Mister CE : Tant qu'il y aura des comités d'entreprise.

Internet : La Charte des Salariés : guide des bonnes manières.

Surveiller l'activité de ses salariés sur le réseau Internet n'est pas seulement une possibilité pour les entreprises. C'est un véritable devoir, faute à se montrer gravement négligent au regard de la protection de l'entreprise et de la responsabilité de celle-ci.

Nous avons présent à l'esprit la récente condamnation de Lucent Technologies (TGI Marseille, 11 juin 2003), pour avoir omis de préciser dans sa charte Internet que le salarié n'avait pas le droit de créer de pages personnelles à partir des moyens informatiques mis à sa disposition par l'entreprise (en l'occurrence, la salarié avait mis en ligne des contenus diffamatoires à l'encontre d'une autre société).

N'oublions pas non plus l'affaire "Kitetoa" (CA Paris 30 octobre 2002), où la société Tati s'est vue expliquer qu'il ne fallait pas se plaindre de ce qu'un hacker malicieux ait pénétré son système d'information pour y détourner des fichiers contenant des données personnelles de clients, puisque ces données étaient accessibles via le site Internet de la société…

Derrière ces deux décisions se dessine une nouvelle notion : celle du "bon père de famille" des temps modernes, qui est conscient de la nécessité d'assurer la sécurité du système d'information de son entreprise, et qui pour ce faire met en place les moyens humains, financiers, et organisationnels nécessaires. La dépendance des entreprises à leur système d'information est devenue très forte, et il est étonnant de constater à quel point le risque afférent à un dysfonctionnement ou à une atteinte au système d'information est sous-estimé, voire ignoré, par de nombreux dirigeants.

Beaucoup d'entreprises, il est vrai, se sont d'ores et déjà dotées d'un responsable de la sécurité des systèmes d'information. Mais ce n'est pas tout : il leur faut un budget, et plus encore il leur faut recueillir l'adhésion de tous à une véritable politique de sécurité informatique, ce qui suppose l'implication du management de l'entreprise à tous les niveaux.
L'un des outils de cette sécurité est précisément la "charte Internet", qui, plus qu'un guide de bonne conduite, est un véritable contrat qui décrit les droits et les obligations de chacun au regard de l'utilisation des moyens informatiques et réseau de l'entreprise.
La mise en œuvre d'une telle charte soulève beaucoup de questionnements de la part de ceux qui en ont la charge : est-ce que je peux, est-ce que je dois, et comment faire, dans cet imbroglio de recommandations et de décisions apparemment contradictoires ? Il nous semble que certaines solutions commencent à se dégager, qui certes ne sont pas parfaites - il s'agit encore d'un domaine très nouveau - mais permettent de mettre en œuvre un document efficace et utile. Nous vous livrons ici trois principes qui sont à notre sens fondamentaux :

Premier principe : transparence et discussion collective

Nous parlions à l'instant d'un "contrat", qui fixe les droits et les obligations de chacun en matière d'utilisation des moyens informatiques de l'entreprise. Mais attention, il ne s'agit pas d'un avenant au contrat de travail, qui, imposé alors que le salarié est déjà en état de subordination, aurait une valeur bien faible en cas de litige.
La charte doit porter à la connaissance de l'ensemble des salariés de façon transparente les mesures de contrôle qui sont exercées à leur égard, conformément à l'article L121-8 du Code du Travail.
Elle doit de plus faire l'objet d'une discussion avec les organes représentatifs du personnel, et être ensuite annexée au règlement intérieur de l'entreprise. Ses dispositions seront alors opposables aux salariés, et leur violation pourra le cas échéant fonder des mesures disciplinaires.

Second principe : précision et mesure

Interdire totalement aux salariés l'accès à Internet pour des fins autres que professionnelles est à notre avis plus dangereux qu'autre chose car, au regard tant de la jurisprudence récente que des positions de la CNIL, il est peu probable qu'un tribunal retienne que cette interdiction soit justifiée. Tout salarié dispose d'une sphère d'intimité à son lieu et son temps de travail et, de la même façon que l'utilisation à des fins personnelles du téléphone est tolérée, celle de l'Internet doit l'être aussi.
Pour autant, il faut en fixer les limites, et le faire de façon précise : interdiction de participer à des forums ou à des chats, interdiction de créer des pages personnelles, interdiction d'accéder à tout site illicite ou à caractère pornographique, respect de la propriété intellectuelle, interdiction d'installer des logiciels piratés ou non autorisés par la DSI…
De la même façon, les salariés seront informés des diverses mesures de surveillance et de filtrage mises en place par la DSI : blocage des fichiers supérieurs à une certaine taille, veille des sites visités, mesure du temps passé sur Internet…

Troisième principe : définir clairement la procédure relative aux messages "privés"

Au prétexte que les e-mail "personnels" seraient assimilables à de la correspondance privée, l'entreprise ne pourrait pas les ouvrir, faute à se rendre coupable de l'infraction de violation des correspondances. Cette position est à notre sens parfaitement irréaliste : il suffirait que le salarié accompagne son message de la mention "personnel" pour envoyer en toute impunité à un concurrent de l'entreprise par un simple e-mail tous ses fichiers clients et quelques autres informations stratégiques !
L'entreprise doit pouvoir surveiller toute correspondance qui transite par le réseau qu'elle met à disposition de ses salariés, charge à ceux ci, exerçant leur bon sens, de ne pas faire transiter sur un réseau qui est de toutes façons ouvert à tous vents des informations de nature privée et confidentielle.
Le vrai problème, qui a bien été vu par la CNIL, est plutôt de régir le statut des administrateurs systèmes qui sont amenés à avoir connaissance de ces messages. Il faut en effet éviter que ceux-ci, soumis à la pression de leur hiérarchie, ne se voient obligés de dévoiler des informations qui n'ont aucun rapport avec l'activité professionnelle du salarié mais pourraient être utilisées à son encontre (informations sur son état de santé par exemple).

Les administrateurs systèmes doivent donc :
- recevoir des instructions précises concernant les messages dont ils peuvent faire état à d'autres membres de l'entreprise : seuls les messages ayant un rapport avec l'activité professionnelle ou les intérêts de l'entreprise sont dans ce cas, et l'on conçoit bien qu'il y a là une petite difficulté dans la mesure où une telle appréciation peut se révéler très subjective ;
- d'autre part être protégés, de sorte à ne pas pouvoir faire l'objet de sanctions disciplinaires s'ils refusent, dans le cadre défini précédemment, de divulguer certains messages à leur hiérarchie. Le sujet est évidemment là aussi très délicat, compte tenu du lien de subordination de l'administrateur système à l'entreprise qui l'emploie. Néanmoins, et en attendant que celui-ci bénéficie d'une protection légale (ce qui devrait à notre avis être le cas à terme), une protection contractuelle efficace peut être organisée.

Voici, brièvement résumés, quelques principes qui permettent de donner à la charte Internet de l'entreprise cohérence et efficacité. Leur mise en œuvre est bien sûr largement dépendante du métier de l'entreprise et des salariés concernés, selon le sacro-saint principe dit de "proportionnalité" (article L120-2 du Code du Travail), que nous rappellerons pour conclure et qui doit sans cesse guider la main du rédacteur de charte … :
"Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché"

Novembre 2003. Me Isabelle Renard Avocat Associée, August&Debouzy