Embed Size (px)
Citation preview
Cybersurveillance et bon usage des outils informatiques
par le personnel
Romain RobertEtienne Wéry
ULYS Lunch ConférenceVendredi 8 Juin 2007
I. Les enjeux
• Multiplication des outils électroniques:– Informatique (PC et portables)– Internet et réseaux– Email– Vidéo– Téléphone fixe et portable– …
I. Les enjeux
• Multiplication des usages de l’outil:– Par l’employeur:
• “Trombinoscope”• Analyse de facture de téléphone• CV en ligne• Base de données HR
– Par le personnel:• Consultation sur internet et relations clients• Formation et mise à jour• Communications par email• Synchronisation agenda outlook• GSM de fonction
I. Les enjeux
• Frontière entre vie privée et professionnelle:– Augmentation des horaires flexibles
– Ordinateurs portables
– Télétravail
– Usage du téléphone, internet, et ordinateur à des fins “non professionnelles”
– Utilisation mixte du GSM professionnel
DISTINCTION DEPASSEE en fait et en droitDISTINCTION DEPASSEE en fait et en droit
I. Les enjeux
L’ANALYSE SOUS UN ANGLE JURIDIQUE doit être
1. FONDEE SUR DES PRINCIPES LEGAUX ETABLIS
(loi vie privée, CCT, principes et jurisprudence, contrats et règlements de travail,…)
et2. DEPASSER LE CLIVAGE VIE PRIVEE/VIE
PROFESSIONNELLE NON PERTINENT
II. Les principes
A. LES BASES LEGALES
• Vie privée– Art. 8 CEDH– Art 22 Constitution– Loi 8 décembre 1992 sur la
protection des données à caractère personnel (+ Avis de la Commission vie privée)
– CCT n°68 (vidéosurveillance), CCT n°81 (surveillance communications électroniques)
– Interdiction d’interception de communications électroniques: article 314bis Code pénal et article 124 loi sur communications électroniques
• Droit du travail
– Articles 2,3, 16 et 17 de la loi du 3 juillet 1978
– Loi du 8 avril 1965 sur règlements de travail
– Article 544 Code civil (propriété)
– Article 1383 et 1384 Code civil
– Contrats et règlements de travail
B. Les principes
1. Art. 8 CEDH et 22 Constitution
– Distinction vie privée / vie professionnelle est dépassée:– Arrêt Niemitz CEDH
• “La protection de la vie privée ne s’arrête pas aux portes du lieu de travail”
• “Lieu où se créent la plupart des relations sociales”• “Dans les occupations de quelqu’un, on ne peut pas toujours
démêler ce qui relève du domaine professionnel de ce qui en sort”
– CEDH protège le secret des conversations téléphoniques même sur le lieu de travail (arrêt Halford)
B. Les principes
• Conditions des ingérences et contrôles:– Principe de légalité:Principe de légalité:
• base légale nécessaire
• le pouvoir de contrôle conféré par la loi du 3 juillet 1978 n’est pas suffisant
• Quid du contrat et du règlement de travail ?
– Principe de finalité:Principe de finalité:• Ingérence doit poursuivre des buts légitimes
• Quels sont ces buts légitimes ? (contrôle de l’employé, secret d’entreprise, sécurité du réseau,..)
B. Les principes
– Principe de proportionnalité:Principe de proportionnalité:• Nécessaire, pertinent et adéquat au but poursuivi• Il n’existe pas d’autres moyens moins intrusifs
(contrôle automatique, firewalls, filtres,..)
– Principe de transparence:Principe de transparence:• Les moyens et finalités de contrôle doivent être
énoncés• Le mode précis de contrôles doit être connu du
travailleur• Détermination des usages admis/interdits/tolérés
B. Les principes
2. Loi du 8 décembre 1992 concerne les traitements de données à caractère personnel
– Données à caractère personnel: • toute information relatives à une personne (photo, nom,
téléphone, video,..)• identifiée ou identifiable (adresse IP, adresse email,..)
