A titre préliminaire, il convient de définir ce qu’est la cybersurveillance et le cadre dans lequel cette dernière peut s’effectuer en milieu professionnel. Nous étudierons ensuite la finalité de ce type d’investigations et les moyens qu’il est possible d’utiliser légalement pour détecter d’éventuels agissements déloyaux de la part d’un salarié.
La cybersurveillance peut être définie comme l’ensemble des processus utilisés pour surveiller l’activité d’une personne sur le web. Nous traiterons exclusivement, dans cet article, de la cybersurveillance en milieu professionnel et notamment de la possibilité pour un employeur de vérifier d’éventuelles fautes commises par un salarié au travers la consultation des outils informatiques mis à sa disposition et son activité sur le web.
Les grands principes fondamentaux en matière de cybersurveillance des salariés :
Diverses raisons peuvent conduire un employeur à envisager de procéder à un contrôle de l’activité numérique de l’un de ses salariés. Prévenir des agissements déloyaux, lutter contre le vol, déterminer des actes de diffamation ou encore dans un but de contrôle de rentabilité …
Si ces diverses situations peuvent justifier l’intervention du chef d’entreprise dans le contrôle de l’activité numérique et envisager la mise en place d’une cybersurveillance, cette dernière doit être strictement encadrée. En effet, le recours à des procédés de cybersurveillance doit être proportionné au but recherché et se doit de ne pas porter atteinte aux droits du salarié et à ses libertés individuelles.
Ainsi, l’article L 1121-1 du code du travail dispose « nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché ».
D’une manière générale, la surveillance d’un salarié est possible mais doit respecter sa vie privée. S’agissant d’internet et de son utilisation en entreprise, il est parfois compliqué de distinguer ce qui relève de la vie privée et de la vie professionnelle. Nous verrons donc les spécificités liées à ce domaine en matière de surveillance.
Quelles sont les activités numériques qu’un employeur à la possibilité de surveiller ?
Rappelons tout d’abord que l’employeur devra respecter le principe de la licéité de la preuve s’il souhaite recourir à de la cybersurveillance afin de vérifier si l’activité numérique d’un salarié ne nuit pas au bon fonctionnement de l’entreprise. En outre, l’employeur a l’obligation d’informer son salarié de la mise en place d’une cybersurveillance. L’article L 1222-4 du code du travail dispose « aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance ».
Dressons maintenant la liste (non exhaustive) des activités numériques susceptibles de faire l’objet d’une surveillance par l’employeur :
Les e-mails :
En dehors de la présence du salarié, l’employeur a la possibilité de consulter les échanges courriels de son salarié reçus et/ou envoyés depuis son poste de travail ou son téléphone professionnel. Pour cela, les mails ne doivent pas être considérés comme privés et doivent avoir été envoyés ou reçus depuis sa boîte mail professionnelle (ce qui exclut la consultation des boîtes mails personnelles même si l’ordinateur est la propriété de l’employeur).
Ainsi, l’employeur n’aura pas la possibilité de consulter les mails identifiés comme « personnels » dans l’objet même si ces derniers se trouvent sur une boîte mail professionnelle.
Jurisprudence : C.Cass, chbre sociale, 26/06/12, n° 11-15.310 et C.Cass, Chbre sociale, 26/01/2016, n° 14-15.360.
Les réseaux sociaux :
L’adoption de masse de l’utilisation des réseaux sociaux tels que Facebook, Instagram, Snapchat ou plus récemment Tiktok soulève la question de la possibilité pour l’employeur d’utiliser des publications provenant de ces réseaux sociaux comme moyen de preuve.
Si le salarié bénéficie d’une liberté d’expression et d’opinion au sein de l’entreprise, il n’en demeure pas moins que cette liberté connaît certaines limites et ne doit pas permettre de troubler le bon fonctionnement de l’entreprise et/ou faciliter la diffamation de cette dernière.
En outre, il est aujourd’hui établi par la jurisprudence qu’un employeur a parfaitement le droit d’utiliser comme moyen de preuve les publications faîtes par son employé sur les réseaux sociaux.
