Untitled Document

La cybersurveillance des salariés

Anne-Marie Husson
Le Préau CCIP
amhusson@ccip.fr

Michel Arnaud
Université Paris X
Laboratoire CRIS SERIES
Michel.arnaud@u-paris10.fr

Groupement CFE-CGC
Paris La Défense
1er juin 2006

Le rapport de la CNIL sur la cybersurveillance des salariés (février 2002)
Rapport sur la cybersurveillance des salariés sur leur lieu de travail
CNIL (février 2002)

Guide sur les pratiques d’utilisation des NTIC dans les entreprises en rappelant les droits et obligations de chaque partie.

Les grands axes :

Les conditions d’utilisation d’Internet peuvent être fixées par l’employeur sans porter atteinte à la vie privée des salariés, et à condition qu’ils aient été avertis,

Les mèls ne peuvent être considérés comme personnels que s’ils contiennent une indication manifeste de ce caractère personnel dans l’objet du message ou dans un répertoire,

Le rapport de la CNIL sur la cybersurveillance des salariés (février 2002)
Les fichiers de journalisation (enregistrement des opérations effectuées par les salariés) doivent faire l’objet d’une déclaration à la CNIL,

Le rôle des administrateurs réseaux :
La CNIL préconise l’instauration d’une forme de secret professionnel : ils ne doivent pas révéler des données considérées comme personnelles si elles ne mettent pas en cause le fonctionnement du système ou l’intérêt de l’entreprise,

La messagerie de l’entreprise devrait pouvoir être utilisée par les instances représentatives du personnel ou pour l’exercice d’un mandat syndical mettre en place des négociations dans les entreprises.

Dossier FDI sur les relations du travail et Internet (janvier 2006)
Face à la multiplication des litiges et pour mieux encadrer l'usage des nouvelles technologies dans le monde professionnel, le Forum des droits sur l'Internet (FDI) a présenté un dossier sur les relations du travail et Internet (janvier 2006)

Dossier FDI sur les relations du travail et Internet (janvier 2006)
40 décisions judiciaires, dont une vingtaine d'arrêts inédits, ont permis au FDI de construire ce dossier visant à clarifier les usages d'Internet en entreprise, tant pour les salariés que pour l'employeur.
L'utilisation des moyens informatiques à des fins personnelles, ainsi que la preuve de la faute du salarié par des procédés informatiques, continuent de constituer la masse principale du contentieux.

Dossier FDI sur les relations du travail et Internet (janvier 2006)
Responsabilités de l'employeur en tant que fournisseur d'accès,
Obligation d'information sur les moyens de surveillance mis en oeuvre dans l'entreprise,
Usage des outils de messagerie, critères de distinction des messages à caractère professionnel,
Ambiguïtés du télétravail,
Exploitation des systèmes informatiques au service des relations collectives du travail.

Responsabilités de l'employeur en tant que fournisseur d'accès
Par un arrêt du 4 février 2005, la Cour d’appel de Paris vient d’affirmer qu’une entreprise peut être qualifiée de fournisseur d’accès à l’internet au sens de l’ancien article 43-7 de la loi du 30 septembre 1986, inséré par la loi du 1er août 2000. Elle donc soumise à l’ensemble des obligations pesant sur cet intermédiaire et notamment "détenir et conserver les données de nature à permettre l’identification de toute personne ayant contribué à la création d’un contenu des services dont elle est prestataire et, d’autre part, à communiquer ces données sur réquisitions judiciaires".

Responsabilités de l'employeur en tant que fournisseur d'accès§
La loi de lutte contre le terrorisme du 23 janvier 2006 ne concerne pas uniquement les opérateurs de communications électroniques mais vient, par deux articles 5 et 6, modifier le Code des postes et communications électroniques (CPCE) en introduisant un alinéa nouveau à l’article L. 34-1 I. Elle précise dans un article L. 34-1-1 nouveau les modalités d’accès aux « données conservées et traitées ».

Responsabilités de l'employeur en tant que fournisseur d'accès
Les données de trafic dont il peut être différé à la destruction (art. L. 34-1 I CPCE) doivent être fixées par décret pris en Conseil d’État (art. L. 34-1 II CPCE) après avis de la CNIL mais dans les limites du V de l’article L. 34-1 CPCE. Ces données correspondent aux données qui peuvent être conservées pour différentes finalités (recherche, constatation, poursuites des infractions pénales, facturation, paiement…). Ce décret devrait être publié dans les prochaines semaines.

