Quel contrôle des clés USB personnelles du salarié par l’employeur ?

La chambre sociale de la Cour de cassation vient d’ajouter une nouvelle pierre à sa jurisprudence toujours en construction concernant les contrôles que peut effectuer l’employeur dans la cadre de la sécurisation de son système d’information (SI).

Ce nouvel arrêt concerne une clé USB privée d’un salarié, mais le principe peut parfaitement être étendu à des périphériques de mémorisation autres (disques durs externes). Une décision qui laisse mieux entrevoir ce que pourrait être la jurisprudence à venir en matière de contrôle de tablettes et autres smartphones privés (BYOD)… et pourrait apporter un soutien imprévu aux RSSI dans leur souhait de canaliser cette nouvelle pratique.

Le 12 février 2013, la chambre sociale de la Cour de cassation a poursuivi l’édification de sa jurisprudence concernant les contrôles que peut effectuer l’employeur dans la cadre de la sécurisation de son système d’information (SI).
La question posée était simple : l’employeur peut-il avoir accès à une clé USB privée du salarié, sans que celui-ci en soit au courant ou ne puisse s’y opposer ? La réponse apportée par la Cour de cassation semble toutefois liée aux circonstances de l’espèce, et notamment au fait que la clé était connectée à l’ordinateur mis à disposition du salarié à titre professionnel.

Rappelons pour faciliter la lecture de cette chronique que, la distinction longtemps attendue entre les termes « privés » et « personnels » a finalement faite par la Cour d’appel d’Amiens dans sa décision du 15 décembre 2010 concernant le contrôle d’un disque dur et montrant que c’est le terme « privé » qui devrait être utilisé en l’occurrence dans ce type d’affaire pour désigner les contenus extra-professionnels du salarié. Mais la Cour de cassation continuant à préférer le terme de « personnels » pour les désigner, les deux termes seront utilisés alternativement ci-après.

I. Le contentieux autour du contrôle du contenu de la clé USB d’un salarié

A. Une histoire de clé

Plus précisément, dans cette affaire, une assistante administrative a été licenciée pour faute grave, son employeur arguant :

- d‘un « refus de communication » avec celui-ci ;
-
d’un « comportement insolent » lors de l’entretien préalable de licenciement ;
-
et « de l'enregistrement sur sa clé USB personnelle d'informations confidentielles concernant l'entreprise et de documents personnels de collègues et du dirigeant ».

Contestant son licenciement, la salariée a saisi le Conseil des prud’hommes de Bernay, qui a requalifié le licenciement, considérant qu’il n’y avait pas de faute grave, mais tout de même une cause réelle et sérieuse de licenciement. La salariée a alors saisi la Cour d’appel de Rouen. Analysant chacun des griefs, et notamment les deux premiers, cette dernière considère que l’employeur ne prouvait en rien le « refus de communication » et que le comportement insolent devait être remis dans son contexte (un seul témoin, contexte conflictuel, etc.).
Surtout, à propos du dernier grief concernant l’enregistrement d’informations confidentielles sur le périphérique de stockage de la salariée, la Cour d’appel constate que celle-ci « n'était pas présente lorsque sa clef USB personnelle a été consultée par son employeur et elle n'a donc pas par là même été informée de son droit d'en refuser le contrôle ou d'exiger la présence d'un témoin ». Considérant qu’il suffisait à l’employeur « de retirer la clef pour que l'ordinateur puisse fonctionner et d'attendre l'arrivée » de la salariée pour effectuer le contrôle, elle estime que l’employeur n’aurait jamais dû opérer son contrôle de cette façon. En conséquence, le moyen de preuve qui en est issu est illicite et il ne peut être utilisé pour fonder sa sanction. Pour les magistrats, la cause est entendue : il n’y avait aucune cause réelle et sérieuse à ce licenciement.

B. La clé de l’histoire

L’employeur décidant de se pourvoir en cassation, la chambre sociale de la Cour de cassation vient de rendre le 12 février dernier une tout autre lecture de l’affaire. Les magistrats devaient répondre à la simple question des conditions de l’accès à la clé USB de la salariée : devait-on considérer, comme la Cour d’appel, que la clé USB privée de la salariée devait être protégée comme telle et ne pouvait donc être contrôlée qu’en la présence de la salariée ou celle-ci dûment représentée (voir même que la salariée pouvait refuser un tel contrôle) ? Ou au contraire, comme l’employeur, qu’en raison de la connexion d’une clé non identifiée comme privée au SI de l’entreprise via un ordinateur de la société, celle-ci présentait un caractère professionnel ?
Rappelons en effet que la jurisprudence autorise un contrôle de l’employeur sans restrictions particulières sur les fichiers professionnels se trouvant sur son SI. En effet, « les dossiers et fichiers créés par un salarié grâce à l'outil informatique mis à sa disposition par son employeur pour l'exécution de son travail sont présumés, sauf si le salarié les identifie comme étant personnels, avoir un caractère professionnel », ce qui permet ce contrôle hors de la présence du salarié (arrêt de la chambre sociale de la Cour de cassation du 18 octobre 2006).
Dans cette affaire, la Cour de cassation casse l’arrêt d’appel en énonçant qu’une « clé USB, dès lors qu’elle est connectée à un outil informatique mis à la disposition du salarié par l’employeur pour l’exécution du contrat de travail, étant présumée utilisée à des fins professionnelles, l’employeur peut avoir accès aux fichiers non identifiés comme personnels qu’elle contient, hors la présence du salarié ».
Le principe posé semble simple et la Cour estime nécessaire d’en assurer une large publicité en publiant la décision dans son bulletin, indiquant clairement qu’elle vient de poser une nouvelle pierre importante de sa jurisprudence en matière de contrôle par l’employeur.
Mais qu’en est-il vraiment en pratique ? Quelles sont les implications de cette décision ?

