Lecture: 13 min
N5011AL8
Citer l'article
Créer un lien vers ce contenu
par Compte-rendu réalisé par Aurélie Serrano, SGR - Droit social
le 07 Octobre 2010
Si l'employeur a le droit de contrôler et de surveiller l'activité de son personnel durant le temps de travail, il ne peut mettre en oeuvre un dispositif de contrôle qui n'a pas fait l'objet, préalablement à son introduction, d'une information et d'une consultation du comité d'entreprise. En cas de non-respect de cette obligation, il s'expose, non seulement, aux sanctions attachées au délit d'entrave, mais aussi à ce que toute preuve ainsi recueillie soit irrecevable. C'est ce qu'illustre un arrêt du 7 juin 2006, dans lequel la Cour de cassation a jugé que l'enregistrement d'un salarié au moyen d'un système de vidéo surveillance de la clientèle, également utilisé pour contrôler ses salariés, mis en place par l'employeur sans information et consultation préalable du comité d'entreprise, constituait un moyen de preuve illicite (Cass. soc., 7 juin 2006, n° 04-43.866, FS-P+B N° Lexbase : A8544DP7 ; sur ce sujet, lire Gilles Auzero, Conditions de licéité d'un système de vidéo surveillance des salariés, Lexbase Hebdo n° 220 du 22 juin 2006 - édition sociale N° Lexbase : N9857AKB).
Il faut, également, noter que le comité d'hygiène et de sécurité des conditions de travail (CHSCT) doit être consulté avant tout projet d'introduction de nouvelles technologies pouvant avoir des répercussions sur l'hygiène ou la sécurité dans l'entreprise (Cass. soc., 3 avril 2001, n° 98-45.818, M. Sarrasin et autre c/ Société Métropole télévision M6, publié N° Lexbase : A2001ATB).
En outre, les salariés -ou les candidats à l'emploi- doivent faire l'objet d'une information qui peut, par exemple, prendre la forme d'une note de service ou d'une lettre individuelle. Si l'entreprise a désigné un correspondant informatique et libertés, conformément à la loi du 6 août 2004 (loi n° 2004-801, relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés N° Lexbase : L0722GTW), elle est dispensée d'information à la Cnil. Cette dispense ne vaut pas, toutefois, dans les cas de mise en place d'outils biométriques ou dans les cas où il existe un traitement des données transférées en dehors de l'Union européenne.
Lorsqu'une entreprise introduit en son sein des nouvelles technologies, elle doit pouvoir invoquer un intérêt déterminé et légitime, généralement en rapport avec la sécurité des personnes et des biens. Ainsi, par exemple, un alcootest pourra être mis en place pour des salariés conducteurs de machines, mais ne pourra pas être généralisé dans l'entreprise. Le recours à l'alcootest peut désormais avoir pour objet la constatation d'une faute (Cass. soc., 22 mai 2002, n° 99-45.878, FS-P+B N° Lexbase : A7132AYS ; voir, Sonia Koleck-Desautel, Le recours à l'alcootest peut désormais avoir pour objet la constatation d'une faute, Lexbase Hebdo n° 28 du 20 juin 2002 - édition sociale N° Lexbase : N3189AAD). Pour vérifier que l'entreprise a bien un intérêt légitime, la Cnil vérifie que l'entreprise n'a pas d'autres moyens moins intrusifs pour procéder au contrôle.
