Contrôler l’utilisation par le salarié des outils informatiques : vos droits, vos devoirs…
Contrôler l’utilisation du matériel de l’entreprise
C’est un principe ! Vous pouvez contrôler l’utilisation que les salariés font du matériel informatique que vous mettez à leur disposition dans le cadre de leur mission professionnelle. Parce que ces outils sont destinés à être utilisés pour l’exécution de leur travail, ils ont un caractère professionnel, ce qui vous autorise à exercer un contrôle.
Des tolérances généralement admises pour des utilisations personnelles. D’une manière générale, la plupart des entreprises, comme les tribunaux, reconnaissent la possibilité aux salariés d’utiliser ces outils informatiques à des fins privées. Toutefois, il est important de souligner que cette tolérance ne vaut que si cette utilisation privée est raisonnable et qu’elle n’affecte pas la sécurité des réseaux informatiques, ni la productivité attendue dans l’exécution de sa mission par le salarié.
Le saviez-vous ?
Les abus caractérisés peuvent faire l’objet de sanctions : c’est ainsi qu’un employeur a pu licencier pour faute un salarié qui, durant ses heures de travail et en violation du règlement intérieur de l'entreprise, bombarde ses collègues d'innombrables courriels, dont 178 pour une seule destinataire, pour la plupart téléchargés en vidéo, consistant en des dessins animés, des scènes de sexe, d'humour, de politique, etc., et en utilisant le réseau informatique de l’entreprise.
La même sanction a été admise pour un salarié qui a utilisé son téléphone professionnel de manière particulièrement intensive à des fins personnelles (générant, sur 5 mois, plus de 180 heures de communication pour un coût de plus de 3 000 €).
Le point sur les fichiers informatiques. Par défaut, les fichiers qui sont enregistrés sur les ordinateurs mis à disposition de votre salarié sont présumés professionnels, vous pouvez donc en contrôler le contenu. Une restriction s’impose à vous toutefois : si un fichier est identifié comme étant personnel, vous ne pourrez y accéder qu’en présence du salarié ou après l’avoir appelé, ou si un risque est avéré.
Le point sur les connexions Internet. L’une des premières sources de difficultés dans ce domaine concerne l’usage d’Internet. Par principe, la connexion Internet qui est mise à la disposition du salarié pendant les horaires de travail est présumée l’être à titre professionnel : vous êtes donc autorisé à contrôler librement les connexions Internet de votre collaborateur, en dehors de sa présence. Le juge a, à cet égard, eu l’occasion de préciser que l'inscription d'un site sur la liste des « favoris » de l'ordinateur ne lui confère aucun caractère personnel.
Sécurisez l’accès aux ordinateurs ! Dans le cas où vous constatez un abus d’utilisation de la connexion internet, et que vous souhaitez le sanctionner, sachez que vous devrez apporter la preuve de l’identité de l’auteur de ces connexions. Pour pouvoir envisager la sanction de l’utilisateur habituel du poste informatique, il faut que ce poste soit uniquement accessible par cet utilisateur. Ainsi, un poste en libre accès, non protégé par un mot de passe, ou protégé par un mot de passe trop simple (initiales de l’utilisateur habituel, mot de passe général à la salle informatique, etc.), ne pourra pas permettre d’identifier l’auteur des connexions frauduleuses et donc de sanctionner l’utilisateur habituel du poste informatique.
Exemple. Le fait que les bureaux soient accessibles par tous vos collaborateurs et que l’accès aux ordinateurs ne soit rendu possible qu’en utilisant les initiales de l’utilisateur habituel ne permettent pas de sécuriser les accès informatiques. Par conséquent, l’employeur serait dans l’incapacité de s'assurer qu’un salarié donné soit réellement l'auteur d’une utilisation abusive des outils informatiques. Ce qui l’empêcherait alors de le sanctionner.
Le saviez-vous ?
