Rapport cnil février 2002
télécharger 45.02 Kb.
|
> Le Point sur… / L’utilisation d’Internet et de la Messagerie électronique dans l’entreprise
L’utilisation d’Internet et de la messagerie électronique dans l’entrepriseSOMMAIRE : - Règles applicables - page 1 - Charte informatique – Clause dans le contrat de travail - page 2 - Mise en place de moyens de contrôle dans l’entreprise - page 4 L’utilisation sans lien avec l’activité professionnelle d’Internet et de la messagerie par les salariés au temps et au lieu de travail n’est pas sans poser de problèmes dans l’entreprise (détournement par le salarié de l’usage d’un moyen professionnel à des fins personnelles, occupation d’une partie de son temps de travail à des fins personnelles, risque de virus pour l’employeur…). Quelles sont les règles applicables en la matière ? Comment prévenir une utilisation abusive de ces moyens de communication par les salariés ? Est-il possible de mettre en place des moyens de contrôle, et comment ?
En l’absence de législation spécifique, il existe de fait une présomption d’utilisation professionnelle d’Internet et de la messagerie au travail (rép. Trégouët, JO 24 juillet 2003, Déb. Sén. ques. p. 2370). Internet et la messagerie restent donc avant tout des outils mis à la disposition des salariés par l’employeur en vue d’une utilisation professionnelle.
La CNIL, le Forum des droits sur Internet et le ministère du travail considèrent qu’une possibilité d’utilisation personnelle d’Internet et de la messagerie doit être reconnue au salarié, à la condition qu’elle demeure dans les limites du raisonnable. En effet, une interdiction de principe faite aux salariés d’utiliser Internet et la messagerie à des fins non professionnelles paraît à la fois irréaliste et disproportionnée (Rapport CNIL – Février 2002).
Il est recommandé aux employeurs de tolérer un usage raisonnable, à titre extraprofessionnel, d’Internet, c’est à dire non susceptible d’amoindrir les conditions d’accès professionnel au réseau et ne mettant pas en cause la productivité. La CNIL constate que la plupart des entreprises admettent cet usage « raisonnable » (Rapport CNIL – Février 2002).
Les employeurs sont également incités à tolérer un usage raisonnable à titre privé de la messagerie électronique. En outre, le salarié a droit, même au temps et au lieu de travail, au respect de l’intimité de sa vie privée. Celle-ci implique en particulier le secret des correspondances. Dès lors, l’employeur ne peut, sans violation de cette liberté fondamentale, prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail et ceci même au cas où l’employeur aurait interdit une utilisation non professionnelle de l’ordinateur (Cass. Soc. 2 oct. 2001, Bull. Civ. V n° 291). Un message est personnel quand le salarié l’a classé dans un dossier ou un fichier intitulé « personnel » ou, le cas échéant, lorsqu’il est expressément intitulé comme tel dans son objet (vérifier que l’objet du message ne lui confère pas un caractère manifestement personnel, ex : formulation ou orthographe familière, thème personnel…) En revanche, l’employeur peut se prévaloir du contenu d’un mail qui a été porté à sa connaissance par son destinataire (Cass. Soc., 2 juin 2004, Bull. Civ. V n°152). En fin, l’employeur ne peut, sauf risque ou événement particulier, ouvrir les fichiers identifiés par le salarié comme « personnels » contenus sur le disque dur de l’ordinateur mis à sa disposition qu’en présence de ce dernier ou celui-ci dûment appelé (Cass. Soc., 17 mai 2005, n°03-40017). CHARTE INFORMATIQUE – CLAUSE DANS LE CONTRAT DE TRAVAIL
Tant pour des raisons de sécurité informatique qu’afin d’en prévenir un usage abusif, l’employeur peut adopter une charte informatique précisant les mesures de sécurité à prendre et les usages que les salariés peuvent faire des outils informatiques mis à leur disposition. La CNIL soutient l’initiative de chartes lorsqu’elles se fixent pour objectifs d’assurer une parfaite information des utilisateurs, de sensibiliser les salariés aux exigences de sécurité et d’appeler leur attention sur certains comportements de nature à porter atteinte à l’intérêt collectif de la profession.
