|
Autres chroniques d'Isabelle
Renard
|
|
|
Surveiller l'activité de ses salariés
sur le réseau Internet n'est pas seulement une possibilité pour
les entreprises. C'est un véritable devoir, faute à se montrer gravement
négligent au regard de la protection de l'entreprise et de la responsabilité
de celle-ci.
Nous avons
présent à l'esprit la récente condamnation de Lucent Technologies
(TGI Marseille, 11 juin 2003), pour avoir omis de préciser dans sa charte
Internet que le salarié n'avait pas le droit de créer de pages personnelles
à partir des moyens informatiques mis à sa disposition par l'entreprise
(en l'occurrence, la salarié avait mis en ligne des contenus diffamatoires
à l'encontre d'une autre société).
N'oublions
pas non plus l'affaire "Kitetoa" (CA Paris 30 octobre 2002), où
la société Tati s'est vue expliquer qu'il ne fallait pas se plaindre
de ce qu'un hacker malicieux ait pénétré son système
d'information pour y détourner des fichiers contenant des données
personnelles de clients, puisque ces données étaient accessibles
via le site Internet de la société…
Derrière
ces deux décisions se dessine une nouvelle notion : celle du "bon
père de famille" des temps modernes, qui est conscient de la nécessité
d'assurer la sécurité du système d'information de son entreprise,
et qui pour ce faire met en place les moyens humains, financiers, et organisationnels
nécessaires. La dépendance des entreprises à leur système
d'information est devenue très forte, et il est étonnant de constater
à quel point le risque afférent à un dysfonctionnement ou
à une atteinte au système d'information est sous-estimé,
voire ignoré, par de nombreux dirigeants.
Beaucoup d'entreprises, il est vrai, se sont d'ores
et déjà dotées d'un responsable de la sécurité
des systèmes d'information. Mais ce n'est pas tout : il leur faut un budget,
et plus encore il leur faut recueillir l'adhésion de tous à une
véritable politique de sécurité informatique, ce qui suppose
l'implication du management de l'entreprise à tous les niveaux.
L'un des outils de cette sécurité
est précisément la "charte Internet", qui, plus qu'un
guide de bonne conduite, est un véritable contrat qui décrit les
droits et les obligations de chacun au regard de l'utilisation des moyens informatiques
et réseau de l'entreprise.
La mise en œuvre d'une telle charte soulève
beaucoup de questionnements de la part de ceux qui en ont la charge : est-ce que
je peux, est-ce que je dois, et comment faire, dans cet imbroglio de recommandations
et de décisions apparemment contradictoires ? Il nous semble que certaines
solutions commencent à se dégager, qui certes ne sont pas parfaites
- il s'agit encore d'un domaine très nouveau - mais permettent de mettre
en œuvre un document efficace et utile. Nous vous livrons ici trois principes
qui sont à notre sens fondamentaux :
Premier principe : transparence et discussion
collective
Nous parlions à l'instant d'un "contrat",
qui fixe les droits et les obligations de chacun en matière d'utilisation
des moyens informatiques de l'entreprise. Mais attention, il ne s'agit pas d'un
avenant au contrat de travail, qui, imposé alors que le salarié
est déjà en état de subordination, aurait une valeur bien
faible en cas de litige.
La charte doit porter à la connaissance
de l'ensemble des salariés de façon transparente les
mesures de contrôle qui sont exercées à leur égard,
conformément à l'article L121-8 du Code du Travail.
Elle doit de plus faire l'objet d'une discussion
avec les organes représentatifs du personnel, et être
ensuite annexée au règlement intérieur de l'entreprise.
Ses dispositions seront alors opposables aux salariés, et leur violation
pourra le cas échéant fonder des mesures disciplinaires.
