Le contrôle de l'utilisation d’internet et de la messagerie électronique

01 décembre 2015

Pour l’exercice de leur activité professionnelle, les salariés ont à leur disposition un poste de travail informatique qui peut être connecté à internet et doté d’une messagerie électronique. L’utilisation, sur les lieux de travail, de ces outils informatiques à des fins autres que professionnelles est généralement tolérée. Elle doit rester raisonnable et ne doit pas affecter la sécurité des réseaux ou la productivité de l’entreprise ou de l’administration concernée.

Le contrôle de l’utilisation d’internet

L’employeur peut fixer les conditions et limites de l’utilisation d’internet. Ces limites ne constituent pas, en soi, une atteinte à la vie privée des salariés.

Par exemple : L’employeur peut mettre en place des dispositifs de filtrage de sites non autorisés (sites à caractère pornographique, pédophile, d’incitation à la haine raciale, révisionnistes, etc.). Il peut également fixer des limites dictées par l’exigence de sécurité de l’organisme, telles que l’interdiction de télécharger des logiciels, l’interdiction de se connecter à un forum ou d’utiliser le « chat », l’interdiction d’accéder à une boîte aux lettres personnelle par internet compte tenu des risques de virus qu’un tel accès est susceptible de présenter, etc.

Nécessité d’informer les salariés

Les salariés doivent être informés des dispositifs mis en place et des modalités de contrôle de l’utilisation d’internet :

Le comité d’entreprise doit avoir été consulté et informé (article L2323-32 du code du travail);

Les salariés doivent être informés, notamment de la finalité du dispositif de contrôle et de la durée pendant laquelle les données de connexion sont conservées.Une durée de conservation de l’ordre de six mois est suffisante, dans la plupart des cas, pour dissuader tout usage abusif d’internet.

Si des procédures disciplinaires sont susceptibles d’être engagées sur la base de ces fichiers, les salariés doivent en être explicitement informés (par exemple au moyen d’une charte).

Comment déclarer ?

Lorsque l’entreprise ou l’administration met en place un dispositif de contrôle individuel des salariés destiné à produire un relevé des connexions ou des sites visités, poste par poste, le traitement ainsi mis en oeuvre doit être déclaré à la CNIL (déclaration normale) sauf si un correspondant informatique et libertés a été désigné, auquel cas aucune déclaration n’est nécessaire.

Par exemple : logiciel de contrôle de l’utilisation d’internet permettant d’analyser les données de connexion de chaque salarié ou de calculer le temps passé sur internet par un salarié déterminé.
Lorsque l’entreprise ou l’administration met en place un dispositif qui ne permet pas de contrôler individuellement l’activité des salariés, ce dispositif peut faire l’objet d’une déclaration de conformité en référence à la norme simplifiée n° 46 (gestion des personnels des organismes publics et privés).
Par exemple : logiciel permettant seulement de réaliser des statistiques sur l’utilisation d’internet au niveau de l’ensemble des salariés de l’entreprise ou au niveau d’un service déterminé.

Le contrôle de l’utilisation de la messagerie

Des exigences de sécurité, de prévention ou de contrôle de l’encombrement du réseau peuvent conduire les entreprises ou les administrations à mettre en place des outils de contrôle de la messagerie.

Par exemple : outils de mesure de la fréquence, de la taille, des messages électroniques ; outils d’analyse des pièces jointes (détection des virus, filtres « anti-spam » destinés à réduire les messages non-sollicités, etc.).

Nécessité d’informer les salariés

Les dispositifs de contrôle de la messagerie doivent faire l’objet d’une consultation du comité d’entreprise ou, dans la fonction publique, du comité technique paritaire ou de toute instance équivalente et d’une information individuelle des salariés.

Ils doivent notamment être informés, de la finalité du dispositif et de la durée pendant laquelle les données de connexion sont conservées ou sauvegardées.

En cas d’archivage automatique des messages électroniques, ils doivent en outre être informés des modalités de l’archivage, de la durée de conservation des messages, et des modalités d’exercice de leur droit d’accès.

Comment déclarer ?

La messagerie professionnelle doit faire l’objet d’une déclaration de conformité en référence à la norme simplifiée n° NS-046 (gestion des personnels des organismes publics et privés). Si un dispositif de contrôle individuel de la messagerie est mis en place, il doit être déclaré à la CNIL (déclaration normale), sauf désignation d’un correspondant informatique et libertés.

Par exemple : logiciel d’analyse du contenu des messages électroniques entrant ou sortants destinés au contrôle de l’activité des salariés.

L’accès au poste informatique ou à la messagerie

L’employeur doit respecter le secret des correspondances privées une communication électronique émise ou reçue par un employé peut avoir le caractère d’une correspondance privée. La violation du secret des correspondances est une infraction pénalement sanctionnée par les articles L.226-15 (pour le secteur privé) et L.432-9 (pour le secteur public) du Code pénal.

La Cour de cassation a affirmé, dans un arrêt du 2 octobre 2001 (arrêt « Nikon »), qu’un employeur ne saurait prendre connaissance de messages personnels d’un employé sans porter atteinte à la vie privée de celui-ci (article 9 du code civil) et au principe du secret des correspondances (article 226-15 du code pénal), quand bien même une utilisation à des fins privées aurait été proscrite par l’employeur.
Pour autant, le principe du secret des correspondances connaît des limites dans la sphère professionnelle. Il peut également être levé dans le cadre d’une instruction pénale ou par une décision de justice.

Tout ce qui n’est pas identifié comme « personnel » est réputé être professionnel de sorte que l’employeur peut y accéder librement.

La Cour de cassation considère qu’un message envoyé ou reçu depuis le poste de travail mis à disposition par l’employeur revêt un caractère professionnel, sauf s’il est identifié comme étant « personnel », dans l’objet du message par exemple (Cour de cassation, 30 mai 2007).

Il appartient à l’employé d’identifier les messages qui sont personnels. À défaut d’une telle identification, les messages sont présumés être professionnels.

La nature personnelle d’un message peut figurer dans l’objet du message ou dans le nom du répertoire dans lequel il est stocké.

La CNIL recommande de porter à la connaissance des salariés (par exemple dans une charte) le principe retenu pour différencier les courriers électroniques professionnels et personnels (qualification par l’objet, création d’un répertoire spécifique dédié au contenu privé, etc.).

Le cas des fichiers et des répertoires créés par un employé

Il a été jugé que les fichiers créés par un salarié grâce à l’outil informatique mis à sa disposition pour l’exécution de son travail sont présumés, sauf si le salarié les identifie comme étant personnels, avoir un caractère professionnel (Cour de cassation, 18 octobre 2006).

Tout fichier qui n’est pas identifié comme « personnel » est réputé être professionnel de sorte que l’employeur peut y accéder hors la présence du salarié.

Les mots clés associés à cet article

Ceci peut également vous intéresser ...