Si l’employeur entend édicter de véritables règles de conduite obligatoires dont le non-respect est passible de sanctions disciplinaires, il convient d’opter pour le règlement intérieur (ou une annexe à celui-ci). Dans ce cas, le régime juridique du règlement intérieur est applicable :
L’employeur peut aussi opter pour un document « autonome ». Si cette charte contient des dispositions qui s’apparentent à des « prescriptions générales et permanentes relatives à la discipline », elle doit être analysée comme une modification du règlement intérieur. Pour l’adopter, l’employeur doit suivre la procédure applicable à une telle modification et ce, peu important que ladite charte ne soit pas assortie de sanctions particulières (Art. L122-39 du code du travail ; TGI Nanterre, ord. du 6 octobre 2004, n°04/02865).
L’employeur peut aussi opter pour un accord collectif , le droit de la négociation s’applique alors. Toutefois, l’accord collectif n’est pas le support adapté si l’employeur entend édicter de véritables règles de conduite obligatoires dont le non-respect est passible de sanctions disciplinaires. En conclusion, pour que cette charte ait force obligatoire, il convient de respecter les modalités d’adoption ou de modification du règlement intérieur. 2. Modalités de mise en place
L’employeur doit informer les salariés préalablement à l’adoption de la charte. En pratique, l’employeur peut présenter la charte lors d’une réunion de tous les salariés et leur faire signer individuellement un document selon lequel chacun reconnaît avoir été informé.
Les représentants du personnel doivent être consultés préalablement à l’adoption de la charte.
Toute restriction aux droits des personnes et aux libertés individuelles doit être justifiée par la nature de la tâche à accomplir et proportionnée au but recherché (Art. L 120-2 du Code du travail). La CNIL déconseille une interdiction générale et absolue à titre privé d’Internet et de la messagerie professionnelle par les salariés. Par ailleurs, elle recommande une mise à jour régulière de la charte compte tenu de l’extrême rapidité de l’évolution des techniques (Rapport CNIL du 28 février 2002). Exemple de Charte informatique (propositions de rédaction de la CNIL) : Article 1 : Conditions d’accès : - Internet : Seuls ont vocation à être consultés les sites Internet présentant un lien direct et nécessaire avec l’activité professionnelle, sous réserve que la durée de connexion n’excède pas un délai raisonnable et présente une utilité au regard des fonctions exercées ou des missions à mener. Une consultation ponctuelle et dans les limites raisonnables, pour un motif personnel, des sites Internet dont le contenu n’est pas contraire à l’ordre public et aux bonnes mœurs et ne mettant pas en cause l’intérêt et la réputation de l’organisation est tolérée. - Messagerie : Un usage raisonnable dans le cadre des nécessités de la vie courante et familiale est toléré, à condition que l’utilisation du courrier électronique n’affecte pas le trafic normal des messages professionnels. Article 2 : Sécurité des informations : Les salariés ayant accès à Internet doivent, dans la mesure du possible, veiller à ne pas diffuser d’informations sensibles ou confidentielles sur les activités de l’entreprise (le texte peut prévoir les précautions à prendre et les indications à fournir aux salariés sur les documents à éviter de diffuser). Article 3 : Responsabilité du salarié : L’utilisation d’Internet doit être réalisée dans le respect des règles de sécurité et des dispositions légales relatives notamment au droit de propriété, à la diffamation, aux fausses nouvelles, aux injures et provocations… Article 4 : Sanctions disciplinaires : Les agissements contraires aux règles de fonctionnement établies dans l’entreprise et les abus pourront entraîner des sanctions disciplinaires.
