[Evénement] Informatique et libertés au travail : droits, obligations et responsabilité de l'entreprise

Pierre Sargos, Président de la Chambre sociale de la Cour de Cassation, Gérard Couturier, Directeur du master "Juristes de Droit Social" de l'Université Paris I et Hubert Bouchet, Commissaire de la Cnil, membre du Conseil économique et social sont intervenus, le 12 octobre 2005, sur le thème des droits, obligations et responsabilité de l'entreprise en matière d'informatique et de libertés au travail. Cette conférence, organisée par le cabinet Gide Loyrette Nouel, était animée par Maître Joël Grange, avocat associé, responsable du Département Droit Social et par Maître Etienne Drouard, avocat du Département Droit de l'Informatique. Alors qu'un décret du 20 octobre 2005 (décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 N° Lexbase : L0844HDM) apporte des précisions sur le statut et les missions du correspondant à la protection des données personnelles dans l'entreprise, rarement ce sujet n'aura été autant d'actualité. Selon Pierre Sargos, les droits, obligations et responsabilités en matière d'informatique sur le lieu de travail doivent être appréciés à la lumière de l'exigence du "raisonnable". Ce concept correspond à une notion juridique très précise, utilisée régulièrement en droit.

Le législateur consacre, tout d'abord, cette notion au travers du droit d'alerte et de retrait reconnu au bénéfice du salarié qui a un motif "raisonnable" de penser que la situation dans laquelle il se trouve présente un danger grave et imminent pour sa vie ou sa santé (C. trav., art. L. 231-8 N° Lexbase : L5969AC3 ; C. trav. art. L. 231-10 N° Lexbase : L5973AC9).

Au niveau communautaire et international, ce concept n'est pas non plus méconnu. Ainsi, aux termes de l'article 6, paragraphe 1, de la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales (N° Lexbase : L7558AIR), toute personne a droit à ce que sa cause soit entendue équitablement, publiquement et dans un délai "raisonnable", par un tribunal indépendant et impartial.

Le concept du "raisonnable" est également utilisé par la Commission nationale de l'informatique et des libertés (Cnil) qui considère, par exemple, que le responsable d'un fichier doit fixer une durée de conservation raisonnable en fonction de l'objectif du fichier. De même, la Commission préconise, dans son rapport sur "la cybersurveillance sur les lieux de travail", une utilisation raisonnable d'Internet à des fins personnelles.

La Cour de cassation n'est pas en reste et procède volontiers à une appréciation selon le critère du "raisonnable". On peut citer, par exemple, le délai raisonnable pour accepter ou refuser une modification prononcée à titre disciplinaire (Cass. soc., 1er avril 2003, n° 01-40.389, F-D N° Lexbase : A6315A7Z), le délai raisonnable de la prise d'effet d'un contrat de travail -lorsque celle-ci n'est pas concomitante avec sa signature- conclu avec une entreprise utilisatrice pour apprécier si l'indemnité de précarité est due ou non (Cass. soc., 8 décembre 2004, n° 01-46.877, FS-P+B N° Lexbase : A3413DE7) ou le délai raisonnable après le licenciement pour apprécier la nécessité du remplacement définitif d'un salarié absent en raison d'une maladie ou d'un accident non professionnel (Cass. soc., 10 novembre 2004, n° 02-45.156, FS-P+B+R+I N° Lexbase : A8471DD4). Le prochain rapport de la Cour de Cassation, indique Pierre Sargos, devrait mettre l'accent sur cette notion en pleine essor.

Dans le domaine de l'utilisation des nouvelles technologies sur le lieu de travail, il appartient aux juges de retenir une approche "raisonnable" en mettant en balance divers éléments qui peuvent parfois se révéler contradictoires. Ainsi, dans un arrêt du 2 juin 2004 (Cass. soc., 2 juin 2004, n° 03-45.269, M. Marc X c/ Société Spot image SA, publié N° Lexbase : A5260DCS), la Cour de cassation décide que le fait pour un salarié d'utiliser la messagerie électronique que l'employeur met à sa disposition pour émettre dans des conditions permettant d'identifier l'employeur, un courriel contenant des propos antisémites constitue nécessairement une faute grave rendant impossible le maintien du salarié dans l'entreprise pendant la durée du préavis. Dans cette affaire, estime Pierre Sargos, c'est une approche raisonnable qui a été retenue par la Cour de cassation (voir, dans le même sens, à propos de l'usage du téléphone portable : CA Paris, 21ème, A, 2 février 2005, n° 04/37436, M. Farés Gmir c/ SA Transport Alsthom N° Lexbase : A8053DGD ; refusant de sanctionner le salarié pour faute grave : Cass. soc., 3 février 1999, n° 97-40.495, Société Locamion, société anonyme c/ M. Belgacem Ben Mariem, inédit N° Lexbase : A6125CLG).

