270 likes | 373 Views
GS DAYS 2011 10 mai 2011 Dualité des usages du poste de travail Quelle sécurité pour l’entreprise lorsque les frontières entre utilisation personnelle et professionnelle des ressources numérique de l’entreprise deviennent floues? Diane MULLENEX & Annabelle RICHARD Avocats à la Cour
E N D
GS DAYS 2011 10 mai 2011 Dualité des usages du poste de travail Quelle sécurité pour l’entreprise lorsque les frontières entre utilisation personnelle et professionnelle des ressources numérique de l’entreprise deviennent floues? Diane MULLENEX & Annabelle RICHARD Avocats à la Cour Solicitor England & Wales Attorney at Law - New York Bar
Agenda I- Usage à titre personnel du poste de travail • Emails personnels au travail • Navigation sur Internet • Affaire Facebook et Audrey II- Usage d’appareils personnels dans le cadre professionnel • Quel contrôle de l’employeur sur le matériel personnel du salarié? • Quid en cas d’importation de virus par le salarié?
Contexte et outils à disposition des salariés d’une entreprise • Contexte • Multiplication des outils mis à la disposition du salarié, • Multiplication des risques liés à leur utilisation, • Droits et obligations de l’employeur pour réguler l’usage des outils de communication. • Enjeux • Ordinateur fixe, • Ligne téléphonique (VoIP), • Smartphone, • Ordinateur portable (Carte 3G),
L’utilisation d’Internet en entreprise • Une réalité • 94 minutes sur Internet au bureau chaque jour, • 63 % d’utilisation personnelle (soit 59 minutes), • 37 % d’utilisation professionnelle (soit 35 minutes). • Une baisse de productivité • 59 minutes d’utilisation personnelle par jour, soit • 4h50 par semaine, • 2.5 jours par mois, • 27 jours par an.
I- Usage à titre personnel du poste de travail • Consultation de la messagerie professionnelle, • Envoi d’e-mails personnels depuis la messagerie professionnelle. • L’employeur a-t-il le droit de réguler l’usage de la messagerie professionnelle ? • Quelles obligations ?
Le droit applicable au courrier électronique • Le principe de la confidentialité du courrier électronique : • Le mail est une correspondance privée car le message est exclusivement destiné à une personne déterminée et individualisée • La violation du secret des correspondances est une infraction punie d’1an de prison et de 45 000€ d’amende (L226-15 Code pénal) • La violation de la confidentialité du mail viole le secret de la vie privée du salarié (art. 9 Code civil), cela est sanctionné par l’irrecevabilité de la preuve • Dans le cadre de la messagerie professionnelle: • La messagerie professionnelle fournie par l’employeur utilisée pendant le temps de travail et sur le lieu de travail ne permet pas de caractériser les messages comme privés. Car ils se rattachent à l’activité professionnelle de fait • Nécessité de les identifier comme « personnel » ou « privé »
Les décisions rendues en la matière • Le fameux arrêt Nikon 2 octobre 2001 -reconnaît aux salariés le droit au respect de leur vie privée. -réaffirme clairement le droit des salariés d’utiliser les moyens de communication électroniques de l’entreprise pour leur usage privé (dans certaines limites bien entendu). En particulier, l’employeur ne peut violer le secret des correspondances privées de ses employés, même lorsque lesdites correspondances transitent par le système d’information de l’entreprise. • L’Affaire Audrey, Cour de cassation, 2 février 2011 (deux autres décisions vont dans ce sens) -le mail en cause était intitulé « info » et non « PERSONNEL» ou « PRIVE » -la lecture est alors autorisée, le mail devant avoir un rapport avec l’activité professionnel du salarié -le contenu du mail est diffamatoire pour l’employeur et peut alors être la base d’une procédure disciplinaire conduisant à un licenciement pour faute grave.
Le contrôle de l’employeur et la charte informatique de l’entreprise • Le contrôle possible des mails de la part de l’employeur • Deux critères de recevabilité sont étudiés par le juge: -la fiabilité du mode de preuve -la proportionnalité entre les faits reprochés et la sanction infligée • Consultation hors la présence du salarié sous condition des e-mails « PERSONNEL » ou « PRIVE » • L’employeur ne peut consulter les messages « PERSONNEL » ou « PRIVE » qu’en présence du salarié ou ci ce-dernier a été dûment appelé. • S’il n’y a pas cette mention et que le « lien avec l’activité professionnelle » est avérée, cela peut être retenu contre le salarié. • En pratique : • Formaliser les règles d’utilisation de la messagerie dans une charte informatique. • Mettre en place, de manière volontaire, un CIL Correspondant Informatique et Liberté
Usage à titre personnel des réseaux sociaux • Consultation de son compte Facebook, Linkedin, Viadeo… • L’employeur a-t-il le droit de réguler ces usages? • L’employeur peut-il licencier un salarié sur cette base ?
