Où s’arrête la tolérance et où commencent les sanctions lorsque les salariés passent une partie de leur temps de travail à surfer ? Au-delà du simple « vol de temps » et de son étendue, la nature des sites consultés a-t-elle un impact sur l’entreprise ?

Le droit du salarié à la protection de sa vie personnelle au travail ainsi que la garantie de sa liberté d’expression peuvent-ils être opposés au pouvoir de direction de l’employeur ? Ce dernier peut-il être responsable du comportement virtuel de ses employés ? Doit-il établir et appliquer une politique pour éviter sa responsabilité et faire respecter ses exigences ? De quels moyens dispose t-il pour contrôler l’accès à l’Internet, que ce soit dans les murs ou hors les murs de l’entreprise?

Autant de questions que ce dossier tente de cerner.

Contrôler l’Internet  de son entreprise pour ne pas voir sa responsabilité engagée

La cybersurveillance patronale n’est pas seulement un droit, c’est aussi un devoir pour l’employeur si celui-ci ne veut pas voir sa responsabilité engagée.

Responsabilité civile

Civilement, l’employeur est responsable, en tant que commettant de ses salariés, des fautes commises par ceux-ci dans leur utilisation d’Internet pendant le temps de travail, sur le fondement de l’article 1384 alinéa 5 du Code civil.

Ainsi, à propos d’un site gravement injurieux créé sur le temps et  le lieu du travail par un collaborateur, la Cour d’appel d’Aix   a considéré, le 16 mars 2010, que « le site litigieux a été réalisé sur le lieu de travail grâce aux moyens fournis par l’entreprise » et en a déduit que la faute du salarié a été commise dans le cadre de fonctions auxquelles il était employé, ce qui entraîne la responsabilité civile de l’entreprise.

Il appartiendra donc à l’employeur d’agir rapidement, sur le terrain disciplinaire, en cas de constatation d’une faute commise par un de ses salariés.

La Cour de cassation, par un arrêt  du 2 juin 2004, à propos d’un courriel antisémite envoyé à un client israélien, a estimé que « le fait pour un salarié d’utiliser la messagerie électronique que l’employeur met à sa disposition pour émettre, dans des conditions permettant d’identifier l’employeur, un courriel contenant des propos antisémites est nécessairement constitutif d’une faute grave ».

L’employeur peut s’exonérer de sa responsabilité si son préposé agit hors des fonctions auxquelles il est employé, sans autorisation et à des fins étrangères à ses attributions. Toutefois, sa responsabilité peut être largement recherchée. Sa vigilance s’impose donc.

Et responsabilité pénale

La responsabilité pénale de l’employeur peut également être retenue si des salariés venaient, par exemple,  à télécharger illégalement de la musique ou des films à partir de l’ordinateur de l’entreprise.

En effet, les lois Hadopi 1 du (12 juin 2009) et Hadopi 2 (du 28 octobre 2009) imposent à la personne titulaire de l’accès à des services de communication au public en ligne ( ici l’employeur ), une obligation de veiller à ce que cet accès ne fasse pas l’objet d’une utilisation à des fins de reproduction d’œuvres ou d’objets protégés par un droit d’auteur. En cas d’infraction constatée, après deux avertissements, des poursuites contraventionnelles, voire  correctionnelles, peuvent être engagées. En outre, en cas de négligence caractérisée, la loi prévoit à l’encontre du titulaire de l’abonnement, une amende de 1500 euros, mais surtout la suspension de l’abonnement avec interdiction d’en souscrire un autre. On peut aisément imaginer les conséquences pour une entreprise privée d’Internet…

Aussi, l’entreprise devra-t-elle, non seulement exercer un contrôle technique régulier afin d’identifier des éventuels téléchargements, mais également informer tous les salariés utilisateurs du net des nouvelles règles relatives à la sanction pénale des téléchargements illégaux et ne pas hésiter à sanctionner disciplinairement les contrevenants.