L'utilisation des nouvelles technologies doit également être guidée par l'exigence d'une information loyale. Celle-ci est fondamentale dans le domaine contractuel car elle permet de corriger le déséquilibre existant entre les parties. Ainsi, dans un arrêt du 17 mai 2005 (Cass. soc., 17 mai 2005, n° 03-40.017, FS-P+B+R+I N° Lexbase : A2997DIT, lire Christophe Radé, L'employeur et les fichiers personnels du salarié : la Cour de cassation révise la jurisprudence "Nikon", Lexbase Hebdo édition sociale du 25 mai 2005 [LXB=N4601AIA]), la Cour de cassation décide que "sauf risque ou événement particulier, l'employeur ne peut ouvrir les fichiers identifiés par le salarié comme personnels contenus sur le disque dur de l'ordinateur mis à sa disposition qu'en présence de ce dernier ou celui-ci dûment appelé". Par cette décision, la Cour suprême assouplit considérablement la solution adoptée dans le célèbre arrêt "Nikon" rendu le 2 octobre 2001 (Cass. soc., 2 octobre 2001, n° 99-42.942, Société Nikon France c/ M. Frédéric Onof, publié N° Lexbase : A1200AWD) aux termes de laquelle l'employeur avait interdiction de consulter les fichiers personnels présents sur l'ordinateur professionnel du salarié.

De même, aucune information concernant personnellement un salarié ou un candidat à un emploi ne peut être collectée par un dispositif qui n'a pas été porté préalablement à la connaissance du salarié ou du candidat à un emploi. Ainsi, un enregistrement réalisé à l'insu du salarié constitue un mode de preuve illicite (Cass. soc., 20 novembre 1991, n° 88-43.120, Mme Neocel c/ M. Spaeter, publié N° Lexbase : A9301AAQ ; Cass. soc., 22 mai 1995, n° 93-44.078, Société Manulev service c/ M. Salingue, publié N° Lexbase : A4033AAM). Ce régime prétorien a d'ailleurs été consacré par le législateur (C. trav., art. L. 121-8 N° Lexbase : L5450ACT).

Toutefois, nuance la Cour de cassation dans un arrêt du 19 avril 2005 (Cass. soc., 19 avril 2005, n° 02-46.295, F-P+B N° Lexbase : A9552DHA, lire Christophe Radé Faute, preuve et vidéo, Lexbase Hebdo édition sociale du 4 mai 2005 N° Lexbase : N3922AI4), l'employeur peut opposer aux salariés "les preuves recueillies par les systèmes de surveillance des locaux auxquels ils n'ont pas accès , et n'est pas tenu de divulguer l'existence des procédés installés par les clients de l'entreprise". Au total, le salarié bénéficie d'une protection dans la phase d'exécution de la prestation de travail et aucun dispositif de contrôle de l'activité professionnelle ne peut être mis en oeuvre s'il n'a pas été porté préalablement à la connaissance des salariés. Toute preuve obtenue sans se conformer à cette exigence sera automatiquement considérée comme illicite. Il est donc inutile de maintenir des zones de clandestinité en dissimulant les risques encourus par le salarié.

La notion de proportionnalité est, également, au coeur de l'appréciation de la Chambre sociale. Ainsi, une société ne peut pas mettre en place un système de badgeage par empreintes digitales, le traitement pris dans son ensemble n'apparaissant ni adapté ni proportionné au but recherché (TGI Paris, 19 avril 2005, n° RG 05/00382, Comité d'entreprise d'Effia Services c/ Fédération des Syndicats Sud Rail N° Lexbase : A0577DI9, lire Gilles Auzero, De l'illicéité d'un système de "badgeage" par empreintes digitales, Lexbase Hebdo édition sociale du 11 mai 2005 N° Lexbase : N4025AIW). La Cour de cassation fait ainsi application de l'article L. 120-2 du Code du travail (N° Lexbase : L5441ACI), inséré dans le Code du travail par la loi du 31 décembre 1992 aux termes duquel "nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché".

L'utilisation des NTIC est également limitée par la nécessité du respect de la vie privée du salarié mais, au-delà, il s'agit d'une simple exigence de bon sens, exigence qui sert de fil conducteur à la Cnil. Cette dernière a, par exemple, établi une norme simplifiée concernant les traitements automatisés de données à caractère personnel mis en oeuvre dans le cadre de l'utilisation de services de téléphonie fixe ou mobile sur les lieux de travail (délibération Cnil n° 2005-019, 3 février 2005, portant création d'une norme simplifiée concernant les traitements automatisés de données à caractère personnel N° Lexbase : X0260ADY).

