Embed Size (px)
Citation preview
Page 1/36
Données informatiques et droit des salariés
SOMMAIRE :
0/Maîtriser les informations publiées sur les réseaux sociaux
1/ L’évaluation des salariés : droits et obligations des employeurs
2/Les salariés peuvent consulter leurs données d'évaluation professionnelle
3/Peut-on accéder à l’ordinateur d’un salarié en vacances ?
4/Licenciement et propos tenus sur un blog
5/Accès aux fichiers personnels d’un salarié
6/INTERNET : DOIT-ON NÉGOCIER L’EXERCICE DES LIBERTÉS DANS L’ENTREPRISE ?
7/Le contrôle de l'utilisation d’internet et de la messagerie
8/L'accès à la messagerie d’un salarié en son absence
9/L’utilisation de l’intranet et de la messagerie électronique de l’entreprise par les organisations syndicales
10/L'enregistrement des conversations téléphoniques sur le lieu de travail
11/Les opérations de recrutement
Page 2/36
0/Maîtriser les informations publiées sur les réseaux sociaux
Des cas récents de licenciements suite à des propos tenus sur des réseaux sociaux posent la question de la maîtrise des informations publiées en ligne et des limites entre ce qui relève de l’espace privé et de l’espace public.
Est-il possible de se faire licencier pour des propos tenus sur un réseau social ?
Oui. Le conseil des prud’hommes de Boulogne s’est prononcé sur une affaire concernant trois salariés qui se sont fait licencier pour avoir dénigré leur hiérarchie sur Facebook. Le tribunal a considéré que les propos publiés sur le mur d’un des salariés étaient publics car accessibles aux « amis d’amis ». Ces propos ont perdu leur caractère privé du fait qu’ils étaient accessibles à des personnes non concernées par la discussion.
Quelles précautions un salarié doit-il prendre quand il diffuse des informations sur un réseau social comme Facebook ?
La CNIL a toujours appelé les utilisateurs de Facebook à la plus grande vigilance vis-à-vis des contenus qu’ils diffusent sur leurs pages, et des personnes qui peuvent y accéder.
C'est d’autant plus important que les informations qui figurent sur les profils Facebook sont de plus en plus souvent utilisées pour justifier des mesures disciplinaires, dans un cadre professionnel ou scolaire.
De manière générale, on ne dit pas, la même chose à sa famille, à son ami d’enfance, à son collègue de bureau ou à son patron. Sur Facebook, il faut adopter les mêmes réflexes.
Peut-on différencier des catégories de contacts sur Facebook ?
Facebook permet de répartir ses contacts dans des listes. Vous pouvez ainsi créer différentes listes correspondant aux membres de votre famille, à vos amis proches, à vos collègues, etc., puis adapter les paramètres de confidentialité en fonction des informations que vous souhaitez partager avec chaque catégorie de personnes.
Comment peut-on créer des listes d’amis et quels sont les avantages pour les utilisateurs ?
L'avantage principal des listes d'amis est de classer les contacts que nous avons sur Facebook. Il faut savoir que sur Facebook, les gens ont en moyenne 120 amis.
De nombreux utilisateurs aujourd’hui ont, parmi leurs contacts, des personnes qu’ils n’ont rencontré qu’une fois, par exemple lors d’une soirée. Ils ne souhaitent pas forcément que ces personnes, qu’ils connaissent peu dans la vie réelle, aient accès à leurs dernières photos de vacances ou aux discussions publiées sur leur « mur ». Ils peuvent en revanche vouloir
Page 3/36
partager ces informations avec d’autres personnes plus intimes. L’intérêt de répartir ces personnes dans différentes listes est de faciliter le paramétrage des accès aux différents contenus de leur profil.
Les utilisateurs de Facebook ont-il conscience de ces possibilités ?
La CNIL milite depuis plusieurs années pour que les utilisateurs prennent conscience de l’importance de bien gérer leurs données personnelles sur les réseaux sociaux. Elle s’est aussi rapprochée des différents réseaux sociaux pour que leurs paramètres de confidentialité deviennent plus clairs, plus accessibles et plus complets.
D’ailleurs, une étude récente de l’agence Iligo montre que 74% des membres français de Facebook ont déjà utilisé les paramètres de confidentialité pour restreindre l’accès à leurs données, et que 45% le font régulièrement.
Mais cette étude montre aussi que 60% des internautes pensent qu’il n’est pas facile de modifier ou de supprimer des données personnelles sur Internet. Ceux qui n’y parviennent pas peuvent adresser une plainte en ligne à la CNIL, car notre Commission est là pour les aider.
Page 4/36
1/ L’évaluation des salariés : droits et obligations des employeurs
11 mai 2011
A l’occasion de l'entretien annuel d’évaluation, des employeurs collectent des informations sur leurs salariés. Qu'ont-ils le droit de conserver ? Comment peuvent-ils utiliser ces informations ? La CNIL fait le point sur les droits et obligations des employeurs en matière d’évaluation de leurs salariés.
1. Quelles informations peuvent être collectées à l’occasion d’un entretien d’évaluation ?
L'article L1222-2 Code du travail prévoit que les informations demandées à un salarié ne peuvent avoir pour finalité que d'apprécier ses aptitudes professionnelles. Les évaluateurs doivent donc s’interdire de collecter, notamment, des éléments en rapport avec la vie privée des salariés. Les données qui peuvent être collectées peuvent porter sur leur identité, la formation, la gestion de la carrière, l’évaluation professionnelle ou encore la validation des acquis de l'expérience.
2. Est-il possible d’utiliser des zones commentaires dans le cadre de l’évaluation de salariés ?
Oui, mais ces zones commentaires sont à utiliser avec la plus grande prudence. La loi informatique et libertés précise que les appréciations figurant dans ces zones doivent être pertinentes, adéquates et non excessives.
3. Quelles informations peuvent être intégrées dans ces "zones commentaires"?
Les informations doivent être purement objectives. Le responsable doit faire en sorte d’empêcher que des commentaires subjectifs, outranciers voir insultants y figurent. Il peut prévoir des menus déroulants, un système de filtrage de mots clés ou bien vérifier régulièrement leur contenu. La meilleure des préventions consiste à avoir toujours présent à l’esprit que les salariés peuvent accéder à tout moment aux informations les concernant, de même que les contrôleurs de la CNIL. Cet "auto contrôle" permet de n’écrire que ce que l’on est en mesure de présenter et d’assumer.
Page 5/36
4. Quels risques prennent les entreprises qui enregistrent des informations non pertinentes ?
La CNIL est extrêmement vigilante sur le contenu des zones commentaires et, au besoin, sanctionne les comportements abusifs. Les sanctions peuvent aller d’un avertissement public comme elle l’a fait récemment avec un organisme spécialisé dans l’aide aux devoirs, jusqu’à une sanction financière. La CNIL peut également transmettre les éléments dont elle dispose à la justice si elle constate des infractions pénales.
5. Faut-il informer les salariés de l’enregistrement de leurs données d’évaluation ?
OUI. Le Code du travail prévoit que les salariés doivent être expressément informés des méthodes et techniques d'évaluation professionnelles, avant leur mise en œuvre. En application de la loi Informatique et libertés, les salariés doivent également être informés de l'identité du responsable, de la finalité poursuivie, du caractère obligatoire ou facultatif des réponses, des conséquences d'un défaut de réponse, des destinataires ainsi que de leur droit d'accès.
6. Qui peut accéder aux données d’évaluation ?
Chaque salarié évalué peut accéder à ses propres données d’évaluation sur simple demande et en obtenir une copie. Les supérieurs hiérarchiques peuvent, quant à eux, accéder aux données d’évaluation des salariés dont ils sont responsables. Enfin, les personnes habilitées chargées de la gestion du personnel peuvent accéder à l’intégralité des données d’évaluation. Les supérieurs hiérarchiques et les gestionnaires du personnel sont évidemment soumis à une obligation de confidentialité.
7. Les salariés peuvent-ils accéder à l’ensemble des données d’évaluation ?
Oui, même si les données d'évaluation sont parfois considérées à tort par les responsables des ressources humaines comme des informations sensibles non communicables aux salariés. La loi "informatique et libertés" reconnaît le droit à toute personne d’interroger le responsable d’un fichier pour obtenir, sous une forme accessible, la communication des informations la concernant ainsi que leur origine. Les valeurs de classement annuel, parfois appelées "ranking", ou de potentiel de carrière sont communicables aux salariés si elles ont servi à prendre une décision à leur égard (comme par exemple, une promotion, une augmentation, un changement d'affectation). L'employeur n'est pas tenu de communiquer des informations purement prévisionnelles.
8. Pendant combien de temps peut-on conserver les données d’évaluation ?
Les données d’évaluation ne peuvent être conservées au-delà de la période d'emploi de la personne concernée. Toutefois, il est possible de conserver ces informations plus longtemps, notamment lorsqu’il s’agit de se prémunir contre une éventuelle action en justice d’un ancien salarié. Il faut alors
Page 6/36
les stocker sur un serveur spécifique, accessible à un nombre limité de personnes et prévoir une traçabilité des opérations consultation.
