euroforum

 » Quel cadre juridique pour l’nternet « , à Paris les 28 et 29 janvier 1998.

I LA PROTECTION DES DONNEES PERSONNELLES

Un site Internet est susceptible de comporter des données nominatives. Certaines de ces données vont concerner les utilisateurs du service, par exemple dans le cas d’un site WEB marchand avec possibilité de commander des produits en ligne.
Les donnés diffusées peuvent également concerner les salariés de l’entreprise : présentation des ressources humaines de l’entreprise, diffusion d’nformations relatives aux membres de la direction (Par exemple : identité, photographie, fonction, vie professionnelle).

Sur un Intranet, on peut trouver notamment les services suivants :

  • mise en ligne d’nformations concernant l’activité de la société (organigrammes, documents administratifs, techniques, commerciaux, juridiques)
  • messagerie
  • forums de discussion
  • annuaire
  • gestion des commandes
  • résultats commerciaux.

On voit que certains des services fournis sur l’ntranet vont utiliser des données relatives aux salariés de l’entreprise : la messagerie, les forums, l’annuaire, les résultats par commercial par exemple.

Un contrôle des accès à l’ntranet va sans doute être mis en place : journal des connexions, gestion des mots de passe.

Tous ces services sont mis en place, gérés et exploités par le biais d’applications informatiques.

La loi Informatique et Liberté du 6 janvier 1978 prévoit que tout traitement informatique d’nformations nominatives mis en œuvre par une personne privée doit faire l’objet d’une déclaration préalable avant sa mise en service auprès de la CNIL, Commission nationale de l’nformatique et des libertés.

Une donnée nominative au sens de la loi, c’est toute donnée qui permet l’dentification de la personne, même indirectement.

Il n’est pas fait de distinction selon le caractère professionnel ou non des données.

Une donnée strictement professionnelle va donc relever du même régime qu’une donnée relative à la vie privée stricto sensu.

Cette loi s’applique aux informations nominatives diffusées et collectées sur son site Internet ou son Intranet.

1.1 Cadre juridique

  • Rappel des grandes lignes de la réglementation relative aux fichiers informatiques

Les données sensibles (origine raciale, opinions politiques, philosophiques ou religieuses, appartenance syndicale) ne peuvent être recueillies en l’absence d’accord express de l’ntéressé, c’est-à-dire d’accord écrit.

La loi pose un principe général de loyauté et indique que la collecte de données opérée par tout moyen frauduleux, déloyal ou illicite est interdite (article 25 de la loi).

Les personnes auprès desquelles sont recueillies les données utilisées dans le traitement doivent être informées (article 27 de la loi) : du caractère obligatoire ou facultatif des réponses, des conséquences d’un défaut de réponse, des personnes destinataires des informations, de l’existence d’un droit d’accès et de rectification. Le questionnaire de collecte des données doit comporter un avertissement relatif à ces informations.

Si une cession du fichier est envisagée, les personnes auprès desquelles ces informations sont collectées doivent en être informées afin d’être en mesure de s’y opposer.

En outre, la loi pose le principe que toute personne a le droit de s’opposer, pour des raisons légitimes, à ce que les informations nominatives la concernant fassent l’objet d’un traitement (article 26).

La loi oblige également à prévoir une durée de conservation des données et à préserver la finalité du traitement. Une obligation de sécurité pèse sur la personne responsable du fichier (non divulgation à des tiers non autorisés).
 

  • La déclaration du traitement :

Tout traitement mis en place par les entreprises du secteur privé doit faire l’objet d’une déclaration préalable auprès de la CNIL. Le traitement ne peut en principe être mis en œuvre qu’à réception du récépissé de la CNIL. En pratique, compte tenu des délais de traitement des dossiers, il n’est pas toujours aisé de respecter cette obligation.

Pour le secteur public, la mise en oeuvre des traitements est subordonnée à la publication d’un acte réglementaire pris après avis de la CNIL portant création du traitement.

La transposition de la directive du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (Directive n°95/46/CE, JOCE n° L 281 du 23 novembre 1995) devrait être l’occasion de simplifier ce régime des déclarations et autorisations préalables, mais en attendant, le dispositif actuel continue de s’appliquer.

La CNIL a édité un formulaire type (CERFA n° 9901) de  » déclaration d’un traitement automatisé d’nformations nominatives  » qui doit être rempli en suivant les instructions données dans la notice explicative accompagnant le formulaire.