– Traitement: toute opération de collecte, enregistrement, transfert, effacement, conservation,…
La loi ne fait AUCUNE distinction vie privée / vie professionnelle Le seul critère: traitement de données à caractère personnel La loi doit être respectée sur le lieu de travail
B. Les principes
• Obligation de déclaration Commission vie privée• Finalités déterminées et explicites (transparence)• Finalités légitimes (légitimité du but poursuivi):
– Consentement– Obligation légale– Exécution d’un contrat
• Données adéquates, pertinentes et nécessaires (principe de proportionnalité)
• Collecte doit être loyale et licite• Droit d’accès, rectification, opposition
B. Les principesObligation d’information:Obligation d’information:
– Données traitées et destinataires– Moyens de protection– Responsable du traitement
Traitement transparent – informations à communiquer: (voir Avis 1/2000 Commission Traitement transparent – informations à communiquer: (voir Avis 1/2000 Commission vie privée):vie privée):
– les modalités d’utilisation du courrier électronique et de l’Internet qui sont permises, tolérées ou interdites ;
– les finalités et modalités du contrôle de cette utilisation (nature des données collectées, étendue et circonstances des contrôles, personnes ou catégories de personnes sujettes aux procédures de contrôle
– l’existence d’un stockage des données de télécommunication et la durée de ce stockage, par exemple sur un serveur central, dans le cadre de la gestion technique du réseau, et les éventuels systèmes de cryptage existants ;
– les décisions pouvant être prises par l’employeur à l’endroit de l’employé sur la base du traitement des données collectées à l’occasion d’un contrôle ;
– le droit d’accès de l’employé aux données à caractère personnel le concernant
B. Les principes
3. Article 314bis Code pénal et 124 LCE:
Interdiction d’intercepter, enregistrer ou prendre connaissance sans consentement de tous les intéressésS’appliquent également sur le lieu de travail
Article 314bis:• pendant transmission• communications privées (>< non publiques)
Article 124 LCE:• contenu de la communication et données y relatives• Pendant et après transmission• Recouvre donc téléphone, mais aussi visite de sites internet et emails (quid des
factures détaillées payées par employeur ? )
B. Les principes
• Exceptions aux articles 314 bis Cp et 124 LCE:– Bon fonctionnement du réseau– Loi le permet ou l’impose– État de nécessité (prévention infractions graves ou sécurité ? )– Consentement de tous les participants
• Il y a deux participants !• le consentement général donné dans règlement de travail ne suffit pas
selon la Commission• Doit pouvoir être retiré à tout moment• Pouvoir de contrôle consacré par Loi sur le contrat de travail : pas
suffisamment précis selon doctrine et jurisprudence
Difficilement praticable Difficilement praticable
B. Les principes
4. CCT n°81
• Rendue obligatoire par AR du 12 juin 2002 (pas applicable aux faits antérieurs)
• Uniquement d’application pour les salariés
• Concerne les données de connexion (>< contenu)
• N’entend pas déroger à l’article 214 LCE et 314bis Cp problème car hiérarchie des normes fait primer la loi sur la CCT
B. Les principes
4.1. Finalités4.1. Finalités
4 finalités4 finalités considérées a priori comme légitimeslégitimes par la CCT:
1. prévenir les faits illicites ou diffamatoires, contraires aux bonnes mœurs ou susceptibles de porter atteinte à la dignité d’autrui
2. Protéger les intérêts économiques, commerciaux, et financiers de l’entreprise auxquels est attaché un caractère de confidentialité et en vue de lutter contre les pratiques contraires
3. Assurer la sécurité ou le bon fonctionnement technique des systèmes informatiques en réseau de l’entreprise, en ce compris le contrôle des coûts y afférents, ainsi que la protection physique des installations de l’entreprise
4. De garantir le respect de bonne foi des principes et règles d’utilisation des technologies en réseau fixés dans l’entreprise
B. Les principes4.2 Information préalable des travailleurs et de leurs 4.2 Information préalable des travailleurs et de leurs
représentants:représentants:
Information Information collectivecollective doit porter sur: doit porter sur:- la politique de contrôle ainsi que les prérogatives de l’employeur et du personnel de
surveillance ;- la ou les finalités poursuivies ;- le fait que des données personnelles soient ou non conservées, le lieu et la durée de
conservation ;- le caractère permanent ou non du contrôle
Outre les informations ci-dessus, l’information Outre les informations ci-dessus, l’information individuelleindividuelle doit doit porter sur: porter sur:
- l'utilisation de l'outil mis à la disposition des travailleurs pour l'exécution de leur travail, en ce compris les limites à l'utilisation fonctionnelle ;
- les droits, devoirs, obligations des travailleurs et les interdictions éventuelles prévues dans l'utilisation des moyens de communication électronique en réseau de l'entreprise ;
- les sanctions prévues au règlement de travail en cas de manquement.