Fichiers professionnels ou personnels ? Une frontière encore mouvante

En vertu de son pouvoir de direction, l’employeur peut contrôler l’activité de ses salariés pendant leur temps de travail. En ce qui concerne le contrôle des courriers émis ou reçus par le salarié, l’employeur peut prendre connaissance des courriers professionnels, mais, en application du secret des correspondances,  ne peut lire un courriel identifié comme personnel.

La Cour de cassation a consacré, dans un arrêt de principe du 2 octobre 2001, l’utilisation des NTIC à des fins personnelles, sous l’angle du droit au respect de la vie privée. Elle a posé, par là même, les limites de l’accès de l’employeur aux messages électroniques et fichiers du salarié. Ainsi, le salarié a droit, « même au temps et au lieu de travail au respect de l’intimité de sa vie privée ; que celle-ci implique en particulier le secret des correspondances ; que l’employeur ne peut dès lors sans violation d’une liberté fondamentale prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail ».

Pour autant, ce principe du respect de la vie privée ne peut être opposé de manière absolue à l’employeur. C’est même plutôt l’inverse. La Cour de cassation pose, en effet, le principe d’une utilisation professionnelle des outils de communication mis à la disposition des salariés. Les fichiers et messages électroniques, créés ou reçus au moyen d’un outil informatique fourni par l’employeur pour les besoins du travail, sont présumés professionnels et peuvent donc être consultés par l’employeur. Ce n’est que si les fichiers ou les messages peuvent être qualifiés de « personnels » que le salarié pourra opposer à l’employeur le respect de sa vie privée et s’opposer à tout accès de ceux-ci hors de sa présence ou dument appelé. Désormais, la question récurrente est donc de savoir ce qui peut-être qualifié de « personnel ».

Qu’est ce qu’un fichier ou mail personnel ?

La Cour de cassation a adopté une position visant à responsabiliser le salarié : est considéré comme personnel ce qui est identifié comme tel par le salarié. Cette identification par le salarié doit être dénuée de toute équivoque. Le contrat de travail devant être exécuté de bonne foi, le salarié ne peut « transformer » des informations professionnelles en informations personnelles.

Concernant les fichiers, ni le prénom du salarié, ni ses initiales n’ont été jugés suffisant pour conférer à un fichier ou à un dossier de fichiers un caractère personnel.

Concernant les messages électroniques, si la mention « personnel » ne figure pas dans l’objet du message, les juges s’attachent à analyser la date d’envoi du message, ses termes et ses destinataires afin d’interdire ou non, certes a posteriori, leur utilisation par l’employeur.

Quant aux connexions Internet, elles ne posent pas ce problème d’identification puisqu’il est difficile de prétendre que les cookies ou l’historique de navigation constituent des fichiers personnels. La Cour de cassation a ainsi récemment considéré que le fait d’inscrire un site dans la liste des « Favoris » ne lui conférait aucun caractère personnel. Les juges et les salariés dessinent petit à petit la sphère de la vie privée et de l’utilisation raisonnable des NTIC sur le lieu de travail.

Dans quels cas saisir le juge ?

Si le respect de la vie privée reste un principe essentiel qui s’impose dans les relations de travail, la Cour de cassation, compte tenu de l’évolution notamment des modes de communication, a eu, depuis plusieurs années, à trancher des litiges relatifs aux limites que l’employeur était en droit d’apporter à ce principe. Le salarié n’est plus désormais en droit d’opposer de façon systématique le principe du respect de sa vie privée pour échapper à tout contrôle pendant le temps et sur son lieu de travail. Les grandes lignes de cette évolution ont cependant stigmatisé une difficulté récurrente : la licéité de la preuve. Deux voies sont ouvertes afin de préserver la preuve et d’en garantir la licéité, et donc sa production valable en justice : la voie civile, la voie pénale.

