GS DAYS 201110 mai 2011

Dualité des usages du poste de travailQuelle sécurité pour l’entreprise lorsque les

frontières entre utilisation personnelle et professionnelle des ressources numérique de

l’entreprise deviennent floues?

Diane MULLENEX & Annabelle RICHARD

Avocats à la CourSolicitor England & Wales

Attorney at Law - New York Bar 1

Agenda

I- Usage à titre personnel du poste de travail

• Emails personnels au travail• Navigation sur Internet• Affaire Facebook et Audrey

II- Usage d’appareils personnels dans le cadre professionnel

• Quel contrôle de l’employeur sur le matériel personnel du salarié?

• Quid en cas d’importation de virus par le salarié?2

Contexte et outils à disposition des salariés d’une entreprise

Contexte Multiplication des outils mis à la disposition du salarié, Multiplication des risques liés à leur utilisation, Droits et obligations de l’employeur pour réguler

l’usage des outils de communication.

Enjeux Ordinateur fixe, Ligne téléphonique (VoIP), Smartphone, Ordinateur portable (Carte 3G),

3

L’utilisation d’Internet en entreprise

Une réalité 94 minutes sur Internet au bureau chaque jour, 63 % d’utilisation personnelle (soit 59 minutes), 37 % d’utilisation professionnelle (soit 35 minutes).

Une baisse de productivité 59 minutes d’utilisation personnelle par jour, soit 4h50 par semaine, 2.5 jours par mois, 27 jours par an.

4

I- Usage à titre personnel du poste de travail

Consultation de la messagerie professionnelle,

Envoi d’e-mails personnels depuis la messagerie professionnelle.

L’employeur a-t-il le droit de réguler l’usage de la messagerie professionnelle ?

Quelles obligations ?5

Le droit applicable au courrier électronique

Le principe de la confidentialité du courrier électronique :

Le mail est une correspondance privée car le message est exclusivement destiné à une personne déterminée et individualisée

La violation du secret des correspondances est une infraction punie d’1an de prison et de 45 000€ d’amende (L226-15 Code pénal)

La violation de la confidentialité du mail viole le secret de la vie privée du salarié (art. 9 Code civil), cela est sanctionné par l’irrecevabilité de la preuve

Dans le cadre de la messagerie professionnelle: La messagerie professionnelle fournie par l’employeur

utilisée pendant le temps de travail et sur le lieu de travail ne permet pas de caractériser les messages comme privés. Car ils se rattachent à l’activité professionnelle de fait

Nécessité de les identifier comme « personnel » ou « privé »6

Les décisions rendues en la matière Le fameux arrêt Nikon 2 octobre 2001

-reconnaît aux salariés le droit au respect de leur vie privée.

-réaffirme clairement le droit des salariés d’utiliser les moyens de communication électroniques de l’entreprise pour leur usage privé (dans certaines limites bien entendu). En particulier, l’employeur ne peut violer le secret des correspondances privées de ses employés, même lorsque lesdites correspondances transitent par le système d’information de l’entreprise.

L’Affaire Audrey, Cour de cassation, 2 février 2011 (deux autres décisions vont dans ce sens)-le mail en cause était intitulé « info » et non « PERSONNEL» ou « PRIVE »

-la lecture est alors autorisée, le mail devant avoir un rapport avec l’activité professionnel du salarié

-le contenu du mail est diffamatoire pour l’employeur et peut alors être la base d’une procédure disciplinaire conduisant à un licenciement pour faute grave. 7

Le contrôle de l’employeur et la charte informatique de l’entreprise

Le contrôle possible des mails de la part de l’employeur Deux critères de recevabilité sont étudiés par le juge:

-la fiabilité du mode de preuve-la proportionnalité entre les faits reprochés et la sanction infligée

Consultation hors la présence du salarié sous condition des e-mails « PERSONNEL » ou « PRIVE »

L’employeur ne peut consulter les messages « PERSONNEL » ou « PRIVE » qu’en présence du salarié ou ci ce-dernier a été dûment appelé.

S’il n’y a pas cette mention et que le « lien avec l’activité professionnelle » est avérée, cela peut être retenu contre le salarié.

En pratique : Formaliser les règles d’utilisation de la messagerie dans une charte

informatique. Mettre en place, de manière volontaire, un CIL Correspondant

Informatique et Liberté

8

Usage à titre personnel des réseaux sociaux

Consultation de son compte Facebook, Linkedin, Viadeo…

L’employeur a-t-il le droit de réguler ces usages?

L’employeur peut-il licencier un salarié sur cette base ?

9

Tribunal des Prud’hommes Boulogne Billancourt - 19 novembre 2010 :

Des salariés de la société Alten échangent des propos critiques envers leur employeur sur Facebook en postant qu’il a « intégré le cercle très fermé des Néfastes » ce à quoi deux collègues répondent « Bienvenue au Club »

Propos rapportés par un membre de leur liste d’amis à la direction.

