Les droits et devoirs des entreprises
Par Me Isabelle Renard
(August et Debouzy) (mars
2004)
L'utilisation d'Internet au bureau fait couler beaucoup d'encre
et soulève beaucoup de questions. L'entreprise peut-elle interdire
à ses salariés d'utiliser l'e-mail à des fins personnelles ? A-t-elle
le droit de surveiller l'activité de ses salariés sur le réseau,
notamment en terme de sites visités ? Peut-elle interdire la participation
à un forum ou à un chat ? Et s'il y a un problème, les chartes éventuellement
mises en place seront-elles efficaces, et quelles seront les sanctions
encourues par les salariés ?
Mieux vaut clore la liste des points d'interrogation, pour faire
un constat et organiser des réponses. Le constat n'est a priori
pas brillant : les "chartes Internet" semblent être d'une efficacité
douteuse, et devant des décisions de jurisprudence a priori contradictoires,
les entreprises ne savent plus très bien à quel saint se vouer.
Nous pensons pour notre part que ces décisions ne sont pas si contradictoires
que ça, et qu'elles s'expliquent lorsqu'on les replace dans la perspective
de principes fondamentaux du droit du travail que nous allons rappeler.
Par ailleurs, nous rappellerons également brièvement les sanctions
encourues par les salariés à l'occasion de l'utilisation d'Internet
au bureau.
Que disent les décisions
de jurisprudence ?
Les décisions rendues par les tribunaux ces derniers temps dégagent
un principe fort intéressant, qui est celui de la responsabilisation
de l'entreprise quant à l'usage qui est fait par ses salariés de
son système d'information. Le raisonnement est logique : les entreprises
sont maintenant totalement dépendantes de leur système d'information,
sur lequel d'une part reposent des actifs de valeur (informations
stratégiques, commerciales, financières...) et qui, d'autre part,
s'il est mis entre de mauvaises mains, constitue un considérable
pouvoir de nuisance (création de contenu illicite, spam, diffamation,
etc.).
L'entreprise est responsable
de son système d'information"
|
Les magistrats en tirent une conclusion très simple :
oui, l'entreprise est responsable de l'utilisation de son système
d'information par ses préposés et partant, elle se doit de les surveiller. A l'appui de la première partie de cette proposition, trois décisions
importantes ont été rendues, que nous citerons par ordre chronologique
:
Dans l'affaire " Kitetoa " (CA Paris 30
octobre 2002), la société Tati s'est vue expliquer qu'il
ne fallait pas se plaindre de ce qu'un hacker malicieux ait pénétré
son système d'information pour y détourner des fichiers contenant
des données personnelles de clients, puisque ces données étaient
(facilement) accessibles via le site Internet de la société.
Lucent Technologies s'est fait condamner par
le TGI Marseille le 11 juin 2003, pour avoir omis de
préciser dans sa charte Internet que le salarié n'avait pas le droit
de créer de pages personnelles à partir des moyens informatiques
mis à sa disposition par l'entreprise (en l'occurrence, la salariée
avait mis en ligne des contenus diffamatoires à l'encontre d'une
autre société).
Le 19 juin 2003, la Chambre Civile de la Cour
de Cassation a rendu un arrêt qui montre bien la détermination
des magistrats à responsabiliser les dirigeants en matière de système
d'information. Une employée d'un agent général d'une compagnie d'assurance
avait utilisé les moyens informatiques fournis par la compagnie
d'assurance (et non par l'agent) pour commettre différentes escroqueries,
en déclarant de faux sinistres pour payer ses dettes personnelles.
La responsabilité de l'agent général est engagée par la compagnie
d'assurance, qui considère que l'employeur est responsable des agissements
de sa salariée. Considérant que la salariée utilisait des moyens
informatiques qui certes étaient dans ses locaux, mais sur lesquels
l'agent général n'avait pas de contrôle technique direct, la Cour
d'Appel avait rejeté la demande d'indemnisation formée par l'assureur.
Ce jugement est cassé par la cour suprême,
qui considère que l'agent général doit être tenu responsable des
agissements frauduleux de son employée puisque celle-ci "avait agi
au temps et au lieu de son travail, à l'occasion des fonctions auxquelles
elle était employée et avec le matériel mis à sa disposition, ce
qui excluait qu'elle ait commis des détournements en dehors de ses
fonctions".
La surveillance devient une obligation"
|
Ce qui est intéressant ici est la généralité de la décision, qui
ne rentre pas dans le détail de savoir si le matériel était mis
à disposition par l'agent (employeur) ou la compagnie d'assurance
: ce qui est affirmé est que l'employeur doit
être en mesure de contrôler
et de sanctionner l'activité de ses salariés sur
des matériels informatiques qui sont dans ses locaux, sous peine
de voir sa responsabilité engagée par un tiers en cas de préjudice
causé par l'activité du salarié.
