La surveillance des salariés n'est pas un phénomène nouveau, puisqu'elle a toujours existé dans les entreprises allant des écoutes aux enregistrements téléphoniques en passant par les systèmes de vidéosurveillance pour arriver depuis l'apparition des nouvelles technologies à la cybersurveillance.

Les nouvelles technologies sont aujourd'hui en plein essor, et se pose de plus en plus le problème de l'équilibre délicat entre libertés et droits du salarié face aux droits de l'employeur. On constate en effet dans les entreprises une utilisation de plus en plus fréquente de ces outils par les salariés dans le cadre professionnel bien sur mais également à des fins personnelles.

De son côté, l'employeur peut-il lui aussi utiliser ces nouveaux outils afin de contrôler et vérifier l'activité et le travail de ses employés ? Cette utilisation est-elle légitime ?

Réflexion générale autour de la cybersurveillance : moyen de subordination du salarié ou garantie de protection de l'entreprise ?

L'employeur, soucieux de voir son entreprise se développer rapidement aura nécessairement recours aux TIC.

Or l'ouverture des réseaux par Internet implique un risque d 'attaques extérieures telles que virus, chevaux de troye... mais également la diffusion d'informations confidentielles, attaques venant cette fois-ci de l'intérieur .

Par ailleurs, l'employeur est susceptible de voir sa responsabilité engagée en cas de manquement commis par l'un de ses salariés.

Ainsi il apparaît tout à fait légitime que l'employeur souhaite protéger son entreprise face à ces risques qui peuvent nuire fortement à son entreprise.

Du point de vue du salarié, qui lui défend son droit au respect de la vie privée inscrit à l'article 9 du Code civil et à l'article 8 de la Convention européenne de sauvegarde des droits de l'Homme et des libertés fondamentales, tout moyen de contrôle peut apparaître comme une menace au respect de ce droit. En effet, les technologies actuelles permettent de conserver des informations telles que le temps passé sur un site web, les adresses web des sites consultés, la réception des courriers électroniques. L'employeur est ainsi techniquement en mesure de contrôler l'activité de son salarié et d'avoir accès à de nombreuses informations le concernant, dont certaines relèvent de la vie privée . Aussi, la jurisprudence est venue encadrer cette possibilité afin de protéger la vie privée des salariés.

D'un point de vue juridique : la cybersurveillance, atteinte aux droits de l'employé ou aux droits de l'employeur ?

Les textes de lois concernant les droits du salarié sur le lieu de travail

La Cour de Justice européenne a reconnu le droit d'avoir du temps « privé » au bureau à condition qu'il ne soit pas excessif. Le droit positif français, quant à lui, reconnaît aussi le droit d'user des outils informatiques mis à la disposition de l'employé sur le lieux de travail à des fins privées s'ils sont utilisés en dehors des heures de travail et que l'usage ne soit pas excessif et déloyal (divulgation d'informations sur l'entreprise...).

De plus, le salarié dispose d'un droit d'information vis à vis des systèmes de surveillance qu'ils soient mobiles (caméra) ou en réseau au travers des ordinateurs portables. En effet, la loi du 6 janvier 1978 (Informatique et Liberté) stipule que le salarié doit être averti des moyens de surveillance des réseaux. Son non-respect est constitutif du délit d'atteinte à la vie privée .

L'employé dispose également d'un droit à l'intimité de sa vie privée au travers des correspondances qu'elles soient postales ou électroniques, dans des conditions dont les contours sont actuellement redessinés par les tribunaux.

Une jurisprudence favorisant jusqu'en octobre 2006 les droits des salariés

La jurisprudence française a consacré depuis longtemps le droit au respect de la vie privée comme un droit fondamental. La Cour de Cassation avait ainsi affirmé en 2001 dans l'arrêt NIKON que le salarié a droit même en temps et lieux de travail au respect de sa vie privée. Cela implique le respect de la correspondance même si celle-ci a été émis par l'outil informatique mis à sa disposition par l'employeur à condition que la mention « personnel » y figure. Cette correspondance ne peut donc être consultée qu'avec l'accord et la présence de l'employé.

Cette jurisprudence a été confirmée à plusieurs reprises. Ainsi dans l'arrêt « Cathnet-Science » du 17 mai 2005, la Cour de cassation a condamné un employeur qui avait accédé à un fichier personnel contenant des photos « torrides », invalidant le licenciement pour faute grave fondée sur ce moyen. Dans le même sens, citons également l'arrêt du 12 octobre 2004 dans lequel la Cour de cassation a annulé une mise à pied disciplinaire pour des correspondances échangées avec un ex salarié, et a condamné l'employeur au paiement de dommage et intérêt à l'employé.

