MESSAGERIE ELECTRONIQUE ET NEWSGROUPS Comment concilier sécurité, confidentialité, liberté du salarié et éviter les dérapages engageant la responsabilité de l’entreprise ? octobre 2000 |
Par Valérie SEDALLIAN, avocate.
Article présenté lors d’un séminaire organisé par EUROFORUM sur le thème : « NTIC et contrôle des salariés », à Paris les 24 et 25 octobre 2000.
Introduction
Avec les forums intranet et sur internet, le droit d’expression au sein et à l’extérieur de l’entreprise trouve un nouveau champ d’application puisqu’il devient possible à chacun de s’adresser à tous, instantanément.
Le courrier électronique est l’objet de toutes les attentions : les premières affaires judiciaires viennent devant les tribunaux, et une loi très contestée vient d’être adoptée au Royaume-Uni, autorisant le contrôle des courriers électroniques échangés sur le lieu de travail.
I Communications publiques
Contexte : le salarié peut s’exprimer sur les forums de l’intranet, ou sur internet :
Le salarié bénéficie d’un droit d’expression qui lui est garanti par l’article L 461-1 du Code du travail :
« Dans les entreprises…, les salariés bénéficient d’un droit à l’expression directe et collective sur le contenu, les conditions d’exercice et l’organisation de leur travail. Cette expression a pour objet de définir les actions à mettre en œuvre pour améliorer leurs conditions de travail, l’organisation de l’activité et de la qualité de la production dans l’unité de travail à laquelle ils appartiennent et dans l’entreprise.
Les opinions que les salariés, quelle que soit leur place dans la hiérarchie professionnelle, émettent dans l’exercice du droit d’expression ne peuvent motiver une sanction ou un licenciement. »
L’article L 461-2 précise que « le droit institué à l’article L 461-1 s’exerce sur les lieux et pendant le temps de travail. »
Peut-on considérer que le salarié qui s’exprime sur ses conditions de travail sur l’intranet ou sur internet, exerce son droit d’expression « sur les lieux et pendant le temps de travail » ?
En réalité, la distinction a peu d’importance, dès lors que la jurisprudence considère que le droit d’expression du salarié peut s’exercer en dehors de l’entreprise, où ce droit s’exerce dans toute sa plénitude, dès lors qu’il ne donne pas lieu à abus.
1.1.2 Obligations du salarié
Ce droit d’expression du salarié est limité par les lois encadrant la liberté d’expression : il doit s’abstenir de tenir des propos diffamatoires, dénigrants, injurieux, incitant à la discrimination raciale etc…. Il doit respecter le droit des tiers et en particulier le droit à la vie privée, le droit d’auteur, le droit des marques.
Dans le cadre de son contrat de travail, le salarié est tenu à une obligation de loyauté vis à vis de son employeur et de discrétion.
Les salariés ne doivent pas divulguer d’informations à caractère secret.
Certains salariés peuvent être tenus à une obligation particulière de confidentialité du fait de leurs fonctions ou d’une clause de leur contrat de travail.
1.2 La responsabilité de l’employeur
1.2.1 Quels sont les abus possibles et les risques pour l’employeur ?
Les salariés peuvent tenir sur internet, dans le cadre de leur droit d’expression des propos de nature à nuire à l’image de marque de l’entreprise (cf affaire AXA / Infonie, Tribunal d’Instance de Puteaux, 28/09/99) ou des propos dénigrants sur un concurrent.
Dans le cadre des forums internes, des dérapages sont possibles.
Dans le cadre de forums professionnels, certains salariés vont vouloir prendre position au nom de leur entreprise. L’adresse du salarié fait apparaître le nom de l’entreprise (martin@societe.com), ou sa signature automatique en bas du message.
L’employeur peut voir sa responsabilité engagée sur le fondement de l’article 1384 alinéa 5 : « les maîtres et commettants, (sont responsables) du dommage causé par leur domestiques et préposés dans les fonctions auxquelles ils les ont employés ».
L’employeur est responsable si le préposé a agit à l’occasion de l’exercice de ses fonctions (jurisprudence traditionnelle) ou si l’employé n’a pas excédé les limites de sa mission (Assemblée plénière 25 février 2000).
Exemple :
Mise en garde de la COB le 21 février 2000 (des employés auraient proposé des produits financiers aux investisseurs en utilisant les moyens Internet de leur société sans y être habilités) : la COB considère que la responsabilité de la société et/ou de ses dirigeants pourrait être engagée si des employés indélicats utilisent à des fins personnelles ou frauduleuses, les sites internet ou les courriers électroniques des sociétés qui n’auraient pas mises en place des procédures de contrôles adéquates.
