Newsletter juridique n 18 31 janvier 2011 Charte Informatique Courrier électronique Licenciement Cnil Publicité digitale Usurpation d identité COLLIN AVOCATS
1 PENSER A LA MISE A JOUR DES CHARTES INFORMATIQUES (SOC. 15/12/2010) Un salarié de la société Coca-Cola a été licencié pour faute grave en raison de la découverte, lors d'une opération de maintenance sur son ordinateur portable à usage professionnel, de quatre cent quatre vingt fichiers à caractère érotique ou pornographique. Le salarié conteste son licenciement et saisit la juridiction prud homale d une demande de paiement de dommages-intérêts pour rupture abusive de son contrat de travail. Le salarié critiquait notamment la décision de l employeur en se fondant sur le fait qu'il n était pas établi que ce stockage aurait perturbé d'une quelconque manière le fonctionnement du système informatique de la société ou de son réseau intranet, ni qu'en agissant de la sorte, le salarié aurait entaché la réputation ou l'honneur de son employeur auprès des tiers. Le litige est porté jusque devant la Cour de cassation, laquelle dans son arrêt du 15 décembre 2010 1, déboute le salarié aux motifs que : - «que l'utilisation de sa messagerie pour la réception et l'envoi de documents à caractère pornographique et la conservation sur son disque dur d'un nombre conséquent de tels fichiers constituaient un manquement délibéré et répété du salarié à l'interdiction posée par la charte informatique mise en place dans l'entreprise et intégrée au règlement intérieur». La Cour de cassation confirme donc la position de la Cour d appel qui avait considérait en conséquence que ces agissements, susceptibles pour certains de revêtir une qualification pénale, étaient constitutifs d'une faute grave et justifiaient le licenciement immédiat de l'intéressé. C est donc dans le manquement délibéré et répété du salarié à l'interdiction posée par la charte informatique que se trouve le fondement de la faute grave justifiant le licenciement. L utilité de la charte informatique de l'entreprise est donc une fois encore mise en exergue. En effet, c est un outil utile puisqu'opposable au salarié dès lors qu elle a été annexé au règlement intérieur. Mais encore faut-il que la charte ait été rédigée avec soin et qu elle soit régulièrement mise à jour des nouvelles pratiques et techniques (télétravail, réseaux sociaux, blogs, etc.). 1 Pourvoi N 09-42691
2 COURRIER ELECTRONIQUE ET LICENCIEMENT POUR FAUTE GRAVE (SOC. 15/12/2010) Depuis l arrêt Nikon, la Cour de cassation ne cesse de le dire et de le redire, les documents 1, fichiers et dossiers 2, connexions internet 3 et courriers électroniques 4 créés par le salarié à l'aide de l'outil informatique mis à sa disposition par l'employeur pour les besoins de son travail sont présumés avoir un caractère professionnel, sauf si le salarié les identifie comme étant personnels. En conséquence, l employeur peut avoir accès à ces documents, fichiers, dossiers, connexions internet et courriers électroniques non identifiés comme personnel hors la présence du salarié. Il peut donc en prendre librement connaissance et les copier, s en servir dans le cadre d une procédure de licenciement et les produire tout à fait légalement dans le cadre d un contentieux. Dans un arrêt du 15 décembre 2010 5, la Cour de cassation confirme une nouvelle fois sa position. En l espèce, l employeur avait décidé de vérifié tous les boîtes e-mail des postes informatiques des bureaux pour remédier à une panne du serveur. A cette occasion, il fut découvert qu un des salariés envoyait des emails, sans intitulé pour certains ou avec pour objet " quelle souplesse " pour d autres, contenant des images pornographiques. L employeur décide alors de licencier ce salarié pour faute grave. La Cour d appel de Paris, puis la Cour de cassation donne raison à l employeur, dans la mesure où ces courriers figurant sur la boîte électronique professionnelle du salarié ne portaient aucune mention comme étant personnels, l employeur pouvait dès lors y avoir accès. En conséquence de ce principe, il a pu être jugé que le salarié qui crypte son ordinateur, empêchant l accès à celui-ci par l employeur, commet une faute grave 6. En outre, en matière de contrôle de l activité des salariés, la jurisprudence a également déjà eu l occasion de préciser d une part, que la notion d «identifié comme personnel» devait être entendue strictement 7, et d autre part que l employeur peut avoir accéder aux fichiers, dossiers, etc. personnels du salarié (i) en présence du salarié, ou celui-ci dûment appelé, ou (ii) en cas de risque ou événement particulier 8. 1 2 3 4 5 6 7 8 Soc. 18 oct. 2006 N 04-47400 ; Soc. 16 mai 2007 N 05-43183. Soc. 17 mai 2005 N 03-40017 ; Soc. 18 oct. 2006 N 04-48025 ; Soc. 16 mai 2007 N 05-43455 ; Soc. 21 oct. 2009 N 07-43877 ; Soc. 8 déc. 2009 N 08-44840 ; Soc. 15 déc. 2009 N 07-44264. Soc. 9 juillet 2008 N 06-45800 ; Soc. 9 fév. 2010 N 08-45253. Soc. 30 mai 2007 N 05-43102 ; Soc. 10 juin 2008 N 06-19229 ; Soc. 17 juin 2009 N 08-40274. Pourvoi n 08-42486. Soc. 18 oct. 2006 N 04-48025. La mention des initiales ne suffit pas à identifier un fichier comme personnel (Soc. 21 oct. 2009 N 07-43877), pas plus que la mention du prénom du salarié (Soc. 8 déc. 2009 N 08-44840) ou des noms tels que "essais divers, essais divers B, essais divers restaurés" (Soc. 15 déc. 2009 N 07-44264). Soc. 17 mai 2005 N 03-40017 ; Soc. 17 juin 2009 N 08-40274.