On peut se procurer ce formulaire auprès de la CNIL : 21, rue Saint Guillaume, 75 340 Paris Cedex 07, tél. : 01 53 73 22 22 et sur son site web : http://www.cnil.fr.

La déclaration doit notamment préciser : la finalité du traitement, le service auprès duquel s’exerce le droit d’accès, les caractéristiques de l’application, les mesures relatives à la sécurité, les catégories d’nformations traitées et leur durée de conservation, les destinataires des informations.

Toutes ces obligations sont sévèrement sanctionnées en cas de non respect (peines d’emprisonnement prévues allant jusqu’à 5 ans), mais en pratique, la CNIL est favorable aux régularisations et transmet rarement un dossier aux tribunaux.

Enfin, la déclaration du fichier n’exonère pas la personne de la responsabilité de respecter les dispositions de la loi.

  • Diffusion de photographies

Sur le fondement de l’article 9 du Code civil, la jurisprudence a consacré un droit à l’mage : toute personne peut sur le fondement du droit au respect de la vie privée s’opposer à la diffusion sans son autorisation expresse, de son image, considérée comme un attribut de sa personnalité.
Si une personne a consenti à une utilisation déterminée de son image, l’autorisation donnée ne couvrira pas nécessairement les modes de publication non prévus dans l’autorisation.

1.2 Applications : les droits des salariés au regard de la diffusion des données les concernant sur Internet ou sur un Intranet

Le site Internet de l’entreprise, s’l utilise des données nominatives doit faire l’objet d’une déclaration.

La CNIL considère que la diffusion de données nominatives sur Internet comporte des risques inhérents à la structure de ce réseau, tels que leur capture, leur falsification et le détournement de leur finalité car les données diffusées peuvent être récupérées sans que l’on puisse contrôler l’utilisation qui sera faite de ces données par des tiers.

Par exemple : capture d’une photographie qui est ensuite déformée et reproduite sur un autre site Web (Il ne s’agit pas d’une hypothèse d’école).

Elle recommande donc que les personnes soient informées, avant mise sur le site des informations les concernant, des risques inhérents à la diffusion d’nformations au moyen du média Internet ainsi que de leur droit de s’opposer à tout moment à la diffusion des informations qui les concernent sans avoir à en indiquer le motif.

Si le site comporte la diffusion de données relatives à l’dentité de personnes physiques, salariées ou non de la société, ces personnes doivent être informées de leurs droits : droit d’accès si l’accès à Internet n’est pas offert à tous les salariés, de rectification et d’opposition : droit à ce que les données soient supprimées pour motif légitime, service auprès duquel s’exerce ce droit. Pour la diffusion de photographies, il faut l’autorisation des intéressés.
Cette information des salariés peut se faire sous forme d’une note d’nformation générale qui sera diffusée à toutes les personnes concernées.

La CNIL a élaboré un exemple de note d’nformation préalable.

Dès lors que les informations sont mises en ligne sur Internet, la CNIL considère qu’l y a transmission d’nformations entre le territoire français et l’étranger. Une annexe doit compléter la rubrique correspondante du formulaire (annexe 10). On devra indiquer par exemple :  » Compte tenu du fait que le traitement objet de la déclaration concerne un site Web sur Internet, il peut y avoir transmission d’nformation entre le territoire français et l’étranger. Ceci est inhérent au moyen de communication utilisé. « .

En 1995, la CNIL s’est prononcée sur la diffusion d’annuaires professionnels de chercheurs (Institut Physique du Globe de Paris, Institut de Physique Nucléaire de Paris, Délibérations du 7 novembre 1995).

Elle a posé des conditions strictes à la mise en ligne des données figurant sur les annuaires, alors même qu’l s’agissait de données d’ordre strictement professionnel.

En effet, la CNIL a demandé :

  • qu’un questionnaire soit distribué aux personnes concernées et que leur accord soit recueilli, avant que les données les concernant soient sur Internet
  • qu’avant de pouvoir accéder aux informations nominatives contenues dans les annuaires , toute personne se connectant au serveur puisse prendre connaissance d’un texte rappelant les droits et garanties offerts par la loi du 6 janvier 1978 et les normes juridiques européennes en en matière de protection des données personnelles
  • que l’nterdiction de capture des informations à des fins d’enrichissement de bases de données commerciales ou publicitaires soit mentionné.

