La newsletter de la CFE-CGC n 4 Les entreprises et les chartes d utilisation des technologies de l information et de la communication (TIC) : de l audace, encore de l audace? Les réseaux Internet et intranet mettent à la portée des salariés de nombreuses informations utiles dans le cadre de leur profession. Mais gare à eux s ils profitent de ces systèmes pendant leurs heures de travail pour se consacrer à des pratiques totalement étrangères à la prestation professionnelle qu ils sont censés fournir : l entreprise peut en effet surveiller leur activité sur leur ordinateur. Et les récents progrès de la technique amènent à se demander s il y a des limites au contrôle et à la surveillance que les employeurs peuvent exercer sur les salariés. I. Les moyens techniques du contrôle et leurs limites Disque dur, Internet, courriels Désormais, l employeur peut tout surveiller. Et les possibilités de traçage sont d autant plus nombreuses que l information numérisée est pérenne et complètement transparente. 1) L évolution des techniques Les outils techniques de surveillance du réseau sont nombreux. Il est ainsi possible pour l'employeur de mémoriser les pages web consultées, de savoir qui s'est connecté, à quel site, à quelle heure et pendant quelle durée, de même que les tentatives de connexion qui ont échoué. Il est également possible d'obtenir toutes les traces de l'activité qui transite par le salarié et notamment les détails des messages envoyés et reçus : expéditeur, destinataire, objet, nature de la pièce jointe, et éventuellement texte du message. Il faut le savoir, le travail sur ordinateur laisse des traces. Dans de nombreux cas, l application informatique n est qu un système de traçage à l état pur, se surajoutant en quelque sorte à une opération manuelle ou intellectuelle. Le traçage informatique vient en renfort dans le seul but de noter tous les gestes exécutés, les décisions prises, afin de permettre la vérification ou d apporter la preuve que tout a été exécuté selon les règles : le contrôle aérien, les manœuvres sensibles dans les centrales nucléaires, le suivi d une chaîne de production dans un atelier... Ce traçage trouve sa légitimité dans le fait qu il est destiné à conserver la mémoire de l exécution des tâches accomplies. Il participe la plupart du temps d une démarche qualité. Certaines de ces traces sont visibles mais d autres au contraire sont inconnues de l utilisateur non initié.
Le premier type de contrôle auquel il faut songer tient à la surveillance du temps de travail du salarié. En vérifiant les temps de connexion ou les temps passés sur l exécution d'une tâche informatique particulière, l employeur peut mesurer précisément le temps de travail effectif du salarié. La formule n est pas nouvelle et n appelle pas de remarque particulière. Les opérations de «traçage» sur le réseau sont en revanche plus spectaculaires. Il s agit pour l employeur de vérifier la destination de toutes les connexions Internet opérées par le salarié. Il est ainsi possible de déterminer avec précision l ensemble des documents consultés sur Internet. Nul besoin d être un génie de l informatique pour obtenir de telles informations: les différents logiciels de navigation sur Internet comportent une rubrique «historique» par laquelle il est simple de vérifier le parcours du salarié sur le Web. Certains pensent parfois à effacer cette rubrique croyant laisser l employeur sans contrôle. C est en réalité sans compter sur les spécificités des logiciels de navigation. Ainsi, que le salarié utilise «Netscape communicator» ou «Internet explorer», il est possible, moyennant une manipulation très simple, de vérifier le contenu de la mémoire cache et déterminer du même coup les sites visités 1. L employeur semble donc pouvoir tout se permettre : explorer le disque dur de chaque ordinateur, connaître le temps de connexion de ses salariés sur Internet ou lister les sites visités grâce à des logiciels espions. Ces logiciels au nom évocateur (comme LanSpy, SurfControl, Cyberpatrol, Marshal Software, Winwhatwere, etc.) connaissent d ailleurs un grand succès pour leurs fonctions associées de surveillance de l'activité de l'entreprise : certains permettent de décrypter les messages, d autres de visualiser sur un écran et en direct la page consultée au même moment par n importe quel internaute de la société De tels logiciels ont un pouvoir de dissuasion très fort : l administrateur de réseau sait tout, et dans une certaine mesure il est normal qu il sache tout. Tout est question de limite, aussi bien pour l employé censé travailler que pour l employeur qui ne doit pas porter atteint aux libertés. Certaines entreprises préfèrent limiter la tentation en bridant l accès aux sites «non productifs», par l intermédiaire de certains logiciels précités. Pour justifier la mise en place de ces programmes, les administrateurs de réseau mettent en avant l argument sécuritaire, et notamment les attaques de virus. 