9. Faut-il déclarer à la CNIL les fichiers créés à l’occasion de l’évaluation de salariés ?
Oui. Les fichiers informatisés qui comportent des données personnelles, c'est-à-dire permettant d’identifier directement ou indirectement une personne physique, doivent être déclarés à la CNIL.
10. Qu’en est-il des fichiers manuels ou papiers?
Ces fichiers papiers n’ont pas à être déclarés à la CNIL. Cependant, ils doivent être constitués et utilisés en conformité avec les principes et exigences de la loi Informatique et libertés.
Page 7/36
2/Les salariés peuvent consulter leurs données d'évaluation professionnelle
30 mars 2011
La notation annuelle et le potentiel de carrière des salariés sont des données confidentielles au sein des entreprises. Pour autant, la loi informatique et libertés garantit à tout salarié le droit d’en obtenir communication dès lors qu’elles ont été utilisées pour prendre une décision à son égard.
Les données d'évaluation professionnelle des salariés sont considérées par les responsables des ressources humaines comme des informations sensibles et, dès lors, confidentielles. Cette confidentialité est parfois opposée au salarié qui souhaite accéder à son dossier en invoquant son droit d’accès (article 39 de la loi informatique et libertés).
Lors de sa séance plénière du 8 mars 2007, la CNIL a examiné des plaintes contre une grande entreprise internationale pour refus de communication à ses cadres de leur "classement" et de leur "potentiel de carrière" précis. La Commission a considéré que les valeurs de "classement annuel" (ranking) et de "potentiel" sont des données communicables au salarié concerné dès lors qu'elles ont été prises en compte pour décider de son augmentation de salaire, de sa promotion, de son affectation, etc.
La CNIL réaffirme le principe selon lequel un employé doit pouvoir accéder à toute donnée de gestion des ressources humaines qui a servi à prendre une décision à son égard. Le salarié peut également demander la copie intégrale des données d'évaluation qui le concernent, ainsi que la signification des codes et des valeurs utilisés.
A noter :
la Cour de cassation considère que la non-communication de sa fiche de notation à un salarié qui en fait la demande constitue un des éléments permettant de caractériser un comportement discriminatoire à son encontre (Chambre sociale, 23 octobre 2001, pourvoi n°99-44215).
Page 8/36
3/Peut-on accéder à l’ordinateur d’un salarié en vacances ?
19 juillet 2010
En cette période de vacances, un employeur est susceptible de demander à l'administrateur réseau de l'entreprise de lui communiquer, pour des raisons de continuité de service, le login/mot de passe d'un salarié absent. Comment l'administrateur réseau doit-il répondre à ce type de demande ?
Un administrateur réseau a-t-il le droit de communiquer à son employeur la liste des identifiants/mots de passe de ses employés ?
NON. Même si les fichiers contenus dans un ordinateur ont un caractère professionnel, et peuvent à ce titre être consultés par l'employeur, un administrateur réseau ne doit pas communiquer de manière systématique l’ensemble des identifiants et des mots de passe des salariés de l’entreprise. Les mots de passes sont personnels et permettent de savoir ce qu’un utilisateur donné à pu faire sur le réseau de l’entreprise. Le fait d'utiliser le mot de passe de quelqu'un d'autre peut être préjudiciable au salarié.
Toutefois, les tribunaux considèrent que la communication du mot de passe d’un salarié à son employeur est possible dans certains cas particuliers.
Dans quels cas particuliers un employeur peut-il obtenir le mot de passe d'un salarié ?
L’employeur peut avoir connaissance du mot de passe d'un salarié absent, si ce dernier détient sur son poste informatique des informations nécessaires à la poursuite de l’activité de l’entreprise et qu’il ne peut accéder à ces informations par d’autres moyens. .
L’employeur peut-il consulter l'intégralité du contenu d'un poste de travail?
Les tribunaux considèrent que tout fichier créé, envoyé ou reçu depuis le poste de travail mis à disposition par l’employeur a, par principe, un caractère professionnel. Dans ce cas, l’employeur peut le consulter. Toutefois, si le fichier est identifié comme étant personnel, par exemple, si le répertoire dans lequel il est rangé ou le nom du fichier précise clairement qu’il s’agit d’un message privé ou personnel, l’employeur ne doit pas en prendre connaissance.
L’employeur peut-il accéder aux fichiers qualifiés de « personnels » ?
Oui, à condition de le faire en présence du salarié ou après l’avoir invité à être présent, ou en cas de risque particulier pour l’entreprise.
Page 9/36
Afin de respecter la vie privée des salariés qui peuvent être amenés à faire un usage privé des outils informatiques de l'entreprise, l’employeur doit fixer les conditions d'accès au poste de travail des salariés en cas d’absence.
Comment mettre en place des règles ?
Elles peuvent par exemple figurer dans une charte informatique propre à l’entreprise.
Cette charte doit être connue de tous les salariés. Ils seront ainsi informés des modalités d'accès de leur poste informatique pendant leur absence.
La règle du jeu fixée à l’avance, en toute transparence, permet notamment d'éviter les risques de litige ultérieurs.
Que faire en cas de désaccord ?
Le principe reste la concertation entre le salarié et son employeur. Toutefois, si la relation de confiance est entamée, tout litige pourra être porté devant le juge qui appréciera si l’employeur a ou non commis une atteinte à la vie privée du salarié
La Chambre sociale de la Cour de cassation a précisé dans un arrêt du 5 mars 2008 les limites du droit d'expression d'un syndicat sur son site Internet
Un syndicat avait diffusé sur son site Internet des informations relatives notamment à la rentabilité d'une société et à ses négociations salariales. La société en question estimait que ces informations étaient confidentielles, elle a assigné le syndicat en référé pour en obtenir la suppression. Pour débouter l'entreprise de sa demande, la Cour d'appel de Paris a considéré que le syndicat avait un droit d'expression, comme tout citoyen, et qu'il n'était pas lié par les obligations de confidentialité pesant sur les salariés, les membres du comité d'entreprise ou les experts du comité, dès lors qu'il n'avait aucun lien avec l'entreprise
La chambre sociale de la Cour de cassation a censuré cet arrêt sur deux fondements: 1- Selon le paragraphe 2 de l'article 10 relatif à la liberté d’expression de la Convention de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales[1], des restrictions peuvent être prévues par la loi lorsqu'elles sont nécessaires à la protection des droits d'autrui, notamment pour empêcher la divulgation d'informations confidentielles, à la condition d'être proportionnées au but légitime poursuivi
2- L'article 1er [2] de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN) dispose que l'exercice de la communication électronique peut être limité
Page 10/36
dans la mesure requise notamment par la protection de la liberté et de la propriété d'autrui. Ainsi, si un syndicat a le droit de communiquer librement des informations au public sur un site Internet, cette liberté peut être limitée dans la mesure de ce qui est nécessaire pour éviter la divulgation d'informations confidentielles portant atteinte aux droits des tiers.
NOTES
[1] « L’exercice de ces libertés comportant des devoirs et des responsabilités peut-être soumis à certaines formalités, conditions, restrictions ou sanctions prévues par la loi qui constituent des mesures nécessaires, dans une société démocratique, à la sécurité nationale, à l’intégrité territoriale ou à la sûreté publique, à la défense de l’ordre et à la prévention du crime, à la protection de la société ou de la morale, à la protection de la réputation ou des droits d’autrui pour empêcher la divulgation d’informations confidentielles ou pour garantir l’autorité et l’impartialité du pouvoir judiciaire ». [2] « Ainsi qu'il est dit à l'article 1er de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication, la communication au public par voie électronique est libre. L'exercice de cette liberté ne peut être limité que dans la mesure requise, d'une part, par le respect de la dignité de la personne humaine, de la liberté et de la propriété d'autrui, du caractère plurialiste de l'expression des courants de pensée et d'opinion et, d'autre part, par la sauvegarde de l'ordre public, par les besoins de la défense nationale, par les exigences de service public, par les contraintes techniques inhérentes aux moyens de communication, ainsi que par la nécessité, pour les services audiovisuels, de développer la production audiovisuelle. On entend par communication au public par voie électronique toute mise à disposition du public ou de catégories de public, par un procédé de communication électronique, de signes de signaux, d'écrits, d'images, de sons ou de messages de toute nature qui n'ont pas le caractère d'une correspondance privée On entend par communication au public en ligne toute transmission, sur demande individuelle, de données numériques n'ayant pas un caractère de correspondance privée, par un procédé de communication électronique permettant un échange réciproque d'informations entre l'émetteur et le récepteur On entend par courrier électronique tout message, sous forme de texte, de voix, de son ou d'image, envoyé par un réseau public de communication, stocké sur un serveur du réseau ou dans l'équipement terminal du destinataire, jusqu'à ce que ce dernier le récupère ».
Page 11/36
Vie privée informatique du salarié
Sept ans après l’arrêt NIKON, la jurisprudence précise désormais les limites de « la vie privée informatique » du salarié pendant son temps de travail face au pouvoir de contrôle de l’employeur.
