• Français -fr 

Blog Archives

Est-il possible d’interdire l’usage des réseaux sociaux par les salariés dans l’entreprise ?

1. Sur l’autorisation de l’usage des réseaux sociaux

L’employeur peut choisir d’autoriser ou d’interdire l’usage des réseaux sociaux à des fins personnelles.

Toutefois, dans le cas où il souhaite autoriser l’usage des réseaux sociaux à des fins personnelles, il est permis d’encadrer et de contrôler un tel usage.

2. Sur l’encadrement de l’usage des réseaux sociaux à des fins personnelles

La Cnil a précisé que l’employeur peut contrôler et limiter l’utilisation d’internet (dispositifs de filtrage de sites, détection de virus…) et de la messagerie (outils de mesure de la fréquence des envois et/ou de la taille des messages, filtres « anti-spam ») (Fiche pratique – les outils informatiques au travail – octobre 2016).

Ce contrôle a pour objectif :
– d’assurer la sécurité des réseaux qui pourraient subir des attaques (virus, cheval de Troie…) ;
– de limiter les risques d’abus d’une utilisation trop personnelle d’internet ou de la messagerie (consultation de sa messagerie personnelle, achats de produits, de voyages, discussions sur les réseaux sociaux…).

Les instances représentatives du personnel doivent être informées ou consultées avant la mise en œuvre d’un dispositif de contrôle de l’activité.

En outre, chaque employé doit être notamment informé :
• Des finalités poursuivies,
• Des destinataires des données,
• De son droit d’opposition pour motif légitime,
• De ses droits.

La Cnil a également eu l’occasion de rappeler que « l’utilisation à des fins personnelles du téléphone au travail est tolérée si elle reste raisonnable et ne porte pas préjudice à l’employeur. Ce dernier peut contrôler l’usage non abusif des lignes à partir de deux sources d’informations : les standards téléphoniques et les relevés d’appels ». (Guide téléphonie de le Cnil – édition 2012).

L’encadrement de l’usage à des fins personnelles des réseaux peut se faire au moyen d’une charte, annexée ou non au règlement intérieur, d’une note individuelle ou d’une note de service.

3. L’amendement de la charte informatique
La charte informatique semble l’outil adapté pour encadrer l’usage des réseaux à des fins personnelles.

A titre d’exemple, il est possible d’encadrer leurs usages de la manière suivante :

L’usage des outils d’échanges de fichiers et de communication instantanée, tout comme les sites de réseaux sociaux ou les forums de discussions sans vocation professionnelle, sera toléré à condition qu’il se limite à un usage strictement raisonnable et à ce qu’il ne porte pas atteinte ou préjudice aux intérêts de l’employeur. Le salarié s’engage aussi à ne pas y tenir de propos diffamatoires envers sa hiérarchie, des collègues, des clients, des fournisseurs ou des prestataires.

Ainsi, le salarié peut se voir interdire de communiquer, à des fins autres que strictement professionnelles, la moindre information sur son activité professionnelle, ses conditions de travail, l’organisation générale, les activités de la société.

Le salarié peut s’engager à ne pas s’inscrire avec son adresse mail professionnelle à des newsletters personnelles (Exemples : Vente Privée, Amazon.fr, etc.) ainsi qu’à des réseaux sociaux pour un usage non professionnel (Facebook, Twitter, Instagram, WhatsApp, etc.).

Dans le cadre d’un usage personnel, le salarié peut s’engager à communiquer exclusivement en son nom propre en rappelant, le cas échéant, que ses propos n’engagent que lui et ne traduisent pas la position officielle de l’entreprise.

Il doit également s’engager à respecter les conditions générales d’utilisation des réseaux sociaux ainsi que les lois applicables.

Une recommandation doit enfin lui être faite afin qu’il utilise les règles de paramétrage de confidentialité des réseaux sociaux afin de limiter la diffusion des informations aux seules personnes devant en connaître.

Blandine POIDEVIN

FIC 2014, 22/01/14, Lille

Je participerai à l’une des tables rondes du 6ème Forum international de la Cybersécurité.
Il s’agit de l’atelier B3 le 22 janvier de 9H à 10H 30 sur le thème de la réponse aux incidents en entreprise: atelier pratique.

Cadre juridique des administrateurs réseaux

Les administrateurs réseaux assurent le fonctionnement normal et la sécurité du système informatique de leur employeur. Ils sont susceptibles d’avoir accès, dans l’exercice de cette mission, à des informations personnelles relatives aux utilisateurs (messageries, logs de connexion, etc.).

