Paul Hebert (Cnil) "Les chartes informatiques spécifiques aux réseaux sociaux se développent"

Réseaux sociaux, tendance du BYOD, mobilité... La porosité entre vies professionnelle et personnelle s'exprime de plus en plus dans les outils informatiques. Que recommande la CNIL sur ces sujets ?

JDN Solutions. Cela fait désormais quelques années déjà que les réseaux sociaux sont rentrés dans les usages, même dans l'entreprise... Peut-on penser que le thème est aujourd'hui suffisamment mûr pour pouvoir formaliser des conseils sur leur encadrement dans une charte informatique ?


Paul Hebert. Ce sujet n'a certainement pas encore atteint sa pleine maturité juridique. Mais cela n'empêche pas d'encadrer l'utilisation des réseaux sociaux dans une charte informatique, bien au contraire ! Même si la jurisprudence est encore balbutiante en la matière, les règles de droit existent et s'appliquent, même si certaines ne datent pas d'hier.


Du point de vue de l'employeur, l'utilisation des réseaux sociaux présente des risques notamment en matière de sécurité informatique, de divulgation d'informations confidentielles ou personnelles, ou encore d'atteinte à son image, par exemple du fait de propos injurieux émanant d'un salarié. Il est donc légitime que les employeurs prennent des mesures techniques et organisationnelles pour encadrer ces risques.

Du point de vue de l'employé, ces derniers ont des droits : liberté d'expression, protection des correspondances privées et de leurs données à caractère personnel... Mais, ils ont également des devoirs : ne pas injurier ou diffamer son employeur, ne pas divulguer d'informations considérées comme confidentielles, ne pas se comporter de manière déloyale vis-à-vis de son employeur.

Depuis quelques années, on constate que les tribunaux sont de plus en plus saisis de contentieux sur des questions liées à l'utilisation des réseaux sociaux par les salariés. Que ce soit sur leurs lieux et pendant les heures de travail, ou depuis leur domicile privé en dehors des heures de travail. L'employeur qui souhaite sanctionner un salarié pour l'utilisation que ce dernier a fait des réseaux sociaux peut être confronté au problème de la collecte de données à titre de preuve qui doit demeurer loyale. En 2010, il a été jugé qu'un salarié pouvait être licencié du fait qu'il avait critiqué son employeur sur un mur accessible à ses amis... mais également aux amis de ses amis, en l'occurrence, un collègue de travail.

De nombreux autres exemples existent en France comme à l'étranger. Il est cependant encore difficile de tirer des enseignements de la jurisprudence naissante. De nombreuses questions doivent être définitivement tranchées, et sont étroitement liées aux modalités techniques d'utilisation de chaque réseau social.

Par exemple : les propos tenus sur Facebook par des salariés font-ils ou non partie de la sphère privée ou publique ? Face à ces incertitudes, il est préférable d'encadrer les modalités d'utilisation de ces nouveaux outils via une charte.

"Il est possible d'interdire aux salariés de s'exprimer au nom de la société sur les réseaux sociaux."

Comment encadrer l'utilisation des réseaux sociaux dans une charte ?

De manière générale, il est utile d'encadrer l'utilisation des moyens technologiques mis à disposition des salariés. L'adoption de ce type de charte est encouragée la Cnil, qui, depuis plus de dix ans, propose un guide pratique à l'usage des employeurs et des salariés régulièrement mis à jour pour mieux encadrer la protection des données personnelles. Le respect, par les entreprises, des règles de protection des données à caractère personnel est un facteur de transparence et de confiance à l'égard des salariés.

Ces chartes précisent généralement les règles d'usage de la messagerie et d'Internet. On voit cependant se développer des chartes spécifiques aux "médias sociaux". Quel que soit leur nom, ces chartes peuvent interdire à un salarié d'utiliser des réseaux sociaux depuis leur poste informatique professionnel. Cependant, cette solution n'est pas toujours opportune, voire réaliste.

Il est aussi possible de préciser les modalités d'utilisation des réseaux sociaux. Par exemple, interdiction de s'exprimer au nom de la société, validation du contenu publié par la hiérarchie pour les messages professionnels, interdiction d'utiliser les marques commerciales de l'entreprise sauf accord préalable, rappel des règles de bonne conduite, etc. Tout dépend de la politique qui sera adoptée par l'entreprise. Certains secteurs, comme les banques, ont par exemple une politique restrictive.

La charte informatique ne doit pas se contenter d'interdire toute une série d'actions aux salariés. Elle doit être accompagnée de mesures techniques et organisationnelles efficaces pour garantir son application. De même, la sensibilisation et la formation des salariés sont nécessaires : il faut aussi savoir faire preuve de pédagogie.

Lorsque l'entreprise dispose d'un correspondant informatique et libertés (CIL), ce dernier jouera un rôle essentiel dans l'élaboration de la charte du fait de sa connaissance de la loi "informatique et libertés" ainsi que de la culture de l'entreprise. Une charte qui ne correspond pas aux usages et à la culture de l'entreprise à peu de chance d'être efficace. Enfin, soulignons que la CNIL diffuse sur son site des conseils d'utilisation des réseaux sociaux pour mieux protéger les données personnelles ainsi que des conseils pratiques pour les smartphones, qui contiennent eux aussi des informations relatives à la vie privée de salariés.

Justement : autre tendance, l'usage professionnel d'ordinateurs portables, de smartphones et autres supports nomades... Comment encadrer cela ?

Là aussi, il est possible d'encadrer leur utilisation dans une charte. Le plus important est cependant de bien veiller à ce que les données personnelles qu'ils contiennent (fichiers clients, données RH, e-mails...) soient protégées et que des mesures de sécurité suffisantes sont bien mises en œuvres. La Cnil édite également un guide de sécurité qui permet aux employeurs de prendre connaissance des règles de sécurité basiques.

La nécessite de sécuriser les données, et en particulier de les chiffrer, est d'autant plus importante que leur perte peut causer un préjudice aux personnes concernées (usurpation d'identité par exemple).

Depuis une ordonnance du 24 août 2011 qui transpose les directives dites "Paquet Telecom", les fournisseurs de services de communication électronique ont l'obligation de notifier à la Cnil les "violations de données personnelles". Par exemple : accès frauduleux à des données, pertes de données... Cette obligation est pour l'instant applicable qu'à ces fournisseurs, mais il est probable qu'à terme elle se généralise à l'ensemble des entreprises. Les entreprises ont donc tout intérêt à anticiper et prévoir une politique claire de gestion de leurs données personnelles.

Paul Hebert est actuellement chef du service des affaires juridiques de la Cnil. Il a exercé antérieurement comme avocat dans le domaine des nouvelles technologies.