CYBERSURVEILLANCE DES SALARIES
/ Avril 2022 /
La cyber surveillance des salariés est un sujet intéressant car il se situe à mi-chemin entre le pouvoir de contrôle de l’employeur et la liberté du salarié au travail. Tout d’abord, il faut savoir que la cyber surveillance des salariés peut se définir comme la surveillance des communications internet par un employeur.
Besoin de l'aide d'un avocat pour un problème de cybersurveillance ?
Téléphonez-nous au : 01 43 37 75 63
ou contactez-nous en cliquant sur le lien
Si cyber surveillance des salariés il y a, il faudra que cette cyber surveillance des salariés se déroule dans le respect de la vie privée des salariés. En effet, avec internet, vie privée et vie professionnelle peuvent rapidement être mêlées.
L’existence d’une cyber surveillance des salariés naît de la volonté de l’employeur d’éviter de voir sa responsabilité engagée à cause d’actes commis de la part de ses salariés. Dès lors, cette cyber surveillance des salariés ne peut être strictement interdite. La question de la cyber surveillance des salariés implique donc de savoir dans quelle mesure celle-ci pourra être mise en œuvre pour être valable et souffrir d’aucune contestation.
En France une entreprise a-t-elle le droit de contrôler le contenu des courriers (entrants et/ou sortants) destinés à ses collaborateurs ?
- Si oui dans quelles conditions ? Et qui "lit" réellement les courriers ? Après quel tri ou quelles précautions juridiques éventuelles ?
Les systèmes informatiques appartiennent à l’entreprise, l’employeur peut donc vérifier qu’il est fait bon usage de son investissement. Mais avant d’organiser toute surveillance , il doit en informer les salariés ainsi que les représentants du personnel.
Cette démarche d’information préalable est obligatoire et elle découle de l’article L. 1222-3 du Code du travail : « le salarié est expressément informé préalablement à leur mise en œuvre, des méthodes et techniques d’évaluation professionnelles mises en œuvre à son égard. Les résultats obtenus sont confidentiels. Les méthodes et techniques d’évaluation des salariés doivent être pertinentes au regard de la finalité poursuivie ».
Par ailleurs, l’article 1222-4 du Code du travail précise que : « aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance ».
Cependant, une obligation de transparence qui pèse toujours sur l’employeur. Cette obligation de transparence a inspiré la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés qui soumet tout traitement automatisé d’informations nominatives à déclaration préalable auprès de la CNIL, interdit que les données soient collectées par un moyen frauduleux, déloyal ou illicite et impose une obligation d’information des personnes concernées notamment sur les destinataires des données et le lieu où s’exerce le droit d’accès et de rectification.
Donc, il est interdit d’intercepter et de détourner les correspondances transmises par voie de télécommunication (article 226-25 du Code pénal).
L’employeur doit respecter la vie privée de ses salariés.
Le droit au respect de la vie privée a été affirmé en 1948 par la Déclaration universelle des droits de l’homme des Nations unies. En France, l’article 9 du code civil consacre cette protection en droit français : « Toute personne a droit au respect de sa vie privée ».
La protection de la vie privée contre toute intervention arbitraire revêt plusieurs aspects :
- · la protection du domicile : par exemple, la police ne peut y pénétrer que dans certains cas fixés par la loi ;
- · le secret professionnel et médical : un médecin ne peut révéler les éléments du dossier médical d’une personne sans son consentement ;
- · la protection de l’intimité : des éléments concernant les relations amoureuses ou les préférences sexuelles d’une personne ne peuvent être révélés ;
- la protection du droit à l’image
In fine, « la vie privée n’est plus seulement un “jardin secret”, elle a aussi une valeur sociale qui doit être protégée contre la société de surveillance » affirme Philippe MALAURIE. Cette vie privée est protégée, même au sein de la vie professionnelle.
La cour de cassation a jugé, dans l’arrêt Nikon du 2 octobre 2001, que "le salarié a droit, même au temps et au lieu de travail, au respect de l'intimité de sa vie privée ; que celle-ci implique en particulier le secret des correspondances ; que l'employeur ne peut dès lors sans violation de cette liberté fondamentale prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail et ceci même au cas où l'employeur aurait interdit une utilisation non professionnelle de l'ordinateur".
L’employeur peut prendre connaissance des mails professionnels des salariés mais pas ceux identifiés comme personnels.
Le forum des droits sur l’Internet recommandait aux salariés d’indiquer dans l’objet des courriels ou dans le nom des fichiers si les informations contenues étaient à caractère personnel ou professionnel. En l’absence de toute indication, le message électronique était considéré comme professionnel.
Mais la Cour d’appel de Bordeaux a, dans un arrêt du 4 juillet 2003, décidé que les messages envoyés et reçus par un salarié sur une adresse électronique générique de l'entreprise dans le cadre de son travail, consultables sur son seul poste, ont le caractère de messages personnels soumis au secret des correspondances. Dès lors, l'employeur ne peut pas en prendre connaissance, quant bien même il aurait interdit l'utilisation personnelle de l'ordinateur.