Si l'employeur est très contrôlé lorsqu'il souhaite opérer une surveillance des salariés, il ne peut, pour autant, laisser ces derniers complètement libres de leurs agissements. L'employeur est, en effet, responsable de l'utilisation que ses salariés font d'internet, ainsi qu'en témoigne un arrêt rendu le 13 mars 2006 par la cour d'appel d'Aix-en-Provence (CA Aix-en-Provence, 2ème ch., 13 mars 2006, n° 03/15440, SA Lucent Technologies c/ SA Escota N° Lexbase : A1719DPD), confirmant un arrêt du tribunal de grande instance de Marseille (TGI Marseille, 11 juin 2003, n° 01/00390 N° Lexbase : A0192C9Y). Dans cette affaire, la cour d'appel a condamné un employeur du fait de l'utilisation à des fins personnelles d'internet par l'un de ses salariés qui avait mis en ligne un site parodique dénonçant les abus supposés d'une autre société. Ainsi, après avoir constaté que la société autorisait ses salariés à utiliser Internet en dehors des heures de travail pour "consulter d'autres sites que ceux présentant un intérêt en relation directe avec leur activité au sein de la société", la cour d'appel a relevé "qu'aucune interdiction spécifique n'était formulée quant à l'éventuelle réalisation de sites Internet ou de fourniture d'informations sur des pages personnelles" et, qu'en conséquence, la société était responsable des agissements litigieux du salarié.
L'employeur doit collecter les données adéquates, pertinentes et non excessives au regard de leur finalité. En effet, les juges font application de l'article L. 120-2 du Code du travail (N° Lexbase : L5441ACI) aux termes duquel "nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché".
Ainsi, les données collectées dans le cadre d'un traitement résultant d'un outil technologique doivent être limitées à celles nécessaires à la finalité recherchée. Un contrôle de la messagerie doit, en priorité, être exercé par le biais des données de trafic (pare-feu, anti-virus...) plutôt que par le contenu des messages. Si l'employeur est obligé de procéder à un contrôle en terme de contenu, il doit impérativement mettre en place un système d'avertissement, tant pour l'émetteur du message que pour ses destinataires externes. A l'inverse, le salarié, tenu d'une obligation de loyauté envers son employeur, doit lui communiquer les documents ou mots de passe nécessaires à la poursuite de l'activité (Cass. soc., 18 mars 2003, n° 01-41.343, Union mutuelle solidarité c/ Mme Marie-Jeanne Clain, inédit N° Lexbase : A5289A7Z ; lire, sur ce sujet, Aurélie Garat, Le salarié est soumis à une obligation de collaboration durant la suspension de son contrat pour maladie, Lexbase Hebdo n° 65 du 3 avril 2003 - édition sociale N° Lexbase : N6688AAX).
La conservation des données collectées ne peut pas excéder une durée supérieure à la durée nécessaire à la finalité du traitement. Cette durée varie donc selon le type de données. Elle est de un mois maximum pour les données de vidéosurveillance mais peut aller jusqu'à six mois pour les fichiers de journalisation des connexions informatiques.
L'encadrement juridique du télétravail par l'Accord national interprofessionnel du 19 juillet 2005, étendu par arrêté du 30 mai 2006 (N° Lexbase : L9489HIB), apporte un exemple concret de cette exigence de proportionnalité (lire, sur ce sujet, Christophe Radé, L'organisation contractuelle du travail ne peut être modifiée sans l'accord du salarié, Lexbase Hebdo n° 219 du 15 juin 2006 - édition sociale N° Lexbase : N9530AK8). Ce texte définit le télétravail "comme une forme d'organisation et/ou de réalisation du travail, utilisant les technologies de l'information dans le cadre d'un contrat de travail et dans laquelle un travail, qui aurait également pu être réalisé dans les locaux de l'employeur, est effectué hors de ces locaux de façon régulière". L'accord prévoit, notamment, que l'employeur doit veiller au respect de la vie privée du salarié en fixant, par exemple, en concertation avec le salarié, les plages horaires durant lesquelles il peut le contacter.
Afin de se préserver des modes de preuve illicite, l'employeur doit, dans certains cas, procéder à une déclaration à la Cnil.