Cette jurisprudence NIKON, largement commentée depuis lors, est l'une des plus importantes dans le cadre de la construction jurisprudentielle de la notion de cybersurveillance puisque la Cour de cassation est venue encadrer les moyens de contrôle de l'employeur et ce au profit du salarié.

Toutefois, si les tribunaux semblent avoir depuis plusieurs années privilégié les droits des salariés, cette tendance semble être en train de s'inverser.

Une avancée jurisprudentielle : un rééquilibrage des droits au profit de l'employeur

La Cour de Cassation avait dans un premier temps en 2006 assoupli sa position en considérant dans l'arrêt Technisoft du 18 octobre 2006 que les fichiers et dossiers créés par un salarié au travail sont présumés avoir le caractère professionnel sauf si une mention indique le caractère privé.

Une seconde étape vient d'être franchie par la haute juridiction s'agissant des connexions internet.

Ainsi sept ans après l'arrêt NIKON, on assiste à une évolution importante puisque la Cour de Cassation vient de préciser dans un arrêt du 9 juillet 2008 que « les connexions établies par un salarié sur des sites internet pendant son temps de travail grâce à l'outil informatique mis à sa disposition par son employeur pour l'exécution de son travail sont présumées avoir un caractère professionnel de sorte que l'employeur peut les rechercher aux fins de les identifier, hors sa présence ».

Ainsi toutes les connexions à internet revêtent une présomption de caractère professionnel rendant alors possible un accès libre par l'employeur. Rappelons qu'auparavant, aucune présomption de caractère professionnel n'existait pour les connexions internet. L'employeur ne pouvait donc pas consulter les sites web visités.

La Cour a manifestement été sensible à certaines situations antérieures pour lesquelles l'employeur avait été condamné pour atteinte à la vie privée alors que la faute du salarié était manifestement constituée.

La Cour de Cassation a pu être également sensible au rapport émis par la CNIL en février 2002.

La CNIL avait en effet remis en février 2002 un rapport sur la « cybersurveillance des salariés dans l'entreprise » et émis des recommandations qui bien que non contraignantes visaient à rappeler les droits et libertés de chacun afin d'arriver à un point d'équilibre qualifié « d'équilibre intelligent ».

Ce rééquilibrage entre droits et libertés des salariés et droits et prérogatives des employeurs ne concerne pas que la France, puisque plusieurs pays européens ont également adopté une réglementation.

La France sur les pas des autre pays européens ?

Le cadre normatif dans les autres pays étrangers

La commission de protection de la vie privée belge, à laquelle on pourrait assimiler la CNIL française, a entrepris de rédiger une convention rappelant les règles de base, les prérogatives et droits de chacun sur le lieux de travail. Ainsi ce fût chose faite avec la convention collective du travail n°81 du 26 avril 2002 spécialement consacrée aux données de communication électronique en réseau c'est à dire le courriel, les sms, internet, les sites web... qui a été rendue obligatoire par arrêté royal du 12 juin 2002.

L'objectif de ce texte est de rétablir les droits du salarié sur le lieux de travail afin qu'aucune atteinte ne soit portée au respect de sa vie privée tout en tenant compte des besoins de l'entreprise afin d'assurer son bon fonctionnement.

Cette convention vient ouvrir aux employeurs la possibilité de contrôler les outils informatiques mis à la disposition des salariés, sous réserve de respecter les trois principes suivants :

· principe de finalité : Le contrôle sera valable si l'on se trouve face à l'une des quatre situations suivantes : prévention de faits illicites ou diffamatoires, la protection des intérêt économique et financier de l'entreprise, la sécurité et le bon fonctionnement des systèmes de communication en réseau, le respect de bonne foi des principes et des règles d'utilisation en réseaux fixés par l'entreprise.

· principe de transparence : Il prévoit l'information collective des employés sur les règles de l'entreprise au travers des organes de représentation (conseil d'administration) mais aussi l'information individuelle des employés au travers par exemples des règlements intérieurs.

· principe de proportionnalité : Il implique que l'employeur puisse retrouver grâce à l'outil informatique l'employé ayant causé un trouble dans l'entreprise. La sanction sera alors proportionnelle au préjudice causé et toutes sanctions disproportionnée pourra être si l'employé este en justice annulées même si l'employeur apporte la preuve de la faute.

Beaucoup d'autres pays on suivit l'exemple de la Belgique, ainsi la Hollande a aussi conclu à une convention collective : le Registratiekamer, tout comme le législateur anglais avec « the regulation of investitagory power Act2000 ».

Les clauses de ces conventions sont très proches. Assiste-t-on nous à la naissance d'une une législation européenne unique ?

Myriam Ghezal

Étudiante en droit