Dans une délibération n°96-065 en date du 9 juillet 1996, portant avis concernant un modèle de création sur Internet d’un site destiné à abriter les annuaires des personnels du CNRS, les mêmes exigences ont été reprises.

En réalité, certaines de ces exigences vont au-delà de la lettre de la loi et même si la CNIL indique que sa doctrine reste la même, elle a été en réalité assouplie.

En effet, il n’est plus exigé que l’accord express des personnes référencées dans l’annuaire soit recueilli.

Dans une délibération du 8 juillet 1997 portant recommandation relative aux annuaires en matière de télécommunications, concernant notamment la diffusion d’annuaires sur un réseau international ouvert, après avoir rappelé que  » la diffusion sur un réseau international ouvert tel Internet de listes d’abonnés ou d’utilisateurs des réseaux ou services de télécommunications, doit être soumise à la CNIL  » la CNIL recommande :
 » que les abonnés soient clairement et préalablement informés par les éditeurs d’annuaires sur Internet des risques inhérents à la diffusion sur un réseau international ouvert des données les concernant « .

L’nformation préalable des intéressés doit donc être assurée, mais il n’apparaît pas nécessaire de recueillir leur accord préalable express.

Quand aux mentions concernant la loi de 1978 et à l’nterdiction de capture, il s’agit d’une exigence de la CNIL qui va au-delà de la lettre de la loi, mais qui n’est nullement imposée par les textes.

La CNIL a édité un formulaire spécialement adapté à la déclaration d’annuaires sur Internet.

En résumé, quelles sont les règles à respecter concernant la mise en ligne d’annuaire ?

  • déclarer l’annuaire à la CNIL
  • si les données diffusées sont déjà en possession de la société, informer les personnes concernées par une note qui leur rappelle à quelles fins vont être utilisées les données ainsi que leur droit d’accès, de rectification et d’opposition.
  • si les données destinées à être diffusées doivent être collectées, envoyer un questionnaire à remplir par l’ntéressé, en indiquant les mentions facultatives, les conséquences d’un défaut de réponse (exemple : l’mpossibilité de traitement), les personnes destinataires (exemple : tous les internautes) et en rappelant le droit d’accès, de rectification et d’opposition.
  • Intranet

Les différents services offerts par l’ntranet qui incluent le traitement de données personnelles devront être mentionnés dans la déclaration.

Pour chaque service (messagerie, forum, annuaire etc.…), il faudra détailler dans chaque annexe la finalité du traitement, les mesures concernant le droit d’accès et de rectification, la liste des catégories d’nformation traitées, les destinataires des informations, la durée de conservation.

C’est au regard de la finalité qu’est appréciée la pertinence des informations enregistrées.

L’annexe 13 concerne les mesures prises pour assurer la sécurité du traitement.

On indiquera par exemple les mesures d’authentification s’agissant d’un Intranet dont l’accès est réservé (contrôle de l’accès), l’existence d’un firewall, de bases de données cryptées, les sauvegardes effectuées et leur durée de conservation.

Du point de vue juridique, la spécificité d’un Intranet tient aux possibilités de contrôle de l’activité des salariés qu’l implique.

Par exemple, le service informatique qui gère le système a accès potentiellement à toutes les données se trouvant sur l’ntranet, y compris la messagerie, cela est inhérent à la technique informatique.

Statistiques d’utilisation, sauvegarde de tous les messages émis et reçus, authentification des salariés sur l’ntranet, journal des connexions pour détecter les intrusions non autorisées, toutes ces mesures devront être mentionnées dans la déclaration.

En outre, les mesures de contrôles prises doivent respecter les principes posés par la législation du travail.

II LA SURVEILLANCE DES SALARIES

Il existe des règles qui s’mposent à l’employeur qui veut mettre en place des procédés de contrôle de ses salariés comme la vidéosurveillance, les écoutes téléphoniques. Ce sont les mêmes principes qui s’appliquent en matière de contrôle des salariés dans le cadre d’un Intranet.

2.1 La légalité des moyens de contrôle de l’activité des salariés

Deux principes s’opposent et doivent être mis en balance : d’un côté l’employeur est en droit de contrôler la bonne exécution de leur travail par ses salariés. D’un autre côté, le salarié a droit au respect de sa vie privée même dans le cadre de son contrat de travail. Le contrôle de l’employeur doit s’opérer sans porter atteinte à la vie privée de ses salariés.

Trois conditions sont nécessaires :

  • L’nformation préalable des salariés

Une obligation constante se dégage de la jurisprudence : l’nformation préalable des salariés.