C'est ce qu'illustre un arrêt rendu par la Chambre sociale de la Cour de cassation, le 6 avril 2004, à propos de l'utilisation de systèmes de badges permettant l'identification des salariés à l'entrée et à la sortie des locaux de l'entreprise (Cass. soc., 6 avril 2004, n° 01-45.227, FS-P+B+R+I N° Lexbase : A8004DB3). A défaut de déclaration à la Cnil d'un traitement automatisé d'informations nominatives concernant un salarié, son refus de déférer à une exigence de son employeur impliquant la mise en oeuvre d'un tel traitement ne peut lui être reproché (sur ce sujet, lire Christophe Radé, L'entreprise, espace privé d'exercice des libertés publiques, Lexbase Hebdo n° 116 du 15 avril 2004 - édition sociale N° Lexbase : N1239ABI).
Dans tous les cas, l'employeur ne doit pas détourner de leur finalité les données collectées. Ainsi, un système de badge déclaré à la Cnil afin de garantir la sécurité dans l'entreprise ne peut servir à tracer les déplacements des salariés.
Si certaines collectes d'informations par l'employeur doivent faire l'objet d'une déclaration, qu'en est-il des traitements informatiques mis en oeuvre par les comités d'entreprises ou d'établissements, les comités centraux d'entreprises, les comités de groupe ou les comités interentreprises ou les délégués du personnel ? Selon la Cnil, dans une délibération du 17 octobre 2006 (délibération Cnil n° 2006-230, 17 octobre 2006 N° Lexbase : X7552AD3), les fichiers de gestion des activités sociales et culturelles des comités d'entreprise et d'établissement sont dispensés de toute formalité déclarative préalable dès lors qu'ils répondent aux conditions prévues par la norme de dispense n° 10. Ainsi, la Cnil considère que de tels fichiers, lorsqu'ils répondent à cette norme, "ne sont pas susceptibles de porter atteinte à la vie privée des personnes concernées". En effet, précise la Commission, "les traitements de gestion des activités sociales et culturelles mis en oeuvre par les comités d'entreprise ou d'établissement, ainsi que par les comités centraux d'entreprises, les comités de groupe, les comités interentreprises ou les délégués du personnel, sont des traitements courants qui ne sont pas susceptibles de porter atteinte à la vie privée des salariés et des membres de leurs familles".
2. Nouvelles technologies et contrôle des salariés
Depuis la célèbre jurisprudence "Nikon", aux termes de laquelle l'employeur avait interdiction de consulter les fichiers personnels présents sur l'ordinateur professionnel du salarié, la Cour de cassation a évolué.
Ainsi, dans un arrêt du 2 juin 2004 (Cass. soc., 2 juin 2004, n° 03-45.269, M. Marc X c/ Société Spot image SA, publié N° Lexbase : A5260DCS), la Cour de cassation décide que le fait pour un salarié d'utiliser la messagerie électronique que l'employeur met à sa disposition pour émettre, dans des conditions permettant d'identifier l'employeur, un courriel contenant des propos antisémites constitue nécessairement une faute grave rendant impossible le maintien du salarié dans l'entreprise pendant la durée du préavis.
