Les recommandations de la Cnil relatives à la cybersurveillance des salariés

La loi oblige les entreprises à contrôler en permanence l'usage que leurs salariés font de l'informatique, mais selon des procédures précises.

Partager

TESTEZ GRATUITEMENT L'ABONNEMENT À L'USINE NOUVELLE

15 jours gratuits et sans engagement

Les recommandations de la Cnil relatives à la cybersurveillance des salariés

La Commission nationale informatique et libertés (Cnil) vient de rendre public son rapport sur " la cybersurveillance des salariés dans l'entreprise ". Elle rappelle que " le traçage est inhérent à l'informatique ". L'employeur peut savoir qui a accédé à quel fichier, quels messages sont envoyés ou reçus, et qui a consulté quoi sur Internet. Même si l'utilisateur croit supprimer un message, celui-ci peut être sauvegardé par le système ou conservé sur un serveur. La cybersurveillance participe de la politique de sécurité de l'entreprise et constitue même une obligation légale. La loi sur l'informatique et les libertés impose la confidentialité de données personnelles sous peine de sanctions pénales. Comment la garantir sans vérifier que les fichiers des clients et des salariés ne sont consultés que par les personnes habilitées et pour un usage légitime ? Toute politique de sécurité a un double visage. D'une part, elle consiste à contrôler que les moyens informatiques mis à disposition ne sont pas détournés (transmission de données confidentielles, contenus malveillants, introduction de virus...). D'autre part, l'enregistrement continu d'informations sur le comportement des utilisateurs doit respecter la loi sur l'informatique et les libertés et le Code du travail. La Cour de cassation l'affirme depuis 1991 : si l'employeur a le droit de contrôler l'activité des salariés pendant le temps de travail, aucun enregistrement ne peut être effectué à leur insu. Les tribunaux annulent toute sanction prise sur le fondement d'un enregistrement réalisé à l'insu du salarié. Vol par une caissière filmé par caméra de vidéosurveillance ou absence non justifiée détectée par l'interruption du fonctionnement du système de gestion clientèle, la preuve fournie par les enregistrements est illégitime si les salariés n'ont pas été informés des contrôles pratiqués. Les licenciements sont sans cause réelle et sérieuse même si les faits ne sont pas contestés. Des chartes ou des codes de conduite négociés Enfin, la légalité de ces systèmes est conditionnée par leur déclaration auprès de la Cnil. La cour d'appel de Paris a annulé le licenciement d'une salariée qui avait transmis des informations confidentielles à la concurrence, car le listing des communications téléphoniques qui l'avait trahie émanait d'un autocommutateur non déclaré à la Cnil. Pour bien informer les salariés, la Cnil préconise un " plan d'ensemble exposé de manière claire et précise aux salariés, à leurs représentants et au comité d'entreprise ", avec des chartes ou des codes de conduite négociés. Elle recommande de communiquer aux salariés l'identité des administrateurs des systèmes habilités à accéder aux données de connexion, ainsi que des " autorités hiérarchiques " autorisées à déclencher des mesures de surveillance particulière. Pour les courriers électroniques, la Cnil considère que l'" interdiction de principe faite aux salariés d'utiliser la messagerie électronique à des fins non professionnelle paraît irréaliste et disproportionnée ". Cela pose de nombreux problèmes. En contrôlant le contenu des messages, l'employeur s'expose à des sanctions pénales pour violation du secret des correspondances privées. En ne les contrôlant pas, il court d'autres risques si ce contenu est illicite (par exemple, rapatriement d'images à caractère pédophile de l'Internet à l'intranet ou diffusion d'informations à caractère racial ou touchant aux moeurs des personnes) ou contient des informations confidentielles sur l'entreprise. Enfin, il est légitime qu'il puisse contrôler que le temps des salariés dans l'entreprise est bien consacré à leur travail. Ne vaudrait-il pas mieux considérer que l'utilisation des courriers électroniques dans l'entreprise ne doit pas faire l'objet d'un régime particulier, et que, comme les autres outils informatiques et de communication (téléphone, fax, photocopieur...), ils doivent, par nature, être considérés comme à vocation professionnelle ? Cela ne permettrait pas de sanctionner toute utilisation à des fins personnelles, car le juge contrôle la proportionnalité d'éventuelles sanctions par rapport aux faits.

L'enjeu Assurer dans la légalité la sécurité de l'informatique au sein de l'entreprise. La solution Informer les salariés du traçage informatique et des contrôles pratiques. La mise en oeuvre Négocier avec les représentants du personnel des chartes ou des codes de bonne conduite.

Partager

PARCOURIR LE DOSSIER
SUR LE MÊME SUJET
LES ÉVÉNEMENTS L'USINE NOUVELLE

LES SERVICES DE L'USINE NOUVELLE

ARTICLES LES PLUS LUS