Il est acquis que les connexions réalisées par un salarié sur des sites internet grâce à l’outil informatique mis à disposition de l’entreprise pour l’exécution de son travail sont présumées avoir un caractère professionnel de sorte que :
- L’employeur peut les recherches aux fins de les identifier, hors de la présence de l’intéressé (cf. Cass.soc. 09/07/2008, n°06-45.800 F-P ; Cass.soc. 09/02/2010 n°08-45.253 F-D, par exemple)
- L’employeur peut les contrôler, sous réserve, s’agissant des courriels transitant par la messagerie professionnelle et des fichiers informatiques enregistrés sur l’ordinateur de travail du salarié, qu’ils n’aient pas été identifiés comme personnels par l’intéressé (cf. Cass.soc. 15/12/2010 n°08-42.486 F-D, par exemple)
Connexions internet abusives : la problématique de la preuve
Deux Cours d’appel (cf. CA Aix-en-Provence, 08/07/2016 n°14/11313 et CA Nîmes 26/07/2016 n°15/04114) ont censuré des licenciements dans des affaires où les salariés qui avaient procédé à des connexions internet abusives avaient niés en être l’auteur et où l’employeur avait été dans l’incapacité d’en rapporter la preuve :
- Arrêt de la Cour d’appel de Nîmes : l’ordinateur à partir duquel le salarié avait procédé à des connexions sur des sites pornographiques était en libre accès, non protégé par un mot de passe et situé dans une pièce où tous les salariés disposant d’un pass pouvaient accéder.
- Arrêt de la Cour d’appel d’AIX-EN-PROVENCE : les codes d’accès des ordinateurs de l’entreprise étaient uniquement composés des initiales de leurs utilisateurs habituels, les doubles des clés de l’ensemble des bureaux étaient accessibles à tous de sorte que, n’importe quel salarié pouvait avoir accès au poste informatique de l’intéressé.
Comment éviter les connexions internet abusives en entreprise ?
Sécuriser l’accès aux ordinateurs de travail
Pour éviter de se retrouver dans cet écueil, les entreprises doivent absolument sécuriser l’accès à chaque ordinateur mis à disposition d’un salarié dans le cadre de l’exécution de ses missions.
La preuve n’est cependant pas l’unique raison de cette nécessité de sécurisation : il s’agit d’une obligation car le responsable de l’entreprise est garant du traitement des données personnelles des salariés et de leur confidentialité.
Quelles sont les préconisations de la CNIL ?
- Chaque salarié doit disposer d’un mot de passe individuel suffisamment complexe pour ne pas être aisément deviné : 8 caractères au minimum de types différents (majuscules, minuscules, chiffres, caractères spéciaux)
- Changement régulier du mot de passe, tous les trois mois par exemple
- Autres précautions possibles : mécanisme de verrouillage systématique des postes informatiques au-delà d’une courte période de veille, interdiction aux salariés de divulguer leurs identifiants et mots de passe à leurs collègues de travail, via le règlement intérieur, une charte informatique ou une note de service annexée au règlement intérieur.
Cybersurveillance : les logiciels anti-espion sont-ils autorisés ?
La mise en place d’un logiciel « espion » tant par l’entreprise que par les salariés, est en principe interdite.
➢ En ce qui concerne l’entreprise, la mise en place de logiciels espions dénommés « Keyloggers » qui permettent une surveillance constante et permanente de l’activité non seulement professionnelle des salariés mais également de leur activité personnelle résiduelle, est interdite (cf. Fiche pratique de la CNIL en date du 20/03/2013). Ces logiciels permettent de contrôler aussi bien les courriels échangés que des conversations de messagerie instantanée, que des informations personnelles sensibles telles qu’un numéro de carte bancaire ou les mots de passe grâce auxquels les salariés accèdent à leur messagerie personnelle durant leur temps de pause. L’utilisation d’un tel logiciel ne peut se justifier qu’en présence d’un fort impératif de sécurité (exemple : protection de secrets industriels) et sous réserve de respecter les exigences suivantes : déclaration préalable à la CNIL, information des salariés, information et consultation du CE.
➢ Les salariés ont également pour interdiction de mettre en place, de leur seule initiative, un logiciel espion sur l’ordinateur mis à leur disposition par l’entreprise pour les besoins de leur mission.
La charte informatique est recommandée dans les entreprises
L’employeur a donc tout intérêt de réglementer l’usage du matériel informatique qu’il met à disposition de ses salariés dans le cadre d’une charte informatique. Cette charte informatique lui permettra, non seulement de réglementer les conditions d’utilisation du matériel informatique mis à disposition, mais également de fixer les règles de sécurité auxquelles les salariés doivent se conformer telles que : l’interdiction d’installer, de copier, de modifier ou de détruire des logiciels de l’entreprise sans autorisation.