Quel contrôle des clés USB personnelles du salarié par l’employeur ?
La chambre sociale de la Cour de cassation vient d’ajouter une nouvelle pierre à sa jurisprudence toujours en construction concernant les contrôles que peut effectuer l’employeur dans la cadre de la sécurisation de son système d’information (SI).
Ce nouvel arrêt concerne une clé USB privée d’un salarié, mais le principe peut parfaitement être étendu à des périphériques de mémorisation autres (disques durs externes). Une décision qui laisse mieux entrevoir ce que pourrait être la jurisprudence à venir en matière de contrôle de tablettes et autres smartphones privés (BYOD)… et pourrait apporter un soutien imprévu aux RSSI dans leur souhait de canaliser cette nouvelle pratique.
Le 12 février 2013, la chambre sociale de la Cour de cassation a poursuivi l’édification de sa jurisprudence concernant les contrôles que peut effectuer l’employeur dans la
cadre de la sécurisation de son système d’information (SI).
La question posée
était simple : l’employeur peut-il avoir accès à une clé USB privée du
salarié, sans que celui-ci en soit au courant ou ne puisse s’y opposer ?
La réponse apportée par la Cour de cassation semble toutefois liée aux
circonstances de l’espèce, et notamment au fait que la clé était connectée à
l’ordinateur mis à disposition du salarié à titre professionnel.
Rappelons pour faciliter la lecture de cette chronique que, la distinction longtemps attendue entre les termes « privés » et « personnels » a finalement faite par la Cour d’appel d’Amiens dans sa décision du 15 décembre 2010 concernant le contrôle d’un disque dur et montrant que c’est le terme « privé » qui devrait être utilisé en l’occurrence dans ce type d’affaire pour désigner les contenus extra-professionnels du salarié. Mais la Cour de cassation continuant à préférer le terme de « personnels » pour les désigner, les deux termes seront utilisés alternativement ci-après.
I. Le contentieux autour du contrôle du contenu de la
clé USB d’un salarié
A. Une histoire de clé
Plus précisément, dans cette affaire, une assistante administrative a été licenciée pour faute grave, son employeur arguant :
- d‘un « refus de communication » avec
celui-ci ;
- d’un « comportement insolent » lors de
l’entretien préalable de licenciement ;
- et « de l'enregistrement sur sa clé USB
personnelle d'informations confidentielles concernant l'entreprise et de
documents personnels de collègues et du dirigeant ».
Contestant son
licenciement, la salariée a saisi le Conseil des prud’hommes de Bernay, qui a
requalifié le licenciement, considérant qu’il n’y avait pas de faute grave,
mais tout de même une cause réelle et sérieuse de licenciement. La salariée a
alors saisi la Cour d’appel de Rouen. Analysant chacun des griefs, et notamment
les deux premiers, cette dernière considère que l’employeur ne prouvait en rien
le « refus de communication » et que le comportement insolent devait
être remis dans son contexte (un seul témoin, contexte conflictuel, etc.).
Surtout, à propos du
dernier grief concernant l’enregistrement d’informations confidentielles sur le
périphérique de stockage de la salariée, la Cour d’appel constate que celle-ci
« n'était pas présente lorsque sa
clef USB personnelle a été consultée par son employeur et elle n'a donc pas par
là même été informée de son droit d'en refuser le contrôle ou d'exiger la
présence d'un témoin ». Considérant qu’il suffisait à l’employeur
« de retirer la clef pour que
l'ordinateur puisse fonctionner et d'attendre l'arrivée » de la
salariée pour effectuer le contrôle, elle estime que l’employeur n’aurait
jamais dû opérer son contrôle de cette façon. En conséquence, le moyen de preuve qui en est issu est illicite et il
ne peut être utilisé pour fonder sa sanction. Pour les magistrats, la cause est
entendue : il n’y avait aucune cause réelle et sérieuse à ce licenciement.
B. La clé de l’histoire
L’employeur décidant de se
pourvoir en cassation, la chambre sociale de la Cour de cassation vient de
rendre le 12 février dernier une tout autre lecture de l’affaire.
Les magistrats devaient répondre à la simple question des conditions de l’accès
à la clé USB de la salariée : devait-on considérer, comme la Cour d’appel,
que la clé USB privée de la salariée devait être protégée comme telle et ne
pouvait donc être contrôlée qu’en la présence de la salariée ou celle-ci dûment
représentée (voir même que la salariée pouvait refuser un tel
contrôle) ? Ou au contraire, comme l’employeur, qu’en raison de la
connexion d’une clé non identifiée comme privée au SI de l’entreprise via un
ordinateur de la société, celle-ci présentait un caractère professionnel ?
Rappelons en effet que la
jurisprudence autorise un contrôle de l’employeur sans restrictions
particulières sur les fichiers professionnels se trouvant sur son SI. En
effet, « les dossiers et fichiers
créés par un salarié grâce à l'outil informatique mis à sa disposition par son
employeur pour l'exécution de son travail sont présumés, sauf si le salarié les
identifie comme étant personnels, avoir un caractère professionnel »,
ce qui permet ce contrôle hors de la présence du salarié (arrêt de la chambre
sociale de la Cour de cassation du 18 octobre 2006).