1.2.2 Solutions
Elles sont à déterminer en fonction de la politique de l’entreprise, de sa taille, et des risques réellement encourus.
Il s’agit de donner des directives claires aux salariés, par exemple :
– rappel des limites à la liberté d’expression ;
– rappel de l’obligation de confidentialité ;
– interdiction de s’exprimer au nom de l’entreprise sur internet (prérogative du service communication);
– interdiction de s’exprimer à titre privé avec la messagerie de l’employeur (il existe des messageries anonymes du type Yahoo !, Caramail etc..)
– participation à des forums professionnels sur internet : sur autorisation de la hiérarchie ;
– forums internes : nomination d’un modérateur chargé d’éviter les dérapages ;
– insertion d’un avertissement du type « ce message reflète mon opinion personnelle et n’engage pas mon employeur ». Elle ne garantit pas toute recherche de la responsabilité de l’employeur, mais: le salarié signifie clairement qu’il n’agit pas dans le cadre d’une mission confiée par son employeur.
II Communications privées
Deux principes s’opposent :
D’un côté, la messagerie est un outil professionnel, destiné à un usage professionnel : l’employeur auarait le droit de contrôler les courriers électroniques de ses salariés.
Il a déjà été jugé que le salarié ne peut pas opposer la violation du secret des correspondances à son employeur s’il reçoit des correspondances à caractère professionnel sur son lieu de travail (Crim. 16 janvier 1992).
D’un autre côté, la loi n° 91-646 du 10 juillet 1991 pose le principe du secret des correspondances émises par la voie des télécommunications : l’atteinte au secret des correspondances est un délit prévu et réprimé par l’article 226-15 du Code pénal :
« Le fait, commis de mauvaise foi, d’ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d’en prendre frauduleusement connaissance, est puni d’un an d’emprisonnement et de 300 000 F d’amende.
Est puni des mêmes peines le fait, commis de mauvaise foi, d’intercepter, de détourner, d’utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications ou de procéder à l’installation d’appareils conçus pour réaliser de telles interceptions. »
Des clauses de règlement intérieur autorisant l’employeur à ouvrir le courrier personnel des salariés ont été annulées.
Question : doit-on raisonner pour le courrier électronique dans les mêmes termes que pour les écoutes téléphoniques ? L’entreprise va-t-elle étendre au courrier électronique la tolérance accordée pour le téléphone (utilisation occasionnelle à des fins privée autorisée en principe) ?
En matière de contrôle des écoutes téléphoniques, pratiquées notamment dans les salles de marchés (ordres de bourse), pour la vente à distance, les services de réservation des compagnies aériennes, la CNIL recommande que les salariés puissent disposer de lignes non connectées au dispositif d’écoute et ce notamment pour leurs conversations passées à titre privé. Elle n’autorise l’enregistrement systématique des conversations téléphoniques que dans les cas où le travail du salarié consiste pour l’essentiel à téléphoner.
Autres données du problème :
– Le courrier électronique peut favoriser la divulgation d’informations sensibles. Or, le secret des correspondances n’est pas garanti sur internet : les courriers électroniques transitent par différents serveurs et routeurs, et à cette occasion ils peuvent faire l’objet d’interceptions.
-Les courriers électroniques sont enregistrés et conservés sans que le salarié en ait nécessairement conscience (il croit les avoir supprimés et les messages sont archivés par le système central) ;
-Il faut assurer le respect de la confidentialité des échanges des représentants du personnel.
2.2 Contrôle du courrier électronique : le cadre légal
Les mêmes principes que pour tout système de surveillance des salariés sont applicables (Voir notre article sur Internet dans l’entreprise) :
-information préalable des salariés ;
-information préalable du Comité d’entreprise;
-déclaration du traitement à la CNIL ;
-principe de proportionnalité : le contrôle doit être justifié par un intérêt légitime (par exemple : la sécurité).
Question : si les salariés ont été informés, l’entreprise est-elle en droit de contrôler tous les courriers électroniques de ses salariés ? Quelle est l’étendue du pouvoir de contrôle de l’employeur ?
Les juristes sont divisés :
-certains considèrent que l’employeur a seulement le droit de vérifier les destinataires et les expéditeurs des messages, pas de prendre connaissance du contenu des messages,
-d’autres considèrent que l’employeur peut accéder sans réserve à la messagerie dès lors qu’il a informé les salariés,
-d’autres que si l’employeur a exclu toute communication personnelle sur l’intranet, l’article 226-15 du Code pénal n’est pas applicable (concerne les échanges au sein de l’entreprise),
-d’autres enfin, que l’employeur a le droit d’accéder à la messagerie si des faits suspicieux viennent à être portés à sa connaissance.