II. Les modalités de contrôle par l’employeur des périphériques de stockage privés des salariés

A. Connecté au SI de l’employeur, un périphérique de stockage est présumé professionnel

L’argumentation de l’employeur présenté devant la Cour de cassation était construite de la façon suivante :

* il faut distinguer d’une part le support qu’est le périphérique de stockage et d’autre part son contenu, soit les fichiers et dossiers qu’il contient ;
* concernant le périphérique de stockage (la clé USB), celui-ci était connecté à l’ordinateur professionnel donc au SI de l’employeur ;
*
Le fait qu’il appartienne au salarié ne change rien : de par sa seule connexion au SI professionnel, il doit être considéré comme étant un support professionnel ;
*
Et en tout état de cause, rien n’identifiait la clé USB comme appartenant au salarié.

Bien entendu, comme les fichiers trouvés sur cette clé USB s’avéraient être professionnels (et confidentiels), la suite était acquise si la Cour de cassation avalisait : le support était présumé professionnel, les fichiers étaient présumés professionnels, le contrôle était licite et prouvait les manquements de la salariée à ses obligations contractuelles (loyauté ou encore confidentialité) voire à la charte (en l’occurrence les arrêts ne disent pas s’il y en avait une).
Or, dans cette décision, il est tout aussi intéressant d’étudier ce qu’a retenu et fait sienne la Cour de cassation dans l’argumentation soulevée que ce qu’elle a, a priori, sciemment choisi de ne pas reprendre.
Ainsi, le critère que l’on pourrait appeler de la « contamination » par le SI professionnel forme l’essentiel du principe posé par la Cour de cassation : si le périphérique de stockage privé est connecté au SI professionnel, alors il est supposé professionnel. La gestion de la sécurité par les équipes SSI est donc facilitée, les règles de contrôle et d’intervention étant identique pour tous les supports connectés au SI de l’employeur, qu’ils soient privés comme professionnels, y compris pour les fichiers qui y sont stockés (qui peuvent être spécifiquement labellisés privés ou sont présumés professionnels dans le cas contraire).

Et le principal apport de l’arrêt réside certainement dans cette seule infirmation, qui met de côté un autre critère qui aurait pu être posé : le périphérique de stockage était-il identifié comme privé ? Ce critère éventuel est donc clairement délaissé par la Cour de cassation, qui pose donc un principe objectif, écartant les incertitudes potentielles face à ce qui aurait permis l’identification faciale d’une clé USB privée par rapport à une clé USB professionnelle.
Sur ce point, la Cour de cassation s’est peut-être inspirée dans son raisonnement des règles basiques de sécurité des systèmes d’information : a priori, la connexion de périphériques extérieurs à l’entreprise tels que des clés USB est au minimum encadré, au maximum interdit.
Et ne nous y trompons pas : si la Cour ne mentionne que les « clés USB » dans le principe posé dans l’arrêt, le raisonnement est susceptible a priori de s’appliquer à tout périphérique de stockage mémoire, indépendamment du fait de savoir s’il a l’apparence d’une clé USB ou non (ex : disques durs externes, etc.).

Les magistrats ont-ils été trop loin en permettant un tel contrôle ? Rappelons toute de même un point d’importance : si le salarié ne pense pas à identifier ses fichiers spécifiquement sur sa clé privée devenue présumée professionnelle à l’occasion d’une connexion à l’ordinateur professionnel, cela ne signifie pas que l’employeur qui y aurait accès pourrait en faire l’utilisation la plus large. Ainsi, de jurisprudence classique, si ces fichiers se révélaient privés et sans lien avec l’objet du contrôle, l’employeur devrait assurer la confidentialité à ces contenus et ne pas les utiliser en justice.

B. Interconnecté au SI de l’employeur, un terminal privé sera-t-il présumé professionnel ?

Si l’on élargit le spectre de lecture de cet arrêt, la question qui se pose est celle des implications pratiques, outre la question du seul accès aux périphériques de stockage bien sûr.