Dans cette affaire, la
Cour de cassation casse l’arrêt d’appel en énonçant qu’une « clé USB, dès lors
qu’elle est connectée à un outil informatique mis à la disposition du salarié
par l’employeur pour l’exécution du contrat de travail, étant présumée utilisée
à des fins professionnelles, l’employeur peut avoir accès aux fichiers non
identifiés comme personnels qu’elle contient, hors la présence du salarié ».
Le principe posé semble simple et la Cour estime
nécessaire d’en assurer une large publicité en publiant la décision dans son
bulletin, indiquant clairement qu’elle vient de poser une nouvelle pierre
importante de sa jurisprudence en matière de contrôle par l’employeur. Mais
qu’en est-il vraiment en pratique ? Quelles sont les implications de
cette décision ?
II. Les modalités de contrôle par l’employeur des périphériques de stockage privés des salariés
A. Connecté au SI de l’employeur, un périphérique de stockage est présumé professionnel
L’argumentation de l’employeur présenté devant la Cour de cassation était construite de la façon suivante :* il faut
distinguer d’une part le support qu’est le périphérique de stockage et d’autre
part son contenu, soit les fichiers et dossiers qu’il contient ;
* concernant le
périphérique de stockage (la clé USB), celui-ci était connecté à l’ordinateur
professionnel donc au SI de l’employeur ;
* Le fait qu’il
appartienne au salarié ne change rien : de par sa seule connexion au SI
professionnel, il doit être considéré comme étant un support
professionnel ;
*
Et en tout état
de cause, rien n’identifiait la clé USB comme appartenant au salarié.
Bien entendu, comme les
fichiers trouvés sur cette clé USB s’avéraient être professionnels (et
confidentiels), la suite était acquise si la Cour de cassation avalisait : le
support était présumé professionnel, les fichiers étaient présumés
professionnels, le contrôle était licite et prouvait les manquements de la
salariée à ses obligations contractuelles (loyauté ou encore confidentialité)
voire à la charte (en l’occurrence les arrêts ne disent pas s’il y en avait
une).
Or, dans cette décision,
il est tout aussi intéressant d’étudier ce qu’a retenu et fait sienne la Cour
de cassation dans l’argumentation soulevée que ce qu’elle a, a priori, sciemment choisi de ne pas
reprendre.
Ainsi, le critère que l’on pourrait appeler de la
« contamination » par le SI professionnel forme l’essentiel du
principe posé par la Cour de cassation : si le périphérique de stockage privé
est connecté au SI professionnel, alors il est supposé professionnel. La
gestion de la sécurité par les équipes SSI est donc facilitée, les règles de
contrôle et d’intervention étant identique pour tous les supports connectés au
SI de l’employeur, qu’ils soient privés comme professionnels, y compris pour
les fichiers qui y sont stockés (qui peuvent être spécifiquement labellisés
privés ou sont présumés professionnels dans le cas contraire).
Et le principal apport de l’arrêt réside certainement
dans cette seule infirmation, qui met de côté un autre critère qui aurait pu
être posé : le périphérique de stockage était-il identifié comme privé ?
Ce critère éventuel est donc clairement délaissé par la Cour de cassation, qui
pose donc un principe objectif, écartant les incertitudes potentielles face à
ce qui aurait permis l’identification faciale d’une clé USB privée par rapport
à une clé USB professionnelle.
Sur ce point, la Cour de
cassation s’est peut-être inspirée dans son raisonnement des règles basiques de
sécurité des systèmes d’information : a
priori, la connexion de périphériques extérieurs à l’entreprise tels que
des clés USB est au minimum encadré, au maximum interdit.
Et ne nous y trompons
pas : si la Cour ne mentionne que les « clés USB » dans le
principe posé dans l’arrêt, le raisonnement est susceptible a priori de
s’appliquer à tout périphérique de stockage mémoire, indépendamment du fait de
savoir s’il a l’apparence d’une clé USB ou non (ex : disques durs
externes, etc.).
Les magistrats ont-ils été
trop loin en permettant un tel contrôle ? Rappelons toute de même un point
d’importance : si le salarié ne pense pas à identifier ses fichiers
spécifiquement sur sa clé privée devenue présumée professionnelle à l’occasion
d’une connexion à l’ordinateur professionnel, cela ne signifie pas que
l’employeur qui y aurait accès pourrait en faire l’utilisation la plus large. Ainsi,
de jurisprudence classique, si ces fichiers se révélaient privés et sans lien
avec l’objet du contrôle, l’employeur devrait assurer la confidentialité à ces
contenus et ne pas les utiliser en justice.
B. Interconnecté au SI de l’employeur, un terminal privé sera-t-il présumé professionnel ?
Si l’on élargit le spectre de lecture de cet arrêt, la question qui se pose est celle des implications pratiques, outre la question du seul accès aux périphériques de stockage bien sûr.