Responsabilités de l'employeur en tant que fournisseur d'accès
Ces données dont il peut être demandé communication sont les « données techniques relatives à l’identification des numéros d’abonnement ou de connexion à des services de communications électroniques, au recensement de l’ensemble des numéros d’abonnement ou de connexion d’une personne désignée, aux données relatives à la localisation des équipements terminaux utilisés ainsi qu’aux données techniques relatives aux communications d’un abonné portant sur la liste des numéros appelés et appelants, la durée et la date des communications. »

Obligation d'information sur les moyens de surveillance mis en oeuvre dans l'entreprise
La question de la responsabilité de l’employeur du fait de ses salariés oblige à se poser la question de son pouvoir de contrôle, en particulier de la messagerie.
Principe de loyauté : le salarié doit être informé préalablement des dispositifs de cybersurveillance le concernant.
Principe de proportionnalité (articles L-120-2 et 121-7 du Code du travail): mesures proportionnées au but recherché

Obligation d'information sur les moyens de surveillance mis en oeuvre dans l'entreprise
Principe de loyauté :
- respect de la vie privée et du secret des correspondances personnelles (courriel) mais exclusion des messages à caractère professionnel
- illicéité des dispositifs de contrôle non déclarés (badges non déclarés CNIL)
- « encadrement » des lignes éthiques (whistleblowing) : dénonciations anonymes d’infractions (décision d’autorisation unique CNIL)
- mesures de traçabilité acceptées

Usage des outils de messagerie, distinction des messages à caractère professionnel
La Cour de cassation encadre l’accès aux fichiers personnels du salarié :
Les fichiers même personnels ne font pas partie de la correspondance personnelle et sont donc accessibles
Au visa des articles 8 de la CEDH, 9 du Code civil, 9 du NCPC et L. 120-2 du Code du travail, la chambre sociale de la Cour de cassation a affirmé dans un arrêt du 17 mai 2005 que, « sauf risque ou événement particulier, l’employeur ne peut ouvrir les fichiers identifiés par le salarié comme personnels contenus sur le disque dur de l’ordinateur mis à sa disposition qu’en présence de ce dernier ou celui-ci dûment appelé »

Ambiguïtés du télétravail
Projet d’accord national interprofessionnel (signé le 19 juillet 2005) transposant accord cadre européen du 16 juillet 2002
Inclusion des travailleurs « nomades » et en alternance
Avenant au contrat de travail
Plages horaires d’accessibilité définies
Prise en charge des coûts
Consultation du comité d’entreprise
Inscription des télétravailleurs sur le registre unique du personnel

Ambiguïtés du télétravail
Cause de rupture du contrat de travail du côté du salarié :
imposer le retour au travail dans l’entreprise peut constituer une modification du contrat de travail
changements technologiques et démission pour harcèlement moral (plages d’accessibilité)

Licenciement lié à Internet
Interdiction tirée de l’obligation de loyauté contractuelle mais nécessité pour l’employeur de rappeler les limites de l’utilisation des moyens informatiques
Le salarié doit avoir utiliser les moyens informatiques mis à sa disposition
pendant le temps de travail
à des fins étrangères à l’activité de l’entreprise
l’utilisation doit avoir une certaine gravité.

Licenciement lié à Internet
La preuve de la faute par les moyens informatiques:
Conditions de la licéité de la preuve en matière de cybersurveillance
Identité de l’auteur
Collecte et conservation des preuves par huissier avec détails des opérations effectuées

Exploitation des systèmes informatiques au service des relations collectives du travail
Loi no 2004-391 (FP) du 4 mai 2004: utilisation par les IRP de la messagerie électronique de l’entreprise
Loi no 2004-575 (économie numérique) du 21 juin 2004: élections syndicales par voie électronique
La libre communication des représentants du personnel et syndicaux avec les salariés implique le respect de la confidentialité des échanges.
Mise à disposition de moyens informatiques ne permettant pas d’interception par le patronat.
Limitation des informations confidentielles diffusées sur le site d’un syndicat.

Dossier FDI sur les relations du travail et Internet (janvier 2006)
Ce dossier est complété au fil des évolutions législatives et des jurisprudences éventuelles.
Ce dossier permet notamment d'enrichir les rubriques "salarié" et "entreprise" du site DroitDuNet.fr accessible librement.

Webographie:
http://www.foruminternet.org/actualites/
http://www.droitdunet.fr/
http://mediateurdunet.fr/fo/index.php