2) La question des chartes d utilisation L utilisation d Internet et d intranet se multipliant dans les entreprises, il peut alors s'avérer utile de rédiger une charte d utilisation d Internet pour attirer l attention de chacun sur ses responsabilités. Cette charte résumera les droits et obligations des salariés, attirera l attention sur leurs responsabilités. Elle peut aussi être l occasion de rappeler les principales règles applicables en matière de diffamation, respect de la vie privée, droits de propriété intellectuelle. On pourra aussi y inclure des règles relatives à la sécurité, par exemple ne pas utiliser le courrier électronique pour adresser des informations confidentielles, ne pas télécharger de logiciels directement etc. 1 Pour une illustration, voir le site de la CNIL http://www.cnil.fr, qui permet de visualiser les traces laissées par l internaute lors d une connexion.
Des entreprises, de plus en plus nombreuses, adoptent de telles chartes d information précisant les mesures de sécurité à prendre et les usages qu il peut être fait par les salariés des nouveaux outils informatiques mis à leur disposition. Mais l examen de ces chartes, rarement négociées avec les représentants du personnel ou leurs syndicats et peu précises, manifeste un déséquilibre patent entre les prérogatives de l employeur et les droits des salariés, ainsi que le révèle la CNIL dans son rapport d étude sur la cybersurveillance des salariés dans l entreprise. C est ainsi que la plupart des chartes dont la CNIL a eu à connaître prévoient que l ensemble des données de connexions qui peuvent révéler à l administrateur du système, au chef de service ou au directeur de personnel l usage qui est fait de l outil (les sites qui ont été consultés, les messages qui ont été adressés) sont conservées pendant des durées très longues et font l objet d analyses individualisées. De la même façon, les salariés sont le plus souvent contraints par ces chartes à n utiliser le courrier électronique qu à des fins exclusivement professionnelles, certaines sociétés, notamment américaines, précisant même que tout message électronique envoyé par un salarié doit être considéré comme un enregistrement permanent, écrit, pouvant à tout moment être contrôlé et inspecté. - Nature juridique de ces chartes Quelle est la nature juridique de ces chartes : simple présentation de règles de bonne conduite en matière de NTIC ou adjonction au règlement intérieur soumise aux dispositions de l article L. 122-36 du Code du travail? Tout semble dépendre du contenu même du document, selon J.E. Ray 2 qui distingue deux types de chartes : - soit il s agit «de conseils techniques [ ] et de savoir-vivre ne concernant ni l hygiène ni la sécurité ni même la discipline». Dans ce cas, une simple information consultation du comité d entreprise au titre du livre IV suffira. - soit il s agit d une «liste non limitative d interdictions», et dans ce cas son intégration au règlement intérieur est obligatoire, en plus de la consultation du comité d entreprise et du contrôle de l inspection du travail sur la licéité de certaines clauses. La rédaction et le contenu de ces chartes revêtent donc une grande importance, à tel point que la CNIL a présenté quelques recommandations dans son rapport précité sur la cybersurveillance. - Recommandations de la CNIL La CNIL recommande «une installation des préoccupations liées aux usages de l informatique au cœur de la négociation entre les employeurs et les salariés aux différents niveaux interprofessionnels de branches et d entreprises. Le parti pris de la confiance, pour l efficacité, implique la discussion éclairée». La discussion doit se dérouler dans les instances qui existent et déboucher sur le compromis entre les parties. Le document adopté (charte, code de conduite...) devrait prescrire de façon détaillée les applications diverses avec leur finalité pour satisfaire au principe de proportionnalité. De ce point de vue, l entreprise n est pas 2 RAY J.E., «Le droit du travail à l épreuve des NTIC», éditions Liaisons, 2001.