L’nstallation d’un système de contrôle doit être porté à la connaissance du personnel de telle sorte qu’l ne puisse pas ignorer les contrôles dont il peut faire l’objet.

Si un enregistrement a été réalisé à l’nsu du salarié, il ne peut pas être utilisé contre lui. Ainsi, un arrêt de la Chambre sociale de la Cour de cassation a refusé d’admettre comme mode de preuve l’enregistrement effectué par une caméra dissimulée à proximité de la caisse d’une vendeuse d’un magasin révélant que la salariée avait dérobée de l’argent (Soc. 20 novembre 1991).

Dans un arrêt en date du 22 mai 1995, la Cour de cassation a adopté la position de principe suivante :

 » ..si l’employeur a le droit de contrôler et surveiller l’activité de son personnel durant le temps de travail, il ne peut mettre en œuvre un dispositif de contrôle qui n’a pas été porté préalablement à la connaissance des salariés « .

Cette jurisprudence consacre un principe posé par l’article L 121-8 du Code du travail :

 » Aucune information concernant personnellement un salarié ou un candidat à l’emploi ne peut être collectée par un dispositif qui n’a pas été porté préalablement à la connaissance du salarié ou du candidat à un emploi. « 

  • L’nformation des organes représentatifs

Selon l’article 432-2-1 du Code du travail, :

 » Le comité d’entreprise est informé et consulté, préalablement à la décision de mise en œuvre dans l’entreprise, sur les moyens ou les techniques permettant un contrôle de l’activité des salariés. « 

L’employeur doit veiller à ce que les moyens de contrôle n’entravent pas l’exercice des fonctions de délégué du personnel ou syndical.

  • La justification du contrôle

Le dispositif de contrôle doit être justifié par un intérêt légitime.

Ce principe est consacré par l’article 120-2 du Code du travail :

 » Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives des restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché « .

Par exemple, l’usage de la vidéosurveillance sur le lieu et pendant le temps de travail est admis, à condition que le recours au système soit justifié par un intérêt légitime, comme prévenir la fraude ou assurer la sécurité des salariés. Mais la vidéosurveillance ne peut pas avoir pour seul but de contrôler l’activité professionnelle des salariés.

Pour la CNIL, les données collectées en vue de la mise en œuvre de mesures techniques ou d’organisation visant à garantir la sécurité et le bon fonctionnement des systèmes d’nformation automatisés ne peuvent servir à contrôler le comportement des employés.

L’dée générale est que l’employeur est fondé à prendre des mesures nécessaires au fonctionnement de l’entreprise, mais sans porter atteinte à la vie privée de ses salariés.

Dans le cadre d’un Intranet, les outils de surveillance peuvent être justifiés par des motifs de sécurité, pour assurer la gestion d’un outil mis à leur disposition par l’employeur.

Cette information des salariés sur les dispositifs de contrôle mis en place dans le cadre de l’ntranet peut se faire par le biais d’une charte sur laquelle on pourra consulter les organes représentatifs du personnel. Cette charte qui servira également à informer les salariés des mesures concernant leur droit d’accès et de rectification, devra être jointe au dossier de déclaration à la CNIL.

2.2 Les limites de l’utilisation des nouvelles technologies pour contrôler l’activité des salariés.

Même dans l’hypothèse où toutes les règles examinées ont été respectées, l’utilisation des preuves obtenues par la mise en place des dispositifs de à des fins de sanction doit être maniée avec prudence.

En effet, les données obtenues peuvent être manipulées, modifiées, effacées, volontairement ou accidentellement. La jurisprudence en matière sociale semble donc refuser la recevabilité de la preuve numérique.

En témoignent deux affaires :

Un arrêt du 4 janvier 1994 de la Cour d’appel d’Aix a refusé de considérer qu’un film vidéo constituait un élément de preuve admissible permettant de démontrer la réalité des fautes invoquées à l’appui d’un licenciement. La Cour a considéré que compte tenu des possibilités de montage et de trucage qu’offre l’évolution des techniques, le document fourni ne présentait pas des garanties suffisantes d’authenticité, d’mpartialité et de sincérité concernant tant sa date que son contenu, pour qu’l puisse être considéré comme probant. Peu importe que l’enregistrement ait été réalisé au su des salariés.