B. Les principes
Modes d’information:Modes d’information:
• Information collective:Information collective:– Organes sociaux (conseil d’entreprise, comité pour la prévention et la protection du
travail, délégation syndicale)– Pas de forme
• Information individuelle:Information individuelle:– A chaque travailleur– Modes de communication:
• Dans le cadre d’instructions générales (circulaire, affichage,..)• Règlement de travail• Contrat de travail • Consignes d’utilisation fournies à chaque utilisation de l’outil informatique
Modification du règlement de travail le plus souvent nécessaire Modification du règlement de travail le plus souvent nécessaire (sanctions (sanctions prévues, droits et obligations du personnel de surveillance)prévues, droits et obligations du personnel de surveillance)
B. Les principes
4.3. Individualisation4.3. Individualisation
Individualisation directe:Individualisation directe:• 3 premières finalités uniquement (pas contrôle politique informatique)• Pas de procédure d’information ou d’audition préalable
Individualisation indirecte:Individualisation indirecte:• Si contrôle a pour finalité le contrôle du respect des directives relatives à
l’usage de l’outil informatique au sein de l’entreprise• Identification des données:
– Après un premier avertissement– Contrôle si nouvelle anomalie constatée– Audition préalable de l’intéressé avant toute sanction
B. Les principes
• Loi sur le contrat de travail:Loi sur le contrat de travail:
– Employé agit sous le contrôle et l’autorité de l’employeur
– En se conformant à ses instructions
– Avec probité, diligence, soin, conscience et temps
– Employeur garant des bonnes mœurs
• Règlement et contrat de travailRèglement et contrat de travail– L’article 6 de la loi du 8 avril 1965 instituant les règlements de travailL’article 6 de la loi du 8 avril 1965 instituant les règlements de travail
• « Le règlement de travail doit indiquer (…):
• 5° les droits et obligations du personnel de surveillance ».
B. Les principes– L’article 2, § 1 er de la Convention collective de travail n° 39 du L’article 2, § 1 er de la Convention collective de travail n° 39 du
13 décembre 1983 concernant l’information et la concertation sur 13 décembre 1983 concernant l’information et la concertation sur les conséquences sociales de l’introduction des nouvelles les conséquences sociales de l’introduction des nouvelles technologies:technologies:
• « Lorsque l’employeur a décidé d’un investissement dans une nouvelle technologie et lorsque celui-ci a des conséquences collectives importantes en ce qui concerne l’emploi, l’organisation du travail ou les conditions de travail, il est tenu, au plus tard trois mois avant l’implantation de la nouvelle technologie, d’une part de fournir une information écrite sur la nature de la nouvelle technologie, sur les facteurs qui justifient son introduction ainsi que sur la nature des conséquences sociales qu’elle entraîne et d’autre part, de procéder à une concertation avec les représentants des travailleurs sur les conséquences sociales de l’introduction de la nouvelle technologie. »
• Charte informatiqueCharte informatique (limites: interdiction non professionnelle totale est-elle possible? )
• N.B.: règles différentes secteur public / secteur privé
B. Les principes
• Employeur est donc en droit d’édicter des règles d’utilisation – des moyens de communication électronique et – des procédures de contrôle
• Moyennant respect des principes mentionnésNécessité d’une politique d’utilisation des outils
électroniques: cohérente Conforme à l’esprit d’entreprise légaleTechniquement réalisable
C. Applications
1.1. Emails stockés sur disque dur de l’employéEmails stockés sur disque dur de l’employé– La transmission a pris fin plus protégé par 314bis Cp mais
encore par 124 LCE– Règles d’accès à la boîte email ? (claires, transparentes, quid en
cas d’absence,..)– Article 29 Constitution et 460 Code pénal “secret des lettres et
correspondance” applicable ? – CCT n°81 pas applicable au contenu – Solutions:
• déterminer la nature privée ou professionnelle de l’email avant son envoi
• Informer les correspondants qu’ils acceptent que leur email soit lu par l’employeur (consentement valable ? )
– Jurisprudence parfois divisée
C. Applications
2. Documents stockés sur le disque dur de l’employé2. Documents stockés sur le disque dur de l’employé
• Le fait que l’ordinateur soit propriété de l’employeur n’enlève rien à la protection vie privée
• Cf Arrêt Nikon en France: contrôle sur le poste de l’employé des messages personnels lorsqu’ils sont identifiés dans un fichier intitulé “personnel” illégal et rejet de la preuve
• Arrêt Cass. Fr. Après Nikon: – les documents sont présumés professionnels sauf si mention contraire
dans ce cas accès hors de la présence de l’employé– Documents cryptés sans autorisation empêchant accès
• Présomption du caractère professionnel des fichiers stockés sans mention contraire confirmée par Cass. Fr. 18/5/2007
C. Applications
• Documents professionnels:Documents professionnels:– Assouplissement des règles– Pas de différence fondamentale avec accès documents papier: le
principe de l’accès est “normal”– Soumis à protection de l’article 8 CEDH (échange professionnels
sont inclus dans notions de correspondance et vie privée)
• Documents personnels:Documents personnels:– Identification comme tels– Transparence et loyauté du contrôle– Dans circonstances exceptionnelles (finalités légitimes et contrôle
nécessaire: activités illégales, concurrence déloyale)– Ultime moyen (proportionnalité)µ
C. Applications
• Souvent: discussion sur la force probante du document (listing internet, impression du poste de travail,..)