De nombreux cas illustrent cette position notamment en matière de nuisance à l’image de marque, de confidentialité des données de l’entreprise ou encore de diffamation.
Jurisprudence : C. Cass, Chbre sociale, 30/09/2021, n° 19-20.058 et C. Cass, Chbre Sociale, 14/09/99, n° 97-41.995.
L’employeur devra néanmoins veiller à respecter certains principes s’il veut espérer que les éléments recueillis ne soient pas rejetés lors des débats. Se pose alors la question des contours de la recevabilité de ce moyen de preuve.
Ainsi, l’employeur devra prouver que les publications postées par son employé sont publiques (C. d’appel de Rouen, 15/11/2011, n° 11-01827). Une publication dont les paramètres de confidentialités restreignent la consultation pourra être considérée comme privée et donc irrecevable.
En second lieu, l’employeur devra démontrer le comportement fautif de son salarié en apportant la preuve que les publications de ce dernier cause un préjudice à l’entreprise ou à sa direction.
L’historique de navigation :
Il est admis que l’utilisation d’un navigateur internet à des fins personnels au bureau est toléré et ne peut donc pas être totalement interdit. Néanmoins, l’employeur est en droit d’en fixer certaines limites notamment par la mise en place d’une charte informatique qu’il fera signer à son employé. Par exemple, la charte informatique d’une entreprise pourra ainsi interdire l’accès à certains sites et le téléchargement à des fins personnelles.
En outre, l’employeur aura la possibilité de vérifier les sites consultés par son salarié ainsi que le temps de connexion sur ces derniers. Il sera, en revanche, considéré comme excessif de faire usage d’un keylogger afin de récupérer l’ensemble des informations tapées sur le clavier du matériel informatique mis à la disposition de son salarié.
Cybersurveillance du salarié en télétravail :
La mise en place des nouvelles règles sanitaires avec l’apparition de la pandémie de Covid 19 a ouvert la porte à la démocratisation du télétravail et la récurrence de sa mise en place. Se pose alors la question du contrôle de l’activité d’un salarié et de la cybersurveillance de ce dernier lorsqu’il travaille de son domicile.
Les règles applicables en matière de cybersurveillance des salariés restent les mêmes en télétravail. Ainsi, comme si son salarié se trouvait dans ses locaux, l’employeur aura la possibilité de consulter les mails professionnels, l’historique de navigation et le temps de connexion à partir du moment où l’employé en a préalablement été informé et que les règles en matière de libertés fondamentales sont respectées.
L’intervention d’un détective privé en matière de cybersurveillance des salariés :
Qu’il s’agisse de prévenir des agissements déloyaux, confirmer un doute sur les activités potentiellement nuisibles à la société ou encore constituer un dossier de preuves dans le cadre d’une procédure prud’hommale actuelle ou à venir, le détective privé est en mesure d’accompagner un employeur en matière de cybersurveillance.
En effet, certains détectives privés spécialisés dans les investigations numériques sont en mesure de procéder à des recherches visant à mettre en évidence ou identifier des agissements fautifs.
Après un rendez-vous et l’étude du matériel à exploiter, l’enquêteur se charge de définir les moyens d’actions et les outils à utiliser afin de fournir les solutions adaptées à la problématique de l’employeur. Il délimite précisément les axes de recherches et les éléments à trouver afin de préparer au mieux son intervention sur site ou à distance.
Ainsi à l’issue de son intervention le détective privé sera en mesure de fournir à l’employeur un « rapport d’investigation forensique numérique ». Ce rapport synthétisera les éléments recueillis au cours de l’intervention, la méthodologie d’obtention des éléments recueillis, la chronologie de l’investigation et, le cas échéant, les préconisations à mettre en place en matière de cyber sécurité.
L’ensemble de ces informations permettront à l’employeur d’identifier les failles en matière de sécurité informatique et collecter des preuves numériques d’éventuels agissements déloyaux de la part de ses salariés.