Une utilisation personnelle des outils informatiques est tolérée par les tribunaux si elle reste raisonnable et n’affecte pas la sécurité des réseaux ou la productivité. C’est à l’employeur de fixer les contours de cette tolérance et d’en informer ses employés.

Le contrôle de l’employeur

Le contrôle de l’utilisation d’Internet et de la messagerie : dans quel but ?

L’employeur peut contrôler et limiter l’utilisation d’internet (dispositifs de filtrage de sites, détection de virus…) et de la messagerie (outils de mesure de la fréquence des envois et/ou de la taille des messages, filtres « anti-spam »…)

Ce contrôle a pour objectif :

• D’assurer la sécurité des réseaux qui pourraient subir des attaques (virus, cheval de Troie…)
• De limiter les risques d’abus d’une utilisation trop personnelle d’internet ou de la messagerie (consultation de sa messagerie personnelle, achats de produits, de voyages, discussions sur les réseaux sociaux…).

Par défaut, les courriels ont un caractère professionnel.

L’employeur peut les lire, tout comme il peut prendre connaissance des sites consultés, y compris en dehors de la présence de l’employé.

À NOTER : Les marque-pages, « favoris » ou « bookmark » du navigateur ne constituent pas un espace personnel ou privé. Ajouter un site internet à ses « favoris » ne limite donc pas le pouvoir de contrôle de l’employeur.

Protection de la vie privée

Les limites du contrôle de l’employeur

• L’employeur ne peut pas recevoir en copie automatique tous les messages écrits ou reçus par ses employés.
• Les « keyloggers » permettent d’enregistrer à distance toutes les actions accomplies sur un ordinateur. Sauf circonstance exceptionnelle liée à un fort impératif de sécurité, ce mode de surveillance est illicite.
• Les logs de connexion ne doivent pas être conservés plus de 6 mois.

Les courriels personnels

Un employé a le droit, même au travail, au respect de sa vie privée et au secret de ses correspondances privées. Un employeur ne peut pas librement consulter les courriels personnels de ses employés, même s’il a interdit d’utiliser les outils de l’entreprise à des fins personnelles.

Pour qu’ils soient protégés (hors procédure judiciaire en cours), les messages personnels doivent être identifiés comme tels, par exemple :

• en précisant dans leur objet « Personnel » ou « Privé »
• en les stockant dans un répertoire intitulé « Personnel » ou « Privé ».

Les courriers ne seront pas considérés comme personnels du simple fait de leur classement dans le répertoire « mes documents » ou dans un dossier identifié par les initiales de l’employé.

 Les fichiers

Par défaut, les fichiers ont un caractère professionnel et l’employeur peut y accéder librement.

Lorsque les fichiers sont identifiés comme personnels, l’employeur peut y accéder :

• en présence de l’employé ou après l’avoir appelé
• en cas de risque ou évènement particulier, qu’il appartient aux juridictions d’apprécier.

La communication des mots de passe

Les identifiants et mots de passe (session Windows, messagerie…) sont confidentiels et ne doivent pas être transmis à l’employeur. Toutefois, si un employé absent détient sur son poste des informations indispensables à la poursuite de l’activité, son employeur peut exiger la communication de ses codes si l’administrateur réseau n’est pas en mesure de fournir l’accès au poste.

L’information aux employés

Les instances représentatives du personnel doivent être informées ou consultées avant la mise en œuvre d’un dispositif de contrôle de l’activité

Chaque employé doit être notamment informé :

• Des finalités poursuivies,
• Des destinataires des données,
• De son droit d’opposition pour motif légitime,
• De ses droits d’accès et de rectification.

Cette information peut se faire au moyen d’une charte, annexée ou non au règlement intérieur, d’une note individuelle ou d’une note de service…

Quels recours ?

En cas de difficulté, vous pouvez saisir :

• les services de l’inspection du Travail
• le procureur de la République
• le service des plaintes de la CNIL, sur les modalités de mise en oeuvre d’un dispositif de contrôle de l’activité.

Informations sur http://www.cnil.fr/