La tolérance généralement admise quant à l’usage privé des outils professionnels n’autorise pas tous les abus. Dans une affaire de licenciement, le juge a reconnu le caractère abusif des connexions à Internet pendant les heures de travail : une salariée s’était connectée pendant son temps de travail à de très nombreuses reprises à des sites de voyage ou de tourisme, de comparaison de prix, de marques de prêt-à-porter, de sorties et événements régionaux ainsi qu'à des réseaux sociaux et à un site de magazine féminin. Il faut dire que, dans cette affaire, le nombre de connexions sur ces sites extraprofessionnels, calculé sur une période d’une quinzaine de jours environ, a été évalué à plus de 10 000. De quoi qualifier un abus manifeste…
Le point sur la messagerie électronique. Vous pouvez également exercer un contrôle sur les e-mails adressés par l’intermédiaire de la messagerie électronique de l’entreprise : le juge a rappelé que les courriels adressés ou reçus par le salarié à l'aide de l'outil informatique que vous mettez à sa disposition pour les besoins de son travail sont présumés avoir un caractère professionnel. Il en sera de même à propos des e-mails transférés de la messagerie personnelle du salarié vers sa boîte mail professionnelle qui seront présumés professionnels, dès lors qu’ils ne sont pas clairement identifiés comme étant personnels.
Attention. Des correspondances entretenues par le biais de la messagerie personnelle d’un salarié, même depuis un ordinateur mis à sa disposition par l’employeur, conservent un caractère personnel. Leur lecture constitue une violation du secret des correspondances.
Le saviez-vous ?
Une restriction s’impose à vous ici : vous ne pourrez pas consulter librement, en dehors de la présence du salarié, un e-mail reçu ou adressé clairement identifié comme étant personnel. Si vous justifiez d’un motif légitime, vous pouvez demander au juge la désignation d’un huissier de justice qui pourra alors procéder à l’ouverture des e-mails en question, en présence du salarié (le procès-verbal établi par l’huissier pourra servir de preuve d'un manquement du salarié à ses obligations contractuelles).
Le point sur les communications téléphoniques. Bon nombre d’entreprises mettent à la disposition de leur collaborateur des téléphones portables qu’ils sont amenés à utiliser dans le cadre de leur travail. Là encore, une utilisation privée de ce moyen de communication est, en règle générale, admise. Vous pouvez à cet égard, contrôler le relevé des communications téléphoniques fourni par votre opérateur ou le relevé des appels passés à partir des postes téléphoniques de l’entreprise grâce à l’autocommutateur téléphonique.
Le point sur les sms. Comme pour les e-mails, les juges considèrent que les sms envoyés ou reçus par un salarié au moyen du téléphone que vous mettez à sa disposition pour les besoins de son travail sont présumés avoir un caractère professionnel : vous êtes donc en droit de les consulter en dehors de sa présence, sauf s'ils sont identifiés comme étant personnels.
Le saviez-vous ?
Dans ce domaine, les abus manifestes peuvent, également, être sanctionnés. Un salarié a ainsi pu être valablement licencié pour avoir, à de nombreuses reprises, utilisé pendant son temps de travail le poste téléphonique mis à sa disposition pour établir des communications avec des messageries de rencontre entre adultes, alors qu'il savait que cet usage était interdit dans l'entreprise.
Attention à la preuve que vous apportez. Pour rappel, chacun a droit au respect de sa vie privée. Aussi, la présentation d’une conversation privée du salarié qui ne serait pas justifiée par l’exercice légitime du droit à la preuve porterait atteinte à sa vie privée. Et le juge estime que la seule constatation de l’atteinte à la vie privée ouvre droit, pour le salarié, à réparation.
Contrôler les documents et informations personnels du salarié ?
Attention au respect de la vie privée ! Des collaborateurs peuvent détenir des documents ou des fichiers personnels sur l’ordinateur de l’entreprise, recevoir des e-mails privés sur leur messagerie professionnelle ou des messages sur leurs téléphones professionnels. Pouvez-vous contrôler ces documents ou correspondance ? La réponse est positive, mais assortie de strictes conditions.
