La cyber-surveillance est devenue une nécessité pour les entreprises ou les collectivités publiques qui doivent se prémunir contre toute attaque venant d'Internet : intrusion dans un système informatique, mais aussi contre toute inconséquence ou malveillance de leurs personnels : fuite d'informations, mise en jeu de l'image de l'entreprise par des communications intempestives, sans parler du contrôle de l'efficacité au travail : ne pas passer son temps sur le web, sur des sites non professionnels.

Les grands principes

Ces enjeux permettent de définir un pôle d'exigence, au bénéfice de l'entreprise, qui va se heurter à un autre pôle : les libertés du salarié ou de l'agent. Il est communément admis que si l'entreprise est avant tout un lieu de travail, elle est aussi un lieu de vie, où par exemple doivent être tolérées des manifestations limitées de la vie privée. Depuis longtemps, il est possible pour un salarié de recevoir du courrier personnel sur son lieu de travail, et si la mention "personnel" est bien précisée sur l'enveloppe et que le courrier est ouvert par des tiers, il s'agit d'une violation de correspondance privée, pénalement répréhensible.
Il a donc fallu mettre en place des règles qui ménagent les deux impératifs : protection de l'entreprise et respect de la vie privée. Sur le plan numérique, les choses sont plus insidieuses que sur le plan matériel : les dispositifs de surveillance sont invisibles et peuvent fonctionner à l'insu des intéressés.

Le cadre légal

Le cadre légal réside principalement dans le code du travail. Précisons que ce cadre s'applique aussi aux trois fonctions publiques (État, territoriale, hospitalière).

Le principe de proportionnalité

Tout d'abord, l'art. L.1221-1 du code du travail pose le principe de proportionnalité : toute mesure visant à limiter les droits des personnes, libertés individuelles et collectives, doit être justement proportionnée à la nature de la tâche et à la finalité poursuivie. Ainsi, la mise en place d'une pointeuse biométrique, exploitant les empreintes digitales des salariés, a été jugée disproportionnée au but recherché qui était simplement de contrôler le temps de travail des salariés (TGI Paris, 19 avril 2005, Comité d’entreprise d’Effia Services, Syndicat Sud Rail / Effia Services).

Des obligations d'information

Un ensemble d'obligations informatives des intéressés ont été mises en place.
L'art. L.1221-9 et L.1222-4 du code du travail prévoient qu' "Aucune information concernant personnellement un salarié" (art. L.1222-4) ou "un candidat à un emploi (art. L.1221-9) ne peut être collectée par un dispositif qui n'a pas été porté préalablement à sa connaissance".
L'art. L.2323-13 du même code prévoit que tout projet introduisant de nouvelles technologies "lorsque celles-ci sont susceptibles d'avoir des conséquences sur l'emploi, la qualification, la rémunération, la formation ou les conditions de travail du personnel" doit être préalablement porté à la connaissance du comité d'entreprise, à titre consultatif.
L'art. L.2323-32 dispose que le comité d'entreprise est également informé préalablement :
-    "sur les méthodes ou techniques d'aide au recrutement des candidats à un emploi ainsi que sur toute modification de ceux-ci" ;
-    "sur les traitements automatisés de gestion du personnel et sur toute modification de ceux-ci" ;
-    "et consulté sur les moyens ou les techniques permettant un contrôle de l'activité des salariés".

Le secret des correspondances

L'atteinte au secret des correspondances et des échanges par voie de télécommunications est pénalement sanctionnée par l'art 226-15 du code pénal (1 an de prison, 45 000 euros d'amende). Le délit est aggravé lorsqu'il est commis par une personne dépositaire de l'autorité publique, tel qu'un supérieur dans la fonction publique (art. 432-9 : 3 ans de prison et 45 000 euros d'amende — art. 432-17 : peines complémentaires possibles telles que privation des droits civils, civiques, interdiction d'exercer une fonction publique…)

Les recommandations de la CNIL

La Commission nationale de l'informatique et des libertés a émis des recommandations dès 2001. Elle a édité une série de fiches de synthèse en février 2002, régulièrement enrichies ou mises à jour. Elle y consacre également quelques pages dans son Guide pratique pour les employeurs et les salariés, réédité en 2008 (tous documents disponibles sur le site de la CNIL — www.cnil.fr — rubrique Dossiers > Travail).