On attend une recommandation de la CNIL sur la cybersurveillance des salariés pour la fin de l’année 2000.
Un avis du 3 avril 2000 de la Commission de protection de la vie privée belge (CNIL belge) considère que la prise de connaissance du contenu des courriers électroniques est excessive, de la même façon que le serait l’écoute et/ou enregistrement des communications téléphoniques de l’employé. Elle considère qu’il existe d’autres solutions qui permettent de cibler les courriers suspects, tels les logiciels qui identifient l’expédition de courriers électroniques en chaîne ou qui isolent et/ou bloquent ceux dont la taille est excessive. C’est sur la base d’une liste de courriers et non de leur contenu (comme pour le téléphone), que l’absence de respect des règles posées par l’employeur pourrait être décelée.
La Commission émet enfin des réserves en ce qui concerne les courriers entrants, l’employeur n’étant pas auteur de ces derniers.
Les premières affaires viennent devant les tribunaux :
§ Le Conseil de Prud’hommes de Montbéliard dans le Doubs a débouté le 19 septembre une salariée qui contestait sa mise à pied pour avoir entretenu une correspondance privée par e-mail depuis son bureau. Cette comptable d’une société spécialisée dans la fabrication de matériel orthopédique et déléguée syndicale s’est vue reprocher d’entretenir une correspondance par e-mail avec une ancienne salariée de cette même entreprise licenciée économique. Le conseil des Prud’hommes a confirmé la sanction, car l’entreprise avait pris soin d’informer ses salariés préalablement (par note interne) que leur messagerie électronique était placée sous surveillance. De plus, il est reproché à la comptable (qui a depuis démissionné) d’avoir communiqué des informations sur la restructuration en cours au sein de l’entreprise et donc de ne pas respecter son devoir de confidentialité.
Texte du jugement disponible sur Legalis.net.
§ Le Tribunal de Grande Instance de Paris vient de condamner le 2 novembre 2000 le directeur d’un laboratoire et deux administrateurs systèmes à des peines d’amende pour violation du secret des correspondances d’un étudiant. Il considère que le courrier électronique entre personnes déterminées et individualisées est protégé par le secret des correspondances.
Texte du jugement disponible sur Juriscom.net.
Les solutions :
– informer les salariés : le salarié informé peut plus difficilement invoquer une atteinte à ses libertés individuelles ;
– donner des directives claires aux salariés sur les tolérances pouvant ou non exister en matière de courriers électroniques personnels ;
– avertir les salariés si les courriers électroniques sont directement archivés par le service informatique central ;
– la surveillance systématique de tous les courriers électroniques doit respecter le principe de proportionnalité : elle peut être justifié dans certains cas : une adresse électronique de l’entreprise destinée exclusivement à la réception et à la confirmation des commandes ou au service à la clientèle devrait pouvoir faire l’objet d’un contrôle permanent même si elle est attribuée, au sein de l’entreprise, à un employé identifié ;
2.3 L’accès à la messagerie par le service informatique
Le service informatique dans le cadre de l’exercice de ses fonctions, de la surveillance du système de communication, pour régler des incidents techniques, peut être amené à prendre connaissance des correspondances transitant par le serveur de messagerie. Cela est très fréquent en pratique.
Selon certains auteurs, si l’intrusion est justifiée par une nécessité technique, il n’y aurait pas d’infraction de violation du secret des correspondances.
Cette doctrine est inspirée des droits américains et canadiens dont les législations concernant la confidentialité des communications fournissent aux opérateurs de systèmes de fréquentes exceptions à la prohibition d’interception de communications privées, notamment lorsque la surveillance est nécessaire à la bonne administration du système informatique. Cette exception n’est pas prévue en droit français.
Elle pourrait être fondée sur un principe du droit pénal qui veut qu’il n’y ait point de crime ou délit sans intention de le commettre, sans volonté délibérée (absence de mauvaise foi dans ce cas). Ce moyen de défense a été refusé dans le jugement du 2 novembre 2000 précité : le jugement considère que la sécurité du système informatique n’était pas en cause lors de l’intervention dans la messagerie électronique de l’étudiant.
Le service informatique est le service qui exploite les traitements informatiques. A ce titre, il est tenu de respecter l’obligation de confidentialité des données nominatives auxquelles il peut avoir accès dans le cadre de ses fonctions.
[Retour]