Dans un arrêt en date du 17 mai 2005 (Cass. soc., 17 mai 2005, n° 03-40.017, M. Philippe Klager c/ Société Cathnet-Science anciennement dénommée Nycomed Amersham Medical Systems, publié N° Lexbase : A2997DIT), la Cour de cassation admet la possibilité de procéder à la fouille du disque dur d'un salarié, sans que ce dernier soit présent, mais la soumet à l'existence d'un "risque ou événement particulier". Dans cette affaire, un salarié avait été licencié pour faute grave au motif qu'à la suite de la découverte de photos érotiques dans un tiroir de son bureau, il avait été procédé à une recherche sur le disque dur de son ordinateur qui avait permis de trouver des dossiers étrangers à ses fonctions. La cour d'appel décide que le licenciement repose sur une faute grave. Selon les juges du fond, la découverte de photos érotiques par l'employeur constituait des circonstances exceptionnelles l'autorisant à contrôler le contenu du disque dur de l'ordinateur. La Cour de cassation censure cette décision au visa des articles 8 de la Convention européenne de sauvegarde des droits de l'Homme et des libertés fondamentales (N° Lexbase : L4798AQR), 9 du Code civil (N° Lexbase : L3304ABY), 9 du Nouveau Code de procédure civile (N° Lexbase : L3201ADW) et L. 120-2 du Code du travail (N° Lexbase : L5441ACI). Elle décide que, "sauf risque ou événement particulier, l'employeur ne peut ouvrir les fichiers identifiés par le salarié comme personnels contenus sur le disque dur de l'ordinateur mis à sa disposition qu'en présence de ce dernier ou celui-ci dûment appelé". Or, selon la Cour de cassation, la découverte de photos érotiques dans un tiroir du salarié ne constitue pas le "risque ou évènement particulier" justifiant l'ouverture des fichiers personnels, effectuée hors la présence de l'intéressé (sur ce sujet, lire Christophe Radé, L'employeur et les fichiers personnels du salarié : la Cour de cassation révise la jurisprudence "Nikon", Lexbase Hebdo n° 169 du 25 mai 2005 - édition sociale [LXB=N4601AI]).
Plus récemment, la Cour de cassation a précisé que les fichiers ou documents du salarié, situés dans son bureau ou sur son outil informatique mis à sa disposition par l'entreprise, sont présumés avoir un caractère professionnel, sauf si le salarié les identifie comme personnels, de sorte que l'employeur peut y avoir accès hors sa présence (Cass. soc., 18 octobre 2006, n° 04-48.025, F-P+B N° Lexbase : A9621DRR ; Cass. soc., 18 octobre 2006, n° 04-47.400, M. Philippe Alazard c/ Société Jalma emploi et protection sociale (JEPS), FS-P+B N° Lexbase : A9616DRL ; sur ce sujet, lire Sébastien Tournaux, La consultation des documents de nature professionnelle du salarié, Lexbase Hebdo n° 234 du 2 novembre 2006 - édition sociale N° Lexbase : N4508ALK)
Un arrêt de la cour d'appel de Versailles du 18 mars 2003 se prononce sur l'utilisation du matériel de l'entreprise à des fins personnelles. Selon les juges du fond, "si l'employeur est fondé à réglementer l'usage d'internet dans l'entreprise, les recommandations de la Cnil mettent en évidence l'existence d'un usage admettant qu'une interdiction absolue à des fins non professionnelles d'internet n'est pas raisonnable" (CA Versailles, 6ème ch. soc., 18 mars 2003, n° 02/00046, Monsieur Denis Gombert c/ SA Société française de radiotéléphonie N° Lexbase : A2288C9M).
Si l'employeur n'est pas fondé à interdire toute utilisation d'internet à des fins personnelles, le salarié ne peut, quant à lui, abuser de la confiance de son employeur. C'est ce qu'illustre un arrêt de la Chambre criminelle de la Cour de cassation du 19 mai 2004 (Cass. crim., 19 mai 2004, n° 03-83.953, F-P+F N° Lexbase : A6353DCB ; sur ce sujet, lire Anne-Laure Blouet Patin, Panorama d'actualités en droit des nouvelles technologies (deuxième partie), Lexbase Hebdo n° 141 du 3 novembre 2004 - édition affaires N° Lexbase : N3362AB7). La Chambre criminelle considère, en effet, que "la consultation et l'animation de sites pornographiques au moyen de l'ordinateur mis à disposition par l'employeur ne rentre pas dans le cadre de l'intimité de la vie privée au respect de laquelle tout salarié a droit, même pendant le temps et sur le lieu de travail". Dès lors, le salarié qui a "détourné son ordinateur et sa connexion Internet de l'usage pour lequel ils avaient été mis à sa disposition" se rend coupable d'un abus de confiance incriminé par l'article 314-1 du Code pénal (N° Lexbase : L7136ALU).
