Gare aux échanges électroniques !

Blogs, réseaux sociaux, messagerie instantanée, e-mails... Les communications électroniques génèrent de nouveaux risques dans les entreprises. Pour ne pas les subir, les employeurs doivent donc disposer de bons moyens pour contrôler et, au besoin, sanctionner les usages abusifs.

Ne pas surveiller les mails de ses salariés peut coûter cher. Dans ce domaine, le cas de la BNP fait école. Suite à une action en référé de la société WPO s'estimant victime d'un préjudice du fait d'un mail anonyme provenant d'un salarié de la BNP, la banque a été condamnée en 2005 pour responsabilité délictuelle, n'ayant pu identifier l'auteur du message pour des raisons techniques. Au-delà des risques judiciaires, le non-contrôle des communications électroniques pose des problèmes techniques, de sécurité et de productivité : encombrement de la bande passante, virus téléchargés via des pièces jointes ou du peer-to-peer (réseau de partage de fichiers entre internautes), dossiers stratégiques diffusés volontairement ou non à l'extérieur de l'entreprise... Pour se protéger, l'entreprise doit donc mettre en place des règles précises. Nos conseils pour ne pas se laisser déborder.

1-DÉFINIR DES RÈGLES DU JEU

Penser que vous pourrez empêcher totalement l'usage du web à des fins personnelles à vos salariés est une erreur. En revanche, vous pouvez encadrer cette pratique. C'est même conseillé de préciser, dans une charte, les règles régissant l'utilisation des moyens de communications électroniques. Elle vous permettra de fixer les droits et les devoirs des salariés. Celle-ci devra respecter le code du travail, la loi informatique et libertés, avoir obtenu l'avis du CHSCT et des délégués du personnel. Annexée au règlement intérieur, elle prend une valeur juridique et contraignante. Eric Barbry, le directeur du pôle « Droit du numérique » du cabinet d'avocats Alain Bensoussan conseille, par ailleurs, de la compléter par d'autres outils : un livret technique expliquant comment l'appliquer, un guide d'utilisateur justifiant son intérêt, une charte spécifique pour les administrateurs systèmes et réseaux et un guide présentant la manière dont est contrôlée l'activité des collaborateurs.

La SSII Raynet, filiale du sous-traitant automobile A Raymond, fait ainsi signer aux salariés du groupe une charte internet. « Notre système est surtout basé sur la confiance, sachant qu'une utilisation personnelle est possible durant les pauses » note Marie-Thérèse King, la directrice des systèmes d'information.

En revanche, à la Caisse d'Epargne Rhône-Alpes, les règles sont strictes. « Au départ, nous avons interdit aux salariés de communiquer par mail avec les clients pour éviter tout risque de litige commercial en cas de défail-lance technique », indique Philippe Brunier, le directeur de la sécurité. Depuis, ces règles ont été assouplies. Un commercial peut communiquer son adresse mail à un client mais, dans le cadre d'un contrat, seule la signature a une valeur juridique.

De leur côté, les salariés de STMicroelectronics, soumis à une charte annexée au règlement intérieur, suivent régulièrement des séances de sensibilisation et de formation sur la sécurité et la bonne utilisation des moyens informatiques.

2-IMPOSER UN CONTRÔLE

Pour contrôler le temps passé par ses salariés sur le net, les sites fréquentés ou les caractéristiques des mails adressés à l'extérieur, l'entreprise peut mettre en place des logiciels de filtrage et de surveillance. « Mieux vaut commencer par les contenus clairement immoraux, puis durcir le filtrage au fil du temps », conseille Alexandre Souillé, le président d'Olféo, un éditeur de logiciels de sécurité pour la maîtrise d'internet. À chaque entreprise sa stratégie. « Nous ne filtrons ni les mails ni les sites et les salariés peuvent utiliser de la messagerie instantanée pour communiquer entre les différentes plates-formes, indique Philippe Lornet, le directeur technique de la SSII Genitech. Mais nous veillons à ce que la bande passante ne se réduise pas trop ; sinon, nous intervenons. »