Les trois salariés en question sont licenciés pour faute grave pour -incitation à la rébellion contre la hiérarchie,-dénigrement envers la société

la faute grave est caractérisée justifiant le licenciement des salariés :– le mode d’accès défini par le salarié à sa page Facebook dépasse

la sphère privée, ce qui rend la preuve licite. Il n’y a donc pas violation du droit au respect de la vie privée des salariés.

– les salariés ont abusé de leur droit d’expression (L1121-1 du Code du travail) et ont nui à l’image de la société.

10

La récente affaire Facebook

Usage à titre personnel de l’internet

Conversation en ligne sur messagerie instantanée,

Visionnage de vidéos en ligne,Téléchargement de logiciel de poker en

ligne.

L’employeur a-t-il le droit de réguler l’usage de l’Internet par le salarié ?

Quelles obligations ?11

Le droit applicable en la matière Choix de l’employeur : Interdiction d’accès à des sites pour un usage personnel,

OU Autorisation d’un usage raisonnable. Droit applicable : Possibilité de mise en place d’outils de contrôle après

information des salariés, consultation du CE et déclaration à la CNIL de la collecte des données à caractère personnel

Présomption du caractère professionnel. En pratique : Formaliser les règles d’utilisation de l’Internet dans une

charte informatique. Le secret professionnel auquel est tenu l’administrateur

réseau si l’information divulguée ne remet pas en cause le bon fonctionnement technique ni la sécurité de l’entreprise (recommandations CNIL 2002) et CA Paris 17 dec 2001

12

La question du téléchargement d’images pédophiles par le salarié

La responsabilité pénale du salarié peut être recherchée en raison de l’infraction qu’il a commise (art. L227-23 Code pénal)

La responsabilité pénale de l’employeur ne sera en général pas recherchée car il faudrait prouver sa participation intentionnelle ou sa complicité

La complicité peut exister dans le cas où l’employeur a connaissance de l’activité illégale de téléchargement du salarié et qu’il laisse faire

La sanction en cas de consultation habituelle d’un service de communication au public en ligne mettant à disposition des images pédophiles est de 2ans de prison et 30 000euros d’amende 13

La solution possible: la mise en place d’une charte

La charte informatique signée par l’ensemble des employés assure à tous un usage sécurisé des outils informatiques au sein de l’entreprise en :

Etablissant des règles générales définissant précisément les droits et obligations de chacun dans l’usage des technologies de l’entreprise.

Informant les employés des modes de surveillance et de contrôle utilisés pendant les heures de travail.

Décrivant les sanctions applicables en cas de non respect de la charte.

Non obligatoire, discrétion de l’employeur,

Mise en place par 50 % des entreprises. 14

Conditions de mise en œuvre de la charte informatique

• Respect du principe de proportionnalité (L1121-1 du Code du travail).

• Respect de l’obligation d’information de la CNIL concernant toute collecte de données liées à l’application de la charte.

• Respect de l’obligation d’information du salarié des données recueillies dans le cadre des mesures de contrôle.

• Respect de l’obligation d’information des représentants des salariés des mesures de contrôle appliquées.

15

II- Usage des appareils personnels dans le cadre professionnel

Utilisation de son ipod, ipad et autres matériels personnels au sein de l’entreprise

Quel contrôle de l’employeur sur ces matériels personnels?

Importation de virus ou de botnet, quelle responsabilité engagée?

Pour quelle sanction?16

Le contrôle de l’employeur sur le matériel personnel du salarié

Le principe de la protection des biens relevant de la propriété privée

A ce titre, l’employeur ne peut y avoir accès

L’application possible de l’article 145 du Code de procédure civile

« S’il existe un motif légitime de conserver ou d’établir avant tout procès la preuve de faits dont pourrait dépendre la solution d’un litige, les mesures d’instruction légalement admissibles peuvent être ordonnées à la demande de tout intéressé, sur requête ou en référé »

La vie privée du salarié n’est pas un obstacle à l’application de cet article s’il existe des moyens légitimes

L’huissier agit en présence du salarié17

Le contrôle de l’employeur sur le matériel personnel du salarié

Le cas de saisie de documents ou de données informatiques

Art. 56, 97 et suivants du Code de procédure pénale permette de collecter des éléments de preuve et a fortiori les appareils personnels des salariés utilisés dans le cadre professionnel

Cette collecte de preuve étant loyale, elle pourra être utilisée dans le cadre d’un procès pénal

18

Le téléchargement de virus ou de botnet sur le système informatique de l’entreprise

Lors de sa navigation sur l’Internet ou lors du téléchargement d’un fichier, le salarié peut être amené à infecter sa machine voire le réseau de l’entreprise; à introduire un logiciel contenant un virus ou a être la cible d’attaque d’une personne mal intentionnée.