uniforme et il convient d approprier la proportionnalité et la finalité à chaque situation particulière. Toutes n exigent pas le même degré de sécurité et de surveillance. Il devrait également clairement indiquer les règles d usage des ressources mises à la disposition de l utilisateur, et préciser les potentialités techniques des outils et les utilisations effectivement mises en œuvre, notamment en matière d utilisation de traces. Si des traitements destinés à mesurer et qualifier l activité sont mis en œuvre, les utilisateurs doivent être informés qu ils disposent d un droit d accès (ainsi que de ses modalités) aux informations les concernant issues de ces traitements et doivent connaître la marche à suivre pour exercer ce droit. L utilisation d intranet et de la messagerie par les institutions représentatives du personnel est à définir par un accord spécifique. Dans le cas d une intégration au règlement intérieur, le respect des formes s'impose : soumission au CE, à l inspection du travail, au conseil des prud hommes et affichage dans les locaux. L extrême rapidité de l évolution des techniques et l adjonction de fonctionnalités nouvelles doivent conduire à ce que tout accord fasse l objet d une mise à jour périodique. À cette fin, on pourrait par exemple envisager que le bilan social de l entreprise comporte un chapitre dédié au traitement des données personnelles et aux outils de surveillance mis en œuvre dans l entreprise. Enfin, les incidences d une surveillance électronique sur la vie du salarié dans l entreprise, sur l idée qu il se fait de la confiance qu on lui accorde et sur l estime de soi pourraient conduire à conférer une responsabilité particulière, en ce domaine, au comité d hygiène, de sécurité et des conditions de travail (CHSCT) afin que ces questions puissent être évoquées périodiquement. La CNIL déplore cependant que certaines chartes adoptées par des entreprises françaises cumulent, le plus souvent, sans souci de la pédagogie, les prohibitions de toute sorte : «elles avisent de la mise en place d un véritable arsenal d outils de surveillance et de la conservation pendant une longue durée des données de connexion permettant l identification des agissements des salariés. Pour mieux se garantir encore, certaines entreprises soumettent à la signature des salariés de telles prescriptions, comme s il s agissait d engagements librement consentis par eux. De telles méthodes manquent à leur objectif de sécurité juridique et peuvent même s avérer tout à fait contre-productives». Pourtant, comme le précise la commission, «à l heure des nouvelles technologies, la définition d une politique de sécurité informatique dans l entreprise révèle, accessoirement mais indubitablement, le sens d une politique sociale». Les exemples de chartes se multiplient mais face au développement d Internet, seule une intervention législative (plus ambitieuse que la simple modification de l article L. 412-8 du Code du travail ) pourra clarifier la réglementation applicable à ces nouveaux outils.
Charte ou accord? Pour l instant, les entreprises qui se connectent à l un de ces réseaux recourent bien souvent à une Charte informatique, qui peut devenir un grand fourre-tout sans pour autant faire avancer la question de l usage des TIC dans l entreprise. «Accord» ou «charte»? La distinction est importante du point de vue juridique. Car les nombreux textes déjà apparus renforcent l ambiguïté juridique de ces chartes. Le terme «charte» apparaît certes plus doux, mais le texte se révèle parfois être une succession d interdictions en tout genre! Le Code du travail ne connaît ni ne reconnaît les chartes. Leur nature juridique est incertaine : simple présentation de règles de bonne conduite en matière de NTIC ou adjonction au règlement intérieur soumise à l avis du comité d entreprise (article L. 122-36 du Code du travail)? Il est difficile de donner une réponse précise pour l instant, ces chartes étant encore trop récentes. Mais tout semble dépendre du contenu même du document, et il convient alors de distinguer deux types de chartes : - soit il s agit de conseils techniques et de savoir-vivre ne concernant ni la sécurité ni la discipline. Ces conseils n ont alors qu une valeur indicative et non juridique. Une simple information consultation du comité d entreprise suffira. - soit il s agit d une liste non limitative d interdictions, et dans ce cas son intégration au règlement intérieur est obligatoire, en plus de la consultation du comité d entreprise et du contrôle de l inspection du travail sur la licéité de certaines clauses. «Accord» ou «charte»? Quelle que soit in fine la dénomination du texte, le plus important est qu il résulte d une véritable discussion. La négociation d un accord est le moyen le plus efficace pour les parties : cela permettra de définir les principes essentiels de l utilisation de ces moyens de communication par les représentants du personnel. Vous devez de plus pouvoir présenter vos observations au projet que vous soumet l entreprise, voire votre propre projet d accord. Le texte signé à l issue de la négociation devra être un accord donnant-donnant, permettant aux parties d avoir une idée précise des droits et obligations de chacun. Préférez la négociation d un véritable accord collectif à la signature d une «charte».
