e-securIT - La sécurité des systèmes d'information

ligne

e-securIT - Menu principal
What's new ?!?
Ressources
Le coin des bricoleurs !
Glossaire sécurité
Liens -Mailing lists - Forums
Forums
A propos du site e-securIT !

[Législation sur la surveillance des télécommunications des employés]

Ce document présente quelques éléments essentiels concernant la législation relative au contrôle et à la surveillance des télécommunications des employés.

Table des matière :
- Principes de base.
Conditions d'installation d'un système de surveillance.
- Cas des communications téléphoniques.
- Cas de la messagerie électronique.
- Responsabilités de l'employeur.
- Preuve

[Principes de base]

En matière de surveillance des communications des employés d'une entreprise, les grands principes de base sont :
- "Chacun a droit au respect de sa vie privée" - Article 9 du Code civil.
- "Aucune information concernant personnellement un salarié ou un candidat à l’emploi ne peut être collectée par un dispositif qui n’a pas été porté préalablement à la connaissance du salarié ou du candidat à l’emploi" - Article L 121-8 du Code du Travail.
- Le nouveau Code Pénal sanctionne toute atteinte à la vie privée d'une peine d'emprisonnement d'un an et d'une amende de 30000 Frs. Il s'agit d'un délit.
- L'employeur a le droit de contrôler la bonne exécution du travail de ses salariés.

En conséquence, les deux règles d'or sont :

- Le contrôle de l'employeur doit s'opérer sans porter atteinte à la vie privée de ses salariés.
- L'information préalable des employés et des instances salariales est primordiale.

[Retour au sommaire]

[Conditions d'installation d'un système de surveillance]

Quatre conditions fondamentales sont nécessaires afin d'autoriser l'installation d'un système de collecte d'informations personnelles ou de surveillance des salariés.

[L'information préalable des salariés]

La règle de l'information préalable des salariés est indirectement issue de l'article L 121-8 du Code du Travail. La jurisprudence de la cour de Cassation précise (Ccass. Soc. 22 mai 1995) : "si l’employeur a le droit de contrôler et de surveiller l’activité de son personnel durant le temps de travail, il ne peut mettre en œuvre un dispositif de contrôle qui n’a pas été porté préalablement à la connaissance des salariés".

La Cour de cassation a rappelé et confirmé ce point dans un arrêt daté du 14 mars 2000 (Ccass. Soc. 14 mars 2000, Dujardin c/ Société Instinet France ; n° 98.42.090) : "de par son pouvoir de direction, l’employeur est en droit de contrôler et de surveiller l’activité de ses salariés pendant le temps de travail. Cependant, il ne peut pas le faire dans n’importe quelles conditions car il doit préalablement informer les salariés de l’entreprise de l’existence d’un système de surveillance. Seul l’emploi de procédés clandestins de surveillance est illicite. Dans cette affaire, le salarié a essayé de faire valoir, sans y parvenir, qu’il n’avait pas été régulièrement informé. A partir du moment où les salariés avaient été avertis de l’existence d’un dispositif d’enregistrement, les écoutes réalisées constituaient un mode de preuve valable. Preuve qui a pu montrer la faute grave du salarié et ainsi justifier son licenciement.".

[L'information des organes représentatifs]

L'article 432-2-1 du Code du Travail précise que : "le comité d’entreprise est informé et consulté, préalablement à la décision de mise en œuvre dans l’entreprise, sur les moyens ou les techniques permettant un contrôle de l’activité des salariés".
Toute entreprise disposant d'organes représentatifs du personnel doit informer ceux-ci en cas de mise en oeuvre d'une solution de contrôle.

[La justification du contrôle]

L'article 120-2 du Code du Travail précise : "nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives des restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché".
La surveillance effectuée par une entreprise sur l'activité de ses employés doit provenir d'un intérêt légitime et justifiée d'une finalité avérée.
Ainsi, un logiciel ou moyen de surveillance ne doit pas avoir pour but unique le contrôle de l'activité des salariés. L'entreprise doit justifier son usage : surveillance de la productivité, contrôle de l'image de l'entreprise (ex. : risque de diffamation par messagerie électronique)...

