Contrôle électronique des employés : quelles limites ?

Une étude du cabinet Gartner indique que 80% de la fraude informatique dans les entreprises est le fait des employés eux même. De quoi donner des arguments aux employeurs pour renforcer leurs contrôles sur leurs effectifs.

Du courrier électronique à l'Internet, la menace potentielle pour l'activité de l'entreprise est forte. En termes de sécurité d'abord, en termes d'image, ensuite. Et quand les choses vont trop loin, mieux vaut savoir ce que l'on peut faire en termes de contrôle sur les employés aux yeux de la loi française.

Pour autant, peut on contrôler les agissements de l'employé de n'importe qu'elle manière en matière de courrier électronique ?

Assurément non. Il existe en France une jurisprudence, dite jurisprudence Nikon. Un employé de l'entreprise japonaise en France avait été licencié pour faute grave suite à l'ouverture de son courrier personnel à son insu. Mais l'affaire portée en justice a donnée lieu à un arrêt important. Depuis l'arrêt Nikon du 2 octobre 2001, il est désormais reconnu que "le salarié a droit, même au temps et au lieu de travail, au respect de l'intimité de sa vie privée" Ainsi, "l'employeur ne peut prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail".

De fait le contrôle des fichiers ne peut s'effectuer qu'en présence de l'employé. Venant tempérer cette décision, la Cour affirme cependant que la consultation de ces fichiers aurait pu être effectuée en l'absence du salarié "en cas de risque ou d'événement particulier", mentionne l'arrêt.

Un cas intéressant porte sur la mention "Personnel" parfois présente dans les entêtes de courrier. Un arrêt récent précise que les courriers électroniques reçus et envoyés par les employés dans les entreprises sont présumés être à caractère professionnel. Certes, la mention "personnel" dans l'intitulé du courrier peut être un moyen de préciser la nature du message, mais il sera aisé pour l'employeur de jouer sur les mots et de justifier que ce terme réfère aux ressources humaines de l'entreprise, en expliquant que le terme "personnel" s'applique par exemple à la direction du personnel.

Face à une telle complexité, les entreprises ont commencé à se protéger, tant bien que mal, à commencer par la mise en place de chartes d'utilisation des moyens informatiques.

"De nombreuses entreprises ont des chartes et des règlements d'utilisation du matériel informatique" explique Helène Lebon. "La CNIL propose des clauses à inclure dans les chartes qui permettent une forme de tolérance vis-à-vis de l'usage que l'employé fait du matériel informatique. Par exemple, une clause précise que le matériel est mis à disposition dans le cadre d'un usage professionnel mais qu'une utilisation à des fins personnelles, c'est-à-dire familiale, est toléré. Cette clause précise la dimension familiale de manière à garantir que l'employé qui utiliserait le matériel informatique à des fins d'une autre activité professionnelle ne puisse pas entrer dans cette catégorie".

Par ailleurs, les chartes précisent souvent que l'utilisation du matériel informatique doit se faire en accord avec la politique de sécurité de l'entreprise. Ainsi, si l'employé infecte le réseau de l'entreprise en attrapant un virus sur un site web non professionnel, il peut être mis en défaut par son employeur.

Cependant, selon le code du travail, le moyen de contrôle doit être proportionné. Un rapport de la CNIL sur la cyber surveillance mentionne le fait que les administrateurs réseaux peuvent ouvrir tous les courriers électroniques des employés, mais n'ont pas le droit de divulguer le contenu à qui que ce soit à moins qu'il y ait un danger ou une menace. "Cette mention fait référence à une interprétation a contrario d'un arrêt de la cours d'appel de Paris qui avait décidé en 2001 d'annuler la sanction d'un employeur envers un employé suite à l'ouverture d'un email personnel" explique Helène Lebon. Selon la Cour, le DSI n'a pas commis d'erreur en ouvrant le courrier incriminé (un message entre deux tourteraux), mais en le divulguant puisque son contenu ne représentait pas une menace pour l'entreprise.

Plus de contrôles, un effet Internet

On note aussi que la croissance du contrôle de l'activité des employés et la généralisation de l'Internet au travail ne sont pas étrangères l'une à l'autre. C'est bien entre 1998 et 2003 que les entreprises se sont retrouvées avec de plus en plus de problèmes de bourrage d'imprimantes suite à des impressions de photos pornographiques, ou encore des mails mal dirigés qui pouvaient être sujets à sanction. Prendre des mesures effectives devenait alors une nécessité pour les entreprises afin de ne pas voir leur image salie par les activités illicites ou douteuses de leurs employés.

Cadres et employés, deux contextes d'utilisation différents

Par ailleurs, la fonction et les responsabilités de l'employé vont entrer en jeu dans le cadre des décisions de justice. "Un cadre d'entreprise par exemple sera plus à même de se défendre sur l'utilisation à ses propres fins du matériel informatique de l'entreprise qu'un employé qui aura des horaires fixes, déterminés par une pointeuse" relativise l'avocate de Bird & Bird.

Sachez enfin que les administrateurs réseaux peuvent garder toute latitude d'accès aux informations des employés. La Cour de cassation peut aller très loin dans le contrôle de la vie privée accordé aux employeurs. Ainsi, dans certains cas, elle a confirmé la sanction de l'employeur envers un employé qui avait refusé de donner le mot de passe de son poste de travail pendant une absence de longue durée.