Dernière mise à jour de cette page :
Page consultée 724 fois

Réseau et vie privée sur le lieu de travail

     Pour celles et ceux qui travaillent en bureau et ont accès à une connexion Internet, via réseau notamment, la tentation est grande (pour ne pas dire majoritairement consommée), de lire ses mails sur son poste, quitte à en garder une copie sur le serveur afin de les rapatrier chez soi le soir. Mais a-t-on seulement le droit de le faire ? Votre patron a-t-il droit de regard sur ces mails qui s'infiltrent dans sa société ? Et si oui, ne serait-ce pas là pas une atteinte à la vie privée ? De plus, quelles sont les limites des droits des administrateurs réseau de votre société ? Peuvent-ils lire vos mails privés en invoquant la sécurité informatique ?

    Beaucoup de questions qui empiètent sur les droits moraux et juridiques. Aussi, plutôt que d'oublier des aspects importants, j'ai préféré reproduire ici 2 articles rédigés par des avocats. Vous verrez, c'est aussi passionnant qu'important.

     L'administrateur de réseaux a en charge la mise en place, la maintenance et la sécurité des systèmes d'information de l'entreprise. Il cherche notamment à éviter les risques d'intrusions ou de virus, à prévenir les fuites de savoir-faire ou de fichiers clients, et à s'assurer d'une utilisation normale par les salariés des systèmes informatiques de l'entreprise. Lorsqu'il ne prend pas les mesures nécessaires à cette mission, il risque de manquer aux obligations définies dans son contrat de travail et d'engager sa responsabilité civile et pénale, tout comme celle de l'entreprise.

Pour assurer cette sécurité, il est tenu de surveiller l'usage que font les salariés de la messagerie et de l'accès à internet mis à disposition par l'entreprise. Or, cette surveillance, autrement appelée "cybersurveillance", peut également dans certains cas engager sa responsabilité. L'administrateur de réseaux est ainsi dans une position difficile, où, pour protéger les droits de l'entreprise, il risque d'outrepasser les siens.

1 - Le principe : l'administrateur de réseaux peut contrôler l'activité des salariés et le contenu des messages

La CNIL a rappelé, dans son rapport du 5 février 2002 concernant la cybersurveillance sur les lieux de travail, que les administrateurs de réseaux "sont conduits par leurs fonctions même à avoir accès à l'ensemble des informations relatives aux utilisateurs (messagerie, connexions au réseau internet, fichiers "logs" ou de journalisation, etc.)…", et qu'un tel accès, tout comme l'utilisation de logiciels de télémaintenance, n'est contraire à aucune disposition de la loi Informatique et Libertés du 6 janvier 1978.

De même, la jurisprudence a-t-elle précisé ( arrêt dit "ESPCI" de la Cour d'Appel de Paris, 17 décembre 2001) qu'"il est dans la fonction des administrateurs de réseaux d'assurer le fonctionnement normal de ceux-ci ainsi que leur sécurité, ce qui entraîne, entre autre, qu'ils aient accès aux messageries et à leur contenu, ne serait-ce que pour les débloquer ou éviter des démarches hostiles".

Dans cette même décision, la Cour a considéré avec bon sens que la lecture et la retranscription de messages par les administrateurs de réseaux ne peuvent être qualifiées d'interception illicite ( sanctionnée par l'article 432-9 du Code pénal) dans la mesure où celles-ci "ne nécessitent ni dérivation ou branchement et sont effectuées sans artifice ni stratagème".

Le principe du contrôle par l'administrateur de réseaux de l'activité des salariés et du contenu des messages semble donc désormais acquis, ce qui clarifie grandement le rôle de celui-ci. L'exercice de ce contrôle reste toutefois soumis à certaines conditions et limites.

2 - Les conditions de ce contrôle : transparence, déclaration à la CNIL et proportionnalité

Le comité d'entreprise, ou à défaut les délégués du personnel, devra avoir été informé et consulté préalablement à la décision de mise en œuvre d'un dispositif de contrôle et de surveillance de l'activité des salariés sur leur lieu de travail ( article L.432-2-1 du Code du travail).

• Les salariés doivent avoir été préalablement informés par l'employeur de l'existence d'un tel dispositif ( article L.121-8 du Code du travail). Cette information peut se faire au moyen d'une mention spécifique dans les contrats de travail, ainsi qu'au moyen d'une charte informatique ou d'un communiqué intégré au règlement intérieur de l'entreprise.

• Une déclaration simplifiée auprès de la CNIL doit avoir été préalablement faite si le dispositif de contrôle constitue un traitement automatisé de données personnelles. C'est notamment le cas d'un dispositif de contrôle individuel produisant, poste par poste, un relevé nominatif des durées de connexion ou des sites visités.

• De manière générale, un tel contrôle doit respecter le principe de proportionnalité des moyens utilisés ( article L.120-2 du Code du travail), les éventuelles restrictions aux libertés individuelles et collectives devant être proportionnelles au but recherché par l'administrateur de réseaux. Il s'agit par exemple d'interdire le contrôle systématique du contenu de tous les messages échangés par les salariés ou par un salarié en particulier. En revanche, rien n'empêche l'administrateur de réseaux de contrôler le nombre, l'origine ou le destinataire ainsi que le volume et le type de fichiers attachés des messages émis et reçu par les salariés.