Sept ans après l’arrêt NIKON, la jurisprudence précise désormais les limites de « la vie privée informatique » du salarié pendant son temps de travail face au pouvoir de contrôle de l’employeur. En 2001, la Cour de Cassation avait consacré le droit du salarié au respect de l’intimité de sa vie privée même au temps et au lieu de travail, s’agissant en particulier de l’utilisation personnelle des outils informatique professionnels mis à disposition par l’employeur : ordinateur, connexion Internet, messagerie. L’employeur ne pouvait accéder au contenu de la messagerie du salarié sans violer le secret des correspondances qui en découle ; il ne pouvait pas non plus interdire toute utilisation personnelle de ces outils informatiques professionnels. Par la suite, la jurisprudence a, à plusieurs reprises, précisé les contours de ce droit à la vie privée, souvent dans un sens favorable au salarié. Aujourd’hui, les tribunaux opèrent un rééquilibrage au profit de l’employeur, notamment dans des situations d’abus manifeste des premiers. Ainsi les dossiers, fichiers se sont vu reconnaître récemment une présomption de caractère professionnel, rendant possible un accès libre par l’employeur (1). De même, un arrêt important de la Cour de Cassation du 9 juillet 2008 vient juste de reconnaître une telle présomption s’agissant de l’usage de la connexion Internet de l’entreprise par le salarié (2). Retour sur les dernières évolutions en la matière. 1. Les dossiers, fichiers, mèls du salarié sont présumés être professionnels Suite à l’arrêt Nikon (Soc. 2 Octobre 2001), une distinction était apparue : les dossiers, fichiers et mèls comportant la mention « personnel » étaient soustraits du pouvoir de contrôle de l’employeur, ceux qui ne l’arboraient pas le demeuraient. Cette pratique pouvait aboutir à des dérives, certains salariés dissimulant sous cette mention des photos érotiques ou encore des informations confidentielles qu’ils transmettaient à des concurrents. Le préjudice pour l’employeur était alors énorme puisque du fait de cette mention, il ne pouvait rien faire. C’est ainsi que dans un arrêt du 17 mai 2005 « Cathnet-Science », la Cour de Cassation condamnait un employeur qui avait accédé à un fichier « personnel » de son salarié contenant des photos « torrides », invalidant le licenciement pour faute grave fondé sur cette base. Implicitement, cette décision reconnaissait cependant que l’employeur pouvait ouvrir les fichiers « personnels » du salarié soit « en sa présence ou celui-ci dûment appelé », soit hors sa présence et sans que celui-ci n’ait été prévenu, « en cas de risque ou d’événement
Page 12/36
particulier ». Reste à définir ce qui peut constituer un tel risque ou événement particulier… Par deux arrêts rendus le 18 octobre 2006, la Cour de cassation s’est montré plus explicite sur le pouvoir de contrôle de l’employeur : × Dans la première affaire, elle considère que « les documents détenus par le salarié dans le bureau de l’entreprise mis à sa disposition sont, sauf lorsqu’il les identifie comme étant personnels, présumés avoir un caractère professionnel, en sorte que l’employeur peut y avoir accès hors sa présence ». × Dans la seconde affaire, elle précise que « les dossiers et fichiers créés par un salarié grâce à l’outil informatique mis à sa disposition par l’employeur pour l’exécution de son travail sont présumés, sauf si le salarié les identifie comme étant personnels, avoir un caractère professionnel, de sorte que l’employeur peut y avoir accès hors sa présence ». Elle tire également une circonstance aggravante du fait du cryptage délibéré par le salarié de son poste informatique « sans autorisation de la société faisant ainsi obstacle à la consultation », « ce comportement du salarié qui avait déjà fait l’objet d’une mise en garde au sujet des manipulation sur l’ordinateur, rendait impossible le maintien des relations contractuelles pendant la durée du préavis et constituait une faute grave ». Ainsi est clairement affirmé le droit légitime de l’employeur d’accéder à TOUS les documents du salarié, qu’ils soient électroniques ou pas ; ces documents sont présumés être professionnels, sauf lorsque figure la mention « personnel ». Dans ce cas, il conviendra de se référer aux modalités d’accès définies par l’arrêt Cathnet-Science. Le pouvoir de contrôle de l’employeur même en l’absence du salarié en ressort conforté. Toutefois l’identification du caractère privée des documents pourrait ne pas dépendre systématiquement de la seule apposition de la mention « personnel ». Ainsi, si des documents présumés professionnels (donc sans mention) comportent une partie manifestement privé, sans qu’un abus du salarié ne puisse être reproché, l’employeur serait obligé de faire la part des choses entre la partie professionnelle (opposable) et la partie privée (non opposable car relevant de la vie privée du salarié). C’est le sens d’un jugement du TGI de Quimper du 17 juillet 08, condamnant le DGS d’une commune pour atteinte au secret des correspondances. Cette solution est intimement liée aux faits très précis de l’affaire et il serait hâtif d’en tirer un principe, un appel ayant été formé. Une généralisation de cette solution jetterait cependant le trouble dans l’effort de simplification mené par la Cour de Cassation en consacrant la présomption de caractère professionnel des documents détenus par le salarié, et compliquerait d’avantage la tâche de l’employeur. 2. L’usage de la connexion Internet de l’entreprise est présumé être professionnel S’il est aisé d’identifier un fichier ou un message comme étant personnel, la question d’un usage personnel de la connexion Internet de l’entreprise est plus délicate. En 2001, l’arrêt Nikon avait invalidé toute interdiction par l’employeur d’une utilisation personnelle de l’ordinateur mis à disposition : en vertu de son droit à la vie privée même au temps et au lieu de travail, le salarié peut utiliser l’outil informatique professionnel à des fins personnelles,
Page 13/36
comme il peut passer des appels téléphoniques privés ou réaliser des photocopies pour ses besoins propres. Cela inclut la connexion Internet de l’entreprise et donc une navigation privée du salarié. Pour autant, cette sphère de vie privée au travail couvre t-elle tout type de navigation de la part du salarié ? Dans l’arrêt Nortel, la Chambre criminelle de la Cour de Cassation a considéré qu’un salarié qui pendant son temps de travail et à partir de la connexion Internet de l’entreprise : × visitait des sites échangistes et pornographiques, × alimentait son propre site échangiste et pornographique, × utilisait sa messagerie professionnelle pour envoyer et recevoir des messages sur des thèmes sexuels ou des propositions échangistes × avait détourné son ordinateur et la connexion Internet de l’usage pour lequel ils avaient été mis à sa disposition, se rendant coupable de l’infraction pénale d’abus de confiance (Crim 19 mai 2004, Nortel). Toute navigation ne pourra donc pas être protégée par le droit à la vie privée du salarié. Comme pour le téléphone ou les photocopies, l’utilisation privée de la connexion Internet de l’entreprise doit rester raisonnable, le salarié étant tenu d’une obligation de loyauté vis-à-vis de son employeur (article L 120-4 du Code du Travail). En cas d’abus, la sanction s’en trouverait justifiée. Plus récemment, la Chambre sociale de la Cour de Cassation vient de juger le 9 juillet 2008 que « les connexions établies par un salarié sur des sites Internet pendant son temps de travail grâce à l’outil informatique mis à sa disposition par son employeur pour l’exécution de son travail sont présumées avoir un caractère professionnel, de sorte que l’employeur peut les rechercher aux fins de les identifier, hors de sa présence » (Soc. 9 juillet 2008, Entreprise Martin). Cet arrêt généralise donc le droit d’accès de l’employeur sur l’historique de navigation de chaque salarié, ainsi que son pouvoir quasi inquisitoire de rechercher si le salarié a effectivement fait une utilisation raisonnable de la connexion mise à sa disposition. Comment alors considérer si une navigation est abusive ou non ? Si le caractère abusif ne fait aucun doute s’agissant de la consultation de sites pornographiques, quid des autres sites n’ayant pas de lien direct avec les missions du salarié et dont le contenu n’est manifestement pas répréhensible (messagerie personnelle, site communautaires, site d’informations diverses…) ? De toute évidence, le temps de visite passé sur chaque site sera déterminant pour apprécier s’il y a abus ou pas ; une déclaration CNIL sera indispensable en cas de relevé nominatif des connexions, à coté des autres principe de discussion collective, transparence et proportionnalité préalables à la mise en place de toute cybersurveillance∗. Enfin, doit-on déduire que la responsabilité de l’administrateur réseau ne serait pas engagée s’il fournit l’historique de navigation d’un salarié sur demande de l’employeur, compte tenu de la reconnaissance jurisprudentielle du pouvoir d’inspection de ce dernier ? Avec autant d’interrogations, la charte informatique revêt alors un rôle crucial surtout lorsqu’elle sera annexée au règlement intérieur de l’entreprise : c’est elle qui fixe les règles du jeu. En cas de conflit, c’est à elle qu’on fera référence en priorité,.
Page 14/36
Conclusion Après la reconnaissance d’un droit à la vie privée informatique du salarié, voici maintenant la confirmation explicite d’un égal droit d’accès de l’employeur. Certes, ce droit d’accès continue à être limité par l’apposition de la mention « personnel » sur tous documents détenus pas le salarié, mais il est difficile d’apposer une telle mention sur ses connexions Internet. Le havre de la vie privée succombe alors au profit de l’employeur dans des situations d’abus manifestes qu’il appartiendra d’apprécier au cas par cas. Nul doute que la charte informatique continuera à jouer un rôle déterminant dans cette tâche délicate.