La voie civile

L’article 145 du Code de Procédure civile permet à tout intéressé de solliciter auprès du Président du Tribunal de Grande Instance, des mesures permettant de conserver ou d’établir, avant tout procès, la preuve des faits dont pourrait dépendre la solution d’un litige et ce, sans que le salarié en soit informé. C’est la procédure dite «  d’Ordonnance sur requête ».

Ainsi, cette mesure permet à l’employeur, avant même que le salarié soit informé d’une éventuelle mesure disciplinaire, de procéder à la conservation des éléments litigieux, avec une autorisation judiciaire et ; pour la plupart du temps ; avec l’assistance d’un huissier de justice désigné cet effet. Cette procédure permet d’éviter la destruction des éléments litigieux (effacement des fichiers informatiques, mails etc….), mais aussi de respecter le principe du contradictoire. Le constat doit, en effet, être effectué en présence du salarié, mais sans qu’il ait été averti préalablement.

Toutefois,  cette voie judiciaire n’est envisageable que si l’employeur a des raisons légitimes et sérieuses impliquant la protection de ses droits.

Ainsi, dans un arrêt du 10 juin 2008, la Cour de cassation a estimé que l’employeur avait des raisons légitimes et sérieuses de craindre que l’ordinateur, mis à la disposition de la salariée, avait été utilisé pour favoriser des actes de concurrence déloyale. Il a ainsi pu être autorisé à recourir à un huissier de justice avec pour mission de prendre copie des messages échangés avec des personnes identifiées comme étant susceptibles d’être concernées par les faits de concurrence soupçonnés, en présence de la salariée ou celle-ci dûment appelée.

La voie, pénale, plus méconnue est également ouverte.

Par un arrêt du 19 mai 2004, la chambre criminelle de la Cour de cassation a considéré qu’est justifiée, la condamnation d’un salarié, utilisant l’ordinateur confié par son employeur et le droit d’accès à Internet, afin d’alimenter son propre site à caractère pornographique. Dans cette affaire, le salarié avait utilisé son outil de travail pour des connexions sans rapport avec son activité salariée ou celles de l'entreprise. En visitant des sites à caractère érotique ou pornographique, il a stocké sur son disque dur de très nombreuses photos et messages de même nature. Dans le même temps, il utilisait la messagerie ouverte à son nom au sein de la société pour des envois ou des réceptions de courriers se rapportant à des thèmes sexuels, notamment des offres ou propositions échangistes.

La Cour de cassation a considéré, sur le fondement de l’article 314-1 du Code pénal, que le salarié a détourné l’ordinateur et la connexion Internet fournis par l’employeur et que cette soustraction frauduleuse était constitutive d’un abus de confiance entrainant une condamnation à une peine de prison. Au-delà de cette condamnation, les juges ont alloué à l’entreprise une somme de 20 000 euros à titre de dommages-intérêts en raison du préjudice subi. Ils ont estimé que l’utilisation d’une adresse électronique comportant le nom de la société et l’association de ce nom à des activités à caractère pornographique ou échangiste a indéniablement porté atteinte à l'image de marque et à la réputation de l'entreprise. Là encore, la Cour de cassation considère que le droit au respect  de la vie privée, même pendant le temps de travail, ne saurait être invoqué par le salarié.

Ne pas céder à la tentation de recourir à son administrateur réseau pour contrôler l’accès à  Internet

L’administrateur réseau d’une entreprise a pour fonction d’assurer la gestion du système informatique et de veiller à sa sécurité, ce qui implique qu’il ait un accès à l’ensemble des données du réseau.  De fait, il peut avoir accès à des informations personnelles des salariés (messageries, sites, blogs, fichiers), y compris celles enregistrées sur le disque dur de l’ordinateur. C’est dire que la tentation est grande pour l’employeur de recourir au service de son administrateur afin de contrôler l’utilisation de l’Internet par ses collaborateurs. Toutefois, le rôle de l’administrateur réseau est limité.