Ce que vous devez faire. Si vous devez contrôler des documents, des fichiers ou des correspondances qui sont clairement identifiés comme étant personnels, vous devez vous entourez de précaution : sauf risque ou évènement particulier, vous ne pouvez y avoir accès qu’en présence du salarié ou après l’avoir dûment appelé.
Une frontière parfois floue… Pour que le document ou le fichier soit qualifié de personnel, il faut qu’il soit clairement identifié et nommément désigné comme tel. Une salariée avait reproché à son employeur d’avoir utilisé le contenu d’une clé USB personnel pour justifier son licenciement. Le juge a validé ce licenciement, estimant que cette clé USB, qui n’était pas identifiée comme étant personnelle, et connectée à l’ordinateur professionnel de la salariée, était présumée utilisée à des fins professionnelles.
Le saviez-vous ?
Faites tout de même attention : si vous pouvez toujours consulter les fichiers ou les messages qui n'ont pas été identifiés comme personnels par le salarié, vous ne pouvez pas les utiliser pour le sanctionner s'ils s'avèrent relever de sa vie privée. Sauf s’ils sont en rapport avec l’activité professionnelle, vous ne pourrez donc pas utiliser leur contenu pour sanctionner une faute.
Attention. N’oubliez pas que la violation du secret des correspondances peut être pénalement sanctionnée.
Pour la petite histoire. Un salarié a été licencié à la suite d’un usage abusif de son disque dur professionnel, qui stockait de fausses attestations et des images et vidéos à caractère pornographique. Licenciement que le salarié conteste, estimant que l’employeur ne pouvait pas consulter son disque dur puisqu’il était intitulé « D:/données personnelles ». Mais le juge valide le licenciement, rappelant qu’un salarié ne peut pas utiliser l’intégralité d’un disque dur professionnel pour son usage personnel.
Gérer les moyens de contrôle
Mettre en place des contrôles. Vous pouvez décider de mettre en place des moyens de contrôle, pour fixer les conditions et limites d’utilisation d’Internet, pour contrôler l’usage de la messagerie électronique de l’entreprise, etc. C’est ainsi que vous pouvez interdire le téléchargement de logiciels étrangers à l’activité, l’accès à des forums, à une boîte mail privée, ou encore mettre en place des systèmes de filtres pour éviter l’accès à des sites non autorisés, etc. Vous pouvez aussi mettre en place des filtres anti-spam, des outils de gestion des pièces jointes, etc.
Un objectif. La mise en place de ce type de contrôle doit toujours être guidée par le souci de sécuriser et de protéger le réseau informatique de l’entreprise et d’éviter les abus qui pourraient être préjudiciables pour l’entreprise.
Informez vos salariés. Si vous mettez des moyens de contrôles en place, vous devez en informer vos salariés et vous devez consulter, au préalable, et le cas échéant, vos instances représentatives du personnel. Vous devez les informer de la finalité des moyens de contrôle et de la durée de conservation des données sauvegardées.
Déclarer les outils informatiques ? Les formalités déclaratives qui devaient, auparavant, être effectuées auprès de la Cnil, supprimée en grande partie par le RGPD, sont maintenues pour les seules données « sensibles » : données biométriques nécessaires à l’identification ou au contrôle de l’identité des personnes, données génétiques, données utilisant le numéro d’inscription au répertoire national d’identification des personnes physiques et données de santé. La mise à disposition d’outils informatiques (mise en place d’une messagerie professionnelle par exemple) doit faire l’objet d’une déclaration à la Commission Nationale de l’Informatique et des Libertés (Cnil).
Le saviez-vous ?
Si vous ne respectiez pas ces des obligations d’informations et de déclarations, auprès de la Cnil avant le 25 mai 2018, vous ne pouviez pas utiliser et opposer à vos salariés les éléments et informations recueillies. Un employeur, s’appuyant sur des éléments issus de son système de contrôle de la messagerie, a vu ces preuves jugées illicites parce qu’elles ont été collectées avant qu’il n’ait effectué sa déclaration à la Cnil !
