La cybersurveillance

La cybersurveillance

| La cybersurveillance en entreprise | | | Karima CHALABI Annee 2010 RGPE 33 Introduction Si le developpement des moyens de communication au sein des organisations est un important facteur de productivite il peut devenir une veritable source de problemes si ces derniers sont mal utilises tant par l’employeur que par ses salaries. L’employeur qui est tenu pour responsable de l’utilisation que font ses salaries des outils informatiques qu’il met a leur disposition a des fins professionnelles se doit de pouvoir controler ces derniers. Or, ceux-ci ont le droit au respect de leur vie privee et de leur correspondance meme sur leur lieu de travail.

Il s’agit donc de reguler au mieux les droits et devoirs de chacun. La CNIL (chargee d’appliquer la loi informatique et libertes) a etabli qu’en 2009 l’augmentation de l’utilisation de la videosurveillance dans les entreprises a atteint 12% soit 3 000 dispositifs en plus. Sur 270 controles procedes par ses soins, 91 ont ete suivis d’une mise en demeure (chiffres de la CNIL/rapport d’activites 2009). I Le recueil des donnees personnelles La legislation et la jurisprudence encadrent la collecte et le traitement des donnees personnelles recueillies par l’employeur lorsque ce dernier a introduit des moyens de controle au

Désolé, mais les essais complets ne sont disponibles que pour les utilisateurs enregistrés

Choisissez un plan d'adhésion
sein de son entreprise.

Ainsi, la limite au pouvoir de controle de l’employeur est il lie au respect de la vie personnelle de ses salaries dont l’existence est reconnu pendant et sur le lieu de travail par differents arrets de la Cour de Cassation francaise et de la Cour Europeenne des Droits de L’Homme. 1. 1 Definition de la notion de donnees personnelles. Selon la loi « Informatique et libertes » du 6 janvier 1978 modifiee par la loi du 6 aout 2004, une donnee a caractere personnelle est une information permettant d’identifier une personne (un numero de telephone ou une plaque d’immatriculation).

Cette meme loi a pour but de proteger ces donnees au travers de droits pour les personnes que ces dernieres pourraient identifier et d’obligations pour celles qui les recueillent et/ou les traitent. 1. 2 Le principe d’information collective Prealablement a l’introduction d’instruments permettant le controle de ses salaries, l’employeur est tenu de proceder a une information et une consultation du Comite d’Entreprise (art. 2323-32 al. 3 du Code du Travail)?. L’obligation existe meme si l’outil installe par l’employeur n’est pas initialement destine au controle du salarie mais peut etre utilise comme tel.

L’information et la consultation du Comite d’Entreprise est tres importante, meme si son avis est purement consultatif, car toute preuve issue d’un moyen de controle qui ne lui aurait pas ete presente est juge comme illicite et donc irrecevable en justice. L’arret du 7 juin 2006 de la cour de cassation demontre l’importance de cette information-consultation du Comite d’Entreprise en jugeant illicite une preuve issue d’un systeme de videosurveillance dont, non seulement, le salarie avait connaissance mais qui de plus avait ete presente au CHSCT.

Ainsi la cour considere qu’il n’est pas possible de substituer l’avis du Comite d’Entreprise par celui du CHSCT. Le code du travail (art. L2323-4)? impose a l’employeur de donner au Comite d’Entreprise des informations « precises », « ecrites » et de lui accorder « un delai d’examen suffisant ». La non consultation du Comite d’ Entreprise peut constituer un delit d’entrave. 1. 3 Le principe d’information individuelle La relation entre l’employeur et son salarie etant regi par le contrat de travail, le principe de loyaute contractuelle s’applique.

De fait, seuls les moyens de controle portes a la connaissance du salarie peuvent lui etre opposables. L’employeur se doit donc d’informer individuellement et prealablement chaque salarie qu’une collecte d’informations le concerne (art. L. 1224-4 du Code du travail) ?. De ce fait le 3 juillet 2008, la CNIL lors de la deliberation n°2008-187, a prononce une sanction de 30 000 euros envers un Centre Leclerc qui ne respectait pas ce principe d’information individuelle. Cette derniere a considere que les salaries etaient prives de leurs droits de s’opposer ou de rectifier des informations qu’ils estimaient inexactes.

