Les logiciels de contrôle de l'utilisation d'internet dans les entreprises

Article de doctrine publié le mercredi 24 avril 2002.
Rédigé par Murielle Cahen et classé dans le thème Internet.

Des entreprises peuvent installer des logiciels qui permettent, à des degrés différents, de contrôler l'utilisation de la messagerie et l'accès aux sites Internet. A titre d'exemples : un logiciel dénommé "little Brother", permet à l'employeur de consulter les e-mails reçus et envoyés, les adresses visitées par les salariés, de connaître les fichiers téléchargés et de calculer le temps passé par les salariés sur l'Internet. Un autre logiciel appelé "Packet Boy" intercepte ce qui circule sur le réseau de l'entreprise et garantit, de ce fait, un contrôle total du flux d'informations, à savoir non seulement les e-mails et les fichiers téléchargés, mais également les mots de passe et les fichiers imprimés. Un autre logiciel baptisé "Boss Everyware" garde en mémoire l'ensemble des opérations effectuées sur le terminal du salarié surveillé (logiciel exécuté, nombre de courriels reçus, heures de réception, etc.).

1/ L'utilisation de tels logiciels n'est-elle pas une entrave à la vie privée ?

L'utilisation de ces logiciels constitue une atteinte à la vie privée si le salarié n'est pas informé.
De plus, et même si le salarié est averti de l'utilisation de tels logiciels, certaines données informatiques sont protégées. Ainsi le courrier électronique est considéré comme une correspondance privée et susceptible de la protection du secret des correspondances : la Cour d'appel de Paris dans un arrêt du 17 décembre 2001 : " Tareg A. " a considéré que la surveillance du courrier électronique par l'employeur était une violation de correspondances effectuées par voie de télécommunication, délit réprimé en l'espèce par l'article L.432-9 du Code Pénal s'agissant d'une personne publique. Ce délit est réprimé par l'article L.226-15 alinéa 2 du Code Pénal concernant les personnes privées.

2/ Quelles garanties ont les salariés que leurs données personnelles, recueillies par ce genre de logiciel, ne seront pas connues de l'employeur ?

Chaque cas est un cas d'espèce. Ainsi un employeur peut très bien ne pas consulter de telles données, mais s'il met en place un tel système, il y a de fortes chances que ce soit dans le but d'utiliser les données recueillies.
Si le système est mis en place régulièrement, les représentant des salariés en sont informés et peuvent donc vérifier l'utilisation faite de ces données.

3/ Comment mettre en place des remparts contre la tentation de certains employeurs à utiliser les données personnelles des salariés ?

La jurisprudence récente, concernant le courrier électronique, protége les données personnelles du salarié. ( Cour de Cassation 2 octobre 2001)
Celles-ci ne peuvent être consultées par l'employeur ni utilisées par lui.
Les données personnelles restent protégées même si elles sont sur l'ordinateur professionnel du salarié et même si l'utilisation de cet ordinateur n'était autorisée qu'a usage professionnel. C'était le cas dans l'affaire " Tareg A. " ( précité)
Ces données n'étant pas utilisables par l'employeur, ceci le dissuade de les utiliser.
Quels que soient les modes de contrôle, l'employeur est tenu d'un certain nombre d'obligations et en particulier une obligation d'information préalable des salariés surveillés.
Un arrêt rendu par la cour de cassation le 7 juin 1995 fixe les conditions d'un tel traitement des informations nominatives : " Les entreprises privées autres que celles qui gèrent un service public, ont l'obligation, avant de mettre en place un traitement automatique d'informations nominatives, d'en faire la déclaration auprès de la Commission Nationale de l'Informatique et des Libertés […] Les personnes auprès desquelles sont recueillies des informations nominatives doivent être informées : Du caractère obligatoire ou facultatif des réponses ; Des conséquences à leur égard d'un défaut de réponse ; Des personnes physiques ou morales destinataires des informations ; De l'existence d'un droit d'accès et de rectification. "

4/ Que risque un employeur qui outre passe ses droits en matière de cybersurveillance ?

Différentes sanctions sont envisageables :
Sur le plan pénal : la violation du secret des correspondances prévu par l'article 226-15 du Code Pénal est puni d'un an d'emprisonnement et de 300.000 F d'amende. On peut ajouter que dans l'hypothèse où il existe, l'absence d'information du comité d'entreprise avant la mise en place d'un système de surveillance constitue le délit d'entrave, délit pénal qui n'est pas sans importance puisque la peine prévue par l'article L.483-1 du Code du Travail est un emprisonnement d'un an et de 25.000 F d'amende. Il est à noter qu'une telle condamnation n'est pas hypothétique puisque plusieurs affaires ont relevé l'existence d'un délit d'entrave pour non-information du comité d'entreprise sur l'introduction d'une nouvelle technologie dans l'entreprise (Crim. 17 juin 1986, Crim 13 décembre 1994).
Sur le plan civil : le salarié pourra demander l'indemnisation d'un éventuel préjudice (matériel, moral, …)
Sur le plan procédural : la preuve obtenue par une surveillance illicite ne sera pas recevable. Le licenciement pour faute(prononcé sur la base d'une telle preuve) sera alors être requalifié par le tribunal en licenciement abusif.

5/ Comment distinguer données personnelles et données publiques consultables par l'employeur ?

Le problème se pose de savoir si les données sont ou non privé. Or a priori pour le savoir, il est nécessaire de contrôler le contenu des informations. Dans cette hypothèse, si les données sont personnelles, il s'agit d'une violation de la correspondance privée ou de la vie privée.
Il s'agit donc en l'espèce d'un cercle vicieux qui empêche tout contrôle du contenu des correspondances, mais pas des caractéristiques des correspondances (destinataire, expéditeur,…) si les moyens de surveillances ont été mis en place regroupements.
La Cnil a publié le 11 février 2002 10 recommandations à ce sujet qui devraient aider employeurs et employés à déterminer des règles.
Il appartiendra au juge, au cas par cas, de déterminer si une donnée est du domaine privé ou non. Ainsi si l'employeur consulte un dossier intitulé " personnel ", il sera sans aucun doute fautif, s'il consulte un dossier partagé entre tous les salariés sans protection où se trouvent les données publiques il ne sera vraisemblablement pas en faute.

Cabinet d'avocats Murielle Cahen
www.murielle-cahen.com

<<< L'audit social, outil d 'aide au progrès dans votre entreprise

Lutte contre le déréférencement abusif : le choix des armes >>>

Fiche Auteur

Murielle Cahen
Avocate
Cabinet d'avocats Murielle Cahen

-> voir ses articles

Doctrine :
dernières publications

Les dix résolutions du cyber-entrepreneur

Euro et Responsabilité. Compatibilité des logiciels avec la monnaie unique

Victime de contrefaçon, Air France obtient le transfert de "air-france.com"

Déc. 2008

L	M	M	J	V	S	D
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30	31

Les chaînes d'infos

Affaires	Social	Fiscal	Technos
Public	Judiciaire	Civil	Santé

Doctrine : auteurs publiés récemment

- Inna Shveda, Enseignant - ATER
- Marjorie Eeckhoudt, Maître de conférences en droit
- Françoise Bella, Juriste d'affaires
- Jennifer Marchand, Juriste et chargée de mission handicap
- Edouard Bourgin, Avocat

> voir tous les auteurs <

> 133.400 membres en décembre 2008 !

Connexion | Aide & Contact

Première Visite ?

Inscription Gratuite !

Offre d'Abonnement