La surveillance de l'outil informatique (2/2)

Publié le 30/12/2013 Vu 4 466 fois 0
Légavox

9 rue Léopold Sédar Senghor

14460 Colombelles

02.61.53.08.01

Suite et fin de l'article relatif à la surveillance de l'outil informatique. Il est cette fois consacré au contrôle de l'utilisation de l'ordinateur.

Suite et fin de l'article relatif à la surveillance de l'outil informatique. Il est cette fois consacré au c

La surveillance de l'outil informatique (2/2)

 La surveillance de l’utilisation de l’ordinateur

Deux grandes problématiques sont posées par la surveillance de l’utilisation de l’ordinateur. D’une part la nécessité de protéger le système informatique et la sécurité de l’entreprise. Cette mission revient la plus part du temps à l’administrateur réseau (A) qui se trouve dans une position délicate. D’autre part, l’outil informatique dont dispose le salarié est souvent mis à sa disposition par l’employeur (B). Pour ce dernier il est donc légitime d’attendre que cet outil soit mis au profit de l’activité professionnelle, et non au service des occupations privées. Pour autant, toutes les formes de surveillance ne sont pas permises

A.    La position délicate de l’administrateur réseau

En matière de cyber surveillance, les administrateurs réseaux occupent un rôle central. Ces derniers sont chargés de la sécurité informatique de l’entreprise. A ce titre, ils peuvent par le biais des moyens dont ils disposent accéder à des informations personnelles des salariés. Afin d’illustrer cette problématique, il convient de faire référence à un arrêt rendu par la chambre sociale de la Cour de cassation le 17 juin 2009. En l’espèce, un employeur soupçonnait dix-sept salariés d’avoir eu connaissance de données confidentielles (l’entreprise en question était classée Seveso). Il demande alors à l’administrateur réseau de surveiller leurs postes de travail, et de lui transmettre les informations obtenues. La Cour de cassation s’est demandée si les messages « qualifiés de personnels ou pouvant, de par leur classement, être considérés comme tels avaient été ouverts dans le seul cadre de la mission confiée à l'administrateur réseaux ou s'ils l'avaient été par l'employeur1 ». Pour Sandrine Maillard, ce raisonnement sous-tend le fait que « si l'employeur ne peut pas accéder aux messages qualifiés de personnel ou pouvant, de par leur classement, être considérés comme tel, l'administrateur réseaux qui est tenu d'une obligation de confidentialité peut ouvrir ces messages personnels dans le cadre de sa mission de sécurité des réseaux informatiques2 ». En raison de son obligation de sécurité, l’administrateur ne peut en aucun cas transférer les messages « personnels » à l’employeur quand bien même il lui demanderait. La possibilité d’ouvrir les messages des salariés s’inscrit uniquement dans le cadre de ses missions. Autrement dit, cela doit être justifié par un impératif de sécurité. Toutefois, si « la préoccupation de la sécurité du réseau [justifie] que les administrateurs de systèmes et de réseaux fassent usage de leurs positions et des possibilités techniques dont ils [disposent] pour mener les investigations et prendre les mesures que cette sécurité [impose], la divulgation du contenu des messages (...) ne [relève] pas de ces objectifs3 ». En outre, l’administrateur se doit de garantir la sécurité du système, et prendre les mesures qui s’imposent. Ce dernier peut alors se trouver dans une situation délicate. Car s’il doit détecter et sécuriser la faille, les moyens dont il dispose peuvent se trouver limiter. Il peut par exemple décider de restreindre l’accès au web des salariés concernés, mais « s'agit-il d'une mesure de sécurité relevant du pouvoir de l'administrateur réseaux ou d'une mesure disciplinaire relevant du pouvoir de l'employeur ?4 ». D’un autre côté, les informations qu’il peut communiquer à l’employeur sont limitées. A noter également que s’il vient à ouvrir des messages personnels sans raison, il risque des poursuites pénales au titre de la violation du secret des correspondances5. En tout état de cause, l’administrateur réseau ne pourra sanctionner des utilisations abusives, ce pouvoir étant exclusivement réservé à l’employeur.