On l'aura compris, la surveillance de l'utilisation du système
d'information de l'entreprise par les salariés, et a fortiori de
l'Internet, devient pour les entreprises une véritable obligation.
Cette obligation ne fait pas l'objet de textes spécifiques (comme
ceux par exemple qui existent en matière d'hygiène et de sécurité),
mais son inexécution sera sanctionnée sur la base de notre droit
commun, qui comprend largement assez d'outils pour ce faire.
C'est également le droit commun qui permet de déterminer dans quelles
limites l'entreprise peut exercer une surveillance sans se montrer
trop intrusive dans la vie de ses salariés, ce qui nous amène à
la seconde partie de la proposition que nous avons énoncée plus
haut.
Selon quels principes encadrer
la surveillance des salariés ?
Trois grands principes doivent guider ceux qui mettent en place
des procédures, qui écrivent des chartes Internet et qui organisent
de façon générale le contrôle du système d'information.
Le principe de proportionnalité.
Code du Travail, article L120-2 : "Nul ne
peut apporter aux droits des personnes et aux libertés individuelles
et collectives de restrictions qui ne seraient pas justifiées par
la nature de la tâche à accomplir ni proportionnées au but recherché"
Le principe de discussion collective.
Le Code du Travail, article L432-2 , prévoit la
consultation du Comité d'Entreprise lors de l'introduction de Nouvelles
Technologies
Le principe de transparence.
Le Code du Travail, article L121-8, prévoit
l'information préalable des salariés sur tout dispositif
et collecte de données les concernant personnellement.
Rien que du bon sens, mais si, au-delà de leur aspect casuistique,
on analyse bien les diverses décisions rendues dans ce domaine,
on s'aperçoit que c'est justement le bon sens qui a fait défaut
aux uns et aux autres.
Les entreprises oublient le principe
de transparence"
|
Défaut aux salariés, car il faut être bien naïf, ou mal informé,
pour croire qu'il est prudent de transmettre quoique ce soit de
confidentiel au travers d'un réseau ouvert à tous vents, où n'importe
qui peut vous suivre à la trace, s'approprier votre adresse Internet,
et connaître vos sites préférés. Et a fortiori lorsqu'on le fait
depuis son bureau, où des outils maintenant classiques permettent
à tout administrateur système de suivre assis sur sa chaise les
moindres faits et gestes de l'utilisateur sur son clavier !
Quant à l'entreprise, elle oublie souvent le principe de transparence
sus mentionné, et elle omet de préciser clairement les mesures mises
en place et les limites exactes de la tolérance accordée au salarié
pour l'utilisation personnelle de l'Internet au bureau. Elle sera
ensuite bien en peine, si ces limites n'ont pas été discutées avec
les représentants du personnel et intégrées dans un texte opposable
à tous (comme le règlement intérieur), de les faire valoir devant
un conseil de prud'hommes. Reste maintenant à savoir, dans le cadre d'un litige, la nature
du risque encouru par les salariés.
Les sanctions encourues
par les salariés
Sans rentrer dans le détail, les quelques principes de base qui
déterminent la responsabilité du salarié qui utilise Internet au
bureau à des fins personnelles sont les suivants :
Le droit pénal punit personnellement, par principe, celui qui intentionnellement
a commis une infraction. Donc, tout salarié peut être recherché
au plan pénal s'il a commis une infraction, quelle qu'en soit la
nature (contrefaçon, diffamation, etc.
), en utilisant les moyens
de son entreprise.
La responsabilité civile du salarié pourrait le cas échéant être
engagée par un tiers selon les principes de droit commun, si sa
faute personnelle a causé un préjudice à ce tiers. Cela supposerait
néanmoins que la faute commise soit totalement détachable des fonctions
de l'employé, faute de quoi c'est l'entreprise qui serait recherchée
en réparation.
Enfin, et surtout, le salarié encourt un recours disciplinaire de
la part de son employeur, qui pourra le sanctionner
ou le licencier s'il a enfreint les règles d'utilisation
de l'Internet posées par celui-ci.
IRenard@augdeb.com
PARCOURS
|
Après avoir suivi une formation d'ingénieur (INPG
- Grenoble), Isabelle Renard a passé une grande partie de sa
carrière dans l'industrie de l'informatique et des services,
notamment au sein des groupes Thalès et Unisys en France et
aux Etats-Unis. Elle a rejoint le cabinet Andersen Legal en
1999, où elle fut avocat associée en charge du département Nouvelles
technologies avant de rejoindre le cabinet August et Debouzy
en décembre 2001, en qualité d'associée responsable du groupe
Propriété intellectuelle et contrats commerciaux.
|
Un
témoignage, une question, un commentaire sur
ce dossier ?
Réagissez
|
|