Les salariés commencent seulement à découvrir la toute-puissance des moyens informatiques. Les moyens de contrôle et de surveillance de leur activité se développent, sans cesse plus performants dans leur capacité à enregistrer, évaluer ou comparer. Et la tentation de les exploiter jusqu au bout est d autant plus grande que les garde-fous sont encore trop peu nombreux. Mais ces possibilités de cybersurveillance ne doivent pas pour autant faire oublier que les salariés bénéficient de droits fondamentaux qui doivent être respectés, au besoin en adaptant le droit positif. Il est interdit de surveiller pour le plaisir. L employeur doit justifier l utilisation d outils de surveillance. C est l une des limites imposées au pouvoir de direction de l entreprise en matière de contrôle et de surveillance des salariés. La loi du 31 décembre 1992 a imposé trois limites au pouvoir de direction de l entreprise en matière de contrôle et de surveillance des salariés : la proportionnalité, la transparence et la discussion collective. Le recours à des outils de surveillance doit être justifié par «la nature de la tâche à accomplir et proportionné au but recherché» comme le précise l article L. 120-2 du Code du travail, complété par l article L. 121-7 : «les méthodes et techniques d évaluation des salariés doivent être pertinentes au regard de la finalité poursuivie». L obligation de transparence résulte de l article L. 121-8 du Code du travail, qui dispose qu «aucune information concernant personnellement un salarié ou un candidat à un emploi ne peut être collectée par un dispositif qui n a pas été porté préalablement à la connaissance du salarié ou du candidat à l emploi». Cette obligation inspirait déjà la loi du 6 janvier 1978 relative à l informatique, aux fichiers et aux libertés qui soumet tout traitement automatisé d informations nominatives à déclaration préalable auprès de la CNIL, interdit que les données soient collectées par un moyen frauduleux, déloyal ou illicite et impose une obligation d information des personnes concernées notamment sur les destinataires des données et le lieu où s exerce le droit d accès et de rectification. La transparence, entendue comme l information préalable et la loyauté, est donc une condition nécessaire. Elle n est pas suffisante. Le principe de discussion collective renvoie, lui, entre autres, à l article L. 432-2- 1 du Code du travail, imposant la consultation du comité d entreprise «préalablement à la décision de mise en œuvre dans l entreprise, sur les moyens ou les techniques permettant un contrôle de l activité des salariés». La discussion collective donne sa substance au principe de proportionnalité, que le rapport inégal entre l employeur et ses salariés ne garantit pas naturellement. De tous temps, les salariés ont lutté pour obtenir la reconnaissance de droits fondamentaux, tels que le droit à une information rapide et de qualité, le droit au respect de la vie privée. Paradoxalement, ces droits sont aujourd hui en partie menacés ou susceptibles d être remis en cause par le développement des réseaux Internet et intranet et plus généralement des technologies d information et de communication.
