
ce second arrêt,
la chambre sociale de la Cour de cassation s'est une nouvelle fois penchée
sur la consultation par l'employeur des messages électroniques du salarié. Les faits de l’espèce renvoient à la
consultation par l’employeur de messages électroniques professionnels du
salarié. La règle, différente de celle régissant l’accès aux messages
privés, est ici connue et régulièrement rappelée par la chambre sociale de la
Cour de cassation depuis un arrêt du 30 mai 2007 (v. par exemple l’arrêt du 15
décembre 2009) : « les
courriels adressés ou reçus par le salarié à l'aide de l'outil informatique mis
à sa disposition par l'employeur pour les besoins de son travail sont présumés
avoir un caractère professionnel en sorte que l'employeur est en droit de les
ouvrir hors la présence de l'intéressé, sauf s'ils sont identifiés comme
personnels ». En conséquence, l’employeur peut en prendre connaissance
sans formalisme particulier et les opposer valablement au salarié sans risquer
l’illicéité de la preuve.
C’est
ce principe qui a été suivi par l’employeur dans cette affaire : il a
licencié pour faute grave un salarié sur la base des contenus de certains de
ses messages professionnels contrôlés en l’absence de l’intéressé.
Pourtant, la consultation est jugée comme illicite et les contenus ne sont pas retenus contre le salarié, la preuve de la faute grave n’étant pas apportée. En conséquence, la société est condamnée par la Cour d’appel saisie du litige à payer à son ex-salarié 50.000 € de dommages-intérêts pour rupture abusive du contrat de travail et environ 38.000 € d’indemnités et rappels divers de primes et salaires. Cette analyse est reprise par la Cour de cassation, qui rejette le pourvoi formé contre l’arrêt d’appel.
La
raison en est simple et tient au contenu du règlement intérieur concernant le
contrôle des messageries, dispositions habituellement insérées par une charte
d’utilisation des ressources informatiques. En l’occurrence, l’employeur avait
pris l’engagement unilatéral dans son règlement intérieur que les messageries
électroniques des salariés ne pourraient être consultées par la direction qu'en
présence du salarié, sans établir la distinction, qui aurait pourtant été
fondamentale, entre les messages électroniques privés et professionnels.
A lire
en effet la jurisprudence, les premiers nécessitent en effet un « risque ou événement particulier », ou
la présence du salarié ou le fait de l’avoir dûment appelé (cf. l’arrêt du 15
décembre 2009 de la chambre sociale de la Cour de cassation), alors que la
jurisprudence n’a pas de telles exigences pour les seconds (cf. supra).
Il n’en reste pas moins que, le critère de présence de salarié pour le contrôle de tous les messages du salarié étant inscrit dans le règlement intérieur, la Chambre sociale de la Cour de cassation précise que « le règlement intérieur peut toutefois contenir des dispositions restreignant le pouvoir de consultation de l'employeur, en le soumettant à d'autres conditions ». Appliquant implicitement – et avec logique - le principe de faveur existant en droit social, la décision de la Cour revêt une importance majeure pour les dispositions des règlements intérieurs en général et pour les contrôles prévus dans les chartes en particulier, que celles-ci concernent la consultation de site internet, la qualification des abus d’utilisation, l’encadrement du BYOD, la messagerie électronique, ou, comme ici, le contrôle de ces usages : si l’employeur dispose d’une ou de plusieurs chartes (concernant les utilisateurs, les administrateurs, le BYOD, etc.) dans lesquels il a prévu un des conditions de contrôle plus restrictives que ce que prévoit la jurisprudence la plus récente pour les abus ou pour les contrôles, c’est la règle ou les règles qu’il s’est lui-même imposé qu’il doit suivre.
Face aux règlementations strictes en
matière de sécurité des SI, il devient nécessaire pour l’employeur de prévoir des
chartes adéquates et surtout de prévoir leur mise à jour régulière.
Alors
que la jurisprudence portant sur le contrôle par l'employeur de l'usage de son
système d'information (par ses salariés notamment) se construit lentement
depuis plus de dix ans et que de nouveaux défis apparaissent (BYOD ou
utilisation des outils personnels par le salarié dans l'entreprise), les chartes et règlements d'utilisation internes se doivent d'évoluer
régulièrement afin de s'adapter aux évolutions réglementaires et
surtout jurisprudentielles (tous les deux à trois ans environ).
On peut citer ici les lois HADOPI de 2009 à l’avenir incertain et leurs impacts pour les entreprises ou encore la problématique de la notification des violations de données à caractère personnel, qui est apparue avec l’ordonnance du 24 août 2011 relative aux communications électroniques, et qui s’étendra à tous les secteurs d’activité avec le Règlement européen en matière de protection des données à caractère personnel (dont la proposition de texte est encore en discussion)… Les exemples imposant la prise en compte d'évolutions de rédaction afin de prendre en compte de nouvelles règles sont en effet nombreux.
Certes, la tentation pourrait être grande pour les entreprises de décider de ne pas prévoir de charte, préférant se reposer dans ces conditions sur la seule jurisprudence. Mais ce serait oublier que, si les lignes de partage dressées par la Chambre sociale de la Cour de cassation apparaissent claires (règles différentes en fonction du caractère privé ou non du message, du contenu, présomption du caractère professionnel des contenus, etc.), la saine gestion du bon fonctionnement et de la sécurité du SI imposent des règles précises que seule une charte peut prévoir (ex : labellisation des contenus privés par un formalisme unique partagé par tous pour éviter la gestion chaotique et sauvage de mots clés inventés par chaque utilisateur, procédure formalisée de situations particulières du type décès du salarié, interdiction de contenus que la Cour de cassation ne trouveraient pas abusifs sans règle l’indiquant expressément, etc.).
Anticipation, adaptation, suivi attentif de l'actualité juridique et adoption des documents opposables nécessaires, apparaissent donc ainsi de plus en plus incontournables au chef d’entreprise et à son DSI afin de protéger de façon licite et efficace le système d'information de l’entreprise.