La secrétaire avait laissé son ordinateur allumé. Fatale étourderie ! Son patron est passé pour l'éteindre. Il a découvert qu'un fichier de quelque 1.400 coordonnées de clients et prospects était en cours d'expédition par messagerie interne à un salarié non habilité à y accéder. « Les fuites internes sont le premier talon d'Achille de l'entreprise, prévient Etienne Drouard, avocat associé chez K&L Gates. D'où l'importance de conserver l'historique des actions des salariés et de mettre en place des filtrages et contrôles d'accès pour éviter que les données confidentielles ne partent à vau-l'eau. » Mais, en limitant l'utilisation privative de l'outil informatique, ces dispositifs attisent la riposte des employés. « De 25 à 30 % des plaintes devant la CNIL sont aujourd'hui liées à la multiplication des outils de surveillance », note son secrétaire général, Yann Padova. Comment déjouer les fraudes dans le respect de la vie privée des salariés ?
1 Contraintes légales
Les failles de sécurité qui, hier, rendaient l'entreprise victime d'intrusion dans son système informatique, peuvent désormais la rendre responsable, voire coupable. En tant que « responsable du traitement » des données personnelles qu'il héberge, le dirigeant encourt des sanctions pénales si la perte ou la fuite de ces données, volontaire ou non, a mis au jour une faille de sécurité. De son côté, la loi Hadopi oblige en pratique l'employeur, sous peine de sanctions civiles et pénales, à sécuriser ses accès Internet pour éviter qu'ils ne soient utilisés à des fins de téléchargement illégal d'oeuvres culturelles. L'employeur doit donc naviguer à l'intérieur de ce chenal étroit. Mais pour les salariés aussi, la situation devient délicate. L'accroissement des contrôles pour prendre sur le fait une utilisation abusive d'Internet au bureau fait grimper la courbe des licenciements.
2 Les nouvelles frontières de la vie privée au bureau
Pragmatisme oblige, les tribunaux accordent à la vie privée dans l'entreprise une place de plus en plus résiduelle. Avant toute « cyberfouille », la question à se poser est de savoir si le mail - ou le fichier -est personnel ou professionnel, la convocation du salarié n'étant obligatoire que dans le premier cas. Petit bémol : comme le nuance M e Drouard. « La responsabilité pénale de l'employeur ne sera pas mise en jeu si un mail personnel ouvert illégalement a permis de débusquer un délit tel que la divulgation d'un brevet ou le vol de la base de données. » A l'inverse, ce mail personnel ne pourra pas, en l'absence de décision pénale, servir à licencier le salarié. D'une manière générale, tout mail ou fichier est présumé professionnel sauf si ses caractéristiques manifestent un caractère personnel et son contenu pourra justifier un licenciement s'il révèle une faute de l'intéressé. Plusieurs salariés ont ainsi été licenciés pour avoir tenu des propos de dénigrement et outranciers envers l'entreprise. Le contenu d'un mail personnel ou d'une conversation sur le mur de Facebook ayant un « rapport avec l'activité professionnelle » peut aussi justifier des sanctions, le salarié abusant alors de sa liberté d'expression.
En revanche, l'intrusion sauvage dans l'ordinateur de l'intéressé se révèle un flop. Sauf à déclencher le SOS « sécurité ». Cette procédure est possible « en cas de risque ou d'événement particulier ». « Dans ces conditions, l'employeur est en droit d'ouvrir les fichiers et courriels, même identifiés par le salarié comme personnels, et contenus sur le disque dur de l'ordinateur mis à sa disposition [...]. » Cette procédure, désormais admise par les tribunaux, délivre ainsi à l'employeur une sorte de ticket d'intervention d'urgence.
3 Réglementer l'utilisation privative d'Internet
« Le premier devoir de l'entreprise est de veiller qu'aucune infraction n'a été commise », prévient Etienne Drouard. Cette contrainte lui offre toute latitude pour définir une politique de surveillance adaptée à ses problématiques. « L'entreprise est désormais perçue comme un auxiliaire de justice devant prêter main-forte au juge pour identifier les auteurs d'infractions, ce qui légitime qu'elle conserve les données de connexion à l'instar des hébergeurs pendant un an », souligne l'avocat. La surveillance s'exerce néanmoins dans le cadre du triptyque « justification/proportionnalité/transparence », utilisant notamment le vecteur d'une charte destinée à informer et sensibiliser les salariés. Mais il s'agit d'encadrer, pas d'interdire. Le contrôle permanent des connexions d'un salarié est à proscrire car « disproportionné » au regard du devoir de respecter sa vie privée.
LAURENCE NEUER, Les Echos
A retenir
En l'absence de correspondant Informatique et libertés (CIL), déclarer à la CNIL les systèmes de traçabilité et les données personnelles collectées (adresses IP...).
Rédiger une charte annexée au règlement intérieur précisant : les supports de traçabilité (logiciels de filtrage...), la raison du contrôle (sécurité...), la liste des comportements interdits, les conditions dans lesquelles un salarié peut créer un fichier abritant des données personnelles (accord du service juridique de l'entreprise...), l'accès par l'administrateur réseau à l'ordinateur d'une personne en congé maladie, etc.
Prévoir, le cas échéant, un manuel destiné à ceux qui effectuent des opérations de contrôle (DG, DRH, DSI), précisant le moment et les personnes en présence desquelles doit s'opérer le contrôle (huissier, salarié, etc.)
Aucun commentaire:
Enregistrer un commentaire