La surveillance de l’usage de l’Internet dans l’entreprise : quelle légalité ? (chronique « droit & multimédia » de L’Echo)
Publié le 24/01/2000 par Thibault Verbiest
Article paru dans L’Echo du 20 janvier 2000. Les employés utilisent de plus en plus l’Internet : courriers électroniques pour communiquer au sein de l’entreprise ou avec l’extérieur, consultation de sites Web, participation à des forums de discussion. Ces nouveaux outils de communication peuvent être utilisés à des fins professionnelles mais également privées ou récréatives.…
Article paru dans L’Echo du 20 janvier 2000.
Les employés utilisent de plus en plus l’Internet : courriers électroniques pour communiquer au sein de l’entreprise ou avec l’extérieur, consultation de sites Web, participation à des forums de discussion.
Ces nouveaux outils de communication peuvent être utilisés à des fins professionnelles mais également privées ou récréatives.
Ainsi, à partir de l’ordinateur de son bureau, un employé pourra participer à un forum de discussion pour défendre la politique de sa société mais aussi pour partager avec d’autres internautes une passion privée.
Il pourra communiquer par emails avec des amis ou surfer sur Internet lors de sa pause de midi. Ainsi, plus de 20 % du temps passé sur le Web au travail serait consacré aux loisirs, selon une étude d’Internet Profile.
L’employeur, de son côté, entend mettre Internet à la disposition des membres de son entreprise dans un souci d’amélioration de la rentabilité et des performances de celle-ci.
Il ne tolérera donc pas un usage privé abusif et qui pourrait nuire à la bonne marche de ses affaires.
De même, il pourra être attentif à ce qu’Internet ne soit pas utilisé par l’un de ses employés à des fins illicites ou pour communiquer à l’extérieur des informations confidentielles ou préjudiciables à l’entreprise.
Les techniques de surveillance
C’est dans ce contexte que se généralisent les techniques de surveillance de l’usage d’Internet au sein des entreprises. Selon une étude de l’American Management Association International, près de 67 % des sociétés américaines utilisent un moyen électronique pour contrôler leurs employés. En outre, 45 % des employeurs inspecteraient les e-mails.
Une tendance de plus en plus suivie par les entreprises européennes.
Aux Etats-Unis, les firmes Compaq et Xerox ont toutes deux licencié une vingtaine de leurs employés, après avoir découvert qu’ils consultaient des sites pornographiques pendant les heures de bureau.
En Belgique, un fonctionnaire a également été limogé pour avoir consulté, mais en dehors des heures de bureau, des sites à caractère pornographique, rapporte la Ligue des droits de l’homme.
Certaines entreprises utilisent des logiciels qui permettent de bloquer l’accès aux sites « indésirables » tandis que d’autres suivent une politique de surveillance systématique des sites consultés.
La technique la plus simple à cet égard consiste à vérifier sur la machine du salarié les sites dernièrement visités et automatiquement conservés en mémoire par le navigateur.
Des logiciels de surveillance spécifiques existent également, tels que Little Brother, qui scrute toutes les connexions des employés à Internet (sites visités, temps de consultation, type de fichiers téléchargés…).
Quant au courrier électronique, l’employeur ou le responsable du réseau de la société pourra se réserver une possibilité d’accès aux courriers stockés sur le disque dur du salarié.
Ainsi, en 1995, six employés de la société Morgan Stanley Dean Witter ont été licenciés après que la direction eut découvert sur le disque dur de leur ordinateur un email jugé diffamatoire pour l’entreprise.
En septembre 1999, la First Union Corp, sixième plus grande banque américaine, a licencié pour faute grave sept de ses employés au motif qu’ils auraient utilisé les ordinateurs de leur bureau pour recevoir et/ou émettre des courriers électroniques « pornographiques ou inappropriés » .
De surcroît, même en cas de destruction d’un email, il est possible que celui-ci ait été enregistré dès sa réception ou son émission et stocké ailleurs, aux fins d’archivage et… de contrôle.