Chez le spécialiste de la simulation, Corys, les salariés ont accès à leur messagerie personnelle, avec une surveillance globale des flux entrants et sortants. « Il y a une certaine tolérance. Cela étant, chaque connexion est clairement identifiée et les chefs de projet veillent au rendement de leurs équipes », précise Stéphane Grumel, le responsable du support informatique. Pour transmettre des données confidentielles, les salariés doivent, par ailleurs, utiliser leur mail professionnel avec un système de cryptage ou des tunnels VPN sécurisés. « Nous avons également bloqué les applications de VoIP, type Skype, et interdit la copie des mails sur des boîtes personnelles pour la confidentialité des données. »

STMicroelectronics bloque, pour sa part, les sites à risques ou nécessitant des ressources importantes grâce à un filtrage par mots clés. Un salarié peut toutefois faire une demande d'autorisation pour accéder, par exemple, à des sites de jeux en ligne s'il développe des applications de téléphonie mobile. Dans les banques, les contrôles sont plus importants. Les salariés n'ont pas accès aux réseaux sociaux, aux forums de discussion et à leur messagerie personnelle. « Nous avons mis en place des solutions techniques proches du contrôle parental, avec des listes noires pour les sites contraires à la morale ou sans rapport avec l'activité de l'entreprise », indique Philippe Brunier de la Caisse d'Epargne Rhône-Alpes. Un tableau de bord mensuel fait apparaître les dix personnes ayant le plus surfé et téléchargé, mais les abus sont rares. « En cas de problème, nous rappelons à l'ordre le salarié. S'il récidivait, cela pourrait aller jusqu'au licenciement pour faute professionnelle. » Plusieurs profils ont par ailleurs été définis, un commercial n'ayant pas les mêmes besoins qu'un professionnel de la publicité.

3-DOSER SON EFFORT

Sortir l'artillerie lourde ne servira à rien ! Le contrôle réalisé par l'employeur est strictement encadré par la loi et les moyens mis en oeuvre doivent être proportionnels à l'objectif visé. Une entreprise dans un secteur stratégique très concurrentiel fera ainsi plus facilement accepter une cybersurveillance étroite du fait des enjeux. Si tous les mails envoyés depuis le lieu de travail sont présumés professionnels et sont donc a priori consultables par l'employeur, lorsqu'ils comportent un objet « personnel » ou sont classés dans des dossiers portant le même intitulé, le secret de la correspondance privée s'applique. « Pour éviter les situations litigieuses, mieux vaut donc avoir fixé des règles très claires dans sa charte informatique pour différencier les mails professionnels et privés, précise Paul Ebest, le chef du service des affaires juridiques de la Commission nationale de l'informatique et des libertés (Cnil). Pour ce qui est des communications des organisations syndicales, nous préconisons un accès propre non surveillé, avec une ligne dédiée. »

Quoi qu'il en soit, la mise en place d'outils visant à collecter des données sur l'usage internet des salariés doit être déclarée à la Cnil. Pour tenir un registre des traitements informatiques, les employeurs ont tout intérêt à désigner un correspondant informatique et libertés, relais entre la Commission et l'entreprise. En outre, l'installation de logiciels de contrôle ne peut se faire sans une information préalable des salariés et sans l'avis du comité d'entreprise. En cas de suspicion, l'employeur peut procéder, en présence du salarié et sous contrôle d'huissier, à une sauvegarde de la messagerie sur un support fiable et durable. Seul un juge pourra alors autoriser la levée du secret des correspondances. Toute preuve recueillie autrement serait irrecevable et exposerait l'employeur à des poursuites pour violation du secret des correspondances et non-respect de la vie privée.

Ces précautions prises, tout abus peut être puni. Un salarié a ainsi été licencié par son entreprise pour avoir envoyé avec sa boîte professionnelle, 157 mails à caractère privé.