Quel cadre juridique aujourd’hui ?
Par « cybersurveillance« , il convient d’entendre la mise en œuvre de tout dispositif visant à contrôler l’utilisation du navigateur Internet ou de la messagerie électronique d’un salarié.
Pour le contrôle de la navigation Internet, la Commission nationale de l’information et des libertés (CNIL) estime que l’utilisation d’un appareil pour analyser les données de connexion ou pour calculer le temps passé sur Internet, est pertinente et proportionnée, au regard de la finalité de contrôle d’activité poursuivie par l’employeur.
Ce que dit la loi
S’agissant du contrôle de la messagerie électronique et des e-mails, il convient de rappeler que sont ici applicable les dispositions des articles L 226 – 15 (pour le secteur privé) et L 432 – 9 (pour le secteur public) du Code pénal (violation de la confidentialité des communications électroniques privées). À ce sujet, la loi LEMAIRE pour une République numérique adoptée le 7 octobre 2016 (n° 2016-1321) est venue renforcer le principe de confidentialité des correspondances électroniques privées.
Conformément aux dispositions de l’article 226-15 du Code pénal, le fait d’ouvrir, de supprimer, de reporter ou de transférer par malveillance une lettre ou une étude frauduleuse arrivée ou non à destination et adressée à un tiers est puni d’un an d’emprisonnement et de 45 000 € d’amende.
Les mêmes sanctions s’appliquent à l’interception malveillante, au détournement, à l’utilisation ou à la divulgation de communications envoyées via des télécommunications équipées pour une telle interception.
La loi pour une république numérique
Dans ce contexte, la loi pour une République numérique a modifié les exigences de l’article L 32 – 3 du Code des postes et des communications électroniques, qui prévoit désormais que les opérateurs et leurs employés doivent respecter la confidentialité des communications, des en-têtes de courrier et des documents joints aux communications (le cas échéant).
Ce principe n’exclut pas le processus d’analyse automatique aux fins d’afficher, de classer ou de transmettre la correspondance, de détecter des contenus non sollicités ou des programmes informatiques malveillants.
Le traitement automatisé d’analyse, à des fins publicitaires, statistiques ou d’amélioration du service apporté à l’utilisateur est interdit, sauf si le consentement exprès de l’utilisateur est recueilli à une périodicité fixée par voie réglementaire et qui ne peut être supérieure à un an.
La loi pour une République numérique prône désormais en faveur de la confidentialité des communications. Cette confidentialité s’applique à l’identité du correspondant, au contenu de la communication, au titre et à la pièce jointe.
La confidentialité des communications et des « opérateurs » est désormais respectée. Ce sont donc essentiellement les télécommunications et les « fournisseurs de services de communication au public en ligne », en d’autres termes, tout acteur permettant à deux personnes de correspondre en ligne.
Principalement les fournisseurs de services de messagerie électronique, de réseaux sociaux et de communications synchrones (VoIP).
Autorisation de communications privées
Cependant, la loi pour une République numérique autorise l’utilisation de communications privées, mais uniquement avec le consentement de l’utilisateur pour les seules finalités suivantes :
- Améliorer les services de communication au public en ligne
- Compiler des statistiques.
- Utiliser les données à des fins publicitaires.
Les employés ont le droit au respect de leur vie privée et familiale même pendant les heures de travail.
Les messages envoyés à partir de boîtes aux lettres professionnelles sont susceptibles d’être considérés comme des messages privés auxquels les employeurs ne peuvent accéder.
La Cour suprême a rappelé ce principe dans le célèbre arrêt Nikson du 2 octobre 2011 (n ° 99 – 42.942 : JurisData n ° 2001-011137).
Correspondances privées
Ainsi, dans certains cas, même si la charte d’utilisation des outils informatiques de l’entreprise prévoit expressément qu’il est interdit au salarié d’envoyer des messages privés depuis sa messagerie professionnelle.
Ces derniers pourront être considérés comme des correspondances privées.
Les conditions dans lesquelles un message adressé par un salarié depuis sa messagerie professionnelle pourrait être considéré comme un message privé ont néanmoins été encadrées par la réglementation.
Il en ressort qu’un message envoyé ou reçu depuis le poste de travail est présumé avoir un caractère professionnel, sauf s’il est identifié comme étant « personnel », dans l’objet du message.
Il appartient à l’employeur d’identifier les messages qui sont personnels. À défaut d’une telle identification, les messages sont présumés être professionnels et l’employeur peut y accéder librement.
La nature personnelle d’un message peut figurer dans l’objet du message même ou dans le nom du répertoire dans lequel il est stocké.
La même logique s’applique aux fichiers stockés sur le disque dur de l’ordinateur professionnel du salarié.
Tout comme l’a rappelé la CNIL, le principe du secret des correspondances est un principe pouvant être pénalement sanctionné en cas de non-respect.
Sphère professionnelle
Toutefois, il existe certaines exceptions issues de la sphère professionnelle :
- Le secret des correspondances peut être levé dans le cadre d’une instruction pénale ou par une décision de justice.
- Les employés n’ont pas à convertir les messages professionnels en lettres « privées ». Auquel cas, le secret des correspondances ne peut s’appliquer.
- Les employés ne sont pas autorisés à communiquer des documents confidentiels aux concurrents en identifiant leurs informations comme « personnelles ». Une telle identification violerait le principe de bonne foi énoncé à l’article L 1222 – 1 du Code du travail.
Au vu de ce qui précède et de manière générale, la CNIL recommande de porter à la connaissance des salariés (par exemple, dans une charte d’utilisation des outils informatiques).
Le principe retenu pour distinguer les e-mails professionnels des e-mails personnels (qualification par l’objet, création d’un répertoire spécifique dédié au contenu privé, …).
Voir aussi : Cybercriminalité : Incroyable les téléphones cryptés déchiffrés