Cyber surveillance des salariés : interview de Maître Coupez

François Coupez est avocat à la cour et responsable de l'entité parisienne du Cabinet Capriloi & Associés.
Il anime la formation "Cyber surveillance des salariés"

Comment définir une utilisation abusive des ressources informatiques ?
Il est très difficile de définir cette notion d'abus de manière claire, indépendamment de tout contexte.

De façon générale, on parlera d'usage abusif lorsque l'on sera confronté à un comportement que le salarié ne "devrait" pas avoir en tant normal dans le cadre de son travail, que ce comportement ne soit pas raisonnable (conduisant à mettre en danger le SI de l'entreprise par exemple) ou éthiquement et moralement condamnable (venir au travail pour jouer, écrire son courrier personnel, etc. plusieurs heures par jour).

Juridiquement, la notion d'usage abusif renverra à la notion d'obligations auxquelles le salarié est lié de par son contrat de travail : il y a abus des outils mis à sa disposition (en se connectant des heures à des sites de jeux en ligne pendant ses horaires de travail), il est tenu à une obligation de loyauté qu'il a ainsi méconnue, il peut être sanctionné.

Reste que la notion est d'interprétation difficile en pratique, sans une règle claire qui précise au sein de chaque entreprise ce qui est permis... et ce qui est interdit.

De quels moyens dispose l'employeur pour contrôler le « bon usage » des ressources informatiques ?
Dans l'intitulé de cette question, derrière le « bon usage » est tapie l'utilisation abusive dont on vient de parler. Or il peut être facile de dire que l'implantation d'une bombe logique au cœur du SI de l'employeur est (au minimum) une utilisation abusive. Mais il peut être beaucoup plus difficile... de s'apercevoir que cette bombe a été implantée et par qui !

Or, en pratique, certains DSI ignorent encore qu'il est parfaitement licite pour l'employeur de disposer de nombre de moyens informatiques, technologiques ou organisationnels de surveillance du SI, même si ceux-ci conduisent de façon incidente à surveiller l'activité de ses salariés.

Il suffit simplement que l'usage de ces moyens s'opère dans des limites et un cadre stricts (contrôle proportionné, loyal, transparent, information sur les moyens de contrôle mis en place, interdiction ou fort encadrement de certaines technologies telles que la biométrie ou la géolocalisation, etc.). S'il veut se conformer à la loi, l'employeur doit prévoir, organiser, déclarer et présenter les outils de gestion de la sécurité et de contrôle qu'il souhaite mettre en œuvre et qui peuvent être des dispositifs de filtrage, de gestion des traces informatiques, etc.

Pour les entreprises, les obligations issues de l'HADOPI ou les futures obligations de notification des violations de sécurité militent pour la mise en place dans le SI de systèmes de suivi des incidents de sécurité. Or ces outils-là aussi devront respecter ces principes et la problématique devra être suivie et gérée dans son ensemble.

Quel est le rôle de la charte électronique ? Pourquoi est-elle « indispensable »  ?
Le rôle de la charte est d'opérer la synthèse entre tous ces principes : aménager la bonne foi entre employeur et salarié dans l'usage des moyens informatiques et de leur contrôle, anticiper les situations au plan technique et y répondre licitement, tenter de limiter la responsabilité de l'employeur de plus en plus souvent mise en jeu par les abus de ses salariés sur les réseaux. La charte, en permettant tout cela et en rendant les règles du jeu lisibles par tous, juges et conseillers prud'homaux compris, permet de limiter les contentieux.

Surtout, la charte ou plutôt les chartes (des utilisateurs, des administrateurs, etc.) obligent une vision transversale de l'utilisation des outils informatiques dans l'entreprise, par la nécessaire mise en cohérence, dans les règles qu'elles dictent, avec la politique de sécurité des SI, la politique d'archivage des mails, la politique de gestion des connaissances, la charte d'utilisation des médias sociaux... Et dorénavant, la politique d'usage des médias sociaux dans l'entreprise...