Les dispositions de l’arrêt Nikon indiquent que même si l’employeur interdit une utilisation non professionnelle de l’ordinateur, ceci ne l’autorise pas à ouvrir un fichier intitulé « personnel » dès lors que « le salarié » a droit, même au temps et au lieu de travail, au respect de l’intimité de sa vie privée ».
En effet, cet arrêt s’inscrit dans la logique de la jurisprudence qui existe depuis plusieurs années en matière de correspondance postale : l’ouverture par l’employeur d’une lettre adressée à un salarié sur son lieu de travail constitue une violation du secret des correspondances en cas d’indication sur l’enveloppe du caractère privé du courrier ; en revanche, dès lors qu’une lettre est adressée au salarié à l’adresse de l’entreprise, sans aucune mention permettant de considérer qu’elle lui est personnellement destinée, elle doit être considérée comme professionnelle, et donc destinée à l’entreprise (Cass. crim. 16 janvier 1992).
L’employeur peut donc difficilement contrôler les messages électroniques de ses employés puisqu’ils sont toujours ou presque considérés comme personnels.
- Est-ce que cela change quelque chose si c'est un programme, donc sans intervention humaine, qui observe les courriers à la recherche de mots clés spécifiques pré-définis afin d'en empêcher la remise ?
Il faut toujours respecter la vie privée du salarié.
Il existe en effet des logiciels qui permettent de vérifier l’usage fait d’Internet par les employés, notamment classer les connexions selon qu’elles ont été productives ou non, contrôler les temps de connexion…
Si le système est mis en place régulièrement, les représentants des salariés en sont informés et peuvent donc vérifier l’utilisation faite de ces données.
Mais l’employeur ne peut pas inspecter ces données, il ne peut pas s’en servir pour une quelconque action.
En ce sens, la grande chambre de la Cour européenne des droits de l’homme (CEDH), dans une décision en date du 5 septembre 2017, a statué sur le contrôle par l’employeur des messages des salariés. En Roumanie, un salarié, ingénieur en charge des ventes, avait ouvert un compte Yahoo Messenger à la demande de son employeur aux fins de répondre aux demandes des clients.
Une surveillance à l’aide d’un logiciel espion avait mis en évidence une utilisation personnelle par le salarié de ce compte de messagerie instantanée. Le relevé des communications faisait état notamment de messages avec son frère et avec sa fiancée. Il avait alors été licencié pour avoir fait une utilisation de ce compte Yahoo Messenger à des fins personnelles pendant ses heures de travail, utilisation prohibée par le règlement intérieur.
Débouté en première instance et en appel par les juridictions nationales, ces dernières considéraient que le salarié avait été dûment informé de l’existence de cette prohibition par le règlement intérieur et que le contrôle avait été le seul moyen d’établir l’existence d’un manquement.
Par la suite, le salarié a introduit une action devant la CEDH. La quatrième section de la Cour avait débouté le salarié et estimait que les juridictions roumaines avaient ménagé un juste équilibre entre le droit du salarié au respect de sa vie privée et de sa correspondance en vertu de l’article 8 et les intérêts de l’employeur (CEDH, 12 janv. 2016, n° 61496/08, Barbulescu c/ Roumanie)
Le salarié avait alors demandé un renvoi devant la grande chambre de la CEDH. Il soutenait que la mesure de licenciement prise par son employeur reposait sur une violation à son égard du droit au respect de la vie privée et de la correspondance et que, dès lors qu’elles n’avaient pas annulé cette mesure, les juridictions internes avaient manqué à leur obligation de protéger ce droit. Il invoquait l’article 8 de la Convention.
Les juges de la grande chambre de la CEDH, ont considéré que « les autorités nationales (roumaines) n’ont pas correctement protégé le droit du salarié au respect de sa vie privée et de sa correspondance et n’ont donc pas ménagé un juste équilibre entre les intérêts en jeu », décision adoptée par 11 voix contre 6.
De plus, elle a estimé que « les juridictions nationales ont manqué, d’une part, à vérifier, en particulier, si le requérant avait été préalablement averti par son employeur de la possibilité que ses communications sur Yahoo Messenger soient surveillées et, d’autre part, à tenir compte du fait qu’il n’avait été informé ni de la nature ni de l’étendue de la surveillance dont il avait fait l’objet, ainsi que du degré d’intrusion dans sa vie privée et sa correspondance. De surcroît, elles ont failli à déterminer, quelles raisons concrètes avaient justifié la mise en place des mesures de surveillance, deuxièmement, si l’employeur aurait pu faire usage de mesures moins intrusives pour la vie privée et la correspondance du requérant et, troisièmement, si l’accès au contenu des communications avait été possible à son insu ».
- En ce qui concerne les emails entrants, une entreprise peut-elle décider d'interdire à ses collaborateurs de recevoir tel ou tel format de pièce jointe (les exécutables, les images, les morceaux musicaux, etc...) sur leur email ?