Cependant, les mails issus d’une messagerie professionnelle non déclarée restent une preuve valable. Sous condition toutefois que la messagerie ne soit pas munie d’un système de contrôle individuel de l’activité des salariés et que les mails produits soient ceux échangés entre l’employeur et le salarié concerné. En effet, ce dernier ne peut pas, dans ce cas, ignorer que la messagerie qu’il utilise enregistre et conserve les mails échangés.
Attention. La mise en place d’un dispositif de surveillance des accès Internet ne doit pas avoir pour finalité la recherche et la constatation d’infractions pénales (une entreprise n’a pas pu, pour ces raisons, mettre en place un système visant à contrôler les sites à caractère pédopornographique à partir des ordinateurs professionnels). Préférez plutôt le filtrage des sites Internet à contenus illégaux.
À retenir
Vous pouvez contrôler l’usage fait par un salarié de son ordinateur professionnel, de ses connexions à Internet pendant ses heures de travail, de sa messagerie professionnelle, etc. Attention, vous ne pouvez pas contrôler librement des documents ou des fichiers identifiés comme personnel : vous ne pourrez le faire qu’en présence du salarié ou après l’avoir dûment appelé, ou en son absence en cas de risque ou événement particulier.
J'ai entendu dire
Puis-je avoir communication des mots de passe et identifiants de mes salariés pour accéder à leur ordinateur pendant leur absence ?Par principe, non : les identifiants et les mots de passe qui vont permettre d’avoir accès aux ordinateurs de vos salariés et à leur messagerie professionnelle sont strictement confidentiels. Vous ne pouvez donc pas obliger un administrateur réseau à vous fournir ces codes d’accès. Toutefois, les tribunaux admettent que vous puissiez avoir accès à ces données si le salarié détient sur son ordinateur des informations essentielles à la poursuite de l’activité de l’entreprise et s’il est établi que vous ne pouvez pas y accéder par d’autres moyens.
Un salarié est en vacances et je dois impérativement accéder à sa messagerie professionnelle. Ai-je le droit de le faire ?
Nécessité de service oblige, vous pouvez consulter la messagerie de votre salarié. On rappelle qu’un e-mail reçu ou envoyé via la messagerie professionnelle a par principe un caractère professionnel. Vous pourrez donc consulter ses messages, sauf s’ils sont clairement identifiés comme étant personnels : vous n’avez pas le droit d’en prendre connaissance, puisque vous devez respecter le secret des correspondances.
J’ai confirmation qu’un de mes anciens salariés, qui a créé une entreprise concurrente à la mienne, s’est clairement rendu coupable de concurrence déloyale à mon égard en débauchant des clients : pour preuve, j’ai une copie de mails transmis sur une de ses anciennes boîtes mails. Est-ce que je peux les utiliser contre lui ?
Dans l’absolu, s’il s’agit de son ancienne boîte mail professionnelle, ces documents doivent pouvoir être utilisés, puisque vous êtes autorisé à consulter et contrôler librement les messages envoyés ou reçus par vos salariés dans le cadre des messageries professionnelles, pour autant que ces mails ne soient pas identifiés comme étant personnels. En revanche, notez que les juges ont récemment estimé que les mails envoyés sur une messagerie personnelle d’un ancien salarié, distincte de sa messagerie professionnelle, ne peuvent pas être utilisés comme mode de preuve d'actes de concurrence déloyale, même si leur contenu est en rapport avec son activité professionnelle.