[La déclaration du contrôle]

Lorsqu'un contrôle génère des informations à caractère nominatif, une déclaration préalable du traitement auprès de la CNIL est obligatoire. 
En outre, dans certains cas (ex. : enregistrements téléphoniques), une demande d'autorisation doit être effectuée auprès des services de la Défense Nationale (Secrétariat Général à la Défense Nationale).

[Retour au sommaire]

[Cas des communications téléphoniques]

[Écoute et enregistrement des conversations téléphoniques]

L'article 226-1 du Code pénal précise que l'écoute et l'enregistrement des conversations téléphoniques des employés constituent une atteinte à la vie privée : 
"Est puni d'un an d'emprisonnement et de 300.000 F d'amende, le fait, au moyen d'un procédé quelconque, volontaire de porter atteinte à la vie privée d'autrui : en captant, enregistrant ou transmettant, sans le consentement de leur auteur, des paroles prononcées à titre privé ou confidentiel. 
Lorsque les actes mentionnés au présent article ont été accomplis au vu et au su des intéressés sans qu'ils s'y soient opposés, alors qu'ils étaient en mesure de le faire, le consentement de ceux-ci est présumé."

La loi du 10 juillet 1991 rajoute à l’article 226- 15 du Code pénal l’alinéa suivant :
"Est puni des mêmes peines le fait commis de mauvaise foi, d’intercepter, de détourner, d’utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications ou de procéder à l’installation d’appareils conçus pour réaliser de telles interceptions."

Le contrôle du contenu des conversations téléphoniques pourrait éventuellement être effectué sur les communications à caractère professionnel. Cependant, la Cour d'Appel de Paris a précisé le 7 mai 1997, sans trancher sur la question, qu'il n'est pas possible de distinguer les communications exclusivement privées, sauf précisément en les captant. Au-delà, certaines jurisprudences font état de condamnation des employeurs ayant enregistré des conversations téléphoniques alors même que les employés en avaient été informés.
En conséquence, un employeur ne peut contrôler le contenu des conversations téléphoniques que dans un cadre extrêmement restreint.

[Recommandations]

Les recommandations habituelles sont donc les suivantes :

- L'employeur, sous réserve d'avoir averti les salariés et les instances salariales, peut prendre connaissance des numéros appelés ou reçus, internes ou externes ainsi que de leur durée. Il peut ainsi différencier les conversations personnelles des conversations professionnelles.

- L'employeur peut, dans certains cas restreints et contrôlés, effectuer un enregistrement des communications professionnelles, et exclusivement celles-ci.
La CNIL émet les recommandations suivantes :
   - "Les salariés doivent être prévenus, préalablement à la mise en place du système, de son existence, des conséquences individuelles qui pourront en résulter, et des périodes pendant lesquelles leurs conversations seront enregistrées."
   - "Les salariés doivent pouvoir disposer de lignes non-connectées au dispositif d’écoute et ce notamment pour leur conversations passées à titre privé."
   - "Les salariés doivent pouvoir avoir connaissance du compte-rendu de la conversation enregistrée et doivent pouvoir formuler leurs observations."
   - "Les enregistrements des conversations alors qu’il s’agit d’opérer des contrôles de la qualité du service téléphonique rendu, ne devraient être conservés que le temps strictement nécessaire à l’objectif poursuivi." (principe de proportionnalité du contrôle et principe de l’interdiction d’un contrôle général et absolu, régissant de manière globale le Droit)
   - "Les clients doivent être informés que leur conversations téléphoniques sont enregistrées."

- Un employeur peut interdire, sans aucune contrainte, l'accès à certains numéros téléphoniques. La seule contrepartie est de mettre à disposition des salariés des postes téléphoniques réservés à un usage personnel.

[Retour au sommaire]

[Cas de la messagerie électronique]

La messagerie électronique entre dans le cadre de la loi sur les correspondances par voie de télécommunication (au même titre que le courrier papier).
Ainsi, la loi du 10 juillet 1991 posant le principe du secret des correspondances émises par la voie des télécommunications (fax, télétexte…) s’applique au courrier électronique.
Comme en matière de courrier papier : "le détournement, l’interception, l’utilisation et la divulgation constituent un délit pénal" puni des mêmes peines, un an d’emprisonnement et 300.000 F d’amende, par l’article 226- 15 du Code pénal.
La jurisprudence considère les messages transmis via ces moyens de transmission comme ayant un caractère privé (TGI Nice 5ème chambre 28 nov. 1991 ; n°5506/91).