Page 15/36
4/Licenciement et propos tenus sur un blog
Licenciée en avril 2006 pour avoir tenu sur son blog des propos qui ont été jugés dénigrants et portant atteinte à la réputation de l’entreprise pour laquelle elle travaillait, une jeune anglaise travaillant en France a saisi le Conseil des Prud’hommes pour licenciement abusif.
Licenciée en avril 2006 pour avoir tenu sur son blog des propos qui ont été jugés dénigrants et portant atteinte à la réputation de l’entreprise pour laquelle elle travaillait, une jeune anglaise travaillant en France a saisi le Conseil des Prud’hommes pour licenciement abusif. Le blog litigieux, « petiteanglaise.com », permettait à son auteur de partager son expérience d’expatriée et ne contenait que très peu d’éléments relatifs à sa vie professionnelle. Par une décision du 30 mars 2007, le Conseil des Prud’hommes a considéré que le licenciement était abusif et a condamné l’employeur à 44.000 euros de dommages et intérêts. Cette affaire rappelle que le principe de liberté d’expression s’applique à tous les écrits, même diffusés sur un blog. Ce principe de liberté d’expression est énoncé par l’article 11 de la Déclaration des droits de l’homme et reconnu par l’article 10 de la Convention européenne des droits de l’homme. Il trouve sa traduction dans la loi du 29 juillet 1881 relative à la liberté de la presse. Cette loi a pour objectif de concilier la liberté d’expression avec le respect des droits fondamentaux de la personne (droit à l’image, respect de la vie privée, de l’honneur et de la réputation, présomption d’innocence...) et la protection de l’ordre public. Ces dispositions ont été appliquées dans la décision du Conseil des Prud’hommes de Paris le 13 mai 2005, considérant comme abusif le licenciement prononcé à l’encontre de Daniel Schneidermann, chroniqueur du journal « Le Monde » suite à la publication d’un livre dans lequel il critiquait certaines positions prises par la direction du journal. Par ailleurs, dans l’affaire « petiteanglaise.com », l’employeur estimait que le fait de rédiger certains des articles du blog sur le lieu et durant les heures de travail constituait des éléments supplémentaires apportant une cause réelle et sérieuse au licenciement. Cet argument a été écarté, conformément à la décision du Conseil des Prud’hommes de Nanterre du 16 juillet 1999 selon laquelle le fait d'alimenter un blog ou de le consulter sur son lieu de travail ne justifie pas un licenciement pour faute du salarié, à moins qu'une clause du contrat de travail ou de règlement intérieur ne le prohibe expressément. De manière générale, la tenue d’un blog par un salarié n’est donc pas en soi une cause réelle et sérieuse pouvant motiver un licenciement, sauf si les propos qu’il contient portent atteinte aux droits fondamentaux susvisés. Enfin, on peut imaginer la validation du licenciement si le temps passé par le salarié à alimenter son blog sur son lieu de travail est excessif et nuit gravement à sa prestation de travail
Page 16/36
Un syndicat comme tout citoyen a toute latitude pour créer un site internet pour l’exercice de son droit d’expression directe et collective ».
� � Par un arrêt du 15 juin 2006[1], la 18ème chambre C de la Cour d’appel de Paris vient ainsi rappeler la nécessaire protection qui doit être accordée au droit constitutionnel que constitue la liberté d’expression, droit d’autant plus fondamental pour les organisations syndicales pour qui cette liberté constitue l’essence même de leur action de défense des intérêts des salariés. Etait en cause en l'espèce le site internet d’une organisation syndicale de branche sur lequel était diffusé un certain nombre d’informations relatives à une entreprise, et notamment un bilan économique, un rapport de gestion accompagné des avis rendus par un expert mandaté par le comité d’entreprise, mais également des comptes-rendus de négociations salariales et des procès-verbaux de réunions des institutions représentatives du personnel. Informée de cette publication, la Direction de cette entreprise a saisi la justice pour obtenir la suppression de ces rubriques sur le site internet de l’organisation syndicale. Le Tribunal de Grande Instance de Bobigny devait, par jugement en date du 11 janvier 2005, faire droit en partie à ces demandes par une motivation tout à fait critiquable[2] fondée essentiellement sur une conception extensive et contestable de l’obligation de discrétion et de confidentialité. Les premiers juges ont en effet considéré que les documents diffusés constituaient des informations soumises à l’obligation de discrétion ou à des règles de confidentialité. Ils avaient ajouté pour retenir la responsabilité de l’organisation syndicale de branche propriétaire du site que cette dernière ne pouvait soutenir utilement que les règles de discrétion résultant du contrat de travail ou les règles de confidentialité résultant des textes spécifiques du Code du travail ne s’appliquaient pas à elle, alors que cette organisation tenait ses informations des salariés de l’entreprise et qu’elles devaient représenter leurs intérêts et non les amener à violer leurs obligations contractuelles ou légales. La Cour d’appel de Paris infirme logiquement cette décision en rappelant les contours précis de l’obligation de discrétion qui, constituant une limite à l’exercice de la liberté d’expression, doit être interprétée restrictivement : « Un syndicat comme tout citoyen a toute latitude pour créer un site internet pour l’exercice de son droit d’expression directe et collective. Aucune restriction n’est apportée à l’exercice de ce droit et aucune obligation légale de discrétion ou confidentialité ne pèse sur ses membres à l’instar de celle pesant, en vertu de l’article L 432-7 alinéa 2 du code du travail, sur les membres du comité d’entreprise et représentants syndicaux, quand bien même il peut y avoir identité
Page 17/36
de personnes entre eux. » La 18ème Chambre C retient pour rejeter les demandes de l’entreprise tendant à la suppression de rubriques sur le site internet que « si l’obligation de confidentialité s’étend également aux experts et techniciens mandatés par le comité d’entreprise, force est de constater qu’aucune disposition ne permet en revanche de l’étendre à un syndicat de surcroît, comme en l’espèce, syndicat de branche n’ayant aucun lien direct avec l’entreprise, et ce, alors même que la diffusion contestée s’effectue en dehors de la société ». La Cour d’appel de Paris vient ainsi très justement rappeler que la confidentialité dans les rapports entre les partenaires sociaux de l’entreprise doit rester une exception cantonnée à des documents et des personnes clairement identifiés, et que l’obligation de discrétion prévue par la loi ne saurait recevoir une application extensive, qui plus est en dehors de l’enceinte de l’entreprise, ce qui aboutirait in fine à porter atteinte à la liberté d’expression des organisations syndicales et à la collectivité des salariés. Décision salutaire pour l’action syndicale pour qui le site internet s’avère aujourd’hui un moyen de communication incontournable.� � rappeler la nécessaire protection qui doit être accordée au droit constitutionnel que constitue la liberté d’expression, droit d’autant plus fondamental pour les organisations syndicales pour qui cette liberté constitue l’essence même de leur action de défense des intérêts des salariés. Etait en cause en l'espèce le site internet d’une organisation syndicale de branche sur lequel était diffusé un certain nombre d’informations relatives à une entreprise, et notamment un bilan économique, un rapport de gestion accompagné des avis rendus par un expert mandaté par le comité d’entreprise, mais également des comptes-rendus de négociations salariales et des procès-verbaux de réunions des institutions représentatives du personnel. Informée de cette publication, la Direction de cette entreprise a saisi la justice pour obtenir la suppression de ces rubriques sur le site internet de l’organisation syndicale. Le Tribunal de Grande Instance de Bobigny devait, par jugement en date du 11 janvier 2005, faire droit en partie à ces demandes par une motivation tout à fait critiquable[2] fondée essentiellement sur une conception extensive et contestable de l’obligation de discrétion et de confidentialité. Les premiers juges ont en effet considéré que les documents diffusés constituaient des informations soumises à l’obligation de discrétion ou à des règles de confidentialité. Ils avaient ajouté pour retenir la responsabilité de l’organisation syndicale de branche propriétaire du site que cette dernière ne pouvait soutenir utilement que les règles de discrétion résultant du contrat de travail ou les règles de confidentialité résultant des textes spécifiques du Code du travail ne s’appliquaient pas à elle, alors que cette organisation tenait ses informations des salariés de l’entreprise et qu’elles devaient représenter leurs intérêts et non les amener à violer leurs obligations contractuelles ou légales. La Cour d’appel de Paris infirme logiquement cette décision en rappelant les contours précis de l’obligation de discrétion qui, constituant une limite à l’exercice de la liberté d’expression, doit être interprétée restrictivement : « Un syndicat comme tout citoyen a toute latitude pour créer un site internet pour l’exercice de son droit d’expression directe et collective. Aucune
Page 18/36