Cette décision doit être rapprochée d’une décision en date du 14 mai 1996 de la Cour d’appel de Rouen. Dans cette affaire, après avoir obtenu du salarié le code d’accès personnel à son ordinateur, l’employeur avait fait établir, plus de 24 heures après , en l’absence dudit salarié, un procès-verbal de constat qui avait révélé qu’étaient intégrés sur une disquette , trois logiciels étrangers à l’activité de la société. La Cour a considéré que cette preuve n’était pas recevable en raison des larges possibilités de manipulation du matériel.

Indépendamment de la mise en place d’un Intranet, une entreprise peut offrir à ses salariés un accès à Internet.

III VOS SALARIES SUR INTERNET

Le salarié, comme tout internaute, va pouvoir utiliser les différents services que l’on trouve sur Internet : courrier électronique, participation à des forums publics, consultation de sites web.

Des logiciels permettent aux employeurs de surveiller ce que font leurs salariés pendant qu’ls sont connectés : les sites Web visités, le temps passé, le type de fichiers téléchargés. Si de tels procédés de contrôles de l’activité en ligne sont mis en place, que l’entreprise bénéficie ou non d’un Intranet, ils doivent être déclarés à la CNIL, être justifiés, et donner lieu aux procédures d’nformation préalable examinées ci-dessus.

Parmi les procédés qui font l’objet d’une surveillance, le courrier électronique occupe une place de choix.

Il faut dire que les systèmes informatiques rendent particulièrement aisée la surveillance des courriers électroniques : certains systèmes sont programmés afin de conserver automatiquement une copie de tous les messages reçus ou envoyés, d’autres conservent la copie des courriers dans leurs disques durs, même si l’utilisateur croit les avoir effacés. Avec une procédure dite de « back-up », il est possible de récupérer les courriers se trouvant stockés sur le disque dur.

J’examinerai plus particulièrement la question du contrôle du courrier électronique, le moyen le plus utilisé pour échanger des correspondances sur l’nternet.

3.1 Le contrôle des courriers électroniques des salariés

L’employeur peut-il surveiller les courriers électroniques de ses salariés ?

Il faut distinguer deux hypothèses.

  • L’entreprise n’a pas de politique de contrôle spécifique.

Peut-elle intercepter les courriers électroniques de ses salariés ?

Le salarié qui utilise Internet peut être amené à utiliser les moyens de communication privée offerts et notamment le courrier électronique à des fins personnelles, de la même manière que le téléphone n’est généralement pas exclusivement consacré aux conversations d’ordre professionnel.

Certes le salarié qui reçoit des lettres à caractère professionnel ne peut pas opposer le secret des correspondances à son employeur (Crim. 16 janvier 1992) mais le seul fait qu’une correspondance de nature privée soit adressée à un salarié sur son lieu de travail n’autorise pas l’employeur à la soustraire ou à la retenir de façon indue.

Un parallèle doit être fait avec le téléphone.

Concernant l’usage du téléphone, l’écoute et l’enregistrement des conversations téléphoniques des salariés constitue une atteinte à la vie privée, une infraction passible d’un an d’emprisonnement et de 300 000 francs d’amende, prévue par l’article 226-1 du Code pénal qui réprime :

 » Le fait, au moyen d’un procédé quelconque, volontairement de porter atteinte à l’ntimité de la vie privée d’autrui :
1° En captant, enregistrant ou transmettant sans le consentement de leur auteur, des paroles prononcées à titre privé ou confidentiel;

2° En fixant enregistrant ou transmettant sans le consentement de celle-ci, l’mage d’une personne se trouvant dans un lieu privé « .

Il a par exemple été jugé que commet le délit d’atteinte à la vie privé la personne qui enregistre des communications téléphoniques d’ordre personnel, données du bureau d’une entreprise, dès lors qu’elle n’gnore pas que lesdites communications ont par nature un caractère intime. (Crim. 8 décembre 1983).

Ceci même si le salarié est avisé à l’avance que ses communications téléphoniques sont susceptibles d’être écoutées.

Un arrêt récent de la Cour d’appel de Paris en date du 7 mai 1997 a condamné pour atteinte à la vie privée par captation de paroles d’une personne sans son consentement, un employeur qui avait mis en place un dispositif d’nterception des communications téléphoniques. Les salariés n’avaient pas été informés du dispositif mis en place. En outre, la décision relève qu’l n’était pas possible de distinguer, sauf précisément en les captant, les communications relevant exclusivement de la sphère privée.