La solution la plus simple pour l'employeur consiste à installer des filtres pour empêcher le salarié d'accéder à n'importe quels sites. Il faut, en revanche, éviter la mise en place de contrôles individualisés poste par poste. Un tel contrôle ne devra être instauré qu'en cas d'abus manifeste et sous réserve d'une information du salarié et d'une déclaration en bonne et due forme à la Cnil.
Afin de mieux encadrer l'utilisation des nouvelles technologies et d'informer les salariés, les entreprises peuvent mettre en place une charte informatique, dont le régime suit celui du règlement intérieur (sur ce sujet, lire Aurélie Garat, Charte relative à l'utilisation des moyens de communication électronique par les syndicats à la BNF, Lexbase Hebdo n° 47 du 14 novembre 2002 - édition sociale N° Lexbase : N4690AAX). Une telle charte peut prévoir, par exemple, une interdiction de se connecter sur certains sites ou des conditions d'accès aux données du salarié par l'employeur.
Elle peut, également, prévoir un mécanisme dit d'"alerte éthique" ou "whistle-blowing", qui ouvre aux salariés la possibilité de dénoncer les agissements de leurs collègues. La Cnil n'a pas d'opposition de principe à de tels dispositifs dès lors que les droits des personnes mises en cause dans une alerte sont garantis au regard des règles relatives à la protection des données personnelles (délibération n° 2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en oeuvre dans le cadre de dispositifs d'alerte professionnelle N° Lexbase : X6007ADT). La Cnil préconise, notamment, que le dispositif ait un caractère complémentaire, un champ restreint et soit d'un usage facultatif. En outre, les catégories de personnes concernées par le dispositif devront être définies et les alertes anonymes devront faire l'objet d'un traitement restrictif. Une information claire et complète des utilisateurs potentiels du dispositif devra être réalisée par tout moyen approprié. Le recueil des alertes pourra reposer sur tout moyen de traitement des données dédié au dispositif d'alerte. Les données d'alerte devront être pertinentes, adéquates et non excessives et la gestion des alertes devra être faite en interne par des spécialistes, dans un cadre confidentiel. La personne mise en cause devra être informée précisément et pourra accéder aux données la concernant et, le cas échéant, les modifier. Enfin, la conservation des données à caractère personnel devra être limitée (sur ce sujet, lire Aurélie Serrano, Informatique et libertés au travail : droits, obligations et responsabilité de l'entreprise, Lexbase Hebdo n° 187 du 27 octobre 2005 - édition sociale N° Lexbase : N0095AKQ ; lire, également, Laure Teyssendier, Droit du travail et nouvelles technologies, Lexbase Hebdo n° 206 du 16 mars 2006 - édition sociale N° Lexbase : N5659AKS).
Plus récemment, la Cour de cassation a statué sur le cas d'un salarié qui avait déposé une plainte relative à d'éventuelles maltraitances et malveillances à l'égard de pensionnaires d'un établissement de soin et qui donne lieu à un classement sans suite. Selon la Cour, la plainte qui donne lieu à un classement sans suite n'est pas, à elle seule, constitutive d'une faute disciplinaire ni, a fortiori, d'une faute grave (Cass. soc., 12 juillet 2006, n° 04-41.075, FS-P+B N° Lexbase : A4374DQ3 ; voir, Sébastien Tournaux, La dénonciation sans fondement constitue-t-elle une faute grave du salarié ?, Lexbase Hebdo n° 225 du 27 juillet 2006 - édition sociale N° Lexbase : N1328ALR).
Comme le démontre cet exposé, les interactions entre droit du travail et nouvelles technologies sont nombreuses et en perpétuelle évolution. Lexbase Hebdo - édition sociale ne manquera pas de vous informer de l'actualité à venir sur ce thème, au sein, notamment, des ateliers de l'association pour le développement de l'informatique juridique (Adij).
© Reproduction interdite, sauf autorisation écrite préalable
newsid:95011