Le législateur français a imposé des limites aux pouvoirs des employeurs en matière de contrôle et de surveillance des salariés, notamment au travers de la loi « Informatique et Libertés » du 31 décembre 1992 mais également par de nombreux articles du Code du travail. Synthèse rapide en 5 points.
1. L’employeur doit annoncer la couleur
L’information préalable des salariés est obligatoire, issue de l’article L.121-8 du Code du travail qui prévoit « qu’aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à la connaissance du salarié ».
2. L’employeur doit proportionner sa surveillance
« Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives des restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché ». L’article L.120-2 du Code du travail institue cette règle fondamentale pour laquelle la jurisprudence est riche en ce qui concerne les mises en place de caméras de surveillance par exemple, mais encore pauvre en ce qui concerne les courriers électroniques. Ce principe qui fait appel à un sens des « proportions » est fondamental car il impose que le degré de surveillance soit proportionnel aux risques potentiels liés à l’utilisation du courrier électronique (confidentialité, atteinte à l’image de marque, risques contractuels, baisses de productivité, etc.). Les outils de cybersurveillance de l’utilisation du courrier électronique seront donc différents en fonction des groupes d’utilisateurs au sein d’une même organisation.
3. La surveillance doit faire l’objet d’une discussion collective
L’article L.432-2-1 du Code du travail prévoit une procédure d’information et de consultation du Comité d’Entreprise préalable à la décision de mise en œuvre de moyens ou techniques permettant un contrôle de l’activité des salariés. A défaut, l’outil de contrôle mis en place ne pourra pas être utilisé comme moyen de preuve par l’employeur en cas de litige. Le Comité d’Entreprise a donc la faculté de donner son avis sur l’outil de contrôle et de juger de la proportionnalité entre celui-ci et le but recherché.
4. La CNIL doit être informée
La loi « Informatique et Libertés » rend obligatoire la déclaration préalable auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) de tout fichier automatisé d’informations nominatives. A défaut, des sanctions pénales sont prévues, et l’outil de contrôle mis en place ne pourra pas être utilisé comme moyen de preuve en cas de litige.
5. Les courriels personnels restent hors champ
D’un point de vue juridique, les courriers électroniques ne sont pas différents des courriers traditionnels. Le salarié, qui a droit même au temps et sur le lieu de travail au respect de l’intimité de sa vie privée, bénéficie donc du principe du secret des correspondances : un employeur n’a pas le droit de prendre connaissance des messages personnels émis par le salarié et reçus par lui, même dans le cas où l’employeur aurait interdit une utilisation non professionnelle de l’ordinateur. Il en résulte que l’employeur pourra prendre connaissance des mails professionnels des salariés, après respect des conditions préalables à la mise en place d’un système de surveillance, mais pas des mails identifiés comme personnels. Consultez notre page sur l’e-mail personnel en entreprise.
En résumé
Tous les juristes semblent s’accorder sur ce point : les entreprises ne doivent pas lire les messages électroniques des employés. Mais les systèmes automatiques de surveillance des mails envoyés et reçus, basés notamment sur des mots-clés interdits ou sur certains types de pièces attachés (fichiers musicaux notamment) peuvent être mis en place en respectant les préalables obligatoires.
- La CNIL (Commission Nationale de l’Informatique et des Libertés) a mené en 2001 une étude très complète sur la cybersurveillance des salariés dans l’entreprise. Une synthèse de ce rapport est disponible en ligne.
- D’après un rapport de la société Proofpoint de juin 2005, 63% des entreprises employant plus de 1 000 personnes aux Etats-Unis ont mis en place – ou prévoient de le faire – des systèmes d’analyse des mails sortants. Un tiers des entreprises emploient des personnes chargées spécifiquement d’analyser les mails afin de s’assurer qu’ils ne contiennent pas d’informations non autorisées sur l’entreprise.
- Les entreprises ont quelques préoccupations en matière d’utilisation du courrier électroniques : risques juridiques nombreux et potentiellement très sensibles (violation de confidentialité, relations contractuelles,etc.), virus et autres attaques informatiques et baisses de productivité liées à l’abondance de mails personnels. Plus simplement, il s’agit pour les employeurs de contrôler que leurs salariés utilisent les moyens informatiques mis à leur disposition dans l’intérêt de l’entreprise.
- L’administrateur réseau est le garant de la sécurité, et de la disponibilité du réseau informatique sous sa responsabilité. A ce titre, et dans le cadre de sa mission de contrôle des flux, il a accès à tous les messages électroniques échangés. Un dossier très complet est disponible sur le site de Maître Murielle Cahen.
Ma tutrice me met en copie cachée ou transfert mes réponses à ses mails à mon supérieur hiérarchique. Je viens de m’en apercevoir et je trouve ça déplacé et malhonnête… Est ce légal ?
Bonjour Je travail dans un bureau depuis 2014 et je viens de m’apercevoir que trois de mes collègues aussi bien que mon patron ont accès à mes mails ainsi qu’à mes archives, que l’un d’eux peut éventuellement créer, lire, effacer mes mails et cela depuis 2015. Est-ce que ce légal.
Non, ce n’est pas légal, d’autant plus que vous n’avez pas été informée. Je vous invite à lire l’article ci-dessus (j’ai déplacé votre commentaire sur cet article, au thème plus approprié).