Un arsenal juridique qui a évolué et qui s’est renforcé entre 1988 et 2004:

- loi Godfrain 5 janvier 1988: introduction de sanctions relatives aux systèmes de traitement automatisé de données (STAD); le sabotage informatique (entraver ou fausser le système informatique); les atteintes aux données

-Loi relative à la sécurité quotidienne 15 nov. 2001: prévoit la conservation par les opérateurs de télécommunication pendant 1 an des données relatives à une communication (identité des utilisateurs, caractéristiques techniques des services fournis), la mise en claire de données chiffrées est possible pour la manifestation de la vérité.

19

Le téléchargement de virus ou de botnet sur le système informatique de

l’entreprise

-Loi relative à la sécurité intérieure 18 mars 2003: elle complète la précédente, les FAI mettent à disposition des OPJ, sur demande, les informations utiles à la manifestation de la vérité sauf celles protégées par un secret prévu par la loi; les OPJ peuvent agir sur réquisition du procureur après ordonnance du JLD.

- Loi sur la Confiance dans l’Economie Numérique 21 juin 2004: complète le dispositif de la loi Godfrain et introduit un délit, celui de détenir un virus sans un système d’information; les hébergeurs sont amenés à assurer une certaine surveillance lorsque des informations telles que des images pédophiles sont stockées sur leurs pages; le spamming soit la publicité non sollicitée, sans consentement préalable des destinataires est interdite; le marchand en ligne assume « une responsabilité globale » sur l’ensemble de la vente.

20

Quelle responsabilité peut être engagée en cas d’acte involontaire de la part du salarié ?

Introduction d’un virus présent au sein d’un logiciel fourni par un prestataire extérieur à l’insu de l’utilisateur salarié

Un contrat a été signé, la responsabilité contractuelle pourra être recherchée

► Le salarié ne peut pas être tenu pour responsable ni faire l’objet d’une procédure disciplinaire 21

Quelle responsabilité peut être engagée en cas d’acte involontaire de

la part du salarié ? Introduction d’un virus involontairement par le

salarié au sein du système d’information de son entreprise

Il y a alors négligence fautive de la part du salarié soit une mauvaise volonté évidente ou une insuffisance de la part du salarié

36% des entreprises en 2008 étaient dans ce cas

Etudier le cas particulier du salarié

► Le salarié peut faire le cas d’une procédure de licenciement dont les conditions seront à déterminer en fonction du cas particulier 22

Quelle responsabilité peut être engagée en cas d’acte volontaire de la

part d’un salarié ?

Introduction d’un virus volontairement par le salarié alors que l’entreprise n’a pas de charte informatique

Le salarié n’a pas été informé mais son devoir de loyauté envers son employeur doit l’amener à utiliser le matériel pour exécuter son contrat de travail

► Une procédure disciplinaire peut être entamée, un licenciement peut être prononcé pour faute grave

23

Quelle responsabilité peut être engagée en cas d’acte volontaire de la part d’un salarié ?

Introduction d’un virus volontairement par le salarié alors que l’entreprise a une charte informatique

le salarié est en faute

Licenciement pour faute grave Cour d’Appel de Pau 8 janv 2007: « Mais de plus l'appréciation de la gravité de la faute s'analyse en considération du comportement du salarié, en tenant compte de la nature de ses fonctions, ingénieur salarié d'une société prestataire de services informatiques, des répercussions des faits fautifs sur le fonctionnement de la société CSSI et de ses relations contractuelles avec la société X et de l'importance de ses activités de stockage d'images pornographiques, expressément visé par la charte de sécurité de X pour les virus propagés par ces sites. »

24

Quelle responsabilité peut être engagée en cas d’acte de volontaire de la part d’un

salarié ? La responsabilité pénale Loi Godfrain du 5 janvier 1988 relative à la fraude informatique Loi pour La Confiance dans l’Economie Numérique (LCEN) du 21 juin

2004 Le salarié peut être condamné pénalement s’il « entrave ou fausse le

fonctionnement d’un système de traitement automatisé de données » ou s’il « introduit frauduleusement des données dans un système de traitement automatisé ou supprime ou modifie frauduleusement les données qu’il contient »

De plus, l’article 323-3 du Code pénal incrimine les atteintes aux données par l’ajout d’un virus au sein d’un système d’information, même sans destruction consécutive ou altération de données. Le fait de détenir un virus non activé et non plus seulement le fait de faire pénétrer un virus dans le système est sanctionné par la loi LCEN.La sanction étant de 5 ans de prison et de 75 000€ d’amende

► Responsabilité pénale, licenciement pour faute grave du salarié

25

Merci de votre attention

26

Contact

Diane MULLENEXAvocat à la cour, Solicitor England & Walesmullenex@ima-avocats.com

Annabelle RICHARDAvocat à la cour, Attorney at Law - New York Barrichard@ima-avocats.com

5, rue de Monceau - 75008 Paris+ 33 1 42 89 19 80

27