B. L’employeur et la surveillance de l’utilisation de l’ordinateur

Si l’employeur à toute la légitimité pour exiger une utilisation professionnelle de l’ordinateur, les moyens dont il dispose pour s’en assurer ne sont pas illimités. Ainsi, proportionnalité des moyens et loyauté sont à nouveau exigés. On peut comprendre qu’un employeur puisse être tenté de mettre en place des logiciels espions sur les postes informatiques des salariés afin de s’assurer qu’ils sont bien entrain de travailler. A titre d’exemple, on peut citer les "keyloggers". Ces logiciels sont des dispositifs de surveillance qui se lancent automatiquement à chaque démarrage du poste informatique, et ce à l’insu de son utilisateur. Ce type de dispositif doit faire l’objet d’une information préalable des IRP au titre de l’article L.2323-32 du Code du travail, et d’une information individuelle des salariés concernés6. De tels dispositifs doivent être déclarés auprès de la CNIL, pour laquelle ces derniers ne peuvent se justifier que pour de forts impératifs de sécurité. A défaut, les preuves obtenues par l’employeur seraient irrecevables dans un litige l’opposant à un salarié. En outre, depuis la loi d'orientation et de programmation pour la performance de la sécurité intérieure du 14 mars 2011, la CNIL a rappelé que le fait d’utiliser des « dispositifs de captation de données informatiques à l'insu des personnes concernées » est puni de 5 ans d’emprisonnement et de 300 000 euros d’amendes7.

Si l’employeur ne peut contrôler par n’importe quel moyen l’utilisation qui est faîte de l’ordinateur, il peut être légitime à le faire en raison des abus susceptibles d’être commis. S’il est déconseillé d’interdire totalement l’utilisation à titre personnel de l’outil professionnel - au risque de voir cette décision condamnée pour non-respect du principe de proportionnalité8 -il semble important, au vu des nombreuses tentations que suscite le web, d’en limiter l’accès. Cela pourra ainsi éviter à certains de se voir licencier pour faute grave. En effet, il est acquis que l’utilisation personnelle et abusive d’internet à partir de l’ordinateur professionnel est un cas de licenciement pour faute grave9. Cette sanction trouve son fondement dans la violation des obligations contractuelles du salarié. Ainsi, dans un arrêt du 18 mars 2009 la Cour de cassation a considéré qu'un salarié pouvait être licencié pour faute car il avait usé de la connexion internet de l'entreprise à des fins non professionnelles pour une durée d'environ 41 heures sur un mois10.


 

1 Cass. soc., 17 juin 2009, n° 08-40.274, FS P+B, Sté Sanofi Chimie c/ M. Guzzi et a. : JurisData n° 2009-048669

2 S. MAILLARD « L'administrateur réseaux peut ouvrir les messages personnels des salariés dans le cadre de sa mission » La Semaine Juridique Edition Générale n° 39, 21 Septembre 2009, 263

3CA Paris, 11e ch., sect. A, 17 déc. 2001 : JurisData n° 2001-166690 ; JCP G 2002, II, 10087, note M. Vivant et J. Devèze

4S.MAILLARD (op-cit)

5Art. 226-15 du Code pénal

6Art. L.1222-4 du Code du travail

725 févr. 2013 « Keylogger : des dispositifs de cybersurveillance particulièrement intrusifs - CNIL - Commission nationale de l'informatique et des libertés » www.cnil.fr/la-cnil/actualite/article/article/keylogger des-dispositifs-de-cybersurveillance-particulierement-intrusifs/ 2/2

8Art. L.1221-1 du Code du travail

9Cass. soc.,  9 juill. 2008, n° 06- 45.800

10Cass. soc., 18 mars 2009, n° 07-44.247 : JurisData n° 2009-048024

Vous avez une question ?

Posez gratuitement toutes vos questions sur notre forum juridique. Nos bénévoles vous répondent directement en ligne.

Publier un commentaire
Votre commentaire :
Inscription express :

Le présent formulaire d’inscription vous permet de vous inscrire sur le site. La base légale de ce traitement est l’exécution d’une relation contractuelle (article 6.1.b du RGPD). Les destinataires des données sont le responsable de traitement, le service client et le service technique en charge de l’administration du service, le sous-traitant Scalingo gérant le serveur web, ainsi que toute personne légalement autorisée. Le formulaire d’inscription est hébergé sur un serveur hébergé par Scalingo, basé en France et offrant des clauses de protection conformes au RGPD. Les données collectées sont conservées jusqu’à ce que l’Internaute en sollicite la suppression, étant entendu que vous pouvez demander la suppression de vos données et retirer votre consentement à tout moment. Vous disposez également d’un droit d’accès, de rectification ou de limitation du traitement relatif à vos données à caractère personnel, ainsi que d’un droit à la portabilité de vos données. Vous pouvez exercer ces droits auprès du délégué à la protection des données de LÉGAVOX qui exerce au siège social de LÉGAVOX et est joignable à l’adresse mail suivante : donneespersonnelles@legavox.fr. Le responsable de traitement est la société LÉGAVOX, sis 9 rue Léopold Sédar Senghor, joignable à l’adresse mail : responsabledetraitement@legavox.fr. Vous avez également le droit d’introduire une réclamation auprès d’une autorité de contrôle.