Et l’on se prend à imaginer que le
principe pourrait, trouver une application pour le contrôle que pourrait
exercer l’employeur sur les terminaux privés de type smartphones et tablettes
qui permettent aux salariés de travailler au sein du SI de l’entreprise
(considérés comme plus performants, plus pratiques, plus puissants…), à l’heure
ou de telles pratiques (BYOD ou Bring
your Own Device) connaissent forte croissance.
Alors
que la seule jurisprudence relativement proche de ces domaines concerne un
arrêt du 23 mai 2012 sur un dictaphone oublié dans un bureau, et n’a admis que
des possibilités de contrôle très restreintes de l’employeur sur son contenu
(voir ici l'apport de cet arrêt), le principe pourrait être
radicalement différent avec un smartphone ou une tablette qui, eux, seraient
connectés et/ou donnerait accès au SI de l’employeur. En vertu de ce nouveau critère de « contamination
professionnelle », il est permis de penser qu’indépendamment de la
protection des informations qui y sont stockées et à l’occasion de cette
interconnexion, les outils de BYOD pourraient être considérés par la Cour de
cassation comme des outils présumés professionnels et donc donner lieu à des
contrôles sous des conditions beaucoup moins strictes que l’on pourrait imaginer
en premier lieu.
Alors
qu’aux Assises de la sécurité d’octobre 2012, le directeur général de l’ANSSI
pointait les règles essentielles de sécurité et poussait à s’opposer à la vague
irrépressible du BYOD en des termes éloquents (« Je vais vous dire ma
vision des choses : il faut entrer en résistance contre la liberté totale dans
l’usage des technologies de l’information. Dans une entreprise : non on ne
travaille pas avec son terminal privé, non on ne connecte pas un terminal
contrôlé par un tiers, non on n’installe pas le dernier joujou à la mode
(…) »), la présente décision
pourrait lui apporter un soutien imprévu, en minorant l’engouement des
utilisateurs. Il n’est pas sûr en effet que la demande de chaque utilisateur
reste la même si l’outil privé pouvait être soumis aux mêmes contrôles – et
donc aux mêmes règles – que leur outil
professionnel.
Car la sécurité du SI de l’employeur nécessite absolument une
gestion saine, et donc la possibilité aussi d’effectuer des contrôles,
notamment en cas d’incident de sécurité, dans le respect des droits de
chacun : les contraintes réglementaires qui s’y appliquent sont en effet
toujours croissantes (obligation de sécurité, notification des violations de
sécurité, etc.) et s’ajoutent aux engagements et contraintes propres à
l’entreprise (secrets des affaires, obligations contractuelles de
confidentialité).
Conclusion : visions et prévisions de la charte d’usage des moyens informatiques
Rappelons que l’employeur n’a pour autant pas tous
les droits : s’il peut contrôler l’activité du salarié en vertu de son
pouvoir de direction, ce pouvoir s’inscrit dans les limites fixées par le Code
du travail et loi « Informatique fichiers et libertés » du 6 janvier
1978 (information préalable de la possibilité d’un contrôle, proportionnalité,
etc.). C’est en pratique le rôle de la charte annexée au règlement intérieur
d’encadrer les usages de son SI (internet, messagerie, serveurs réseaux,
réseaux sociaux, etc.), mais également les procédures de contrôles entre
autres, dans le respect des droits de chacun. Or l’employeur est tenu de se
plier aux moindres règles qu’il a pu édicter dans ce document, opposables aux
salariés comme à lui (idem pour l’ensemble du règlement intérieur d’ailleurs).
Ainsi, dans la présente affaire, si l’employeur
avait prévu dans sa charte qu’il ne pourrait accéder au périphérique de
stockage du salarié qu’avec son consentement par exemple, ou seulement en la
présence du salarié, c’est cette règle qui aurait dû s’appliquer et non celle
dégagée par la Cour de cassation, en raison du principe de faveur. C’est le
principe qui a été rappelé par la chambre sociale en matière de charte dans un arrêt du 26 juin 2012.
Attention donc à la rédaction de ce document, absolument essentielle pour que la charte puisse se concevoir comme une aide à la sécurité des SI et non un frein de nature à empêcher les contrôles utiles et licites ! Pour cela, le suivi de l’actualité, le déchiffrement des décisions majeures, l’anticipation des évolutions à venir et surtout la prise en compte de l’entreprise, de son fonctionnement et de ses règles existantes (Politique de SSI et directives, politique de confidentialité, etc.) restent des éléments fondamentaux que la direction juridique interne ou l’avocat doivent apporter lors de la rédaction.
A défaut, le risque est réel de n’apporter qu’une protection illusoire au chef d’entreprise ou au DSI, lorsqu’il voudra réagir à l’occasion d’un incident de sécurité, pensera s’appuyer sur une jurisprudence existante … et constatera in fine que les moyens de preuves récoltés sont considérés comme illicites et donc non utilisables devant les juridictions civiles.