L'utilisation d'Internet au bureau fait couler beaucoup d'encre et soulève beaucoup de questions. L'entreprise peut-elle interdire à ses salariés d'utiliser l'e-mail à des fins personnelles ? A-t-elle le droit de surveiller l'activité de ses salariés sur le réseau, notamment en terme de sites visités ? Peut-elle interdire la participation à un forum ou à un chat ? Et s'il y a un problème, les chartes éventuellement mises en place seront-elles efficaces, et quelles seront les sanctions encourues par les salariés ?
Mieux vaut clore la liste des points d'interrogation, pour faire un constat et organiser des réponses. Le constat n'est a priori pas brillant : les "chartes Internet" semblent être d'une efficacité douteuse, et devant des décisions de jurisprudence a priori contradictoires, les entreprises ne savent plus très bien à quel saint se vouer.
Nous pensons pour notre part que ces décisions ne sont pas si contradictoires que ça, et qu'elles s'expliquent lorsqu'on les replace dans la perspective de principes fondamentaux du droit du travail que nous allons rappeler. Par ailleurs, nous rappellerons également brièvement les sanctions encourues par les salariés à l'occasion de l'utilisation d'Internet au bureau.
Que disent les décisions de jurisprudence ?
Les décisions rendues par les tribunaux ces derniers temps dégagent un principe fort intéressant, qui est celui de la responsabilisation de l'entreprise quant à l'usage qui est fait par ses salariés de son système d'information. Le raisonnement est logique : les entreprises sont maintenant totalement dépendantes de leur système d'information, sur lequel d'une part reposent des actifs de valeur (informations stratégiques, commerciales, financières...) et qui, d'autre part, s'il est mis entre de mauvaises mains, constitue un considérable pouvoir de nuisance (création de contenu illicite, spam, diffamation, etc.).
L'entreprise est responsable de son système d'information"
Les magistrats en tirent une conclusion très simple : oui, l'entreprise est responsable de l'utilisation de son système d'information par ses préposés et partant, elle se doit de les surveiller. A l'appui de la première partie de cette proposition, trois décisions importantes ont été rendues, que nous citerons par ordre chronologique :
Dans l'affaire " Kitetoa " (CA Paris 30 octobre 2002), la société Tati s'est vue expliquer qu'il ne fallait pas se plaindre de ce qu'un hacker malicieux ait pénétré son système d'information pour y détourner des fichiers contenant des données personnelles de clients, puisque ces données étaient (facilement) accessibles via le site Internet de la société.
Lucent Technologies s'est fait condamner par le TGI Marseille le 11 juin 2003, pour avoir omis de préciser dans sa charte Internet que le salarié n'avait pas le droit de créer de pages personnelles à partir des moyens informatiques mis à sa disposition par l'entreprise (en l'occurrence, la salariée avait mis en ligne des contenus diffamatoires à l'encontre d'une autre société).
Le 19 juin 2003, la Chambre Civile de la Cour de Cassation a rendu un arrêt qui montre bien la détermination des magistrats à responsabiliser les dirigeants en matière de système d'information. Une employée d'un agent général d'une compagnie d'assurance avait utilisé les moyens informatiques fournis par la compagnie d'assurance (et non par l'agent) pour commettre différentes escroqueries, en déclarant de faux sinistres pour payer ses dettes personnelles. La responsabilité de l'agent général est engagée par la compagnie d'assurance, qui considère que l'employeur est responsable des agissements de sa salariée. Considérant que la salariée utilisait des moyens informatiques qui certes étaient dans ses locaux, mais sur lesquels l'agent général n'avait pas de contrôle technique direct, la Cour d'Appel avait rejeté la demande d'indemnisation formée par l'assureur. Ce jugement est cassé par la cour suprême, qui considère que l'agent général doit être tenu responsable des agissements frauduleux de son employée puisque celle-ci "avait agi au temps et au lieu de son travail, à l'occasion des fonctions auxquelles elle était employée et avec le matériel mis à sa disposition, ce qui excluait qu'elle ait commis des détournements en dehors de ses fonctions".
