Mon compte Devenir membre Newsletters

Un employeur peut-il accéder à l'ordinateur de ses employés?

Publié le par

Que vos commerciaux travaillent sur un poste informatique de bureau ou utilisent des PC portables, sachez que l'accès aux données, même professionnelles, contenues dans ces outils est réglementé. Eclairage juridique sur ces questions de cybersurveillance.

Il est délicat de trouver le juste équilibre entre le respect dû à la vie privée du salarié sur son lieu de travail et la nécessité de contrôler l'usage des outils que l'employeur met à sa disposition. Les postes informatiques fixes ou portables fournis par l'entreprise illustrent bien cette dualité. Ils constituent un outil essentiel permettant aux salariés d'exercer leurs fonctions, mais ils sont aussi utilisés pour des applications personnelles comme le surf sur Internet et l'envoi d'e-mails à caractère privé. Enfin, ils peuvent même, dans certains cas, devenir un moyen pour le salarié d'accéder à des informations internes confidentielles, accessibles sur le réseau informatique de l'entreprise. C'est afin de respecter cet équilibre que la loi et la juris prudence formulent un ensemble de règles et de procédures permettant à l'employeur d'exercer ce qu'il est convenu d'appeler une cyber- surveillance des salariés. Cette surveillance peut s'exercer soit ponctuellement sur les postes informatiques de certains salariés, soit constituer un véri table dispositif de surveillance interne applicable à tous. La possibilité pour un employeur d'accéder au poste informatique de son salarié pour en contrôler l'utilisation a considérablement évolué en quelques années, permettant un contrôle accru par l'employeur des ordinateurs utilisés dans un cadre professionnel.

L'expert

Aurélie Boulet, avocat à la Cour, membre du cabinet Avens Lehman & Associés

Les connexions à Internet peuvent être vérifiées

Le 2 octobre 2001 dans son arrêt «Nikon France», la Cour de cassation a jugé que «le salarié a droit, même au temps et au lieu de son travail, au respect de l'intimité de sa vie privée; (...) que l'employeur ne peut dès lors (...) prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail, et ceci même au cas où l'employeur aurait interdit une utilisation non professionnelle de l'ordinateur». Cette position a été confirmée le 17 mai 2005 par la Cour de cassation, qui affirme que «sauf risque ou événement particulier, l'employeur ne peut ouvrir les fichiers identifiés par le salarié comme personnels contenus sur le disque dur de l'ordinateur mis à sa disposition qu'en présence de ce dernier ou celui-ci dûment appelé». La sévérité de cette position a été ensuite quelque peu atténuée. Ainsi, selon une décision du 18 octobre 2006, un employeur doit pouvoir accéder au poste informatique de ses employés en leur absence et consulter les dossiers qui s'y trouvent en dehors de ceux expressément identifiés comme personnels.

Très récemment, un arrêt du 9 juillet 2008 a encore étendu le contrôle qui peut être exercé par l'employeur en jugeant qu'il pouvait rechercher sur le disque dur de l'ordinateur du salarié, même en son absence, des traces de ses connexions à Internet afin de les identifier sans que cela porte atteinte au respect de la vie privée de ce dernier. Cependant, cet arrêt ne semble concerner que les connexions à Internet. Dès lors, si l'employeur peut contrôler le disque dur des ordinateurs des salariés, il doit néanmoins les informer et requérir leur présence pour contrôler les fichiers identifiés comme personnels. Par principe, la mise en place d'un dispositif de surveillance informatique des salariés requiert le respect par l'employeur de plusieurs obligations de consultation et d'information préalables. En cas de non-respect de l'une de ces exigences, le dispositif de surveillance ne peut être opposé aux salariés et la preuve en résultant est illicite. Néanmoins, la jurisprudence a pu nuancer ces obligations d'information préalable en fonction de la finalité de la mise en place du dispositif de surveillance.

Ainsi, le dispositif utilisé peut avoir pour objet la surveillance globale de l'activité des salariés sans permettre pour autant l'identification de l'auteur d'un agissement en particulier. Par exemple, le dispositif peut permettre de lister les sites internet visités par l'ensemble des salariés sans pouvoir procéder à une identification poste par poste. Dans ce cas, seule la consultation du comité d'entreprise est exigée, dans la mesure où le procédé de surveillance ne prend pas la forme d'un traitement automatisé des données personnelles et ne permet pas la collecte des informations concernant un salarié en particulier.

Ainsi, ce n'est que si l'identification d'un salarié est rendue possible que des démarches auprès de la Cnil (déclaration préalable) et du salarié concerné s'ajoutent à l'information préalable du comité d'entreprise. Cette consultation est définie aux termes du troisième alinéa de l'article L 2323-32 du code du travail: «Le comité d'entreprise est informé et consulté, préalablement à la décision de mise en oeuvre dans l'entreprise, sur les moyens ou les techniques permettant un contrôle de l'activité des salariés». Cette consultation est essentielle puisque, à défaut, la preuve obtenue par l'employeur serait irrecevable, même si le but principal du dispositif technique mis en place n'est pas le contrôle des salariés.

De plus, l'employeur doit toujours déclarer les logiciels de surveillance téléphonique (autocommutateurs) ou de l'Internet (dispositifs de contrôle individuel des durées de connexion ou des sites consultés). Les enregistrements de vidéosurveillance sont également toujours considérés comme des données à caractère personnel au sens de la loi (article 4 modifié de la loi du 6 janvier 1978).

Ce n'est que si le but du dispositif est précisément la surveillance que la délivrance d'une information aux salariés est nécessaire; il en va différemment si le procédé utilisé a une autre finalité. Ainsi, dans un arrêt du 31 janvier 2001, la chambre sociale de la Cour considère que «l'employeur est libre de mettre en place des procédés de surveillance dans des entrepôts ou autres locaux de rangement dans lesquels les salariés ne travaillent pas». De même, la Cour de cassation a estimé que la vérification par une société d'un relevé de ses communications téléphoniques fourni par France Télécom ne constitue pas un procédé de surveillance illicite dans la mesure où celui- ci n'avait pas pour finalité la surveillance des salariés.

Attention aux objectifs inavoués

Mais la prise en compte de la finalité du dispositif de surveillance devient discutable si l'employeur l'invoque uniquement pour échapper au respect de la procédure préalable. Il en est ainsi lorsque derrière le but initialement avancé (surveillance de la clientèle, sécurité de l'entreprise...), se cache un objectif inavoué: contrôler l'activité des salariés. Dans un arrêt du 7 juin 2006, la Cour a décidé de s'en tenir à la finalité recherchée par l'employeur à l'occasion de la mise en place du dispositif de surveillance, déclarant le mode de preuve illicite: «Le système de vidéo- surveillance de la clientèle mis en place par l'employeur était également utilisé par celui-ci pour contrôler ses salariés sans information et consultation préalables du comité d'entreprise.»