Second principe : précision et mesure
Interdire totalement aux salariés
l'accès à Internet pour des fins autres que professionnelles est
à notre avis plus dangereux qu'autre chose car, au regard tant de la jurisprudence
récente que des positions de la CNIL, il est peu probable qu'un tribunal
retienne que cette interdiction soit justifiée. Tout salarié dispose
d'une sphère d'intimité à son lieu et son temps de travail
et, de la même façon que l'utilisation à des fins personnelles
du téléphone est tolérée, celle de l'Internet doit
l'être aussi.
Pour autant, il faut en fixer les limites, et le
faire de façon précise : interdiction de participer à des
forums ou à des chats, interdiction de créer des pages personnelles,
interdiction d'accéder à tout site illicite ou à caractère
pornographique, respect de la propriété intellectuelle, interdiction
d'installer des logiciels piratés ou non autorisés par la DSI…
De la même façon, les salariés
seront informés des diverses mesures de surveillance et de filtrage mises
en place par la DSI : blocage des fichiers supérieurs à une certaine
taille, veille des sites visités, mesure du temps passé sur Internet…
Troisième principe : définir
clairement la procédure relative aux messages "privés"
Au prétexte que les e-mail "personnels"
seraient assimilables à de la correspondance privée, l'entreprise
ne pourrait pas les ouvrir, faute à se rendre coupable de l'infraction
de violation des correspondances. Cette position est à notre sens parfaitement
irréaliste : il suffirait que le salarié accompagne son message
de la mention "personnel" pour envoyer en toute impunité à
un concurrent de l'entreprise par un simple e-mail tous ses fichiers clients et
quelques autres informations stratégiques !
L'entreprise doit pouvoir surveiller toute correspondance
qui transite par le réseau qu'elle met à disposition de ses salariés,
charge à ceux ci, exerçant leur bon sens, de ne pas faire transiter
sur un réseau qui est de toutes façons ouvert à tous vents
des informations de nature privée et confidentielle.
Le vrai problème, qui a bien été
vu par la CNIL, est plutôt de régir le statut des administrateurs
systèmes qui sont amenés à avoir connaissance de ces messages.
Il faut en effet éviter que ceux-ci, soumis à la pression de leur
hiérarchie, ne se voient obligés de dévoiler des informations
qui n'ont aucun rapport avec l'activité professionnelle du salarié
mais pourraient être utilisées à son encontre (informations
sur son état de santé par exemple).
Les administrateurs systèmes doivent donc
:
- recevoir des instructions précises concernant
les messages dont ils peuvent faire état à d'autres membres de l'entreprise
: seuls les messages ayant un rapport avec l'activité professionnelle ou
les intérêts de l'entreprise sont dans ce cas, et l'on conçoit
bien qu'il y a là une petite difficulté dans la mesure où
une telle appréciation peut se révéler très subjective
;
- d'autre part être protégés,
de sorte à ne pas pouvoir faire l'objet de sanctions disciplinaires s'ils
refusent, dans le cadre défini précédemment, de divulguer
certains messages à leur hiérarchie. Le sujet est évidemment
là aussi très délicat, compte tenu du lien de subordination
de l'administrateur système à l'entreprise qui l'emploie. Néanmoins,
et en attendant que celui-ci bénéficie d'une protection légale
(ce qui devrait à notre avis être le cas à terme), une protection
contractuelle efficace peut être organisée.
Voici, brièvement résumés,
quelques principes qui permettent de donner à la charte Internet de l'entreprise
cohérence et efficacité. Leur mise en œuvre est bien sûr
largement dépendante du métier de l'entreprise et des salariés
concernés, selon le sacro-saint principe dit de "proportionnalité"
(article L120-2 du Code du Travail), que nous rappellerons pour conclure et qui
doit sans cesse guider la main du rédacteur de charte … :
"Nul ne peut apporter aux droits des personnes
et aux libertés individuelles et collectives de restrictions qui ne
seraient pas justifiées par la nature de la tâche à accomplir
ni proportionnées au but recherché"
|