Si le code du travail n’indique pas les modalites a appliquer quant a l’information prealable au salarie de la mise en place d’un moyen de controle, la loi « informatique et libertes » est, quant a elle, bien plus exigeante. En effet, l’article 324 impose d’indiquer aux salaries la finalite, le destinataire des informations, leurs droits d’acces, de rectification voire d’opposition. L’employeur manquant a l’obligation d’information engage sa responsabilite civile et penale (article 226-1 du Code Penal) 5.

Cependant, il est a noter qu’il est possible d’opposer aux salaries des preuves recueillies par des systemes de surveillance qui n’ont pas ete portes a la connaissance des salaries car places dans des locaux auxquels ils n’ont normalement pas acces. C’est ce que confirme l’arret de Cour de Cassation Sociale n°02-46. 295 du 19 avril 2005 qui a considere licite un enregistrement video dont la camera n’avait pas ete portee a la connaissance des salaries du fait que cette derniere avait pour but de « surveiller la porte d’acces d’un local sans rapport avec l’activite des salaries ».

II Le traitement des donnees personnelles L’article 2 de la « loi informatique et libertes »6 definit le traitement de donnees des lors qu’il existe une operation faite sur ces dernieres et ce qu’elle quelle soit et quel que soit le procede utilise. L’employeur qui utiliserait le traitement de donnees personnelles au sein de son organisation afin de controler ses salaries est tenu a trois obligations : 1- La declaration a la CNIL La Commission Nationale de l’Informatique et des Libertes est une autorite administrative independante chargee d’assurer le respect des dispositions de la « loi informatique et libertes ».

L’employeur se doit de faire une declaration prealable a la CNIL s’il souhaite introduire un dispositif de traitement de donnees personnelles tels la videosurveillance ou un systeme de badges. A defaut, il sera condamne a reparer le prejudice subi par son personnel (Cour de Cassation Sociale du 7 juin 1995 n° 91- 44. 919) Tout comme pour la non information-consultation du Comite d’Entreprise, un systeme qui n’a pas ete declare a la CNIL ne peut etre oppose aux salaries. La Cour de Cassation Sociale dans un arret date du 6 avril 2004 (n° 01-45. 27) donne raison a un salarie de la societe Allied signal industrial Fibers SA licencie de par son refus a plusieurs reprises de badger sous pretexte que le systeme n’avait pas ete presente a la CNIL. 2- Le principe de proportionnalite. L’employeur se doit de justifier le controle exerce sur ses employes par un interet legitime (article L. 1121-1 du code du travail) 7. L’installation de cameras de surveillance n’est donc licite que si elle est justifiee par un interet de securite (vol, poste de travail dangereux…) et non pour surveiller l’activite des salaries.

La CNIL a de ce fait mis en demeure le 29 mai 2008 la societe Jean Marc Philippe, considerant que la mise en place d’un systeme de surveillance permanent portait atteinte a ce principe de proportionnalite. Il lui a donc ete demande de « prendre toutes les mesures necessaires afin que la mise en ? uvre du systeme de videosurveillance soit strictement limitee a l’objectif de lutte contre le vol, et ne conduise pas a placer les salaries sous une surveillance constante » 3- La distinction vie privee – vie professionnelle L’article 8 de la Convention Europeenne des Droits de L’Homme8 et l’article 9 du code civil9 protege la vie privee du salarie.

Un arret de la cour europeenne des droits de l’homme du 3 avril 2007 (Copland) se basant sur l’article 8 de la Convention Europeenne des Droits de l’Homme confirme qu’il existe un droit au respect de la vie privee et de la correspondance d’un salarie pendant ses heures de travail. La limite de ce droit est qu’il peut y avoir ingerence si celle-ci est prevue par la loi. Plusieurs arrets de la cour de cassation delimitent la frontiere entre la vie privee et la vie professionnelle. Quelquefois, cette frontiere n’est pas si nette que l’on peut l’imaginer et l’on s’apercoit que la vie professionnelle peut s’inviter jusque dans son propre domicile.

L’arret du 13 janvier 2009 n° 07-43. 282 considere licite l’interdiction faite dans le reglement interieur d’un etablissement pour mineur a ses salaries de recevoir ces derniers a leur domicile et limite donc l’usage du domicile. Cet arret se base sur l’article L. 1121-1 du code du travail qui legitime la restriction portee aux libertes individuelles des salaries du fait de la « nature de la tache a accomplir » et « proportionne au but recherche ». Si le travail peut s’inviter au domicile du salarie, nous pouvons nous poser la question : jusqu’ou notre vie privee peut elle s’immiscer sur notre lieu de travail ?.