L’article 226-1 vise les paroles et ne s’applique donc pas au courrier électronique.

Mais la loi du 10 juillet 1991 pose le principe du secret des correspondances émises par la voie des télécommunications et ce principe s’applique au courrier électronique.

Le contrôle réalisé par l’employeur constituerait donc le délit d’atteinte au secret des correspondances prévu par l’article 226-15 du Code pénal :

 » Le fait commis de mauvaise foi, d’ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d’en prendre frauduleusement connaissance, est puni d’un an d’emprisonnement et de 300 000 francs d’amende.

Est puni des mêmes peines le fait commis de mauvaise foi, d’ntercepter, de détourner, d’utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications ou de procéder à l’nstallation d’appareils conçus pour réaliser de telles interceptions. « 

D’un autre côté, si la boîte aux lettres électronique est fournie par l’entreprise, on pourrait considérer le courrier électronique comme une correspondance professionnelle, au même titre que la télécopie et le courrier courant reçu dans l’entreprise par le salarié et donc librement utilisable à ce titre.

Si le courrier électronique permet d’effectuer des échanges personnels comme avec le téléphone, il existe une différence fondamentale : toutes les données échangées peuvent faire l’objet de mesures de sauvegardes, une trace des courriers électroniques va être conservée dans la mémoire des ordinateurs, même en l’absence de politique de contrôle du contenu des courriers mis en place par l’entreprise. Le jour où un problème va se poser avec un salarié, l’entreprise va être tentée de consulter les courriers électroniques archivés.

Un autre problème est qu’un tel système enregistre également le courrier que le salarié émet ou reçoit sur sa boîte aux lettres personnelle dès lors qu’l utilise un ordinateur de l’entreprise pour se connecter. Se pose également la question du respect de la confidentialité des échanges concernant les représentants du personnel.

Afin d’éviter les contestations sur la nature privée ou professionnelle des courriers électroniques, il paraît prudent de respecter le principe d’nformation préalable des salariés et donc de les avertir que les courriers électroniques sont réservés à un usage professionnel exclusif, que le secret des correspondances par courrier électronique n’est pas garanti vis à vis de l’entreprise.

Le salarié dûment averti pourrait plus difficilement invoquer une atteinte à son intimité, ou au secret de ses correspondances personnelles.

A l’heure où l’usage du courrier électronique dans l’entreprise n’est pas encore une pratique courante, il est difficile de dégager des solutions qui dépendent à la fois du développement de cet usage et de la perception qu’en auront les utilisateurs.

  • Mise en place d’une politique de contrôle spécifique

Il est possible de programmer le serveur de la messagerie afin de conserver une copie de tous les messages émis et reçus. Les techniques informatiques permettent d’archiver un grand nombre d’nformations, et de faire des recherches par mot-clé, date ou nom.

Notamment, l’enregistrement et le stockage peut être justifié pour des raisons de preuve. L’activité de l’entreprise, des motifs de sécurité peuvent également justifier un contrôle plus étroit. Il est possible de transférer des documents textes, des programmes, des images par la messagerie électronique. Un salarié malveillant pourrait être tenté de divulguer des secrets d’entreprise par ce procédé.

Outre le fait qu’un tel système devrait faire l’objet d’une déclaration à la CNIL, d’une information des salariés et du comité d’entreprise le cas échéant, sa mise en place devrait être justifiée par un intérêt légitime et non dans le seul but de contrôler l’activité professionnelle des salariés.

Enfin, des mesures particulières doivent être prises afin que l’exercice des droits et libertés des représentants du personnel ne soit pas entravé.

3.2 Les communications publiques des salariés

Sur Internet, on peut communiquer de manière privée, grâce au courrier électronique, et également de manière publique en participant à des forums de discussion ou des listes de diffusion publiques.

Les forums de discussion sont des bases de données de messages organisées par centre d’ntérêt. Les messages postés dans un forum sont accessibles librement par toute personne choisissant de lire ledit message.

Les listes de diffusion permettent à un groupe de personnes de discuter par courrier électronique par thèmes d’affinités. La différence avec les forums tient à ce qu’l est nécessaire de s’abonner préalablement à la liste pour recevoir les messages échangés.

Mais si la liste est ouverte, toute personne disposant d’un accès à Internet peut s’abonner à ces listes.

  • Qu’est ce qui distingue une communication privée d’une communication publique ?