restriction n’est apportée à l’exercice de ce droit et aucune obligation légale de discrétion ou confidentialité ne pèse sur ses membres à l’instar de celle pesant, en vertu de l’article L 432-7 alinéa 2 du code du travail, sur les membres du comité d’entreprise et représentants syndicaux, quand bien même il peut y avoir identité de personnes entre eux. » La 18ème Chambre C retient pour rejeter les demandes de l’entreprise tendant à la suppression de rubriques sur le site internet que « si l’obligation de confidentialité s’étend également aux experts et techniciens mandatés par le comité d’entreprise, force est de constater qu’aucune disposition ne permet en revanche de l’étendre à un syndicat de surcroît, comme en l’espèce, syndicat de branche n’ayant aucun lien direct avec l’entreprise, et ce, alors même que la diffusion contestée s’effectue en dehors de la société ». La Cour d’appel de Paris vient ainsi très justement rappeler que la confidentialité dans les rapports entre les partenaires sociaux de l’entreprise doit rester une exception cantonnée à des documents et des personnes clairement identifiés, et que l’obligation de discrétion prévue par la loi ne saurait recevoir une application extensive, qui plus est en dehors de l’enceinte de l’entreprise, ce qui aboutirait in fine à porter atteinte à la liberté d’expression des organisations syndicales et à la collectivité des salariés. Décision salutaire pour l’action syndicale pour qui le site internet s’avère aujourd’hui un moyen de communication incontournable.� �
Par un arrêt du 15 juin 2006[1], la 18ème chambre C de la Cour d’appel de Paris vient ainsi rappeler la nécessaire protection qui doit être accordée au droit constitutionnel que constitue la liberté d’expression, droit d’autant plus fondamental pour les organisations syndicales pour qui cette liberté constitue l’essence même de leur action de défense des intérêts des salariés. Etait en cause en l'espèce le site internet d’une organisation syndicale de branche sur lequel était diffusé un certain nombre d’informations relatives à une entreprise, et notamment un bilan économique, un rapport de gestion accompagné des avis rendus par un expert mandaté par le comité d’entreprise, mais également des comptes-rendus de négociations salariales et des procès-verbaux de réunions des institutions représentatives du personnel. Informée de cette publication, la Direction de cette entreprise a saisi la justice pour obtenir la suppression de ces rubriques sur le site internet de l’organisation syndicale. Le Tribunal de Grande Instance de Bobigny devait, par jugement en date du 11 janvier 2005, faire droit en partie à ces demandes par une motivation tout à fait critiquable[2] fondée essentiellement sur une conception extensive et contestable de l’obligation de discrétion et de confidentialité. Les premiers juges ont en effet considéré que les documents diffusés constituaient des informations soumises à l’obligation de discrétion ou à des règles de confidentialité. Ils avaient ajouté pour retenir la responsabilité de l’organisation syndicale de branche propriétaire du site que cette dernière ne pouvait soutenir utilement que les règles de discrétion résultant du contrat de travail ou les règles de confidentialité résultant des textes spécifiques du Code du travail ne s’appliquaient pas à elle, alors que cette organisation tenait ses
Page 19/36
informations des salariés de l’entreprise et qu’elles devaient représenter leurs intérêts et non les amener à violer leurs obligations contractuelles ou légales. La Cour d’appel de Paris infirme logiquement cette décision en rappelant les contours précis de l’obligation de discrétion qui, constituant une limite à l’exercice de la liberté d’expression, doit être interprétée restrictivement : « Un syndicat comme tout citoyen a toute latitude pour créer un site internet pour l’exercice de son droit d’expression directe et collective. Aucune restriction n’est apportée à l’exercice de ce droit et aucune obligation légale de discrétion ou confidentialité ne pèse sur ses membres à l’instar de celle pesant, en vertu de l’article L 432-7 alinéa 2 du code du travail, sur les membres du comité d’entreprise et représentants syndicaux, quand bien même il peut y avoir identité de personnes entre eux. » La 18ème Chambre C retient pour rejeter les demandes de l’entreprise tendant à la suppression de rubriques sur le site internet que « si l’obligation de confidentialité s’étend également aux experts et techniciens mandatés par le comité d’entreprise, force est de constater qu’aucune disposition ne permet en revanche de l’étendre à un syndicat de surcroît, comme en l’espèce, syndicat de branche n’ayant aucun lien direct avec l’entreprise, et ce, alors même que la diffusion contestée s’effectue en dehors de la société ». La Cour d’appel de Paris vient ainsi très justement rappeler que la confidentialité dans les rapports entre les partenaires sociaux de l’entreprise doit rester une exception cantonnée à des documents et des personnes clairement identifiés, et que l’obligation de discrétion prévue par la loi ne saurait recevoir une application extensive, qui plus est en dehors de l’enceinte de l’entreprise, ce qui aboutirait in fine à porter atteinte à la liberté d’expression des organisations syndicales et à la collectivité des salariés. Décision salutaire pour l’action syndicale pour qui le site internet s’avère aujourd’hui un moyen de communication incontournable.� � �
Page 20/36
5/Accès aux fichiers personnels d’un salarié
Philippe K. a été licencié pour faute grave à la suite de la découverte de photos érotiques dans un tiroir de son bureau, il avait été procédé à une recherche sur le disque dur de son ordinateur qui avait permis de trouver un ensemble de dossier... � � L'arrêt « Nikon » du 2 octobre 2001(pdf) avait reconnu au salarié le droit au respect de l'intimité de sa vie privée sur leur lieu de travail. Cela implique « que l'employeur ne peut dès lors sans violation de cette liberté fondamentale prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail et ceci même au cas où l'employeur aurait interdit une utilisation non professionnelle de l'ordinateur ». La Cour de cassation, dans un arrêt du 17 mai 20051, a précisé les conditions dans lesquelles l'employeur peut accéder aux fichiers personnels d'un salarié enregistrés sur le disque dur de son poste de travail : « Attendu que, sauf risque ou événement particulier, l'employeur ne peut ouvrir les fichiers identifiés par le salarié comme personnels contenus sur le disque dur de l'ordinateur mis à sa disposition qu'en présence de ce dernier ou celui-ci dûment appelé ; Qu'en statuant comme elle l'a fait, alors que l'ouverture des fichiers personnels, effectuée hors la présence de l'intéressé, n'était justifiée par aucun risque ou événement particulier, la cour d'appel a violé (…) », l'article 8 de la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, l'article 9 du Code civil, l'article 9 du nouveau Code de procédure civile et l'article L.120-2 du code du travail. Cet arrêt étend au domaine informatique la solution dégagée par la Cour de cassation dans un arrêt du 11 décembre 2001 relatif aux conditions de contrôle du contenu d'une armoire d'un employé. En l'espèce, la Cour avait précisé que le règlement intérieur doit prévoir l'éventualité d'un tel accès ainsi qu'une information préalable du salarié (qui doit être présent au moment de la vérification du contenu ou au moins être prévenu). Exceptionnellement, le contrôle de cette espace réservé est possible sans inscription au règlement intérieur et sans information préalable du salarié en cas de « risque ou d'événement particulier ». En l'espèce, la Cour avaiconsidéré que la fouille de l'armoire individuelle ayant permis la découverte de boissons alcoolisées n'était justifiée par aucun risque ou événement particulier. Reste à la jurisprudence à définir ce qu'elle entend par « risque ou événement particulierqui vraisemblablement sera fait au cas par cas.
L'arrêt « Nikon » du 2 octobre 2001 (pdf) avait reconnu au salarié le droit au respect de l'intimité de sa vie privée sur leur lieu de travail. Cela implique « que l'employeur ne peut dès lors sans violation de cette liberté fondamentale prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail et ceci même au cas où l'employeur aurait interdit une utilisation non professionnelle de l'ordinateur ». La Cour de cassation, dans un arrêt du 17 mai 20051, a précisé les conditions dans lesquelles l'employeur peut accéder aux fichiers personnels d'un salarié enregistrés sur le disque dur de son poste de travail :
Page 21/36
« Attendu que, sauf risque ou événement particulier, l'employeur ne peut ouvrir les fichiers identifiés par le salarié comme personnels contenus sur le disque dur de l'ordinateur mis à sa disposition qu'en présence de ce dernier ou celui-ci dûment appelé ; Qu'en statuant comme elle l'a fait, alors que l'ouverture des fichiers personnels, effectuée hors la présence de l'intéressé, n'était justifiée par aucun risque ou événement particulier, la cour d'appel a violé (…) », l'article 8 de la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, l'article 9 du Code civil, l'article 9 du nouveau Code de procédure civile et l'article L.120-2 du code du travail. Cet arrêt étend au domaine informatique la solution dégagée par la Cour de cassation dans un arrêt du 11 décembre 2001 relatif aux conditions de contrôle du contenu d'une armoire d'un employé. En l'espèce, la Cour avait précisé que le règlement intérieur doit prévoir l'éventualité d'un tel accès ainsi qu'une information préalable du salarié (qui doit être présent au moment de la vérification du contenu ou au moins être prévenu). Exceptionnellement, le contrôle de cette espace réservé est possible sans inscription au règlement intérieur et sans information préalable du salarié en cas de « risque ou d'événement particulier ». En l'espèce, la Cour avait considéré que la fouille de l'armoire individuelle ayant permis la découverte de boissons alcoolisées n'était justifiée par aucun risque ou événement particulier. Reste à la jurisprudence à définir ce qu'elle entend par « risque ou événement particulier », ce qui vraisemblablement sera fait au cas par cas.