• Problème autre que l’admissibilité de la preuve– Lisibilité du document (les juges sont profanes)– Possibilité de modifier le document– Preuve de l’utilisation effective
• Solutions possibles:– Intervention du Juge d’instruction (peu pratique)
• (cf. Cass. Fr. 23/05/2007: application du nouvel article 145 NCPC)
– Intervention d’un expert, et à tout le moins, présence du travailleur– Présence d’un huissier
C. Applications3. Utilisation du GSM3. Utilisation du GSM
• Données télécom: régime particulier loi LCE• Contrôle proportionné:
– Pourrait porter sur montant uniquement
– Pas de contrôle des numéros appelés ou appelants nécessaires
– Limite budgétaire
– Avertissement clair sur les règles applicables
– Absence de facture détaillée (demande à l’opérateur)
C. Applications
• Exemples:– Cadre licencié pour usage non professionnel de son GSM de société: la
CT Gand refuse (cadre non tenu par limites horaires)– Sur base de facture GSM, licenciement pour usage non professionnels:
• Preuve admise mais • usage abusif non retenu (usage toléré en Belgique)
– Examen du listing d’appels pour licencier un employé qui utilisait le GSM à des fins pornographiques. Contrôle sur listing admis par le juge car
• Contrôle prévisible pour l’employé• Contrôle contradictoire
– SMS: • Cass Fr. 23 / 05/ 2007: reçoit la preuve au motif que l’expéditeur savait que le
message serait enregistré• CT Bruxelles: rejette la preuve par SMS car absence de consentement du
destinataire
C. Applications4. Accès aux locaux4. Accès aux locaux• Souvent utilisation de badges• Respect de la loi vie privée:
– Finalité légitime: si pas consentement: • le pistage systématique est-il légitime ? • sécurité
– Conservation des données• Exemple
5. Vidéo surveillance5. Vidéo surveillance• CCT n°68• Reprend les grands principes de la CCT n°81: transparence, information au
personnel, finalités déterminées
6. Géolocalisation (GPS)6. Géolocalisation (GPS)• pour info (ex: taxis)• Avis Commission vie privée 12/2005
Exemples en jurisprudence:
• Employé surfe 57% de son temps sur internet: le juge reçoit les logs comme preuve et admet licenciement
• Production de correspondance avec tierce personne: pas de consentement de celle-ci rejet de la preuve
• Utilisation de l’ordinateur à des fins privées découverte en l’absence de l’employé lors de l’utilisation par une collègue: la Cour accepte, en estimant qu’il existait un consentement explicite de l’employé qui pouvait prévoir cet accès en son absence
• La CT de Bruxelles rejette des logs au motif qu’ils auraient pu être manipulés (et non rejet de l’admissibilité)
• Secrétaire cabinet d’avocat utilise messagerie professionnelle pour activités commerciales personnelles: le TT Bruxelles accepte les preuves, considérant notamment que l’utilisation de l’email professionnel et de la signature en tant qu’employée impliquait un accès par l’employeur aux email envoyés par l’employée
• Surveillance caméra: vol de l’employé filmé sur vidéo. 2 tendances:– CT Anvers refuse les preuves– CA Anvers accepte les preuves– Cass. Accepte les preuves en matières criminelles à certaines
conditions La jurisprudence, tend à accepter la preuve en matière civile et du
travail
Conclusion
• Importance de la charte informatique et règlement de travail
• Nécessité d’informer les travailleurs et les contrôleurs • Nécessite de prendre les précautions en cas de constatation
de faute ou d’infraction• Elaboration d’une politique cohérente de l’usage de l’outil
informatique
Questions ?Questions ?