L’accès par les administrateurs aux données enregistrées par les salariés dans le système d’information est justifié par le bon fonctionnement dudit système, dès lors qu’aucun autre moyen moins intrusif ne peut être mis en place.

Ils doivent dès lors s’abstenir de toute divulgation d’informations qu’ils auraient été amenés à connaître dans le cadre de l’exercice de leur mission, et en particulier les informations relevant de la vie privée des employés ou couvertes par le secret des correspondances, dès lors qu’elles ne remettent pas en cause le fonctionnement technique ou la sécurité des applications, ou encore l’intérêt de l’employeur.

Cette obligation de confidentialité doit être rappelée dans leurs contrats de travail ainsi que dans la charte informatique.

Dès lors que les contrôles effectués par l’administrateur réseaux font ressortir un risque pour le fonctionnement ou la sécurité pour le système informatique, ou une atteinte aux intérêts de l’employeur, l’administrateur réseaux peut, dans un premier temps, avertir le salarié concerné du résultat des contrôles effectués et lui proposer des solutions afin d’éviter le renouvellement de ces incidents.

Dans un second temps, l’employeur devra être informé du non-respect par un salarié donné des directives résultant de la charte informatique, afin d’envisager la prise, en application du règlement intérieur de l’entreprise, de sanctions à son encontre.

A cet effet, il peut être fait recours à une ordonnance autorisant un huissier de Justice à accéder aux fichiers ou courriers électroniques litigieux. La Cour de Cassation s’est prononcée, dans son arrêt du 10 juin 2008 (CCass, Ch. Soc., 10 juin 2008, n° pourvoi 06-19229), sur la question, en rappelant que « le respect de la vie personnelle du salarié ne constitue pas en lui-même un obstacle à l’application de l’article 145 du Code de Procédure Civile, dès lors que le juge constate que les mesures qu’il ordonne procède d’un motif légitime et sont nécessaires à la protection des droits de la partie qui les a sollicitées ».

En l’espèce, un simple soupçon d’acte de concurrence déloyale commis par le salarié semblait devoir constituer un motif légitime au sens de l’article 145 du Code de Procédure Civile qui dispose que « s’il existe un motif légitime de conserver ou d’établir, avant tout procès, la preuve de fait dont pourrait dépendre la solution d’un litige, les mesures d’instruction légalement admissible peuvent être ordonnées à la demande de tout intéressé sur requête ou en référé ». Une solution similaire a été retenue dans l’arrêt de la Cour de Cassation du 23 mai 2007 (CCass, Ch. Soc., 23 mai 2007, n° pourvoi 05-17818).

Par ailleurs, il doit en tout état de cause être fait application des règles posées par la jurisprudence, relatives à l’ouverture de fichiers ou courriers électroniques identifiés comme personnels (CCass, Ch. Soc., 17 mai 2005, n° pourvoi 03-40017). Ainsi, la présence du salarié est exigée. Il doit à tout le moins avoir été dûment averti de la démarche mise en œuvre.

Ces règles peuvent être contournées en cas de risque ou événement particulier. A cet égard, il a été jugé que la découverte de photos érotiques dans le tiroir du bureau d’un salarié ne constituait pas un tel risque ou événement particulier.

Charte informatique : vérifiez leur rédaction…

De nombreuses chartes informatiques ont été rédigées au moment des jurisprudences nikon et suivantes.
Une relecture s’impose afin de les adapter à la jurisprudence actuelle et à l’évolution du droit des données personnelles.

Dans un arrêt du 15 décembre 2010, la Cour de Cassation a rappelé que, si la conservation de fichiers à caractère pornographique sur le poste de travail d’un salarié, ne constitue pas en soi un usage abusif affectant le travail et justifiant son licenciement, ce comportement peut, néanmoins, être sanctionné si la Charte Informatique, intégrée dans le règlement intérieur de l’entreprise, le prévoit.

Dans cet arrêt, la Cour de Cassation a approuvé l’arrêt de la Cour d’Appel de METZ qui avait considéré que l’utilisation par un salarié de la messagerie électronique de l’entreprise pour la réception et l’envoi d’un nombre conséquent de documents pornographiques et leur conservation sur son disque dur, constituait un manquement répété à l’interdiction posée par la Charte en question et donc, une faute grave de nature à justifier son licenciement immédiat.

A l’inverse, dans une autre affaire dans laquelle aucune Charte n’avait été signée, la Cour de Cassation a considéré que le licenciement intervenu était abusif.

Recommandation: Il convient de vérifier les usages interdits au titre de la Charte, afin de pouvoir sanctionner ce type de comportement.

Pourquoi adopter une charte interne Informatique et Libertés ?