Auteur : Me. Martine Ricouart-Maillet Avocate associée, cabinet BRM. et M. Nicolas Samarcq Juriste TIC. | Source : http://www.brmavocats.com |
Page 22/36
6/INTERNET : DOIT-ON NÉGOCIER L’EXERCICE DES LIBERTÉS DANS L’ENTREPRISE ?
L’ouverture de l’entreprise à Internet bouleverse sans commune mesure le modèle sociologique, économique et juridique du travail sur lequel reposent nos cadres et nos références. Le droit est confronté au défi de son adaptation. Les espaces temporels et matériels dessinés par la loi sont mis à mal par l’émergence des libertés fondamentales des salariés sur leur lieu de travail.
Le découpage opéré entre vie privée et vie professionnelle a fait son temps. La reconnaissance d’une nécessaire autonomie dans la subordination par l’arrêt Nikon de 2001 et d’un droit au respect de sa vie personnelle pour le salarié marque un changement dans la conception de la relation entre travailleur et son employeur. Les temps de la vie se confondent, phénomène à la fois provoqué et accentué par l’utilisation d’Internet. Cet outil permet non seulement le développement des relations humaines en offrant une communication facilitée avec l’extérieur et les proches, mais constitue aussi un vecteur puissant d’expansion de l’activité économique des entreprises. Profitabilité et vie privée des salariés empruntent le même canal mais la cohabitation peut s’avérer conflictuelle. Au-delà d’une interrogation posée au cadre juridique, l’utilisation d’Internet apparaît comme le révélateur d’une évolution de l’exercice du pouvoir de l’employeur marquée par l’exigence de transparence traversant l’ensemble de notre société démocratique. L’émergence des libertés des salariés dans l’entreprise a marqué dans le même temps le recul du caractère discrétionnaire des décisions du chef d’entreprise. Le temps de « l’employeur seul juge » est depuis longtemps révolu. Ces dix dernières années ont vu la constitution d’un droit à l’information au profit du salarié ou de ses représentants comme en témoigne la consultation du comité d’entreprise en matière technologique (art. L. 432-2 c. trav.). L’employeur se doit aujourd’hui de justifier de plus en plus ses décisions et d’en informer les travailleurs concernés. C’est ainsi que nous avons assisté à la récente floraison de chartes Internet rattachées le plus souvent à la modification du règlement intérieur des entreprises. Cependant, la simple information des salariés et de leurs représentants s’avère-t-elle suffisante ? Eu égard aux évolutions jurisprudentielles attendues, il peut être légitime d’en douter. La reconnaissance des libertés des salariés sur le lieu de travail au même rang que l’intérêt de l’entreprise a profondément modifié l’approche judiciaire. Recherchant aujourd’hui la conciliation de deux valeurs juridiquement protégées, le juge fait appel à la technique de proportionnalité, telle qu’elle est envisagée par l’article L. 120-2 en tant que principe gouvernant l’exécution du contrat de travail : « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché ». Bien que « l’affaire du bermuda » (Soc. 28 mai 2003, pourvoi n° 02-40.273 ) montre encore une certaine timidité de la Cour de cassation en la matière, le développement d’un contrôle de proportionnalité dans
Page 23/36
l’appréciation des atteintes constatées aux libertés des salariés augmentera le niveau d’exigence des juges. Dans ce contexte, il semble peu vraisemblable qu’une simple information des salariés écarterait les griefs encourus. Le renforcement du contrôle du juge et le développement corrélatif du contentieux doivent donc être envisagés et anticipés. La simple élaboration d’une charte internet incorporée au règlement intérieur pourrait s’avérer à l’avenir insuffisante. Les acteurs de l’entreprise doivent aussi se préparer au développement d’une négociation organisant la conciliation des impératifs de l’entreprise et de l’exercice des libertés des salariés dans leur espace de travail. Ce recours à la négociation est tout d’abord un enjeu pour la représentation des salariés. Les syndicats montrent encore trop peu d’intérêts pour l’introduction d’Internet dans l’entreprise en dehors de ses conséquences sur l’exercice du droit syndical. Du côté de la représentation élue, le caractère marginal du recours à l’expertise technologique (art. L. 434-5 c.trav.) encore de l’utilisation du droit d’alerte par les délégués du personnel (art. L. 422-1-1 c.trav.) sont autant d’indices de la faiblesse d’action dans ce domaine. L’évolution doit être accélérée si ces institutions désirent répondre aux futurs besoins des salariés en matière d’exercice et de protection de leurs droits et libertés sur leur outil informatique. La négociation constitue également un enjeu pour les directions. Si le développement du contentieux vient à s’amorcer, il entraînerait un risque juridique et financier à prendre en compte par les employeurs. La limitation du nombre de litiges pourrait être obtenue par une négociation sur l’exercice des libertés des salariés en fixant notamment un cadre et des procédures conventionnels permettant en autre un exercice clarifié du droit disciplinaire. Une organisation concertée de la conciliation des intérêts divergents en cause réduirait certainement les conflits à venir. L’émergence d’un « pouvoir négocié » est peut être une piste à envisager…
Page 24/36
7/Le contrôle de l'utilisation d’internet et de la messagerie
Pour l’exercice de leur activité professionnelle, les salariés ont à leur disposition un poste de travail informatique qui peut être connecté à internet et doté d’une messagerie électronique. L’utilisation, sur les lieux de travail, de ces outils informatiques à des fins autres que professionnelles est généralement tolérée. Elle doit rester raisonnable et ne doit pas affecter la sécurité des réseaux ou la productivité de l’entreprise ou de l’administration concernée.
Le contrôle de l’utilisation d’internet
L’employeur peut fixer les conditions et limites de l’utilisation d’internet. Ces limites ne constituent pas, en soi, une atteinte à la vie privée des salariés.
Par exemple : L’employeur peut mettre en place des dispositifs de filtrage de sites non autorisés (sites à caractère pornographique, pédophile, d’incitation à la haine raciale, révisionnistes, etc.). Il peut également fixer des limites dictées par l’exigence de sécurité de l’organisme, telles que l’interdiction de télécharger des logiciels, l’interdiction de se connecter à un forum ou d’utiliser le « chat », l’interdiction d’accéder à une boîte aux lettres personnelle par internet compte tenu des risques de virus qu’un tel accès est susceptible de présenter, etc.
Nécessité d’informer les salariés
Les salariés doivent être informés des dispositifs mis en place et des modalités de contrôle de l’utilisation d’internet :
Le comité d’entreprise doit avoir été consulté et informé (article L2323-32 du code du travail);
Les salariés doivent être informés, notamment de la finalité du dispositif de contrôle et de la durée pendant laquelle les données de connexion sont conservées.Une durée de conservation de l’ordre de six mois est suffisante, dans la plupart des cas, pour dissuader tout usage abusif d’internet.
Si des procédures disciplinaires sont susceptibles d’être engagées sur la base de ces fichiers, les salariés doivent en être explicitement informés (par exemple au moyen d’une charte).
Comment déclarer ?
Lorsque l’entreprise ou l’administration met en place un dispositif de contrôle individuel des salariés destiné à produire un relevé des connexions ou des sites visités, poste par poste, le traitement ainsi mis en oeuvre doit être déclaré à la CNIL (déclaration normale) sauf si un correspondant informatique et libertés a été désigné, auquel cas aucune déclaration n’est nécessaire.
Par exemple : logiciel de contrôle de l’utilisation d’internet permettant d’analyser les données de connexion de chaque salarié ou de calculer le temps passé sur internet par un salarié déterminé.
Page 25/36
Lorsque l’entreprise ou l’administration met en place un dispositif qui ne permet pas de contrôler individuellement l’activité des salariés, ce dispositif peut faire l’objet d’une déclaration de conformité en référence à la norme simplifiée n° 46 (gestion des personnels des organismes publics et privés). Par exemple : logiciel permettant seulement de réaliser des statistiques sur l’utilisation d’internet au niveau de l’ensemble des salariés de l’entreprise ou au niveau d’un service déterminé.
Le contrôle de l’utilisation de la messagerie
Des exigences de sécurité, de prévention ou de contrôle de l’encombrement du réseau peuvent conduire les entreprises ou les administrations à mettre en place des outils de contrôle de la messagerie. Par exemple : outils de mesure de la fréquence, de la taille, des messages électroniques ; outils d’analyse des pièces jointes (détection des virus, filtres « anti-spam » destinés à réduire les messages non-sollicités, etc.).
Nécessité d’informer les salariés
Les dispositifs de contrôle de la messagerie doivent faire l’objet d’une consultation du comité d’entreprise ou, dans la fonction publique, du comité technique paritaire ou de toute instance équivalente et d’une information individuelle des salariés.
Ils doivent notamment être informés, de la finalité du dispositif et de la durée pendant laquelle les données de connexion sont conservées ou sauvegardées.