- Même question pour les emails sortants : peut-elle interdire à ses collaborateurs d'envoyer la pièce jointe de leur choix, même dans le cadre d'une correspondance privée ?
Seule la surveillance des contenus est illicite.
La surveillance peut porter légalement sur les caractéristiques techniques des courriers électroniques.
La sécurité de certaines entreprises particulières peut sans doute justifier que soit opéré un contrôle a posteriori de l'usage des messageries. Mais un tel contrôle doit pouvoir être effectué à partir d'indications générales de fréquence, de volume, de la taille des messages, du format des pièces jointes, sans qu'il y ait lieu d'exercer un contrôle sur le contenu des messages échangés.(rapport de la CNIL 2001)
Il est paraît donc possible d'obtenir les traces de l'activité qui transite par le salarié et notamment les détails des messages envoyés et reçus : expéditeur, destinataire, objet, nature de la pièce jointe mais en principe pas le contenu.
Une charte concernant l’utilisation d’Internet peut être prévue au sein de l’entreprise.
Au sein d’une entreprise, un salarié avait été licencié pour faute grave pour avoir utilisé les outils informatiques de la société qui l’employait aux fins de téléchargement de fichiers violant les droits d’auteur, pendant son temps de travail, y compris à des heures tardives grâce à l’installation d’un logiciel de prise de contrôle à distance. L’employé avait également installé des logiciels sans licence et sans lien avec son activité professionnelle. Le conseil des Prud’hommes de Grasse, a jugé le licenciement dépourvu de cause réelle et sérieuse.
La Cour d’appel d’Aix-en-Provence a confirmé le jugement entrepris en relevant qu’en l’absence de toute information préalable du salarié de la possibilité que ses manipulations informatiques soient surveillées et d’indication de la raison légitime justifiant ladite surveillance, les preuves des faits fautifs obtenues illicitement devaient être écartées des débats. L’employeur avait eu recours à une société de maintenance pour opérer un contrôle des outils informatiques. Ainsi, en l’absence de preuves licites, le licenciement du salarié a été jugé dépourvu de cause réelle et sérieuse.
La décision confirme, donc, l’obligation d’une information préalable des salariés sur les moyens de contrôle et surveillance que l’employeur entend mettre en œuvre. (CA Aix-en-Provence, 4e et 5e ch. Réunies, 31 oct. 2019, n° 18/09015)
Dans la pratique, une charte concernant l’utilisation d’Internet peut être prévue au sein de l’entreprise.
L’employeur veut se préserver car il risque d’engager sa responsabilité :
- en cas d'utilisation pénalement illicite de la messagerie : rapatriement d'images à caractère pédophile sur le réseau interne depuis l'Internet, diffusion d'images sensibles, interdites, à caractère racial ou touchant les moeurs des personnes, portant atteinte à la vie privée ou à la considération, harcèlement sexuel, téléchargement de logiciel sans licence d'utilisation...,
- lorsque l'e-mail contient un virus portant atteinte à la sécurité du réseau,
- lorsqu'un message sortant contient des informations confidentielles touchant aux secrets de l'entreprise.
Il peut donc contrôler que le message électronique ne contienne pas de virus ou filtrer certains messages, notamment ceux provenant de sites pédophiles. Il peut interdire la réception de fichiers musicaux qui sont forcément personnels. Puisque l’usage de l’informatique ne doit pas être fait à titre personnel, il s’agit seulement d’une tolérance car on ne peut pas l’interdire. Mais il est possible de filtrer certains fichiers.
Quid de l’utilisation d’outils de géolocalisation par l’employeur ?
En effet, l’employeur peut être tenté de mettre en place un système de géolocalisation sur le véhicule professionnel utilisé par le salarié pour ses déplacements. Dès 2011, la Cour de cassation a précisé les possibilités pour l’employeur d’avoir recours à ces outils (3 novembre 2011, n° 10-18036): l’employeur ne peut utiliser un tel système GPS pour d’autres finalités que celles déclarées à la CNIL et dont le salarié a connaissance.
Par ailleurs, le Code du travail précise à l’article L1121-1 que « nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché ». Dès lors, une immixtion de l’employeur dans la vie privée du salarié au travail ne saurait être tolérée de la même façon qu’il lui est interdit de contrôler la durée du travail par un GPS s’il existe un autre moyen de le faire.
Et dans tous les cas, le salarié peut refuser l’installation d’un tel dispositif dans son véhicule professionnel si la raison principale est le contrôle des limitations de vitesse ou contrôle de ses déplacements.
Pour lire une version plus adaptée aux mobiles de cet article sur la cybersurveillance des salariés, cliquez
SOURCES :
https://www.legifrance.gouv.fr/loda/id/JORFTEXT000000886460/
https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000006419288/
https://www.legifrance.gouv.fr/juri/id/JURITEXT000007046161/
https://www.doctrine.fr/d/CEDH/HFJUD/CHAMBER/2016/CEDH001-160018
https://www.legifrance.gouv.fr/juri/id/JURITEXT000024761408/
https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000006900785/
ARTICLES QUI POURRAIENT VOUS INTERESSER :