Au travers de cette norme, la Cnil s'inquiète, notamment, du sort des salariés protégés. Elle précise que "des mesures particulières doivent être prises afin que les conditions de mise en oeuvre et d'utilisation des services de téléphonie n'entravent pas l'exercice des droits reconnus par la loi en matière de droits et libertés des représentants des personnels et des employés protégés". A cet effet, ils doivent pouvoir disposer d'une ligne téléphonique excluant toute possibilité d'interception de leurs communications ou d'identification de leurs correspondants.

Le développement de la téléphonie mobile et de la messagerie privées rend progressivement ces questions obsolètes. En effet, l'usage par le salarié du téléphone et de la messagerie de l'entreprise sont devenus moins indispensables. Seule demeure, désormais, un contrôle en terme d'usage abusif.

Selon Hubert Bouchet, la technologie a une certaine propension à se répandre au-delà du berceau pour lequel elle a été conçue. Pourtant, il faut exclure tout approche manichéenne du sujet. L'informatique est au service de toutes les parties en présence et il faut trouver un point d'équilibre, dans la cybersurveillance des salariés, entre la sécurité des entreprises et le bien-être des salariés. Réagissant à ces propos, Gérard Couturier estime qu'au-delà même de la relation de travail, la personne humaine est confrontée à une organisation qui le dépasse et c'est ce risque qui justifie un contrôle en termes de proportionnalité.

Ainsi que le souligne Hubert Bouchet, l'instauration d'un dispositif de dénonciation dans l'entreprise est un sujet d'actualité qui illustre bien cette dialectique. Le 7 janvier 2005, la Cnil a été saisie d'une déclaration portant sur la mise en oeuvre d'un dispositif d'intégrité professionnelle au sein du groupe Mc Donald's France. Ce dispositif, qui s'inscrit dans le cadre du "code d'éthique" ("whistleblowing lines") du groupe international Mc Donald's visait à permettre aux collaborateurs des filiales françaises du groupe d'alerter, par courrier postal ou par télécopie, la société-mère américaine (Mc Donald's Corporation) sur les comportements de leurs collègues de travail "supposés contraires aux règles légales françaises ainsi qu 'au code d'éthique".

Selon la Cnil, le dispositif présenté est disproportionné au regard des objectifs poursuivis et des risques de dénonciations calomnieuses et de stigmatisation des employés objets d'une "alerte éthique". Compte tenu de ces observations, la Commission n'autorise pas la mise en oeuvre du dispositif d'intégrité professionnelle (délibération n° 2005-110 du 26 mai 2005 relative à une demande d'autorisation de Mc Donald's France pour la mise en oeuvre d'un dispositif d'intégrité professionnelle N° Lexbase : X2560AD8).

De tels dispositifs de dénonciation sont en pleine expansion dans les entreprises, d'où la nécessité de clarifier la situation. D'ici le début du mois de novembre 2005, la Cnil devrait publier une nouvelle recommandation sur ce thème afin d'offrir un code de bonne conduite aux entreprises. Dans cette recommandation, il y aurait une définition précise du dispositif d'alerte. L'utilisation d'un tel dispositif ne devrait pas pouvoir constituer une obligation pesant sur les collaborateurs. Les personnes susceptibles de faire l'objet d'une alerte devraient être déterminées précisément. La personne mise en cause devrait être informée de la dénonciation dans les plus brefs délais et devrait pouvoir consulter et éventuellement rectifier les informations la concernant dans les plus brefs délais. Devrait également se poser la question de l'anonymat ou, à tout le moins, de la confidentialité des personnes qui dénoncent. La recommandation préciserait, également, le mode de collecte des alertes, la pertinence des données relatives aux alertes et la question des données de conservation (droit à l'oubli prévu par la loi informatique et libertés n° 78-17, 6 janvier 1978, relative à l'informatique, aux fichiers et aux libertés N° Lexbase : L8794AGS).

Gérard Couturier estime, quant à lui, que les employeurs doivent trouver une limite dans leur possibilité de surveiller les salariés. Le fondement juridique à cette limite peut se trouver dans l'exigence de loyauté et de transparence. Il est possible de procéder par analogie avec le secret des correspondances et l'ouverture des vestiaires mais, à la différence de ces deux exemples, la surveillance d'un ordinateur ne nécessite pas une ouverture matérielle des fichiers. Il est clair que les possibilités de contrôle de l'activité d'un salarié sur son ordinateur sont à la fois nombreuses et discrètes. Toutefois, selon Pierre Sargos, ce rapprochement va plus loin que la simple métaphore. En effet, malgré la suppression du support papier, la notion de correspondances perdure.

© Reproduction interdite, sauf autorisation écrite préalable