3 L USURPATION D IDENTITE DE NOUVEAU A LA UNE (SENAT 18/01/2011) Actuellement, le délit d usurpation d identité n existe pas en tant que tel dans le code pénal français, puisqu est seul condamné le fait de prendre le nom d un tiers dans des circonstances qui font peser ou pourrait faire peser sur ce tiers un risque de poursuites pénales : - «Le fait de prendre le nom d'un tiers, dans des circonstances qui ont déterminé ou auraient pu déterminer contre celui-ci des poursuites pénales, est puni de cinq ans d'emprisonnement et de 75000 euros d'amende» 1. Ainsi, par exemple, le fait d utiliser les nom et prénom de quelqu un d autre pour créer une adresse email n était jusqu ici pas sanctionnable sur le terrain pénal. Mais la situation va changer avec l adoption de la loi d'orientation et de programmation pour la performance de la sécurité intérieure, dite LOPSI 2. En effet, le projet de loi qui a été examiné au sénat en deuxième lecture le 18 janvier 2011 prévoit un nouveau délit qui condamnera l usurpation d identité, que celle-ci soit réalisée en ligne ou hors ligne. Dans sa version adoptée, le projet de nouvel article 226-4-1 du Code pénal sanctionne d'un an d'emprisonnement et de 15 000 d'amende, le fait : - d'usurper l'identité d'un tiers - ou de faire usage d'une ou plusieurs données de toute nature permettant de l'identifier - en vue de troubler sa tranquillité ou celle d'autrui, ou de porter atteinte à son honneur ou à sa considération Cette infraction est punie des mêmes peines lorsqu'elle est commise sur un réseau de communication au public en ligne, c est-à-dire sur internet. Ainsi, le fait de créer un faux profil sur un site de rencontre ou sur un réseau social pourra donc être poursuivi sur le fondement de ce nouveau délit. De même, le fait de taguer une photo sur Facebook en indiquant le nom d un tiers pourrait également être susceptible de tomber sous le coup de cet article, si cela trouble la tranquillité de cette personne ou porte atteinte à son honneur ou à sa considération. 1 Art. 434-23 du Code pénal.
