La Charte Informatique de l'entreprise : quels enjeux juridiques ?

– L’accès ou le maintien dans un système de traitement automatisé de données est passible de deux mois à deux ans d’emprisonnement, outre l’amende encourue et les dommages et intérêts dus à la partie civile.

– La reproduction d’un support numérique autre qu’une copie de sauvegarde est passible de trois mois à deux ans d’emprisonnement, outre l’amende encourue et les dommages et intérêts dus à la partie civile.

1) La Jurisprudence

De nombreuses jurisprudences répriment des comportements de ce type

Le Tribunal de Grande Instance de PARIS a condamné, le 24 mai 2002, pour entrave à un système de traitement automatisé de données, l’internaute à 20.000,00 € de dommages et intérêts et quatre mois d’emprisonnement avec sursis, pour envoi d’un très grand nombre de courriers électroniques.

Se pose alors la question de la responsabilité de l’employeur quand le matériel ayant servi à ce comportement délictueux a été mis à disposition par l’employeur.

La responsabilité de l’employeur peut être engagée du fait du comportement de son salarié sur le fondement de l’article 1384 du Code Civil, édictant le principe général de la responsabilité du fait des commettants.

A l’inverse, l’employeur a également l’obligation de respecter un certain nombre de droits envers son salarié.
Un panorama des décisions récentes s’impose :

a) Sur l’accès aux données :

L’affaire ‘kitetoa.com’ a posé la question de l’accès aux données accessibles sans démarches particulières de la part de l’internaute.

Le Tribunal de Grande Instance de PARIS, le 13 février 2002, et la Cour d’Appel de PARIS, le 30 octobre 2002, ont prononcé deux décisions en sens contraire : la première dans le sens de la condamnation, la seconde dans le sens de la relaxe.

L’arrêt de la Cour d’Appel de PARIS a relaxé l’internaute qui avait eu accès au répertoire clients du site ‘tati.fr’ en considérant qu’il n’y avait pas, en l’espèce, accès ou maintien frauduleux.

L’exploitant du site ‘tati.fr’ n’avait pas indiqué le caractère confidentiel des données et n’avait pas pris de mesures destinées à les protéger.

A contrario, on peut considérer que l’obligation d’informations pèse sur l’employeur au regard des informations auxquelles peuvent avoir accès les salariés.

b) Concernant l’information du salarié, et à propos des limites d’utilisation du matériel informatique (Cour d’Appel de PARIS, 16 novembre 2001) :

Dans cette affaire, le licenciement pour faute grave du salarié, sur le reproche de son utilisation de l’accès Internet professionnel à des fins personnelles a été déclaré nul. L’employeur n’avait jamais rappelé à son salarié les limites de l’utilisation de ce matériel.
Les Juges ont ainsi constaté l’absence de faute, compte tenu de ce défaut d’information.

c) A propos de la preuve d’une faute (Cour d’Appel de MONTPELLIER, 6 juin 2001) :

Les Juges considèrent qu’est un moyen de preuve illicite l’information obtenue par le contrôle de l’usage du
poste téléphonique et informatique du salarié sans que celui-ci ait été averti de la mesure de surveillance mise en place.

Cette décision rappelle l’article L.121-8 du Code du Travail, selon lequel toute surveillance doit être portée préalablement à la connaissance du salarié.

L’employeur aurait dû déterminer les conditions d’utilisation du téléphone et de la messagerie électronique, et en informer son salarié. La seule fourniture des factures de FRANCE TELECOM est insuffisante.

d) A propos de l’e-mail (Affaire CNRS, Tribunal de Grande Instance de PARIS, 2 novembre 2000, Cour d’Appel de PARIS, 17 décembre 2001)

Les Juges ont rappelé le principe selon lequel :
‘L’envoi de messages électroniques de personne à personne constitue de la correspondance privée.‘
La correspondance électronique est soumise au régime de la loi du 10 juillet 1991, relative au secret des correspondances.

En conséquence, l’interception de courriers électroniques est réprimée par l’article L.226-15 du Code Pénal. En l’espèce, le Directeur de Laboratoire se voit condamner.

Toutefois, l’interception de ces e-mails reste possible lorsqu’elle est effectuée de bonne foi. L’employeur peut contrôler et surveiller l’activité de ses salariés pendant le temps de travail.

Ce principe a été confirmé par l’arrêt de la Cour de Cassation du 12 octobre 2001 :

‘Le salarié a droit, même au temps et au lieu de travail, au respect de l’intimité de sa vie privée ; celle-ci implique en particulier le secret des correspondances ; l’employeur ne peut dès lors, sans violation de cette liberté fondamentale, prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail, et ceci même au cas où l’employeur aurait interdit une utilisation non professionnelle de l’ordinateur.‘

e) Un contrôle par l’employeur possible, mais sous conditions :

La Cour de Cassation, par un arrêt du 20 novembre 1991, a repris le principe selon lequel tout enregistrement à l’insu d’une personne est illicite.