Quel est le statut d un message électronique envoyé par un salarié à l un de ses collègues d une autre entreprise, à partir de son adresse professionnelle, sachant qu il ne génère aucun coût supplémentaire pour l employeur? Quel est le statut du même message envoyé à un délégué syndical? Certains employeurs, considèrent que les messages électroniques des salariés, comme le matériel utilisé, leur appartiennent et sont donc susceptibles d être interceptés et lus. De telles dispositions sont même écrites dans les chartes d utilisation de réseaux Intranet-internet, censées fixer les règles à respecter en la matière. Se pose alors la question du droit au respect de la vie privée dans l entreprise. «Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas proportionnées au but recherché». Ce principe désormais codifié sous l article L. 120-2 du Code du travail a été appliqué tant par les juridictions administratives que par les juridictions judiciaires, à l occasion notamment des contentieux portant sur la régularité des règlements intérieurs. Les juridictions exercent un contrôle a posteriori des restrictions que l employeur peut légalement apporter aux droits des personnes et aux libertés individuelles, la jurisprudence dessinant ainsi les contours d une part sans doute résiduelle mais irréductible de liberté personnelle et de vie privée sur le lieu du travail. «Le salarié a droit, même au temps et au lieu de travail, au respect de sa vie privée ; celle-ci implique en particulier le secret de ses correspondances ; l employeur ne peut dès lors, sans violation de cette liberté fondamentale, prendre connaissance des messages personnels émis par le salarié ou reçus par lui grâce à un outil informatique mis à sa disposition pour son travail, et ceci même au cas où l employeur aurait interdit une utilisation non professionnelle de l ordinateur.» C est ce qu a affirmé la chambre sociale de la Cour de cassation dans plusieurs arrêts récents. L utilisation de la messagerie électronique professionnelle pour envoyer ou recevoir, dans des proportions raisonnables, un message à caractère personnel correspond à un usage généralement et socialement admis. Il doit être généralement considéré qu un message envoyé ou reçu depuis le poste du travail mis à disposition par l entreprise ou l administration revêt un caractère professionnel, sauf indication manifeste dans l objet du message ou dans le nom du répertoire où il pourrait avoir été archivé par son destinataire qui lui conférerait alors le caractère et la nature d une correspondance privée protégée par le secret des correspondances. Des décisions de justice postérieures à l arrêt de la Cour de cassation du 2 octobre 2001 ont précisé la «marge de manœuvre» de l employeur en matière de contrôle de la messagerie professionnelle de ses employés. Il a ainsi été jugé que constitue une violation du secret des correspondances privées la lecture par l employeur d un message qui, bien que ne comportant pas expressément dans son objet la mention «personnel», est classé automatiquement dans un dossier qualifié de «personnel» et fait référence dans son objet aux vacances, avec une formulation et une orthographe familières.
Avant d accéder à un courriel, l employeur doit donc vérifier que l objet du message ne lui confère pas un caractère manifestement personnel. Une solution identique a été retenue lorsque l employeur, pour établir que le salarié a créé une société concurrente, se fonde sur le seul contenu des messages qu il a découverts en se faisant remettre par un huissier l ordinateur portable du salarié et en examinant l ensemble du disque dur sans satisfaire à la demande préalable de restitution de ses fichiers personnels émise par ce dernier. Des exigences de sécurité, de prévention ou de contrôle de l encombrement du réseau peuvent conduire les entreprises ou les administrations à mettre en place des outils de mesure de la fréquence ou de la taille des fichiers transmis en pièce jointe au message électronique ou encore des outils d archivage des messages échangés. Dans cette dernière hypothèse, le message électronique bien qu étant effacé du poste de l émetteur et du poste du récepteur sera néanmoins conservé. L emploi de tels outils de contrôle ou de sauvegarde doit être porté à la connaissance des salariés ainsi que la durée de conservation du message «sauvegardé». La solution apportée par l arrêt «Nikon» du 2 octobre 2001 permet de définir enfin clairement les contours des pouvoirs de contrôle de l employeur dans les domaines de techniques avancées. Il vient fixer les limites entre la protection de la vie privée du salarié et la nécessaire sécurité de l entreprise employeur en mettant fin aux incertitudes qui avaient pu naître de l étude des précédentes décisions. Il ne s agissait ni d outils de contrôle, ni d interception