3- Limite liée au caractère privé des fichiers et messages personnels des salariés

La Cour de cassation, dans un arrêt "NIKON" du 2 octobre 2001, a posé le principe selon lequel "le salarié a droit, même au temps et au lieu de travail, au respect de l'intimité de sa vie privée ; que celle-ci implique en particulier le secret des correspondances ; que l'employeur ne peut dès lors sans violation de cette liberté fondamentale prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail et ceci même au cas ou l'employeur aurait interdit une utilisation non professionnelle de l'ordinateur". Les tribunaux ont ainsi étendu aux messages électroniques personnels le principe énoncé par l'article 226-15 du Code pénal selon lequel il est notamment interdit de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications.

De la même manière, si l'administrateur de réseaux a la possibilité, en raison de la nature de ses fonctions, de prendre connaissance du contenu des messages ou fichiers personnels d'un salarié, il ne peut le communiquer à son employeur, même à la demande de ce dernier : l'administrateur est ainsi soumis à une obligation de confidentialité à l'égard du contenu des messages ou fichiers personnels des salariés, sous peine de rendre illicite (et donc nul) le moyen de preuve ainsi obtenu, et d'engager sa responsabilité pénale et/ou celle de son employeur.

En pratique, cette interdiction de divulgation à l'employeur est extrêmement difficile à respecter pour les administrateurs de réseaux, justement chargés de la surveillance de ceux-ci. Si l'employeur était néanmoins amené à connaître le contenu de fichiers ou de messages à caractère personnel, il ne devrait donc en aucun cas en faire état au salarié.

L'administrateur de réseaux et son employeur ne sont pourtant pas désarmés face à des fichiers ou messages privés mettant en péril la sécurité des réseaux, violant la confidentialité des informations de l'entreprise ou indiquant clairement les manquements du salarié à son contrat de travail.

4 - Le recours à une charte informatique précise

Il n'est parfois pas nécessaire de connaître le contenu des fichiers ou messages personnels d'un salarié, ou tout au moins de s'en prévaloir, pour faire sanctionner une pratique abusive, dangereuse ou illicite. La production d'une simple liste des titres de messages électroniques échangés par un salarié peut par exemple permettre de caractériser l'utilisation abusive à titre personnel de la messagerie de l'entreprise.

Bien plus, lorsque la charte informatique de l'entreprise définit clairement les modalités et limites de l'utilisation des moyens informatiques mis à disposition des salariés, il est possible d'alerter ou de sanctionner pour simple manquement à cette charte. A titre d'exemple, il peut ainsi être prévu dans la charte l'interdiction de se connecter à internet via un modem autonome, de télécharger certains types de fichiers, de s'inscrire à des forums de discussion sans autorisation préalable… Dans tous ces cas, le manquement d'un salarié pourra être constaté sans que l'ouverture des fichiers et des messages personnels ne soit nécessaire.

Si toutefois il apparaît indispensable à l'employeur de prendre connaissance d'un contenu d'un message ou fichier privé d'un salarié, une procédure contradictoire devra alors être mise en place.

5 - La saisie des fichiers et messages privés de manière contradictoire

Afin de pouvoir prendre connaissance, puis faire état devant les tribunaux, du contenu de fichiers ou messages privés considérés comme abusifs, dangereux ou illicites, l'employeur devra préalablement demander par requête au tribunal compétent l'autorisation de faire procéder de manière contradictoire à leur lecture, et éventuellement à leur saisie.

Pour motiver cette requête, l'employeur, avec l'aide de l'administrateur de réseaux, devra rassembler suffisamment d'éléments permettant de justifier de doutes sérieux sur la loyauté ou la légalité des pratiques du salarié.

En quelques années, le rôle et la responsabilité de l'administrateur de réseaux ont été largement précisés. Toutefois, les contours de la marge de manœuvre dont il dispose en cas de situation critique pour l'entreprise nécessiteraient encore d'être clarifiés. En attendant, la définition dans l'entreprise d'une politique transparente et précise concernant les moyens informatiques reste l'atout majeur des administrateurs de réseaux.

La cybersurveillance dans l'entreprise est-elle encore possible?

La question de la cybersurveillance doit être posée publiquement. Sa pratique doit être encadrée strictement.

     Dans un jugement prononcé le 2 novembre 2000 par la 17ème Chambre correctionnelle du Tribunal de grande instance de Paris, les juges affirment le principe selon lequel il convient d'assimiler le courrier électronique à une correspondance privée. Aussi, en tant que tel, l'e-mail est protégé par le secret des correspondances privées prévu et réprimé par les articles 226-13 et 432-9 du Code Pénal.