Une obligation de confidentialité

Toutefois, l’administrateur est soumis à une obligation de confidentialité lui interdisant de divulguer le contenu des données, y compris à la demande de l’employeur, au risque d’engager sa responsabilité pénale, sur le fondement de l’article 226-15 du Code pénal.

Des enquêtes des délégués du personnel

Au-delà de cette obligation de confidentialité, la mission de l’administrateur peut être contrôlée par les délégués du personnel par le biais d’une enquête ordonnée par le Conseil des prud’hommes. C’est ainsi que la Cour de cassation, dans un arrêt du 17 juin 2009, a validé la demande d’une enquête sur les conditions dans lesquelles avaient été consultées et exploitées les messageries des salariés. En l’espèce, à la suite d’un « incident sécurité », l’employeur avait confié une enquête spécifique à son administrateur réseau sur les ordinateurs mis à disposition des salariés. Les juges ont estimé qu’il était toutefois possible qu'au travers d'une telle enquête de grande amplitude et en l'absence de référence aux courriels personnels, l'employeur ait eu accès à des messages personnels. C’est pour vérifier si une atteinte n’avait pas été portée aux droits des personnes et aux libertés individuelles dans l'entreprise, qu’une vérification de la mission de l’administrateur a pu  être opérée par les délégués du personnel ? Pour les juges, l’administrateur réseau peut tout connaître, mais ne doit rien rapporter.

Contrôler aussi les réseaux sociaux : le cas de Facebook

Les réseaux sociaux, en pleine croissance (15 millions d’utilisateurs de Facebook), ne peuvent rester étrangers au monde du travail. Si l’on met de coté le formidable outil que cela procure aux différents recruteurs qui, en quelques clics, peuvent comparer CV construit et réalité récoltés sur le net, le réseau social commence à être une source de contentieux en droit du travail. Bien des pages personnelles contiennent des comptes-rendus de la vie au travail, des prises de positions sur telle ou telle décision de l’employeur, des photos prises sur le lieu de travail. Or, lorsque le contenu porte atteinte à l’image de l’entreprise ou comporte des critiques à l’égard de l’employeur, les internautes sont-il susceptibles d’être sanctionnés ? C’est à cette question que devait répondre, le 20 mai 2010, le Conseil des Prud’hommes de Boulogne-Billancourt

Dans cette affaire, 3 salariés se sont laissés aller à échanger sur Facebook des critiques envers leur hiérarchie et un responsable des ressources humaines. Un de leurs « amis » sur ce réseau a remis une copie de cet échange à la direction. Les trois protagonistes furent licenciés pour rébellion et dénigrement de l’entreprise. Estimant que les propos avaient été tenus sur leur temps libre et à l’aide d’un ordinateur personnel, ils ont assignés leur employeur. N’ayant pas réussi à se départager, les conseillers prud’homaux ont renvoyé l’affaire devant le juge départiteur.

Facebook, espace privé ou public ?

Cette affaire soulève la question cruciale de savoir si Facebook doit être considéré comme un espace d’expression privé ou, au contraire public, du fait que toute personne (en tant qu’amis) peut y avoir accès.

Dans la mesure où les propos tenus sur ce réseau peuvent circuler entre des centaines, voire des milliers de personnes, on ne saurait continuer à caractériser cet échange de « privé ». Par ailleurs, lorsque les propos ou toutes autres informations concernent l’entreprise, on ne peut les qualifier de « privés ». Les salariés disposent néanmoins d'une liberté individuelle d'expression  relevant des libertés fondamentales (article L.2281-1 du Code du travail). Si la Cour de cassation a consacré cette liberté, dans et en dehors de l'entreprise, cette liberté n’est pas totale : elle n’autorise ni  les propos diffamatoires et injurieux, n le fait de porter atteinte aux intérêts légitimes de l’entreprise.