Des contours affinés parla jurisprudence

Forte de ces bases légales et de la doctrine de la CNIL, la jurisprudence affine peu à peu les contours des grands principes, de sorte qu'on obtient chaque jour une vision plus précise de ce qu'il possible de faire et de ce qui est à proscrire.

Frontière professionnel/personnel

Une jurisprudence désormais constante considère que dès lors qu'un courriel reçu sur l'ordinateur du salarié est classé dans un dossier mentionné "personnel" ou "privé", il s'agit de correspondance privée. Passer outre relève donc de la violation du secret des correspondances privées par voie électronique, sanctionnée pénalement comme indiqué plus haut (Cou de cassation, Ch. sociale, 2 octobre 2001 – Nikon  / M. X). Il en est de même des documents que le salarié aurait téléchargés sur le net et stocké dans un dossier portant les mêmes mentions. Certaines décisions tendent à établir que dès qu'un message est envoyé à une seule personne, il est forcément privé. Son interception et sa communication à une tierce personne constitue donc une violation de correspondance punissable (Paris, 11ème chambre, section A, 17 décembre 2001, M., H. H. et V. R. / Ministère public et A.T.) Il ne peut non plus être retenu pour instruire une procédure disciplinaire à l'encontre de l'agent d'une collectivité locale (TGI Quimper 17 juillet 2008, Thierry V / Gilles S).
Cependant, la chambre sociale de la Cour de cassation présume le caractère professionnel des documents se trouvant sur le bureau ou sur l'ordinateur du salarié (Soc. 18 octobre 2006 – 2 arrêts : M. Le X / Techni Soft, et M. X / Société Jalma). Il en est de même des connexions internet effectuées par un salarié depuis son poste et durant ses horaires de travail. L’employeur peut donc rechercher sur le disque dur de l’ordinateur du salarié, en son absence, des traces de ses connexions internet afin de les identifier sans que cela porte atteinte au respect de la vie privée de celui-ci (Soc. 9 juillet 2008, Franck L. / Entreprise Martin).
Il appartient dès lors au salarié de signaler clairement le caractère personnel de ses dossiers et messages électroniques (Soc. 30 mai 2007, M. X / Phone House).
De même, le respect de la vie privée du salarié ne fait pas obstacle au droit qu'a l'employeur de mettre en œuvre une procédure judiciaire, dans laquelle un juge ordonne des mesures d'investigation sur l'ordinateur d'un salarié en vue de trouver des fichiers non repérés comme personnels, pour établir que cet ordinateur avait bien servi à des actes de concurrence déloyale (Soc. 10 juin 2008, Mme X. / Société Mediasystem).

Les chartes informatiques

L'élaboration de chartes informatiques constitue une des meilleures façons d'encadrer juridiquement les pratiques technologiques au sein de l'entreprise et d'y associer l'ensemble du personnel. Il s'agit de documents à valeur contractuelle, qu'il est conseillé de faire signer par tous les salariés. Une méthode courante, pour obtenir l'adhésion de tous, est de conditionner l'octroi d'un accès à Internet à la signature de la charte par le salarié, dans le cadre d'un redéploiement du réseau informatique interne. Il suffit par la suite de la faire signer par tout nouveau salarié, avec son contrat de travail.
Le contenu d'une charte peut être le suivant :
-    Rappel des règles comportementales et des responsabilités respectives des divers groupes au sein de l’entreprise : toute personne pour l’usage de la messagerie, l’équipe informatique à l’égard de la supervision qu’elle exerce sur les contenus (confidentialité), l’équipe dirigeante à l’égard des responsabilités qu’elle engage au nom de l’entreprise ;
-    Rappel des risques encourus consécutivement à certains comportements sur les réseaux ;
-    Rappel des responsabilités en présence et le cas échéant des risques de sanctions internes encourues en cas de mise en jeu de la responsabilité de l’entreprise du fait d’un de ses salariés ;
-    Énoncé des mesures de suivi, de traçage ou de surveillance mises en place ;
-    Recommandations techniques diverses ;
-    Recommandations ou rappels déontologiques.

À retenir

Si la cyber-surveillance est une nécessité pour préserver l'entreprise contre les attaques venant d'Internet et pour surveiller l'efficacité de ses salariés ou agents, elle doit impérativement être mise en place dans un cadre légal et contractuel qui garantisse le respect de la vie privée.

|cc|Didier Frochot — avril 2010