Pour mémoire, cela signifie que la violation de ce principe constitue un délit, notamment "le fait, par une personne dépositaire de l'autorité publique ou chargée d'une mission de service public, agissant dans l'exercice ou à l'occasion de l'exercice de ses fonctions, ou de sa mission, d'ordonner, de commettre ou de faciliter, hors les cas prévus par la loi, le détournement, la suppression ou l'ouverture de correspondances ou la révélation du contenu de ces correspondances, est puni de trois ans d'emprisonnement et de 300.000 francs d'amende." Aux dernières nouvelles, les prévenus avaient décidé de faire appel du jugement. On attend donc que la Cour d'Appel de Paris se penche sur la question.

Mais, il convient d'aller plus loin que la première analyse. Le fait que e-mail = correspondance privée n'est pas en soi une grande nouvelle : remarquons cependant que l'affirmation doit être nuancée et qu'il nous semble, dans certains cas (par exemple de diffusion) que le caractère public pourrait être appliqué. Pour répondre à notre question, regardons les faits en cause.

En l'espèce, un étudiant en informatique effectuait des recherches pour sa thèse dans un laboratoire de l'Ecole supérieure de physique et de chimie industrielle. Il disposait, pour cela, d'un équipement qui lui avait été remis, muni d'un code d'accès. En septembre 1996, une seconde étudiante se plaint de la disparition de certains de ses fichiers informatiques. Elle fait part de ses soupçons à l'ingénieur système du laboratoire. Trois mois plus tard, cette même étudiante fait l'objet d'une usurpation d'identité au sujet d'un article scientifique qu'elle entendait diffuser. A la suite de ces événements, le directeur du laboratoire décide de surveiller la messagerie électronique de l'étudiant soupçonné. Les soupçons semblent se confirmer et le compte informatique de l'étudiant est clos et son exclusion du laboratoire de l'Ecole supérieure de physique et de chimie industrielle est prononcée. Mais l'étudiant n'accepte pas la décision. Il porte plainte pour "vol de données informatiques", atteinte à la vie privée, violation et détérioration de correspondances privées et discrimination à son encontre.

C'est dans ces conditions que l'on aboutit à la décision du Tribunal rappelée plus haut. Le Tribunal précise que "la messagerie électronique permet de transmettre un message écrit d'une personne à une autre, de manière analogue au courrier", que "le message transmis revêt les caractéristiques suivantes : il est exclusivement destiné à une personne physique ou morale, il s'adresse à une personne individualisée, si son adresse est nominative, ou déterminée, si son adresse est fonctionnelle (...), il est personnalisé". C'est donc, pour les juges, la violation d'une correspondance privée au même titre qu'un courrier papier que l'on aurait ouvert à l'insu de son destinataire ou propriétaire. Les trois responsables du laboratoire sont condamnés à 5.000 et 10.000 francs d'amende. L'étudiant obtient 10.000 francs de dommages et intérêts. Les sommes peuvent paraître peu importantes, mais le principe de condamnation est posé.

Comment, dans ces conditions, et dans quelle mesure, un administrateur de réseau va-t'il désormais pouvoir exercer un contrôle sur son réseau? Le jugement du 2 novembre 2000 ne donne aucune piste.

La Commission Nationale de l'Informatique et des Libertés (CNIL) a, quant à elle, eu l'occasion de se pencher sur la question de la cybersurveillance des salariés dans l'entreprise. Dans un rapport d'étude et de consultation publique de mars 2001, elle rappelle l'exigence d'équilibre entre le droit reconnu à l'entreprise d'assurer sa propre sécurité et celui, tout aussi légitime, des salariés au respect de leur vie privée et de leurs libertés. Elle rappelle ainsi que toute mise en place d'une quelconque surveillance doit être précédée de l'information des salariés et, le cas échéant, de l'avis de leurs représentants. Elle pose également une règle, à savoir le principe dit de proportionnalité. Selon ce principe, toute mesure susceptible d'être attentatoire à un droit fondamental doit être justifié et surtout proportionnel au but recherché. Cette condition est de bon sens et correspond à la doctrine habituelle de la CNIL. Les Tribunaux, quant à eux, ne semblent pas suivre systématiquement cette dernière condition.

Enfin, la CNIL précise les actes de contrôles qu'elle considère comme admissibles dans le cadre de la cybersurveillance des salariés dans leurs usages d'une mesagerie. Les trois actes de contrôle admis sont, d'une part, le contrôle du volume des messages échangés, d'autre part, le contrôle de la taille des messages échangés, et enfin, le contrôle du format des pièces jointes. A aucun moment, la CNIL ne considère comme admissible le fait d'intercepter et de prendre connaissance du contenu des messages. Bien évidemment, sur autorisation et sous contrôle judiciaire, l'ouverture des messages pourrait être admise.

La cybersurveillance est une question qui doit être posée publiquement, car elle est une pratique inévitable des entreprises. Il faut donc l'encadrer strictement. Ce premier jugement rendu par les Tribunaux français devrait rassurer les salariés jaloux de leurs droits fondamentaux. Le rapport d'étude de la CNIL devrait donner aux entreprises quelques pistes sur les normes comportementales admissibles. Le chemin de l'équilibre risque cependant d'être encore long. Dans l'attente d'une réforme législative sur ce point, et dans ce contexte, le recours à une charte d'entreprise discutée et acceptée par les deux parties semble la solution à court terme la plus sécurisée.