Le contrat de travail peut comporter des clauses relatives à l’accès à Internet dans l’entreprise. Dans ce cadre, les clauses peuvent prévoir les modalités pratiques d’utilisation du courrier électronique, les précautions à prendre, et les indications à fournir aux salariés sur les documents à éviter de diffuser. Exemple de clause sur Internet et la messagerie dans le contrat de travail : Conditions d’accès : L’utilisation d’Internet et celle de la messagerie électronique de l’entreprise sont, en principe réservées à un usage professionnel. Sécurité des informations : Les salariés ayant accès à Internet doivent, dans la mesure du possible, veiller à ne pas diffuser d’informations sensibles ou confidentielles sur les activités de l’entreprise. Responsabilité du salarié : L’utilisation d’Internet doit être réalisée dans le respect des règles de sécurité et des dispositions légales relatives notamment au droit de propriété, à la diffamation, aux fausses nouvelles, aux injures et provocations… Sanctions disciplinaires : Les agissements contraires aux règles de fonctionnement établies dans l’entreprise et les abus pourront entraîner des sanctions disciplinaires. MISE EN PLACE DE MOYENS DE CONTROLE DANS L’ENTREPRISE
L’entreprise peut mettre en place des dispositifs de contrôle individuel destiné à produire, poste par poste, un relevé des durées de connexion, des sites visités ou du fonctionnement de la messagerie. De même, l’entreprise peut mettre un place un contrôle collectif destiné à mesurer la fréquence ou la taille des fichiers transmis en pièce jointe au message électronique, à archiver les messages échangés, ou à instaurer un filtrage de sites non autorisés. Il peut également y avoir un contrôle a posteriori des connexions à Internet, de façon collective (de l’entreprise ou d’un service), ou de façon individuelle.
Les entreprises qui mettent en place des dispositifs de contrôle informatique doivent le faire dans le cadre des règles suivantes :
Si l’employeur met en place des traitements automatisés de données à caractère personnel, ceux-ci doivent faire l’objet d’une déclaration auprès de la CNIL (Loi 78-17 du 6 janvier 1978 modifiée, art.22,I) (notamment pour les contrôles individuels), et ceci, préalablement à leur mise en œuvre.
La déclaration comporte l’engagement que le traitement satisfait aux exigences de la loi. Elle comporte un certains nombre de mentions précisément définies (Loi 78-17 du 6 janvier 1978 modifiée, art.22, III). Il peut s’agir d’une déclaration ordinaire ou simplifiée, pour les catégories les plus courantes des traitements de données à caractère personnel dont la mise en œuvre n’est pas susceptible de porter atteinte à la vie privée ou aux libertés. Elle est établie sur un imprimé spécial à se procurer notamment auprès de la CNIL (www.cnil.fr). La CNIL livre sans délai un récépissé, le demandeur peut mettre en œuvre le traitement dès réception de ce récépissé. Il n’est pas pour autant exonéré de ses responsabilités. La déclaration doit préciser la durée pendant laquelle les informations seront conservées. En ce qui concerne l’usage d’Internet, la CNIL recommande une durée de conservation de l’ordre de six mois des traitements (Guide pratique pour les employeurs – CNIL, Editions d’octobre 2005).
Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende (Art. 226-16 et 2006-16-1 du Code pénal).
La non réalisation des modalités de mise en place ou la non déclaration à la CNIL d’un traitement automatisé du personnel rend inopposable au salarié les preuves obtenues par le dispositif de contrôle informatique. L’employeur ne pourra alors pas sanctionner le salarié pour les abus relevés par les contrôles informatiques. En effet, lorsque la preuve est issue d’un traitement automatisé de données personnelles mis en place dans l’entreprise, « la licéité de la preuve est alors subordonnée à celle du traitement » (Rapport CNIL février 2002). Cela signifie que l’employeur ne peut pas se servir d’un traitement automatisé de données personnelles qui n’a pas été déclaré à la CNIL ou dont les modalités de mise en place n’ont pas été respectées pour apporter la preuve d’un comportement fautif. |