En cas d’archivage automatique des messages électroniques, ils doivent en outre être informés des modalités de l’archivage, de la durée de conservation des messages, et des modalités d’exercice de leur droit d’accès.
Comment déclarer ?
La messagerie professionnelle doit faire l’objet d’une déclaration de conformité en référence à la norme n° 46 (gestion des personnels des organismes publics et privés). Si un dispositif de contrôle individuel de la messagerie est mis en place, il doit être déclaré à la CNIL (déclaration normale), sauf désignation d’un correspondant informatique et libertés.
Par exemple : logiciel d’analyse du contenu des messages électroniques entrant ou sortants destinés au contrôle de l’activité des salariés.
L’accès au poste informatique ou à la messagerie
L’employeur doit respecter le secret des correspondances privées une communication électronique émise ou reçue par un employé peut avoir le caractère d’une correspondance privée. La violation du secret des correspondances est une infraction pénalement sanctionnée par les articles L.226-15 (pour le secteur privé) et L.432-9 (pour le secteur public) du Code pénal.
Page 26/36
La Cour de cassation a affirmé, dans un arrêt du 2 octobre 2001 (arrêt « Nikon »), qu’un employeur ne saurait prendre connaissance de messages personnels d’un employé sans porter atteinte à la vie privée de celui-ci (article 9 du code civil) et au principe du secret des correspondances (article 226-15 du code pénal), quand bien même une utilisation à des fins privées aurait été proscrite par l’employeur. Pour autant, le principe du secret des correspondances connaît des limites dans la sphère professionnelle. Il peut également être levé dans le cadre d’une instruction pénale ou par une décision de justice.
Tout ce qui n’est pas identifié comme « personnel » est réputé être professionnel de sorte que l’employeur peut y accéder librement.
La Cour de cassation considère qu’un message envoyé ou reçu depuis le poste de travail mis à disposition par l’employeur revêt un caractère professionnel, sauf s’il est identifié comme étant « personnel », dans l’objet du message par exemple (Cour de cassation, 30 mai 2007).
Il appartient à l’employé d’identifier les messages qui sont personnels. À défaut d’une telle identification, les messages sont présumés être professionnels.
La nature personnelle d’un message peut figurer dans l’objet du message ou dans le nom du répertoire dans lequel il est stocké.
La CNIL recommande de porter à la connaissance des salariés (par exemple dans une charte) le principe retenu pour différencier les e-mails professionnels des e-mails personnels (qualification par l’objet, création d’un répertoire spécifique dédié au contenu privé, etc.).
Le cas des fichiers et des répertoires créés par un employé
Il a été jugé que les fichiers créés par un salarié grâce à l’outil informatique mis à sa disposition pour l’exécution de son travail sont présumés, sauf si le salarié les identifie comme étant personnels, avoir un caractère professionnel (Cour de cassation, 18 octobre 2006).
Tout fichier qui n’est pas identifié comme « personnel » est réputé être professionnel de sorte que l’employeur peut y accéder hors la présence du salarié.
Page 27/36
8/L'accès à la messagerie d’un salarié en son absence
27 juillet 2009
Pour assurer une continuité dans l’activité professionnelle, l’employeur peut être amené à accéder à la messagerie d’un salarié absent.
Comment l’employeur peut-il consulter ou utiliser la messagerie électronique professionnelle d’un salarié en cas d’absence prolongée ou de départ ?
Afin de ne pas risquer de porter atteinte à la vie privée des salariés, car ils peuvent être amenés à faire un usage privé de leur messagerie, ce qui n’est pas interdit, l’employeur doit fixer les conditions de consultation de messagerie en cas d’absence.
Ces règles peuvent par exemple figurer dans une charte informatique propre à l’entreprise : elles doivent être connues des salariés qui seront informés des modalités de consultation et d’utilisation de leur messagerie pendant leur absence.
Ainsi, la règle du jeu fixée à l’avance, en toute transparence, est de nature à éviter les risques de litige ultérieurs.
L’employeur peut-il consulter tous les messages envoyés ou reçus par un salarié absent ?
Les tribunaux considèrent que tout message reçu ou envoyé depuis le poste de travail mis à disposition par l’employeur a par principe un caractère professionnel. Dans ce cas, l’employeur peut le consulter. Toutefois, si le message est clairement identifié comme étant personnel, par exemple, si l’objet du message précise clairement qu’il s’agit d’un message privé ou personnel, l’employeur ne doit pas en prendre connaissance. Il doit respecter le secret des correspondances
L’employeur peut-il dans certains cas accéder aux messages qualifiés de « personnels » ?
Oui, à condition de le faire en présence du salarié ou après l’avoir invité à être présent, ou en cas de risque particulier pour l’entreprise.
Lorsque le salarié quitte l’entreprise, comment les choses doivent-elles se passer ?
Les modalités de fermeture du compte utilisateur du salarié doivent être organisées dans la charte informatique. L’employeur doit avertir le salarié de la date de fermeture de son compte, afin de lui permettre de vider sa messagerie.
L’adresse électronique nominative du salarié doit ensuite être supprimée par l’employeur.
Que faire en cas de désaccord ?
Page 28/36
Le principe reste la concertation entre le salarié et son employeur. Toutefois, si la relation de confiance est entamée, tout litige pourra être porté devant le juge qui appréciera si l’employeur a ou non commis une atteinte à la vie privée du salarié.
Page 29/36
9/L’utilisation de l’intranet et de la messagerie électronique de l’entreprise par les organisations syndicales
25 mai 2004
L’article L. 412-8 modifié du Code du travail officialise la possibilité pour les organisations syndicales d’utiliser l’intranet et la messagerie électronique de leur employeur par voie d’accord d’entreprise.
La loi n°2004-391 du 4 mai 2004 relative à la formation professionnelle tout au long de la vie et au dialogue social insère à l’article L 412-8 du Code du travail un alinéa ainsi rédigé :
« Un accord d'entreprise peut autoriser la mise à disposition des publications et tracts de nature syndicale, soit sur un site syndical mis en place sur l'intranet de l'entreprise, soit par diffusion sur la messagerie électronique de l'entreprise. Dans ce dernier cas, cette diffusion doit être compatible avec les exigences de bon fonctionnement du réseau informatique de l'entreprise et ne pas entraver l'accomplissement du travail. L'accord d'entreprise définit les modalités de cette mise à disposition ou de ce mode de diffusion, en précisant notamment les conditions d'accès des organisations syndicales et les règles techniques visant à préserver la liberté de choix des salariés d'accepter ou de refuser un message. »
Ces dispositions rejoignent les recommandations formulées par la CNIL dès mars 2001 dans son rapport sur la « cybersurveillance des salariés dans l’entreprise » concernant la définition des conditions internes d’utilisation des moyens informatiques par la négociation interne.
Certaines règles et principes peuvent ainsi être utilement rappelés :
• La nécessité d’une négociation préalable L’accès par les organisations syndicales à l’intranet et à la messagerie électronique de l’entreprise ne peut être considéré comme légitime que si sa mise en œuvre résulte d’une négociation, désormais rendue obligatoire par la loi.
• Le respect du principe de finalité Si la diffusion d’informations syndicales par voie électronique peut ainsi être autorisée par accord d’entreprise, les adresses de messagerie électronique des salariés ne peuvent être utilisées dans le cadre de celui-ci par les organisations syndicales ou par l’employeur pour d’autres raisons que la mise à disposition de publications et tracts de nature syndicale.
• Le respect des droits d’information et d’opposition préalable Les salariés doivent être clairement et préalablement informés de cette utilisation afin de pouvoir manifester leur accord ou leur opposition à l’envoi de tout message syndical sur leur messagerie professionnelle.
Page 30/36
L’accord conclu doit donc préciser les modalités selon lesquelles les employés peuvent s’opposer à recevoir des messages électroniques émanant d’organisations syndicales. En tout état de cause, ce droit ainsi que ses modalités d’exercice devraient être systématiquement rappelés dans tout message ultérieur afin que les salariés puissent, à tout moment, manifester leur volonté de s’opposer à la réception de messages syndicaux. Il apparaît par ailleurs utile de prévoir que l’indication du caractère syndical du message soit systématiquement mentionnée en objet du message électronique adressé, de façon à informer clairement les employés quant à l’origine et à la nature du message.
• Assurer la confidentialité des échanges avec les organisations syndicales L’accord conclu devrait également rappeler l’obligation de confidentialité à laquelle employeurs et organisations syndicales sont tenus. En particulier, toute mesure de sécurité devrait être prise afin d’assurer la confidentialité des échanges électroniques éventuels des salariés avec les organisations syndicales. Afin d’éviter toute possibilité d’utilisation détournée, l’employeur ne devrait pas pouvoir exercer de contrôle sur les listes de diffusion ainsi constituées. En effet, celles-ci sont susceptibles de révéler l’opinion favorable d’un salarié à l’égard d’une organisation, voire son appartenance à un syndicat déterminé, sur la base du choix opéré par ce salarié quant à son acceptation ou son refus de recevoir des messages à caractère syndical. Enfin, le texte nouveau ne concerne pas l’accès par les instances représentatives du personnel (Membres du comité d’entreprise, du CHSCT, de comités techniques paritaires, délégués du personnel) aux moyens informatiques de l’entreprise. Conformément, à ses précédentes recommandations, la CNIL considère qu’un tel accès devrait être reconnu et organisé selon les mêmes modalités.