Si l’adoption des chartes informatiques a aujourd’hui tendance à se généraliser dans les entreprises et organismes publics, il est permis de s’interroger sur la pertinence de l’inclusion dans ce document des aspects relatifs aux traitements de données à caractère personnel.

Destinées à organiser les conditions d’utilisation par les salariés du système d’information de l’employeur, les chartes informatiques ont d’abord pour objet l’emploi de la messagerie électronique, d’Internet et, plus généralement, des fichiers matériels et logiciels utilisés par les salariés dans le cadre de l’accomplissement de leurs fonctions.

L’adoption d’une charte informatique se justifie par le rappel des droits et obligations des salariés en la matière et vise la recherche d’un équilibre entre vie privée du salarié et protection des intérêts légitimes de son employeur.

La particularité des règles applicables aux traitements de données à caractère personnel, suffit à légitimer l’adoption d’un document distinct de la Charte Informatique, dans lequel seront rappelés les principes essentiels applicables à la collecte, au traitement et à la conservation de données à caractère personnel.

La loi Informatique et Libertés n° 78-17 du 6 janvier 1978, modifiée le 6 août 2004, définit une donnée à caractère personnel comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ».

Qu’il s’agisse de la création d’un fichier destiné à gérer la relation client, d’un traitement mis en place afin d’assurer la paie des salariés ou encore de la collecte d’adresse de courrier électronique à des fins d’envoi d’une newsletter, l’ensemble des traitements de données à caractère personnel mis en œuvre dans l’entreprise, sont assujettis aux règles résultant de la loi Informatique et Libertés et peuvent utilement faire l’objet d’un code de bonne conduite, imposé par l’employeur à ses salariés.

Annexée au règlement intérieur, la Charte Informatique et Libertés se dote, alors, de l’objectif de sensibiliser son personnel sur les sanctions pénales et administratives applicables au non respect des prescriptions légales en la matière et leur rappelle les conditions de conformité des traitements effectués.

Ainsi, des aspects relatifs à la finalité, aux destinataires du traitement, pourront être rappelés, de même que le nécessaire respect de la durée de conservation des données traitées, et l’information des personnes concernées sur leurs droits d’accès de modification et de suppression des données les concernant.

La Charte Informatique et Libertés doit également aborder la problématique du transfert des données à caractère personnel en dehors de l’Union Européenne, notamment envers des états n’assurant pas une protection suffisante de ces données.

La Charte Informatique et Libertés est également le support approprié pour rappeler la politique suivie par l’employeur en matière de traitement de données à caractère personnel.

Ainsi, dans les entreprises dotées d’un correspondant Informatique et Libertés, la Charte sera l’occasion de rappeler son existence et les conditions de son intervention et de son indépendance.

Plus généralement, l’adoption d’une telle Charte, inscrit entreprises et organismes publics, dans une démarche plus professionnelle de traitement des données à caractère personnel.

La multiplication des contrôles effectués par la CNIL, comme le renforcement des pouvoirs de sanction confiés à celle-ci, risquent de donner raison à ceux ayant fait le choix d’une sensibilisation claire de leurs salariés sur le plan des principes essentiels à respecter, des sanctions pénales et administratives applicables comme sur celui du rappel des règles de déontologie et de sécurité à respecter.

Charte informatique, CCI Valenciennes, 17/06/10

La CCI Nord de France organise le 17 juin 2010 une journée dédiée à l’intelligence économique.

Cette journée sera ponctuée de 3 ateliers et s’achèvera par une conférence puis d’un cocktail. Les thèmes abordés seront :

Atelier 1 : Mettre en place une cellule de veille en entreprise. Atelier pratique sur ordinateurs

Atelier 2 : Salon à l’international : menaces opportunités. Faire du salon un outil de veille tout en se prémunissant d’attaques éventuelles

Atelier 3 : Développer un pare-feu humain : Première faille de sécurité informatique : les comportements des collaborateurs…phénomène accentué par les réseaux sociaux, … En France les attaques concurrentielles sont négligées. Or ce sont souvent les PME et PMI qui sont la cible d’espionnage économique. A savoir que 80% des menaces sont internes et d’origine humaine.

J’animerai l’atelier 3. Cet atelier mettra en avant les mesures de sécurité minimum et l’intérêt d’encadrer le comportement humain par une charte de sécurité «informatique» respectant le cadre législatif et règlementaire. Quelle est la responsabilité du dirigeant ?

Cette journée se déroule le 17 juin et cet atelier se déroulera dans l’après midi de 15h30 à 17h00 environ.

Conférence de ce 22/09, Hem, 59

Pour le programme de cette conférence, cliquez sur ce lien