2) L’avis de la CNIL sur le contrôle de l’employeur

La CNIL, dans son dernier rapport sur la cybersurveillance, préconise un contrôle transparent.
Cette transparence est respectée par, d’une part, une information préalable portée au salarié, et, d’autre part, l’avis du Comité d’entreprise sur la pertinence et la proportionnalité du contrôle face au respect de la vie privée du salarié.

Les contrôles peuvent porter par exemple, s’agissant des e-mails, sur la fréquence, le volume, la taille des messages, le format des pièces jointes…

L’information peut être faite par note de service. Toutefois, toute constatation nécessite la présence du salarié et, en son absence, la présence d’institutions représentatives du personnel.

En toute hypothèse, il appartiendra à l’employeur de prouver qui est l’expéditeur du message litigieux.

Dans une affaire relative à l’envoi de tracts, par les moyens mis à disposition par l’employeur, le Conseil des Prud’hommes de VERSAILLES, le 10 avril 2002, a considéré qu’une information expédiée par la Centrale CGT n’impliquait pas nécessairement que l’expéditeur se trouvait être le délégué syndical.

Enfin, le dispositif de contrôle individuel s’analyse en un traitement automatisé d’informations nominatives qui doit être déclaré à la CNIL.

La CNIL recommande une durée de conservation maximale de ces informations de six mois.

Elle rappelle également que la finalité ne doit pas être détournée à des fins autres que celles liées au bon fonctionnement et à la sécurité.

3) La nécessaire charte informatique

L’information est alors pleinement assurée par l’élaboration de la charte informatique.

Il est de même recommandé que cette charte informatique ait une valeur équivalente au règlement intérieur.

Selon le Forum des Droits de l’Internet, lors de son rapport du 17 septembre 2002 :
‘Les définitions des règles d’utilisation d’Internet doivent passer par une annexe au règlement intérieur.‘

En effet, le non-respect des dispositions prévues au sein de la charte informatique ne pourront être sanctionnées disciplinairement que dans cette hypothèse. L’adjonction d’une annexe au règlement intérieur nécessite le respect des dispositions qui concernent toute modification du règlement intérieur, et notamment le dépôt au Greffe, la publicité, la concertation avec les institutions représentatives du personnel…

De valeur informative, la charte informatique a également une valeur normative.

En conséquence, un syndicat non signataire de la charte en bénéficie également (Tribunal de Grande Instance de NANTERRE, 31 mai 2002, CGT c/ RENAULT, à propos de la charte Intranet de l’entreprise).

La même décision reconnaît que la charte qui a pour objet d’améliorer la communication entre les syndicats, les salariés et l’entreprise, peut prohiber certaines pratiques, telles que notamment l’interdiction de télécharger des vidéos, ou d’autres images animées, le ‘streaming’, la diffusion de tracts par messagerie, le ‘spamming’, les forums, le ‘chat’, les ‘applets Java’, les ‘cookies’…

4) Le contenu de la charte

La charte a ainsi pour objectif d’établir un cadre clair et transparent des règles d’utilisation de l’utilisation de l’informatique et d’Internet au sein d’une entreprise.

La charte applique la présomption selon laquelle les outils mis à disposition par l’employeur sont à vocation
professionnelle, mais rend possible une utilisation personnelle à condition qu’elle soit raisonnable et encadrée.

Le contrôle de l’utilisation personnelle pourra être réalisé s’il reste loyal, transparent et proportionné.

Le salarié se verra imposer par la charte plusieurs obligations. Il lui appartiendra notamment de distinguer les documents qu’il considère comme personnels des documents professionnels. Il lui appartiendra de distinguer
les e-mails personnels des e-mails professionnels et les fichiers personnels des fichiers professionnels.

Tout document qui ne comporterait pas cette distinction personnelle sera alors considéré comme professionnel.

Le salarié doit également s’engager à ne pas transformer des informations professionnelles en informations personnelles.

La charte prévoira également que le contrôle pourra être exercé par l’employeur en termes notamment de volumes. Le contrôle du contenu sera limité à des cas exceptionnels, nécessités par l’urgence ou par un comportement qui serait pénalement sanctionnable.

Ainsi, la charte aura parfaitement rempli sa mission quand elle rappellera au salarié la nécessité de respecter l’environnement légal applicable, et notamment au regard des droits des tiers et de l’entreprise, telle que la confidentialité.

Un salarié qui se voit attribuer par son employeur un identifiant et un mot de passe devra respecter l’usage de cet identifiant et de ce mot de passe et ne pas permettre à tout salarié de la même entreprise d’avoir accès aux mêmes données. On imagine aisément les confusions qui pourraient résulter de l’accès par chaque salarié de l’identifiant et du mot de passe de la personne ayant accès au fichier de la paie…

La charte prévoira également que l’accès aux ressources informatiques ne pourra se faire qu’après acceptation des modalités convenues dans la charte, et que le non-respect des dispositions de la charte engagera la responsabilité du salarié.