Cependant, au sein d’une entreprise, ce raisonnement s’oppose au droit de contrôle de l’employeur. Pourtant ce dernier doit pouvoir s’exercer convenablement. Le droit de contrôle de l’employeur sur les messages électroniques de ses salariés reste pour l’heure assis sur un compromis entre la vie privée du salarié et les prérogatives de l’employeur. 

L’article 9 du Code civil et la loi du 10 juillet 1991 sur le secret des correspondances ne s’appliquent qu’aux messages ayant un caractère privé et secret. Le contrôle peut s’exercer sur les messages publics et non secrets, mais la difficulté réside dans la discrimination des messages en fonction de leur nature.
Rappelons à ce sujet le jugement du 2 novembre 2000 du Tribunal Correctionnel de Paris la condamnation des responsables du grande école d'ingénieurs pour avoir espionner la messagerie électronique d'un élève qui, pourtant, utilisant les moyens informatique d'un laboratoire de recherche à des fins purement personnelles.

[Recommandations]

Même s'il est souvent considéré que la messagerie électronique d'une entreprise ne peut être considérée que comme un moyen de correspondance professionnelle, il est recommandé :
- De n'effectuer que des contrôles (éventuellement des filtrages pour interdire certains interlocuteurs) sur les émetteurs, destinataires ou sujet des messages.
- De ne pas lire le contenu des messages, ni de les sauvegarder, bien qu'il en ait le droit.

[Retour au sommaire]

[Responsabilités de l'employeur]

[Mise en oeuvre de moyens d'écoute]

La Chambre Sociale de la Cour de Cassation a considéré, dans un arrêt du 5 janvier 1995, que "l’installation d’un système d’écoute clandestin permettant de capter les conversations tenues par les membres de l’entreprise ou des tiers constitue une faute grave, peu important l’utilisation que l’intéressé ait entendu en faire."

[Responsabilité dans le comportement des employés]

Quel est le degré de responsabilité d'un employeur dans le comportement et l'utilisation des ressources informatiques de ses employés ?
Cette responsabilité est de deux ordres :

- Responsabilité civile. L’article 1384 alinéa 5 du Code civil dispose : "le commettant est responsable du dommage causé par ses préposés dans les fonctions auxquelles ils les ont employés".
Le préposé est "la personne qui agit et remplit une fonction pour le compte d’une autre personne, le commettant". Ce dernier possède à l’égard du préposé un pouvoir de surveillance, de direction et de contrôle. Selon la jurisprudence, les dispositions de cet article ne s’appliquent pas "en cas de dommage causé par le préposé, qui agissant sans autorisation à des fins étrangères à ses attributions quels qu’en fussent ses mobiles, s’est placé hors des fonctions auxquelles il était employé". En outre, "afin de prouver l’origine étrangère du fait dommageable de la mission exercée par le salarié pour le compte de l’employeur pour s’exonérer de cette responsabilité, il faut mettre en place ce pouvoir. Le préposé, qui sort du cadre de ses fonctions et qui agit sans autorisation du commettant, n’engagera pas la responsabilité de ce dernier."
En particulier, ceci reste valable pour les contributions des employés dans les forums de discussion.

- Responsabilité pénale. L’article 226- 24 du Nouveau Code pénal a institué la responsabilité pénale des personnes morales. Pour que cette responsabilité soit engagée, il faut que l’infraction ait été commise pour le compte de la personne morale par ses organes ou ses représentants

[Retour au sommaire]

[Preuve]

Pour qu'un enregistrement constitue une preuve irréfutable, l'employeur doit en garantir l'authenticité, l'intégrité ainsi que la sincérité.
Ces critères sont souvent appréciés de manière différente selon les juges. Ainsi, les enregistrements vidéo peuvent, variablement, être considérés ou non comme preuve, dans le mesure où des montages potentiels peuvent être effectués.

ligne
 securIT@free.fr - Plein accès