Dans ce cas, l’employé croira qu’il n’existe plus aucune trace du message effacé, alors qu’en réalité une copie est conservée quelque part sous l’autorité de son employeur …
D’autres systèmes sont programmés afin de conserver la copie des courriers dans les disques durs, même si l’utilisateur croit les avoir effacés. Moyennant une procédure de « back-up », il est possible de récupérer les courriers effacés…
Les courriers électroniques et les données de connexion à Internet font-ils preuve devant les juridictions du travail ?
Les données électroniques peuvent être manipulées ou modifiées. C’est la raison pour laquelle la jurisprudence française en matière sociale refuse en général la recevabilité de la preuve numérique, ainsi qu’en témoignent les deux affaires suivantes :
Dans un arrêt du 4 janvier 1994, la Cour d’appel d’Aix a refusé de considérer qu’un film vidéo constituait un élément de preuve admissible permettant de démontrer la réalité des fautes invoquées à l’appui d’un licenciement.
La Cour a considéré que, compte tenu des possibilités de montage et de trucage qu’offre l’évolution des techniques, le document fourni ne présentait pas de garanties suffisantes d’authenticité, d’impartialité et de sincérité concernant tant sa date que son contenu, pour qu’il puisse être considéré comme probant.
L’enregistrement avait pourtant été réalisé au su des salariés.
Cette décision doit être rapprochée d’un arrêt du 14 mai 1996 de la Cour d’appel de Rouen.
Dans cette affaire, après avoir obtenu du salarié le code d’accès personnel à son ordinateur, l’employeur avait fait établir, plus de 24 heures après , en l’absence dudit salarié, un procès-verbal de constat qui avait révélé qu’étaient intégrés sur une disquette , trois logiciels étrangers à l’activité de la société.
La Cour a considéré que cette preuve n’était pas recevable en raison des larges possibilités de manipulation du matériel.
Toutefois, il nous semble que cette position devrait être assouplie, à l’heure où l’Union européenne se dote d’une législation communautaire sur les signatures électroniques (voir notre article » Quelle est la valeur juridique des contrats en ligne ? « , L’Echo du 8 décembre 1999, également disponible sur Juriscom).
En effet, à l’instar des signatures électroniques, les e-mails ou les données de connexion à Internet devraient être recevables en justice, leur force probante dépendant d’autres éléments à établir par l’employeur (exemple : impossibilité technique d’altérer le corps ou la signature électronique du message en raison de la technique de cryptage utilisée).
Le secret des communications privées
Selon l’article 314bis du Code pénal, est puni d’un emprisonnement de 6 mois quiconque, intentionnellement, à l’aide d’un appareil quelconque, écoute ou fait écouter, prend connaissance, enregistre ou fait enregistrer, pendant leur transmission, des communications ou des télécommunications privées, auxquelles il ne prend pas part, sans le consentement de tous les participants à ces communications ou télécommunications.
Il ne fait pas de doute que les courriers électroniques, dès lors qu’ils ont un contenu privé, sont visés par cette disposition. Seront également visées les techniques de surveillance de l’usage du Web à des fins privées, s’agissant sans conteste de télécommunications. En effet, cette notion reçoit une définition très large dans la loi du 21 mars 1991 portant réforme de certaines entreprises publiques économiques: il s’agit de toute transmission, émission ou réception de données de toute nature par n’importe quel système électromagnétique.
Toute la difficulté réside en fait dans la définition du caractère privé ou professionnel de la communication. Il est intéressant de citer à cet égard une affaire récemment soumise à la chambre du conseil de tribunal de première instance de Bruxelles.
Une employée licenciée avait porté plainte contre son ex-employeur du chef de violation de l’article 314bis du Code pénal au motif qu’il avait pris connaissance de courriers électroniques émanant d’elle et stockés sur le disque dur de son ordinateur. L’employeur bénéficia d’un non-lieu, la chambre du conseil constatant que les e-mails litigieux revêtaient en réalité un caractère professionnel.
Il y a lieu de s’interroger sur le bien-fondé du libellé de la prévention en l’espèce.