La récente affaire Facebook • Tribunal des Prud’hommes Boulogne Billancourt - 19 novembre 2010 : • Des salariés de la société Alten échangent des propos critiques envers leur employeur sur Facebook en postant qu’il a « intégré le cercle très fermé des Néfastes » ce à quoi deux collègues répondent « Bienvenue au Club » • Propos rapportés par un membre de leur liste d’amis à la direction. • Les trois salariés en question sont licenciés pour faute grave pour -incitation à la rébellion contre la hiérarchie, -dénigrement envers la société • la faute grave est caractérisée justifiant le licenciement des salariés : • le mode d’accès défini par le salarié à sa page Facebook dépasse la sphère privée, ce qui rend la preuve licite. Il n’y a donc pas violation du droit au respect de la vie privée des salariés. • les salariés ont abusé de leur droit d’expression (L1121-1 du Code du travail) et ont nui à l’image de la société.
Usage à titre personnel de l’internet • Conversation en ligne sur messagerie instantanée, • Visionnage de vidéos en ligne, • Téléchargement de logiciel de poker en ligne. • L’employeur a-t-il le droit de réguler l’usage de l’Internet par le salarié ? • Quelles obligations ?
Le droit applicable en la matière • Choix de l’employeur : • Interdiction d’accès à des sites pour un usage personnel, OU • Autorisation d’un usage raisonnable. • Droit applicable : • Possibilité de mise en place d’outils de contrôle après information des salariés, consultation du CE et déclaration à la CNIL de la collecte des données à caractère personnel • Présomption du caractère professionnel. • En pratique : • Formaliser les règles d’utilisation de l’Internet dans une charte informatique. • Le secret professionnel auquel est tenu l’administrateur réseau si l’information divulguée ne remet pas en cause le bon fonctionnement technique ni la sécurité de l’entreprise (recommandations CNIL 2002) et CA Paris 17 dec 2001
La question du téléchargement d’images pédophiles par le salarié • La responsabilité pénale du salarié peut être recherchée en raison de l’infraction qu’il a commise (art. L227-23 Code pénal) • La responsabilité pénale de l’employeur ne sera en général pas recherchée car il faudrait prouver sa participation intentionnelle ou sa complicité • La complicité peut exister dans le cas où l’employeur a connaissance de l’activité illégale de téléchargement du salarié et qu’il laisse faire • La sanction en cas de consultation habituelle d’un service de communication au public en ligne mettant à disposition des images pédophiles est de 2ans de prison et 30 000euros d’amende
La solution possible: la mise en place d’une charte • La charte informatique signée par l’ensemble des employés assure à tous un usage sécurisé des outils informatiques au sein de l’entreprise en : • Etablissant des règles générales définissant précisément les droits et obligations de chacun dans l’usage des technologies de l’entreprise. • Informant les employés des modes de surveillance et de contrôle utilisés pendant les heures de travail. • Décrivant les sanctions applicables en cas de non respect de la charte. • Non obligatoire, discrétion de l’employeur, • Mise en place par 50 % des entreprises.
Conditions de mise en œuvre de la charte informatique • Respect du principe de proportionnalité (L1121-1 du Code du travail). • Respect de l’obligation d’information de la CNIL concernant toute collecte de données liées à l’application de la charte. • Respect de l’obligation d’information du salarié des données recueillies dans le cadre des mesures de contrôle. • Respect de l’obligation d’information des représentants des salariés des mesures de contrôle appliquées.
II- Usage des appareils personnels dans le cadre professionnel • Utilisation de son ipod, ipad et autres matériels personnels au sein de l’entreprise • Quel contrôle de l’employeur sur ces matériels personnels? • Importation de virus ou de botnet, quelle responsabilité engagée? • Pour quelle sanction?
Le contrôle de l’employeur sur le matériel personnel du salarié • Le principe de la protection des biens relevant de la propriété privée • A ce titre, l’employeur ne peut y avoir accès • L’application possible de l’article 145 du Code de procédure civile • « S’il existe un motif légitime de conserver ou d’établir avant tout procès la preuve de faits dont pourrait dépendre la solution d’un litige, les mesures d’instruction légalement admissibles peuvent être ordonnées à la demande de tout intéressé, sur requête ou en référé » • La vie privée du salarié n’est pas un obstacle à l’application de cet article s’il existe des moyens légitimes • L’huissier agit en présence du salarié
Le contrôle de l’employeur sur le matériel personnel du salarié • Le cas de saisie de documents ou de données informatiques • Art. 56, 97 et suivants du Code de procédure pénale permette de collecter des éléments de preuve et a fortiori les appareils personnels des salariés utilisés dans le cadre professionnel • Cette collecte de preuve étant loyale, elle pourra être utilisée dans le cadre d’un procès pénal
Le téléchargement de virus ou de botnet sur le système informatique de l’entreprise • Lors de sa navigation sur l’Internet ou lors du téléchargement d’un fichier, le salarié peut être amené à infecter sa machine voire le réseau de l’entreprise; à introduire un logiciel contenant un virus ou a être la cible d’attaque d’une personne mal intentionnée. • Un arsenal juridique qui a évolué et qui s’est renforcé entre 1988 et 2004: - loi Godfrain 5 janvier 1988: introduction de sanctions relatives aux systèmes de traitement automatisé de données (STAD); le sabotage informatique (entraver ou fausser le système informatique); les atteintes aux données -Loi relative à la sécurité quotidienne 15 nov. 2001: prévoit la conservation par les opérateurs de télécommunication pendant 1 an des données relatives à une communication (identité des utilisateurs, caractéristiques techniques des services fournis), la mise en claire de données chiffrées est possible pour la manifestation de la vérité.