Page 31/36
10/L'enregistrement des conversations téléphoniques sur le lieu de travail
L’ enregistrement des conversations téléphoniques ne peut être réalisé qu’en cas de nécessité reconnue et doit être proportionné aux objectifs poursuivis.
Par exemple, un enregistrement pour des besoins de formation ne pourra être réalisé que sur une brève période et en aucun cas de manière permanente.
Quelles garanties pour les salariés ?
Neutralisation de la fonction enregistrement pour les appels privés
En cas d’enregistrement des communications téléphoniques, il convient que les employés disposent de lignes téléphoniques non reliées au système d’enregistrement ou d’un dispositif technique leur permettant, en cas de conversation privée, de se mettre hors du champ du dispositif d’enregistrement, tant pour les appels entrants que sortants (par exemple : possibilité d’utiliser une touche particulière avant de composer un numéro de téléphone pour neutraliser la fonction d’enregistrement).
Ces fonctionnalités doivent être offertes tout particulièrement dans le cas des salariés protégés (représentants du personnel ou syndicaux).
Information des salariés
Outre la consultation des instances représentatives du personnel, les salariés ainsi que leurs interlocuteurs, doivent être informés, préalablement à la mise en place du dispositif :
• des objectifs poursuivis par l’installation de ce système; • des conséquences individuelles qui pourront en résulter; • des destinataires des enregistrements; • des modalités d’exercice de leur droit d’accès.
L’information des interlocuteurs peut notamment être réalisée par la diffusion d’un message au début de l’appel, ou par l’insertion d’une mention particulière dans le document contractuel ou d’information relatif au service téléphonique
Dans le cadre d’enregistrements ou d’écoutes à des fins de formation ou d’évaluation, les salariés doivent être informés des périodes pendant lesquelles leurs conversations sont susceptibles d’être enregistrées ou écoutées.
Combien de temps l’employeur peut-il garder les enregistrements ?
Lorsque les enregistrements sont réalisés à des fins de formation du personnel, la Commission recommande une durée de conservation maximale de 6 mois.
Page 32/36
Lorsque les enregistrements sont réalisés à des fins de preuve en matière bancaire, la durée de conservation doit être conforme aux articles 321 -78 et 321 -79 du Règlement Général de l’Autorité des Marchés Financiers (cinq ans maximum).
En matière d’écoutes téléphoniques, la Commission recommande que les comptes rendus des conversations téléphoniques et grilles d’analyse soient conservés pour une durée d’un an maximum.
Page 33/36
11/Les opérations de recrutement
Quelles sont les données qui peuvent être collectées ?
Les informations demandées sous quelque forme que ce soit, au candidat à un emploi ont pour finalité d’apprécier sa capacité à occuper l’emploi proposé. Elles doivent présenter un lien direct et nécessaire avec l’emploi proposé ou avec l’évaluation des aptitudes professionnelles du candidat.
La collecte des informations suivantes n’est pas pertinente, sauf cas particuliers justifiés par la nature très spécifique du poste à pourvoir ou par une obligation légale :
• date d’entrée en France ; • date de naturalisation ; • modalités d’acquisition de la nationalité française ; • nationalité d’origine ; • numéros d’immatriculation ou d’affiliation aux régimes de sécurité sociale ; • détail de la situation militaire : sous la forme « objecteur de conscience, ajourné,
réformé, motifs d’exemption ou de réformation, arme, grade » ; • adresse précédente ; • entourage familial du candidat (nom, prénom, nationalité, profession et employeur du
conjoint ainsi que nom, prénom, nationalité, profession, employeur, des parents, des beaux-parents, des frères et soeurs et des enfants) ;
• état de santé, taille, poids, vue ; • conditions de logement (propriétaire ou locataire) ; • vie associative ; • domiciliation bancaire, emprunts souscrits.
Enfin, il est interdit de collecter et de conserver des données personnelles qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou les appartenances syndicales, les informations relatives à la santé ou à la vie sexuelle des personnes. L’accord exprès exigé par la loi qui doit être recueilli par écrit ne saurait, à lui seul, justifier la collecte de telles données si ces dernières sont dépourvues de lien direct et nécessaire avec l’emploi proposé. Aussi de telles informations ne peuvent-elles être collectées que, dans certains cas, lorsqu’elles sont dûment justifiées par la spécificité du poste à pourvoir.
Le recueil de références auprès de l’environnement professionnel du candidat (supérieurs hiérarchiques, collègues, maîtres de stages, clients, fournisseurs...) est permis dès lors que le candidat en a été préalablement informé.
L’information des candidats
Lors de la collecte des données, les candidats doivent être informés :
• de l’identité du responsable du traitement (ex : cabinet de recrutement X ; service des ressources humaines de la société Y) ;
• des finalités du traitement (ex : gestion des candidatures) ;
Page 34/36
• du caractère obligatoire ou facultatif des réponses, (ex : le recueil d’informations sur les loisirs est facultatif) ;
• des conséquences à leur égard d’un défaut de réponse ; • des personnes physiques ou morales destinataires des informations (ex : autres
cabinets de recrutements) ; • des conditions d’exercice de leur droit d’accès et de rectification ainsi que de leur droit
d’opposition (ex : indication du service auprès duquel ces droits peuvent être exercés).
La CNIL recommande que les personnes chargées du recrutement prennent toutes les dispositions nécessaires pour informer le candidat, dans un délai raisonnable :
• des suites données à sa candidature; • de la durée de conservation des informations le concernant ainsi que de la possibilité
d’en demander la restitution ou la destruction; • de toute éventuelle cession d’informations avec d’autres organismes de recrutement et
de la possibilité de s’y opposer; • des méthodes et techniques d’aide au recrutement utilisées à son égard.
Les résultats obtenus doivent rester confidentiels. Les méthodes et techniques d’aide au recrutement ou d’évaluation des candidats à un emploi doivent être pertinentes au regard de la finalité poursuivie. La Commission recommande que l’information concernant les méthodes d’aide au recrutement employées soit dispensée préalablement par écrit sous une forme individuelle ou collective.
Lorsque l’identité de l’employeur n’a pas été précisée lors de l’offre de poste, il est recommandé que l’accord du candidat soit recueilli préalablement à la transmission de son CV à cet employeur.
Dans le cas de sites de recrutements en ligne, la CNIL recommande que le candidat à l’emploi soit informé de la forme, nominative ou non, sous laquelle les informations le concernant seront éventuellement diffusées en ligne ou transmises aux employeurs.
Comment exercer ses droits ?
Tout candidat ou employé doit pouvoir obtenir sur demande et dans un délai raisonnable toutes les informations le concernant y compris les résultats des analyses et des tests (psychologiques, graphologiques...) ou évaluations professionnelles éventuellement pratiqués.
Le droit d’accès s’applique aux informations collectées directement auprès du candidat, aux informations éventuellement collectées auprès de tiers ainsi qu’aux informations issues des méthodes et techniques d’aide au recrutement.
La Commission recommande que la communication des informations contenues dans la fiche du candidat soit effectuée par écrit. La communication des résultats des tests ou évaluations peut être faite par tout moyen approprié au regard de la nature de l’outil utilisé.
Page 35/36
En cas de contestation portant sur l’exactitude des informations, la charge de la preuve incombe au service auprès duquel est exercé le droit d’accès sauf lorsqu’il est établi que les informations contestées ont été communiquées par la personne concernée ou avec son accord.
Page 36/36
12/Utilisation de badges sur le lieu de travail
Sur le lieu de travail, les badges électroniques (cartes magnétiques ou à puce) servent notamment au contrôle des accès aux locaux, à la gestion des temps de travail, ainsi qu’à la gestion de la restauration d’entreprise.
Ces différents types de dispositifs, qui comportent des données permet¬tant l’identification des employés, sont soumis à la loi « informatique et libertés » et, ainsi que la Cour de cassation l’a rappelé dans son arrêt du 6 avril 2004, doivent être préalablement déclarés auprès de la CNIL, sauf désignation d’un correspondant informatique et libertés.
Quelles garanties prévoir ?
Chaque passage du badge dans un lecteur permet l’enregistrement de données relatives à son détenteur. Ces enregistrements présentent des risques d’utilisation détournée et sont notamment susceptibles de « tracer » les déplacements des salariés à des fins de surveillance de leur activité.
Par ailleurs, les enregistrements réalisés peuvent parfois permettre à l’employeur d’accéder à des informations privées (consommations de ses personnels au sein du restaurant d’entreprise).
Des garanties particulières doivent donc être apportées par l’employeur pour éviter de tels détournements de finalité. Il doit notamment préciser :
• la finalité du dispositif (ex : contrôle des accès, gestion des temps de présence...); • les informations qui seront collectées; • les services destinataires des données; • les modalités d’exercice du droit d’accès à ces données. • Les personnels et leurs représentants doivent être parfaitement informés de ces
modalités, préalablement à la mise en oeuvre du système de badges
