Cybersurveillance en entreprise : quoi de neuf en 2020 ?

Si l’année 2020 a été riche en bouleversements, avec l’essor croissant du télétravail en raison du Covid-19 et la volonté de l’employeur de pouvoir contrôler à distance l’activité de ses salariés (logiciel de contrôle du temps de travail, contrôle des messages électroniques, etc.) elle a également été l’occasion pour les juges de rappeler les conditions à respecter par les employeurs en matière de cybersurveillance notamment au regard de licéité de la preuve. Car la sécurité de l’information de l’entreprise impose la cybersurveillance.

L’information préalable des Instances représentatives du personnel (IRP)
La jurisprudence s’est tout d’abord attachée à rappeler la nécessaire information préalable des IRP pour pouvoir mettre en œuvre un dispositif de surveillance ayant pour finalité principale de contrôler l’activité des salariés. En effet, l'exigence de loyauté de la preuve interdit à l'employeur de recourir à des dispositifs "clandestins" de contrôle du salarié pour établir une faute.

En vertu de l’article L 1222-4 du Code du travail aucune information concernant un salarié ne peut être collectée par un dispositif qui n'a pas été préalablement porté à sa connaissance. Le Comité Social et Économique (CSE) doit, par ailleurs, être consulté sur le dispositif mis en place, faute de quoi l'employeur n’est pas autorisé à se prévaloir des preuves recueillies par ce biais pour établir, le cas échéant, une faute du salarié.

La Cour de cassation (Cass. soc. 11-12-2019) a ainsi invalidé la preuve issue d’un système de vérification des opérations et procédures internes (obligatoire pour les établissements de crédit). Elle a considéré que, dès lors que le dispositif était utilisé pour contrôler les consultations du salarié, l’employeur aurait dû informer et consulter les IRP, de ce fait, l’employeur ne peut pas se prévaloir des éléments de preuve ainsi recueillis pour prouver la faute du salarié.

Le CSE doit notamment être consulté sur les décisions relatives aux conditions d'emploi, d e travail, de sécurité et de l’introduction de nouvelles technologies). L’utilisation d’un nouveau logiciel de gestion du temps de travail peut notamment être suspendue, concernant le décompte du temps de travail, tant que les IRP n'auront pas été informées et consultées sur l'introduction de cet outil (Cass. soc. 26-02-2020).

Boite mail professionnelle du salarié, quelles conditions d’utilisation ?
La jurisprudence a rappelé un principe constant en matière de consultation des fichiers professionnels et privés : les contenus et messages des salariés créés à partir de l'outil mis à disposition par l'employeur sont présumés professionnels et peuvent ainsi être consultés par l'employeur sans restriction particulière. Ce n’est que dès lors qu’ils sont expressément identifiés comme personnel, (parfois sans être identifiés comme personnel), qu’ils relèvent exclusivement de la vie personnelle du salarié que l’employeur ne peut se prévaloir de leur contenu pour justifier un licenciement.

Ainsi, la Cour de cassation a considéré que les courriers électroniques échangés avec une collègue via l’outil informatique mis à disposition par l’employeur, et automatiquement transférés à l’assistante du salarié avec l’accord de ce dernier, sont en relation avec l’activité professionnelle de ce dernier (courriers comportant des critiques de la société) et ne revêtent pas un caractère privé. Par conséquent, ces éléments pouvaient être invoqués au soutien de la procédure disciplinaire (Cass. soc. 09-09-2020).

A l’inverse, les échanges électroniques relevant de la vie privée d’une salariée (échanges relatifs à une liaison entretenue avec un collaborateur), bien que les mails en question n’aient pas été identifiés comme personnels, doivent être écartés des débats même si en l’espèce le licenciement a pu être validé au regard des éléments de preuve apportés par l’employeur (attestations, courriers électroniques de nature professionnelle, …) (CA Paris, Pôle 6, Ch. 9, 20-05-2020).