- Articles 226-1 et suivants du Code pénal (protection de la vie privée et secret des correspondances)
- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
- Arrêt de la Cour de cassation, chambre sociale, du 17 mai 2005, n° 03-40017 (accès aux documents ou fichiers personnels)
- Arrêt de la Cour de cassation, chambre sociale, du 29 janvier 2008, n° 06-45279 (utilisation abusive du poste téléphonique de l’entreprise)
- Arrêt de la Cour de cassation, chambre sociale, du 9 février 2010, n° 08-45253 (contrôle des connexions Internet)
- Arrêt de la Cour de cassation, chambre sociale, du 5 juillet 2011, n° 10-17284 (interdiction d’utiliser des documents relevant de la vie privée du salarié)
- Arrêt de la Cour de cassation, chambre sociale, du 28 septembre 2011, n° 10-16995 (caractère professionnel présumé à propos de SMS)
- Arrêt de la Cour de cassation, chambre sociale, du 18 octobre 2011, n° 10-26782 (e-mails identifiés comme étant personnels)
- Arrêt de la Cour de cassation du 26 juin 2012, chambre sociale, n° 11-15310 (les e-mails adressés ou reçus par le salarié à l'aide de l'ordinateur professionnels sont présumés professionnels)
- Arrêt de la Cour de cassation, chambre sociale, du 12 février 2013, n° 11-28649 (contrôle clé USB)
- Arrêt de la Cour de cassation, chambre sociale, du 26 février 2013, n° 11-27372 (connexions abusives à Internet pendant les heures de travail)
- Arrêt de la Cour de cassation, chambre sociale, du 19 juin 2013, n° 12-12138 (mails personnels transférés sur l’ordinateur professionnel)
- Arrêt de la Cour de cassation, chambre sociale, du 24 septembre 2013, n° 12-16943 (usage intensif du téléphone professionnel à des fins personnelles)
- Arrêt de la Cour de cassation, chambre sociale, du 18 décembre 2013, n° 12-17832 (envois en nombre d’emails non professionnels dans l’entreprise)
- Arrêt de la Cour de cassation, chambre sociale, du 8 octobre 2014, n° 13-14991 (preuves collectées avant la déclaration CNIL)
- Arrêt de la Cour de cassation, chambre commerciale, du 10 février 2015, n° 13-14779 (contrôle SMS)
- Arrêt du Conseil d’État du 11 mai 2015, n° 375669 (un moyen de contrôle ne peut pas avoir pour finalité de rechercher des infractions pénales)
- Arrêt de la Cour Européenne des Droits de l’Homme, Section 4, du 12 janvier 2016, n° 61496/08 (accès aux documents ou fichiers personnels)
- Arrêt de la Cour de cassation, chambre sociale, du 26 janvier 2016, n° 14-15360 (protection des correspondances de la messagerie personnelle, même sur l’ordinateur professionnel)
- Arrêt de la Cour de cassation, chambre sociale, du 7 avril 2016, n° 14-27949 (protection des correspondances de la messagerie personnelle, même sur l’ordinateur professionnel)
- Arrêt de la cour d’appel de Aix-en-Provence, du 8 juillet 2016, n° 14-11313, 9e chambre (protection du poste informatique) (NP)
- Arrêt de la cour d’appel de Nîmes, du 26 juillet 2016, n° 15-04114, chambre sociale (protection du poste informatique) (NP)
- Arrêt de la Cour de cassation, chambre sociale, du 1er juin 2017, n° 15-23522 (validité de la preuve par mails issus d’une messagerie professionnelle non déclarée à la CNIL)
- Arrêt de la Cour Européenne des Droits de l’Homme, du 22 février 2018, n° 588/13 (disque dur renommé « données personnelles »)
- Arrêt de la Cour de cassation, chambre sociale, du 3 octobre 2018, n° 16-23968 (licenciement pour faute et absence de sécurisation des accès informatiques)
- Arrêt de la Cour de cassation, chambre sociale, du 19 juin 2019, n° 17-28544 (exemple de contrôle de l’outil informatique)
- Arrêt de la Cour de cassation, chambre sociale, du 23 octobre 2019, n° 17-28448 (protection des correspondances de la messagerie personnelle, même sur l’ordinateur professionnel)
- Arrêt de la Cour de cassation, chambre sociale, du 12 novembre 2020, n° 19-20583 (preuve et atteinte à la vie privée)
- Délibération n° 2014-474 du 27 novembre 2014 portant adoption d’une norme simplifiée relative aux traitements automatisés de données à caractère personnel mis en œuvre par les organismes publics et privés destinés à l’écoute et à l’enregistrement des conversations téléphoniques sur le lieu de travail (NS 057)
- www.cnil.fr