Les nouvelles technologies mises a dispositions par les employeurs facilitent cette immixtion. * Controle des connexions internet La Cour de Cassation dans un arret date du 9 fevrier 2010 (n°08-45. 253 F-D)10 confirme le droit a l’employeur de controler les connexions internet de son salarie etablies durant son temps de travail hors de sa presence partant du principe que ces dernieres sont presumees avoir un caractere professionnel. Dans cet arret, la Cour de Cassation apporte une precision en ne conferant pas a la liste des favoris un caractere personnel. * Fichier personnel

Les fichiers informatiques crees par le salarie a partir d’outils informatiques mis a la disposition par son employeur sont presumes avoir un caractere professionnel sauf si ce dernier les identifie clairement comme personnels. Ce que n’avait pas fait un clerc de notaire licencie pour faute grave du fait de courriers diffamatoires envers son employeur trouves sur son ordinateur, les ayant seulement nommes « essais divers, essais divers B, essais divers restaures ». Pour la Cour de Cassation (arret n° 07-44. 264 FS-PBR du 15 decembre 2009) ces fichiers n’etant pas clairement identifies omme personnels l’employeur etait donc en droit de les ouvrir meme en dehors de la presence du salarie. A noter que si le salarie avait fait bien annote les fichiers comme prives, l’employeur aurait ete tenu de le prevenir dans un delai raisonnable afin que ce dernier puisse etre present. Nommer un fichier a ses initiales est suffisant pour qu’il soit identifie comme personnel (arret du 21 octobre 2009 n° 07-43. 877 FS-PB). La Cour de Cassation dans un arret du 17 mai 2005 n° 03-40. 017 temporise quant a l’obligation de presence du salarie en introduisant la notion de « sauf risque ou evenement particulier… ».

La cybersurveillance a l’international. La notion de vie privee est inscrite a l’article 12 de la declaration universelle des droits de l’homme ainsi que dans l’article 17 du pacte II (droits et civils et politiques) de l’accord de l’ONU sur les droits de l’homme. Le dernier article est engageant plus que contraignant : « Toute personne a droit a la protection de la loi contre de telles immixtions ou de telles atteintes. ». L’Organisation Internationale du Travail a adopte en novembre 1996 un recueil de directives pratiques quant a la protection des donnees personnelles des travailleurs.

Ces directives ne sont pas contraignantes et peuvent etre utilisees comme des pistes de reflexion11. La Convention de sauvegarde des Droits de l’Homme et des Libertes Fondamentales signee a Rome le 4 novembre 1950 etablit une liste de droits et libertes fondamentaux tels le droit a la liberte et a la surete ou bien encore celui du respect de la vie privee et familiale. Le premier instrument juridique contraignant a l’international a ete la Convention 108 du 28 janvier 1981 pour la protection des personnes a l’egard du traitement automatise des donnees a caractere personnel.

L’objectif etant « d’etendre la protection des droits et des libertes fondamentales de chacun, notamment le droit au respect de la vie privee, eu egard a l’intensification de la circulation a travers les frontieres des donnees a caractere personnel faisant l’objet de traitements automatises ». A ce jour 47 Etats ont signe cette Convention. Israel, le Canada, le Japon, le Mexique et les Etats-Unis d’Amerique ont, quant a aux le statut d’observateur. La Directive 95/46/CE du 24 octobre 1995 constitue la base de la legislation europeenne dans le domaine de la protection des donnees personnelles.

Elle a pour but d’assurer aux habitants un niveau minimal de protection et d’harmoniser les pratiques des pays afin d’eliminer les obstacles a la circulation des donnees entre chaque pays membre. Il appartenait a chaque pays membre de la transposer au niveau national dans un delai de trois ans. Dans l’arret Marleasing du 13 novembre 1990, la Cour de Justice des Communautes europeennes demande au pays de l’Union Europeenne d’appliquer le droit national au plus pres du texte europeen et en se conformant a sa finalite.

Le reglement CE n° 45/2001 a pour but de definir « les memes droits et obligations au niveau des institutions et organes communautaires ». Il cree egalement le Controleur de la protection des donnees (autorite independante charge de faire respecter le reglement). Deux autres directives s’ajoutent a la liste : la 2002/58/CE qui concerne le traitement des donnees a caractere personnel dans le secteur des communications electroniques et la decision cadre 2008/977/JAI fondee sur la Convention 108 mais qui traite de la protection des donnees a caractere professionnel en ce qui concerne la cooperation policiere et judiciaire.