4 LA PUBLICITE EN LIGNE VA ETRE TAXEE (JO 29/12/2010) La loi de finance pour 2011, adopté le 29 décembre dernier, instaure une nouvelle taxe à compter du 1 er juillet 2011. A compter de cette date, l achat de services de publicité en ligne, entendus comme «les prestations de communication électronique autres que les services téléphoniques, de radiodiffusion et de télévision dont l objet est de promouvoir l image, les produits ou les services du preneur», sera taxé à hauteur de 1% du montant hors TVA des sommes versées pour cet achat. Cette taxe sera due par les entreprises assujetties à la TVA et établies en France. Sont donc notamment visées les dépenses effectuées pour l'achat de liens sponsorisés ou d espaces publicitaires sur internet, mais également les dépenses pour les publicités sur téléphone mobile ou la prospection commerciale en ligne (campagne d e-mailing). Cette taxe, dite «taxe Google» porte finalement mal son nom puisque c est l'acheteur du service, c'est-à-dire l'annonceur, qui y est assujetti et non pas les régies publicitaires telles que Google. INTERNET 3.0 OU LA PUBLICITE DIGITALE (ARPP 20/12/2010) L Autorité de Régulation Professionnelle de la Publicité (ARPP), ex. Bureau de Vérification de la Publicité (BVP), dirigé par Dominique Baudis, a adopté une nouvelle recommandation déontologique relative à la publicité électronique, encore appelée publicité digitale 1. Il s agit de règles d autodiscipline pour «contribuer à créer un environnement électronique dans lequel les consommateurs pourront avoir pleinement confiance», applicables à toute publicité par voie électronique (autre que radio ou télévision). La recommandation, qui est l actualisation de la précédente publiée en 2005, est composée de six thèmes : - l identification, tant de la publicité en tant que telle, que de l annonceur à l origine de la campagne publicitaire digitale ; - la protection des enfants et des adolescents, notamment par l utilisation de visuels qui ne portent pas atteinte à leur l intégrité physique ou morale ; - le respect de l image de la personne humaine ; - le respect d une publicité loyale, véridique et honnête et conforme au droit applicable ; - le respect des principes ci-dessus lorsque les contenus publicitaires digital sont créés par les utilisateurs, dans le cadre de concours par exemple, - le confort d utilisation du public notamment en termes de durée ou de poids du message publicitaire. 1 http://www.arpp-pub.org/img/pdf/recommandation_communication_publicitaire_digitale-4.pdf
5 UN CONTROLE PEUT EN CACHER UN AUTRE Signature d un protocole de coopération entre la CNIL et la DGCCRF (6/01/2011) Le 6 janvier dernier, le secrétaire d État chargé de la Consommation, le Président de la CNIL et la Directrice Générale de la DGCCRF ont signé un protocole de coopération pour la protection des données personnelles des consommateurs sur internet, afin notamment, de permettre l échange d information entre la CNIL et la DGCCRF. D après le dossier de presse publié conjointement, les manquements à la Loi «Informatique et Libertés» constatés par les agents de Service national d enquête (SNE) de la DGCCRF seront transmis à la Cnil dès lors qu ils porteront sur des collectes illicites de données ou sur des collectes de données sensibles, un défaut de proportionnalité entre les données collectées et les finalités du traitement, un défaut de mesures propres à assurer la sécurité des données collectées ou l absence d information aux personnes dont les données sont collectées. En effet, la loi Informatique et Libertés du 6 janvier 1978 prévoit des conditions de licéité des traitements de données à caractère personnel au nombre desquelles figurent les principes de licéité («Les données sont collectées et traitées de manière loyale et licite»), de finalité («Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités»), de proportionnalité et de pertinence («Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs»), d exactitude («Elles sont exactes, complètes et, si nécessaire, mises à jour») et de suppression («Elles sont conservées sous une forme permettant l identification des personnes concernées pendant une durée qui n excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées») 1. En outre, la loi Informatique et Libertés fait également obligation au responsable du traitement de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. 2 Sur la base des informations qui lui auront été transmises par le SNE, la CNIL pourra utiliser les pouvoirs de contrôle et de sanction qui lui sont attribués par la loi du 6 août 2004, modifiant la loi de 1978. Pour mémoire, concernant les contrôles, la CNIL peut charger un ou plusieurs de ses membres ou des agents de ses services de procéder à des vérifications portant sur tous traitements et notamment recueillir, sur place ou sur convocation, tout renseignement et toute justification utiles pour les besoins du contrôle. Quant aux pouvoirs de sanction, il est à rappeler que la CNIL peut notamment prononcer un avertissement ou mettre en demeure le responsable du traitement de faire cesser le manquement constaté dans un délai qu elle fixe, prononcer une sanction pécuniaire (jusqu à 150.000 euros lors d un premier manquement), mais également rendre publics les avertissements qu elle prononce ou en cas de mauvaise foi du responsable du traitement, ordonner l insertion des autres sanctions qu elle prononce dans des publications, journaux et supports qu elle désigne. 1 Art. 6 Loi Informatique et Libertés. 2 Art. 34 Loi Informatique et Libertés.
6 Cette dernière sanction est notamment la plus redoutée par nombre d entreprises dans la mesure où elle peut nuire à l image de marque vis-à-vis des consommateurs et du grand public. A titre d exemple, en 2009, sur 9 sanctions prononcées, 6 ont été rendues publiques sur le site de la CNIL, et dès lors dans les autres médias (1 avertissement et 5 sanctions pécuniaires entre 5.000 euros et 40.000 euros) 1. Ce nouvel accord de coopération va sans doute permettre à la CNIL de renforcer ses contrôles relatifs aux sites marchands. Alice GUIZARD-COLLIN alice.guizard@collin-avocats.fr Un contrôle peut en cacher un autre COLLIN AVOCATS Avocats au barreau de Paris www.collin-avocats.fr Françoise COLLIN f.collin@collin-avocats.fr 1 Source : 30e RAPPORT D ACTIVITÉ (2009) - Edition 2010