Et l’on se prend à imaginer que le principe pourrait, trouver une application pour le contrôle que pourrait exercer l’employeur sur les terminaux privés de type smartphones et tablettes qui permettent aux salariés de travailler au sein du SI de l’entreprise (considérés comme plus performants, plus pratiques, plus puissants…), à l’heure ou de telles pratiques (BYOD ou Bring your Own Device) connaissent forte croissance.
Alors que la seule jurisprudence relativement proche de ces domaines concerne un arrêt du 23 mai 2012 sur un dictaphone oublié dans un bureau, et n’a admis que des possibilités de contrôle très restreintes de l’employeur sur son contenu (voir ici l'apport de cet arrêt)
, le principe pourrait être radicalement différent avec un smartphone ou une tablette qui, eux, seraient connectés et/ou donnerait accès au SI de l’employeur. En vertu de ce nouveau critère de « contamination professionnelle », il est permis de penser qu’indépendamment de la protection des informations qui y sont stockées et à l’occasion de cette interconnexion, les outils de BYOD pourraient être considérés par la Cour de cassation comme des outils présumés professionnels et donc donner lieu à des contrôles sous des conditions beaucoup moins strictes que l’on pourrait imaginer en premier lieu.

Alors qu’aux Assises de la sécurité d’octobre 2012, le directeur général de l’ANSSI pointait les règles essentielles de sécurité et poussait à s’opposer à la vague irrépressible du BYOD en des termes éloquents (« Je vais vous dire ma vision des choses : il faut entrer en résistance contre la liberté totale dans l’usage des technologies de l’information. Dans une entreprise : non on ne travaille pas avec son terminal privé, non on ne connecte pas un terminal contrôlé par un tiers, non on n’installe pas le dernier joujou à la mode (…) »), la présente décision pourrait lui apporter un soutien imprévu, en minorant l’engouement des utilisateurs. Il n’est pas sûr en effet que la demande de chaque utilisateur reste la même si l’outil privé pouvait être soumis aux mêmes contrôles – et donc aux mêmes règles –  que leur outil professionnel.
Car la sécurité du SI de l’employeur nécessite absolument une gestion saine, et donc la possibilité aussi d’effectuer des contrôles, notamment en cas d’incident de sécurité, dans le respect des droits de chacun : les contraintes réglementaires qui s’y appliquent sont en effet toujours croissantes (obligation de sécurité, notification des violations de sécurité, etc.) et s’ajoutent aux engagements et contraintes propres à l’entreprise (secrets des affaires, obligations contractuelles de confidentialité).

Conclusion : visions et prévisions de la charte d’usage des moyens informatiques

Rappelons que l’employeur n’a pour autant pas tous les droits : s’il peut contrôler l’activité du salarié en vertu de son pouvoir de direction, ce pouvoir s’inscrit dans les limites fixées par le Code du travail et loi « Informatique fichiers et libertés » du 6 janvier 1978 (information préalable de la possibilité d’un contrôle, proportionnalité, etc.). C’est en pratique le rôle de la charte annexée au règlement intérieur d’encadrer les usages de son SI (internet, messagerie, serveurs réseaux, réseaux sociaux, etc.), mais également les procédures de contrôles entre autres, dans le respect des droits de chacun. Or l’employeur est tenu de se plier aux moindres règles qu’il a pu édicter dans ce document, opposables aux salariés comme à lui (idem pour l’ensemble du règlement intérieur d’ailleurs).
Ainsi, dans la présente affaire, si l’employeur avait prévu dans sa charte qu’il ne pourrait accéder au périphérique de stockage du salarié qu’avec son consentement par exemple, ou seulement en la présence du salarié, c’est cette règle qui aurait dû s’appliquer et non celle dégagée par la Cour de cassation, en raison du principe de faveur. C’est le principe qui a été rappelé par la chambre sociale en matière de charte
dans un arrêt du 26 juin 2012.

Attention donc à la rédaction de ce document, absolument essentielle pour que la charte puisse se concevoir comme une aide à la sécurité des SI et non un frein de nature à empêcher les contrôles utiles et licites ! Pour cela, le suivi de l’actualité, le déchiffrement des décisions majeures, l’anticipation des évolutions à venir et surtout la prise en compte de l’entreprise, de son fonctionnement et de ses règles existantes (Politique de SSI et directives, politique de confidentialité, etc.) restent des éléments fondamentaux que la direction juridique interne ou l’avocat doivent apporter lors de la rédaction.

A défaut, le risque est réel de n’apporter qu’une protection illusoire au chef d’entreprise ou au DSI, lorsqu’il voudra réagir à l’occasion d’un incident de sécurité, pensera s’appuyer sur une jurisprudence existante … et constatera in fine que les moyens de preuves récoltés sont considérés comme illicites et donc non utilisables devant les juridictions civiles.

Autour du même sujet