Le téléchargement de virus ou de botnet sur le système informatique de l’entreprise -Loi relative à la sécurité intérieure 18 mars 2003: elle complète la précédente, les FAI mettent à disposition des OPJ, sur demande, les informations utiles à la manifestation de la vérité sauf celles protégées par un secret prévu par la loi; les OPJ peuvent agir sur réquisition du procureur après ordonnance du JLD. - Loi sur la Confiance dans l’Economie Numérique 21 juin 2004: complète le dispositif de la loi Godfrain et introduit un délit, celui de détenir un virus sans un système d’information; les hébergeurs sont amenés à assurer une certaine surveillance lorsque des informations telles que des images pédophiles sont stockées sur leurs pages; le spamming soit la publicité non sollicitée, sans consentement préalable des destinataires est interdite; le marchand en ligne assume « une responsabilité globale » sur l’ensemble de la vente.
Quelle responsabilité peut être engagée en cas d’acte involontaire de la part du salarié ? • Introduction d’un virus présent au sein d’un logiciel fourni par un prestataire extérieur à l’insu de l’utilisateur salarié • Un contrat a été signé, la responsabilité contractuelle pourra être recherchée • Le salarié ne peut pas être tenu pour responsable ni faire l’objet d’une procédure disciplinaire
Quelle responsabilité peut être engagée en cas d’acte involontaire de la part du salarié ? • Introduction d’un virus involontairement par le salarié au sein du système d’information de son entreprise • Il y a alors négligence fautive de la part du salarié soit une mauvaise volonté évidente ou une insuffisance de la part du salarié • 36% des entreprises en 2008 étaient dans ce cas • Etudier le cas particulier du salarié • Le salarié peut faire le cas d’une procédure de licenciement dont les conditions seront à déterminer en fonction du cas particulier
Quelle responsabilité peut être engagée en cas d’acte volontaire de la part d’un salarié ? • Introduction d’un virus volontairement par le salarié alors que l’entreprise n’a pas de charte informatique • Le salarié n’a pas été informé mais son devoir de loyauté envers son employeur doit l’amener à utiliser le matériel pour exécuter son contrat de travail • Une procédure disciplinaire peut être entamée, un licenciement peut être prononcé pour faute grave
Quelle responsabilité peut être engagée en cas d’acte volontaire de la part d’un salarié ? • Introduction d’un virus volontairement par le salarié alors que l’entreprise a une charte informatique • le salarié est en faute • Licenciement pour faute grave Cour d’Appel de Pau 8 janv 2007: « Mais de plus l'appréciation de la gravité de la faute s'analyse en considération du comportement du salarié, en tenant compte de la nature de ses fonctions, ingénieur salarié d'une société prestataire de services informatiques, des répercussions des faits fautifs sur le fonctionnement de la société CSSI et de ses relations contractuelles avec la société X et de l'importance de ses activités de stockage d'images pornographiques, expressément visé par la charte de sécurité de X pour les virus propagés par ces sites. »
Quelle responsabilité peut être engagée en cas d’acte de volontaire de la part d’un salarié ? • La responsabilité pénale • Loi Godfrain du 5 janvier 1988 relative à la fraude informatique • Loi pour La Confiance dans l’Economie Numérique (LCEN) du 21 juin 2004 • Le salarié peut être condamné pénalement s’il « entrave ou fausse le fonctionnement d’un système de traitement automatisé de données » ou s’il « introduit frauduleusement des données dans un système de traitement automatisé ou supprime ou modifie frauduleusement les données qu’il contient » • De plus, l’article 323-3 du Code pénal incrimine les atteintes aux données par l’ajout d’un virus au sein d’un système d’information, même sans destruction consécutive ou altération de données. Le fait de détenir un virus non activé et non plus seulement le fait de faire pénétrer un virus dans le système est sanctionné par la loi LCEN. La sanction étant de 5 ans de prison et de 75 000€ d’amende • Responsabilité pénale, licenciement pour faute grave du salarié
Contact Diane MULLENEX Avocat à la cour, Solicitor England & Wales mullenex@ima-avocats.com Annabelle RICHARD Avocat à la cour, Attorney at Law - New York Bar richard@ima-avocats.com 5, rue de Monceau - 75008 Paris + 33 1 42 89 19 80