Il y a communication publique à partir du moment où un message peut être lu par un nombre indéterminé de personnes. Inversement, il y a correspondance privée lorsque le message est réservé exclusivement à une ou plusieurs personnes , physique ou morale, déterminée ou individualisée.

Il y a communication publique lorsque le message est destiné indifféremment au public ou à des catégories de public, sans que son contenu soit fonction de considérations fondées sur la personne.

La frontière entre les deux est parfois délicate à établir.

La notion de publicité est présente dans la loi du 29 juillet 1881 sur la liberté de la presse qui prévoit un certain nombre de délits relatifs à la protection de l’ntégrité et de la dignité humaine : provocation aux crimes et délits, apologie de certains crimes, provocation à la haine raciale, diffamation etc..

Ces délits requièrent l’existence d’une certaine publicité. Cependant, la diffamation et l’njure non publiques constituent des contraventions de 1ère classe (250 francs d’amende).

L’article 23 de la loi de 1881 vise les lieux ou réunions publics.

Dans le cadre de cette loi, la notion de réunion publique relève d’une acceptation large dont la jurisprudence détermine les critères de façon assez aléatoire.

Tout dépend du nombre de participants, des conditions d’admission, de la nature des relations existant entre les participants. Ex. : sont des réunions privées : une assemblée d’actionnaires, la réunion d’un comité d’entreprise, d’une assemblée syndicale.

La jurisprudence utilise également la notion de communauté d’ntérêts pour considérer qu’un groupe de personnes ne constitue pas un public au sens de l’article 23. Ainsi, ne constituent pas un public au sens de l’article 23 : le personnel d’une entreprise, les membres de la police nationale ou les membres d’une association.

Ainsi les messageries électroniques reliant des personnes d’une même entreprise ne seraient pas publiques et un Intranet ne relèverait pas de la loi sur l’audiovisuel.

  • Le droit d’expression du salarié

Le salarié bénéficie d’un droit d’expression qui lui est garanti par l’article L 461-1 du Code du travail :

 » Dans les entreprises…, les salariés bénéficient d’un droit à l’expression directe et collective sur le contenu, les conditions d’exercice et l’organisation de leur travail. Cette expression a pour objet de définir les actions à mettre en œuvre pour améliorer leurs conditions de travail, l’organisation de l’activité et de la qualité de la production dans l’unité de travail à laquelle ils appartiennent et dans l’entreprise.

Les opinions que les salariés, quelle que soit leur place dans la hiérarchie professionnelle, émettent dans l’exercice du droit d’expression ne peuvent motiver une sanction ou un licenciement. « 

L’article L 461-2 précise que  » le droit institué à l’article L 461-1 s’exerce sur les lieux et pendant le temps de travail. « 

Le salarié peut-il exercer ce droit sur les forums de l’ntranet ?

Les propos tenus dans de tels forums doivent-ils être considérés comme tenus dans l’entreprise ?

A partir du moment où l’ntranet peut être considéré comme un outil de communication au sein de l’entreprise, la réponse de principe est positive.

Le salarié va-t-il bénéficier de ce droit d’expression s’l s’exprime sur Internet ?

Si le salarié s’exprime sur Internet, on peut considérer dans ce cas qu’l s’exprime à l’extérieur de l’entreprise, même si l’accès à Internet lui est offert par son employeur.

En réalité la distinction a peu d’mportance dans la mesure où la jurisprudence considère que le droit d’expression du salarié peut s’exercer en dehors de l’entreprise, où ce droit s’exerce dans toute sa plénitude, dès lors qu’l ne donne pas lieu à abus.

Hormis le cas d’abus, le droit d’expression du salarié peut être limité s’l est tenu de par la nature de ses fonctions ou par son contrat de travail à une obligation de discrétion ou de respect du secret professionnel.

Enfin, ce droit d’expression du salarié est limité par les lois encadrant la liberté d’expression.

Le salarié peut également être amené à participer à des forums ou listes de discussion publique en rapport avec l’activité de la société.

  • Dans quelle mesure les propos tenus sur un forum peuvent-ils engager la responsabilité de la société ?

Par exemple, le salarié pourrait être amené à critiquer les produits de la concurrence.

Si les propos tenus par le salarié sont diffamatoires, dénigrants, engage-t-il la responsabilité de son employeur ?

Les lois sur la presse et l’audiovisuel prévoient une responsabilité en cascade pour certaines infractions, dont la diffamation. Sont responsables le directeur de la publication, à défaut l’auteur, à défaut le producteur en matière d’audiovisuel.