En effet, l’article 314bis du Code pénal n’est applicable qu’en cas de violation du secret des communications « pendant leur transmission ». Par conséquent, en cas de consultation d’un message électronique prétendument privé et stocké sur disque dur, il conviendrait de se référer à l’interdiction générale de violer le secret des lettres, consacrée par la Constitution et l’article 460 du Code pénal. Toutefois, cette dernière disposition vise le fait de violer le secret d’une lettre « confiée à la poste », ce qui cadre difficilement avec le fonctionnement d’une messagerie électronique…
Quoi qu’il en soit, en pareille hypothèse, l’article 109terD de la loi du 21 mars 1991 précitée sera applicable dans la mesure où il érige en interdiction le fait de prendre connaissance intentionnellement de données en matière de télécommunications, relatives à une autre personne.
L’article 314bis et l’article 109terD de la loi du 21 mars 1991 ne seront toutefois pas d’application dans les hypothèses suivantes :
– lorsque la loi permet ou impose l’interception ou la prise de connaissance de communications
– lorsqu’une telle interception ou prise de connaissance est accomplie dans le but exclusif de vérifier le bon fonctionnement du réseau et d’assurer la bonne exécution d’un service de télécommunications (par exemple pour des impératifs de facturation aux abonnés)
– lorsque les actes sont posés en vue de permettre l’intervention des services de secours et d’urgence en réponse aux demandes d’aide qui leur sont adressées
– lorsque tous les participants à la communication litigieuse ont donné leur consentement.
Seule cette dernière hypothèse intéresse directement notre propos, dans la mesure où elle autorise l’employeur à surveiller l’usage du Web et du courrier électronique par ses employés en cas d’accord de ceux-ci.
Un tel accord ne pourra résulter de simples mentions dans le règlement de travail et devra être individuel.
En outre, pour éviter toute contestation, il est conseillé de configurer les ordinateurs de l’entreprise de manière à ce qu’un message apparaisse à chaque démarrage de la machine indiquant aux salariés que l’usage d’Internet est soumis à contrôle, en précisant la nature de ce contrôle et en invitant le salarié à cliquer sur un icône d’acceptation pour accéder à son navigateur et à sa messagerie électronique.
La protection de la vie privée
Les systèmes qui permettent de conserver une copie de tous les messages émis et reçus, et d’ensuite les archiver, ainsi que les programmes qui permettent la surveillance de l’usage du Web, ne peuvent être utilisés que dans le respect de la loi du 8 décembre 1992, modifiée par la loi du 11 décembre 1998 transposant la directive européenne du 24 octobre 1995 relative à « la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données » (sur l’application de cette loi à Internet : notre article « Le développement d’Internet et la difficile protection de la vie privée », L’Echo du 16 décembre 1999, également disponible sur ce site )
Selon le prescrit légal, le traitement automatisé de données personnelles n’est permis que dans les cas suivants : (i) si la personne concernée a indubitablement donné son consentement (ii) s’il est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci, (iii) s’il est nécessaire à la réalisation d’un intérêt légitime.
En ce qui concerne le consentement du salarié, nous renvoyons aux développements précédents. Il y a toutefois lieu de préciser que la loi exige expressément que le consentement soit « libre, spécifique et informé ». Il nous semble donc que la nécessité d’un consentement à chaque connexion sera d’autant plus impérieuse.
Quant aux deux dernières possibilités légales de traitement, à savoir un traitement nécessaire à l’exécution d’un contrat ou à la réalisation d’un intérêt légitime, l’entreprise pourrait invoquer des motifs de sécurité (veiller à ce que des secrets d’affaires ne soient pas divulgués à l’extérieur) ou d’organisation (éviter des usages abusifs et préjudiciables à l’entreprise). La seule volonté de contrôler les activités des salariés ne devrait pas suffire à cet égard.
Toutefois, même autorisé, le traitement devra être conforme aux principes de protection institués par la loi, en particulier aux principes d’information, de finalité et de transparence, ainsi qu’aux principes de conformité et de proportionnalité.
L’employeur devra en outre permettre l’exercice du droit d’accès et de rectification. Ainsi, il ne pourra être recouru à des techniques de surveillance lorsqu’il existe d’autres moyens moins restrictifs qui permettent de rencontrer les mêmes objectifs. En outre, les données recueillies ne pourront être conservées que pendant le temps nécessaire à la finalité poursuivie.