Proportionnalité des mesures d’audit et d’enquête interne
Selon la jurisprudence, les mesures d’audit et/ou d’enquête interne doivent être justifiées et proportionnées par rapport aux faits qui sont à l'origine de l'enquête et ne sauraient porter d'atteinte excessive au droit du salarié au respect de sa vie privée. A cet égard, le Conseil d’Etat a rejeté le pourvoi formé par une banque contestant la décision du ministère du travail refusant de l’autoriser à licencier un salarié au motif que la consultation des comptes bancaires personnels du salarié (dans le cadre d’une enquête interne) n'était absolument pas justifiée au regard des dénonciations dont le salarié a fait l'objet (menaces proférées dans un cadre privé à l'encontre d'un client dont il aurait – abusivement – consulté les comptes bancaires) et portait -une atteinte excessive au respect de la vie privée, non proportionnée à l'établissement des faits reprochés (CE, 4e-1re ch. réunies, 02-03-2020).

Imputabilité des faits fautifs
Même si l’employeur dispose d’une preuve recevable en justice pour établir un fait litigieux, encore faut-il qu’il parvienne à démontrer l’imputabilité du fait litigieux au salarié. Ainsi, la jurisprudence a invalidé un licenciement pour faute grave fondé sur l’insertion volontaire d’un technicien systèmes réseaux à l'insu de tous dans un groupe de messagerie réservé aux représentants du personnel au motif qu’une société tierce disposait également de droits d'accès au système informatique de l’employeur identiques à ceux du salarié et que, dès lors, il n’était pas la seule personne en capacité de réaliser l’opération litigieuse (CA Paris, pôle 6 – ch. 10, 27-05-2020).

La charte informatique reste un outil indispensable !
A cet égard, l’imputabilité de connexions personnelles litigieuses peut résulter de la charte informatique et d’attestations du prestataires réseau. En effet, une Cour d’appel a estimé que l’imputabilité des faits litigieux (ampleur de connexions personnelles) était notamment établie dans la mesure où la charte informatique de l’entreprise préconisait expressément aux utilisateurs du système d’information de taper leur mot de passe à chaque connexion et de ne pas conserver le mot de passe en mémoire dans le système d’information. (CA Paris, pôle 6 – ch. 9, 08-07-2020).

En tout état de cause, la charte informatique peut permettre de justifier une mesure de contrôle. En effet, la Cour de Paris (CA Paris, Pôle 6, Ch. 9, 20-05-2020) a notamment pu s’appuyer sur un audit interne pour confirmer le bienfondé du licenciement dans la mesure où l'employeur disposait d'une charte informatique, transmise à chacun des salariés, qui prévoyait qu'à tout moment, des contrôles des ressources et des connexions au réseau pouvaient avoir lieu, et que les dossiers et fichiers professionnels du salarié, créés sur le support informatique mis à disposition par l'entreprise, étaient présumés avoir un caractère professionnel.

L’adoption d'une charte informatique prévoyant les dispositifs de contrôle que l’employeur peut mettre en œuvre (par ex., dispositif de filtrage de messagerie, contrôle des pages visitées sur l’internet, etc.), les modalités d’accès aux ressources (protection par mot de passe,…), annexée au règlement intérieur constitue ainsi bonne pratique qui permet au juge de mesurer des comportements et usages abusifs, qu'il convient plus que jamais de mettre en place au sein des entreprises. Finalement, la jurisprudence se situe dans la continuité des années antérieures !

Eric A. Caprioli, avocat à la Cour, docteur en droit
Caprioli & Associés, société d'avocats membre du Réseau JurisDéfi


Les avis d'experts sont publiés sous l'entière responsabilité de leurs auteurs et n'engagent en rien la rédaction de L'Usine Digitale.

Sélectionné pour vous

La valeur juridique de la signature numérisée apposée sur un CDD

"Pour que le digital trouve sa place dans le quotidien de l'artisan, il faut lui apporter de la valeur"

Grande démission : quelles conséquences pour le secteur IT ?