La surveillance devient une obligation
Ce qui est intéressant ici est la généralité de la décision, qui ne rentre pas dans le détail de savoir si le matériel était mis à disposition par l'agent (employeur) ou la compagnie d'assurance : ce qui est affirmé est que l'employeur doit être en mesure de contrôler et de sanctionner l'activité de ses salariés sur des matériels informatiques qui sont dans ses locaux, sous peine de voir sa responsabilité engagée par un tiers en cas de préjudice causé par l'activité du salarié.
On l'aura compris, la surveillance de l'utilisation du système d'information de l'entreprise par les salariés, et a fortiori de l'Internet, devient pour les entreprises une véritable obligation. Cette obligation ne fait pas l'objet de textes spécifiques (comme ceux par exemple qui existent en matière d'hygiène et de sécurité), mais son inexécution sera sanctionnée sur la base de notre droit commun, qui comprend largement assez d'outils pour ce faire.
C'est également le droit commun qui permet de déterminer dans quelles limites l'entreprise peut exercer une surveillance sans se montrer trop intrusive dans la vie de ses salariés, ce qui nous amène à la seconde partie de la proposition que nous avons énoncée plus haut.
Selon quels principes encadrer la surveillance des salariés ? Trois grands principes doivent guider ceux qui mettent en place des procédures, qui écrivent des chartes Internet et qui organisent de façon générale le contrôle du système d'information.
Le principe de proportionnalité. Code du Travail, article L120-2 : "Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché"
Le principe de discussion collective. Le Code du Travail, article L432-2 , prévoit la consultation du Comité d'Entreprise lors de l'introduction de Nouvelles Technologies
Le principe de transparence. Le Code du Travail, article L121-8, prévoit l'information préalable des salariés sur tout dispositif et collecte de données les concernant personnellement.
Rien que du bon sens, mais si, au-delà de leur aspect casuistique, on analyse bien les diverses décisions rendues dans ce domaine, on s'aperçoit que c'est justement le bon sens qui a fait défaut aux uns et aux autres.
Les entreprises oublient le principe de transparence
Défaut aux salariés, car il faut être bien naïf, ou mal informé, pour croire qu'il est prudent de transmettre quoique ce soit de confidentiel au travers d'un réseau ouvert à tous vents, où n'importe qui peut vous suivre à la trace, s'approprier votre adresse Internet, et connaître vos sites préférés. Et a fortiori lorsqu'on le fait depuis son bureau, où des outils maintenant classiques permettent à tout administrateur système de suivre assis sur sa chaise les moindres faits et gestes de l'utilisateur sur son clavier !
Quant à l'entreprise, elle oublie souvent le principe de transparence sus mentionné, et elle omet de préciser clairement les mesures mises en place et les limites exactes de la tolérance accordée au salarié pour l'utilisation personnelle de l'Internet au bureau. Elle sera ensuite bien en peine, si ces limites n'ont pas été discutées avec les représentants du personnel et intégrées dans un texte opposable à tous (comme le règlement intérieur), de les faire valoir devant un conseil de prud'hommes. Reste maintenant à savoir, dans le cadre d'un litige, la nature du risque encouru par les salariés.
Les sanctions encourues par les salariés Sans rentrer dans le détail, les quelques principes de base qui déterminent la responsabilité du salarié qui utilise Internet au bureau à des fins personnelles sont les suivants :
Le droit pénal punit personnellement, par principe, celui qui intentionnellement a commis une infraction. Donc, tout salarié peut être recherché au plan pénal s'il a commis une infraction, quelle qu'en soit la nature (contrefaçon, diffamation, etc.…), en utilisant les moyens de son entreprise.
La responsabilité civile du salarié pourrait le cas échéant être engagée par un tiers selon les principes de droit commun, si sa faute personnelle a causé un préjudice à ce tiers. Cela supposerait néanmoins que la faute commise soit totalement détachable des fonctions de l'employé, faute de quoi c'est l'entreprise qui serait recherchée en réparation.
Enfin, et surtout, le salarié encourt un recours disciplinaire de la part de son employeur, qui pourra le sanctionner ou le licencier s'il a enfreint les règles d'utilisation de l'Internet posées par celui-ci.
Par Me Isabelle Renard (August et Debouzy) Le Journal du Management.