de messages électroniques pas plus que de cybersurveillance. Non, l informatique n y était que le support d un comportement hautement banal de l employeur, il ne s agit ni plus ni moins que d un employeur qui pénètre dans le bureau (l ordinateur) d un salarié, y ouvre un placard (le disque dur) prend possession d un dossier revêtu d une étiquette «personnel» (fichier intitulé «personnel») et photocopie les correspondances s y trouvant (copie sur disquette les messages émis et reçus). Un comportement de cette nature, intolérable et régulièrement sanctionné s agissant de correspondances papier allait-il trouver grâce aux yeux de la juridiction suprême s agissant de moyens informatiques, de circonstances immatérielles? Pour la cour suprême, une correspondance privée l est quel qu en soit son support, et le reste nonobstant qu elle ait été transmise sur des moyens matériels que l employeur avait déclaré réservés à une utilisation professionnelle. Il ne suffit donc pas que les moyens de contrôle respectent les dispositions de l article L. 121-8 pour constituer des moyens de preuve recevables. Il faut également que les conditions dans lesquelles s opère le contrôle soient légales ; ce qui n était pas le cas en l espèce, puisque la cour y a relevé une violation délibérée du secret des correspondances. Le régime qui semble ainsi se dessiner est le suivant, soit le dispositif de contrôle a pour objet de surveiller les salariés, sous condition de la proportionnalité des moyens ainsi que de l information préalable des salariés (application stricte des prescriptions des articles L. 121-8 et L. 120-2 combinés du Code du travail), il permet alors d apporter toute preuve utile sur les manquements reprochés à des salariés quand bien même ce moyen de preuve serait illégal en d autres circonstances, soit le
dispositif de contrôle n a pas pour objet la surveillance des salariés, il peut donc être mis en œuvre sans information préalable mais les preuves qui seront issues de son exploitation verront leur légalité appréciée au cas par cas (article 9 du NCPC visé par la Cour «Il incombe à chaque partie de prouver conformément à la loi les faits nécessaires au succès de sa prétention»). À la lumière de cette décision, il n apparaît donc pas inutile de revoir les contenus des chartes informatiques des entreprises non seulement, comme le préconisait le rapport de la CNIL, afin de ménager aux salariés un espace de vie privée aux salariés sur les réseaux mais également et surtout de prendre soin de motiver clairement les interdictions et restrictions qu elles édictent afin de légitimer par avance les moyens de preuves issus de technologies de l information. Notons enfin que la Cour de cassation a rendu récemment un arrêt venant confirmer de manière explicite la jurisprudence «Nikon». Dans sa décision du 12 octobre 2004, la chambre sociale de la Cour de cassation précise en effet «que le salarié a droit, même au temps et au lieu de travail, au respect de l'intimité de sa vie privée ; que celle-ci implique en particulier le secret des correspondances ; que l'employeur ne peut dès lors sans violation de cette liberté fondamentale prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail et ceci même au cas où l'employeur aurait interdit une utilisation non professionnelle de l'ordinateur.» (Cass. Soc., 12 octobre 2004, n 02-40.392) CONCLUSION La sécurité et l usage des moyens mis à la disposition des salariés par l entreprise revêtent une dimension nouvelle que la société de l information amplifie. Les risques pour la sécurité sont accrus par l avènement de l information comme matière première principale de l entreprise et du travail. L information s enrichit de l échange d interlocuteurs qui la captent et l enregistrent avant de la remettre en circulation sur le réseau Internet ou intranet. De son côté, au travail, le salarié dispose de droits et de libertés qui peuvent être encadrés ou restreints, mais ne peuvent être supprimés. Toute restriction ou encadrement doit être proportionné et ne saurait être excessif au regard des nécessités de l activité professionnelle. Les deux positions semblent difficilement conciliables. Pourtant, à l heure d Internet, la sécurité informatique dans l entreprise est un objectif qui doit être partagé et qui ne peut être atteint que dans un climat de loyauté et de confiance réciproque. Mais si la négociation au sein de l entreprise ne permet pas d atteindre un équilibre suffisant, il incombera alors au législateur de faire évoluer le droit positif, afin de trouver le point d équilibre entre le droit de l employeur à connaître ce qui est nécessaire à l exercice de sa fonction dirigeante et le droit du salarié à protéger sa vie privée, dont l essentiel n a pas à être exposé dans la relation de travail. Nicolas Mijoule (Janvier 2005) mijoule@cfecgc.fr