Cependant, dans notre hypothèse, à mon avis, l’employeur n’est assimilable ni à un éditeur, ni à un directeur de la publication, ni à un producteur puisque son rôle est limité à la fourniture d’une boîte aux lettre à son employé.

Ce serait donc au regard du droit commun que sa responsabilité devrait être appréciée : le commettant est responsable du dommage causé par ses préposés dans les fonctions auxquelles ils les ont employés (article 1384 alinéa 5 du Code civil). Selon la jurisprudence, les dispositions de cet article ne s’appliquent pas en cas de dommage causé par le préposé, qui agissant sans autorisation à des fins étrangères à ses attributions quels qu’en fussent ses mobiles, s’est placé hors des fonctions auxquelles il était employé. Jusqu’à présent, ces principes ont été appliqués pour des infractions du type détournement de fonds, vols, abus de confiance.

  • Quelles précautions prendre ?

En fonction de sa politique interne, une entreprise accordera plus ou moins d’autonomie à ses salariés. Elle peut tolérer un usage personnel de l’nternet à titre accessoire, dans la mesure où cela n’affecte pas le travail de ses salariés, ou au contraire en restreindre l’usage à des fins exclusivement professionnelles. Mettre en place des contrôles étroits des activités en ligne peut s’avérer contre-productif : création d’un climat de suspicion dans l’entreprise, temps perdu à collecter et analyser les données recueillies.

Au fur et à mesure que les services offerts sur Internet vont se diversifier et s’enrichir, les politiques d’accès restreint à Internet vont freiner l’utilisation optimale des ressources offertes.

Internet est très utile comme outil de veille. Cette veille peut passer par l’abonnement ou la consultation régulière de listes et forums publics. Si les salariés suivent ces forums dans le cadre de leur activité professionnelle, ils seront sans doute amenés un jour à s’y exprimer d’une manière ou d’une autre.

Il n’y a pas de certitude d’absence de risques, mais les chances d’être assigné en raison de propos tenus par un employé sur une messagerie publique sont heureusement limitées.

Il faut donc apprécier les risques réellement encourus.

En revanche, il peut s’avérer utile pour attirer l’attention de chacun sur ses responsabilités de rédiger une charte d’utilisation de l’nternet. Cette charte résumera les droits et obligations des salariés, attirera l’attention sur leur responsabilités.

Cette charte peut être l’occasion de rappeler les principales règles applicables en matière de diffamation, respect de la vie privée, droits de propriété intellectuelle. On pourra aussi y inclure des règles relatives à la sécurité : par exemple, ne pas utiliser le courrier électronique pour adresser des informations confidentielles, ne pas télécharger de logiciels directement etc.…

3.3 L’établissement de profils

Un dernier point concernant l’utilisation des données personnelles relatives aux salariés mérite d’être examiné.

Sur Internet, il est possible de recueillir des données nominatives qui circulent sur le réseau.

Par exemple, certains serveurs indexent toutes les informations qui figurent sur les forums de discussion, sur lesquels il est possible d’effectuer des recherches nominatives et d’accéder ensuite à tous les messages qui ont pu être postés par une personne, quelle que soit la nature du message. Certaines listes de diffusion possèdent des archives qui sont mises en ligne sur le web.

Utiliser ces archives pour établir des profils de ses salariés est-il licite ?

Je rappellerai simplement le principe posé par l’article L 121-8 du Code du travail :

 » Aucune information concernant personnellement un salarié ou un candidat à l’emploi ne peut être collectée par un dispositif qui n’a pas été porté préalablement à la connaissance du salarié ou du candidat à un emploi. « 

En outre l’établissement de tels profils constituerait certainement une violation de l’article 25 de la loi de 1978 qui pose le principe :  » la collecte de données opérées par tout moyen frauduleux, déloyal ou illicite est interdite « .

Il a par exemple été jugé que la collecte d’nformations réalisée à l’nsu des intéressés constituait une manœuvre déloyale dans la mesure où la personne concernée n’avait pas eu la possibilité de faire jouer son droit d’opposition à la collecte.

Conclusion

L’nternet est un nouvel outil. Quelle que soit l’utilisation faite par l’entreprise des nouvelles technologies, les principes fondamentaux posés par le droit du travail, la loi sur la protection des données personnelles et la loi relative au secret des correspondances doivent être respectés.

[Retour]