Au regard de ces principes, le problème réside dans le fait que toutes les techniques de surveillance de l’usage d’Internet supposent de prendre connaissance du contenu des communications, qu’elles soient professionnelles ou privées. Dans cette mesure, de telles techniques ne risquent-elles pas d’être jugées excessives, dès lors qu’un usage privé limité des moyens de communication est en généralement toléré dans l’entreprise ? En France, dans un arrêt du 7 mai 1997, la Cour d’appel de Paris a estimé qu’il y avait atteinte à la vie privée des travailleurs, notamment au motif que le dispositif d’interception des communications téléphoniques mis en place par l’employeur ne permettait pas de distinguer, sauf précisément en les captant, les communications relevant exclusivement de la sphère privée.
A ce titre, la légalité d’un tel système devra également être examinée au regard de l’article 22 de la Constitution, ainsi que des articles 8 de la Convention européenne des droits de l’homme et 17 du Pacte international relatif aux droits civils et politiques, qui garantissent le droit au respect de la vie privée.
Dans le cadre de cet examen, il est également utile de se référer à la Convention collective de travail n°68 du 16 juin 1998 relative à la surveillance par caméras sur le lieu de travail, qui offre une analogie intéressante. Selon cette Convention collective, la surveillance par caméra sur le lieu de travail n’est autorisée que pour des besoins de sécurité, de santé, de protection des biens de l’entreprise, de contrôle du processus de production, et de contrôle des prestations de travail du salarié.
Toutefois, dans ces deux derniers cas, la surveillance ne peut être que temporaire. Il est intéressant de relever à cet égard que l’usage de « webcams » sur le lieu de travail, à savoir des caméras digitales reliées à Internet, sera également visé par cette Convention collective.
Les webcams seront certainement de plus en plus utilisées dans la mesure où elles permettent, à un moindre coût par rapport aux systèmes traditionnels, une surveillance depuis n’importe quel poste de travail connecté au réseau, et ce même s’il est situé à l’étranger…
Compte tenu des incertitudes juridiques en la matière, il serait certainement opportun que les partenaires sociaux envisagent sérieusement l’adoption d’une Convention collective, similaire à la Convention n°68 du 16 juin 1998, en matière de surveillance de l’usage d’Internet au sein des entreprises.
La responsabilité de l’employeur du fait de l’usage d’Internet par ses salariés
Par application de l’article 1384, al.3 du Code civil, l’employeur est responsable du dommage causé par ses préposés dans les fonctions auxquelles il les emploie.
Selon la Cour de Cassation de Belgique, la responsabilité sur base de l’article 1384, al.3 peut être encourue dès que l’acte illicite et dommageable a été accompli pendant le service du préposé et qu’il est en relation avec celui-ci, fût-ce indirectement ou occasionnellement .
Dans ces conditions, se pose la question de la responsabilité de l’employeur en cas d’usage illicite du courrier électronique par l’un de ses salariés, par exemple dans le cadre d’une participation à un forum de discussion.
Si le salarié en question tient des propos diffamatoires, en utilisant l’adresse électronique de l’entreprise, la responsabilité de l’employeur pourra-t-elle être engagée, étant entendu que l’acte litigieux n’a pas de rapport direct avec les fonctions dévolues au salarié ?
Cette possibilité ne peut être exclue. En tout état de cause, la prudence minimale impose que les salariés de l’entreprise s’engagent à faire précéder leur message électronique d’un avertissement dès lors qu’ils entendent s’exprimer à titre privé.
La charte d’utilisation de l’Internet
Il est hautement conseillé de faire signer par les salariés de l’entreprise qui utilisent l’Internet une « charte de bons usages », qui prévoira notamment que, pour des raisons de sécurité, l’usage de l’email et du Web sera surveillé, que cet usage est en principe professionnel, qu’un usage privé occasionnel est toutefois toléré à condition qu’il n’entrave pas la bonne conduite des affaires de l’ entreprise et que l’employé indique que le message a un caractère privé, et que l’usage d’Internet à des fins illicites pourra donner lieu à licenciement pour faute grave.