Plusieurs pays europeens ont pris a bras le corps le sujet de la cyber surveillance en entreprise. Nous pouvons citer l’exemple de la Belgique qui, par le bais de la commission de protection de la vie privee belge, a cree en 2002 une convention collective du travail (rendue obligatoire la meme annee par arrete royal), appelee 81, qui rappelle les droits et devoirs de chacun en matiere de donnees de communication en reseau (sms, intranet, e-mails…). Le but de cette convention est d’equilibrer les droits entre employeurs et employes.

Trois principes y sont enonces : transparence, proportionnalite et finalite. La Hollande a elle aussi creee une convention collective s’apparentant au modele belge (Registratiekamer) ou bien encore l’Angleterre avec « the regulation of investitagory power Act2000 ». Conclusion Ces dernieres annees plusieurs arrets de jurisprudence ont contribue au reequilibre entre les droits du salarie au respect de sa vie privee et de sa correspondance sur son lieu de travail et le pouvoir de controle de l’employeur.

Cependant, l’utilisation des TIC si elle est bien encadree au sein de l’entreprise ne l’est pas encore lorsque l’employeur les met a disposition de son salarie a son domicile tout du moins hors de son lieu de travail. De plus si aujourd’hui seule la consultation du Comite d’Entreprise est obligatoire, il semblerait qu’avec la prise en compte des risques psychosociaux, le CHSCT soit amene a etre lui aussi consulte comme le preconise un arret de la Cour de Cassation du 28 novembre 2007 si le projet « est susceptible de generer une pression psychologique entrainant des repercussions sur les conditions de travail ». ebographie http://www. ilo. org/Search3/search. do? searchWhat=PROTECTION+DES+DONNEES&locale=fr_FR http://conventions. coe. int/Treaty/Commun/ChercheSig. asp? NT=108&CM=1&DF=&CL=FRE www. legifrance. fr www. cnil. fr www. courdecassation. fr www. alain-bensoussan. com www. vilage-justice. com www. lexinter. com 1 Article L2323-32 Le comite d’entreprise est informe, prealablement a leur utilisation, sur les methodes ou techniques d’aide au recrutement des candidats a un emploi ainsi que sur toute modification de celles-ci. Il est aussi informe, prealablement a leur ntroduction dans l’entreprise, sur les traitements automatises de gestion du personnel et sur toute modification de ceux-ci. Le comite d’entreprise est informe et consulte, prealablement a la decision de mise en oeuvre dans l’entreprise, sur les moyens ou les techniques permettant un controle de l’activite des salaries. 2 Article L2323-4 Pour lui permettre de formuler un avis motive, le comite d’entreprise dispose d’informations precises et ecrites transmises par l’employeur, d’un delai d’examen suffisant et de la reponse motivee de l’employeur a ses propres observations. Article L. 1224-4 Aucune information concernant personnellement un salarie ou un candidat a un emploi ne peut etre collectee par un dispositif qui n’a pas ete porte prealablement a la connaissance du salarie ou du candidat a un emploi 4Article 32 I. – La personne aupres de laquelle sont recueillies des donnees a caractere personnel la concernant est informee, sauf si elle l’a ete au prealable, par le responsable du traitement ou son representant : ° De l’identite du responsable du traitement et, le cas echeant, de celle de son representant ; 2° De la finalite poursuivie par le traitement auquel les donnees sont destinees ; 3° Du caractere obligatoire ou facultatif des reponses ; 4° Des consequences eventuelles, a son egard, d’un defaut de reponse ; 5° Des destinataires ou categories de destinataires des donnees ; 6° Des droits qu’elle tient des dispositions de la section 2 du present chapitre ; ° Le cas echeant, des transferts de donnees a caractere personnel envisages a destination d’un Etat non membre de la Communaute europeenne. Lorsque de telles donnees sont recueillies par voie de questionnaires, ceux-ci doivent porter mention des prescriptions figurant aux 1°, 2°, 3° et 6°. II. – Toute personne utilisatrice des reseaux de communications electroniques doit etre informee de maniere claire et complete par le responsable du traitement ou son representant : de la finalite de toute action tendant a acceder, par voie de transmission electronique, a des informations stockees dans son equipement terminal de connexion, ou a inscrire, par la meme voie, des informations dans son equipement terminal de connexion ; -des moyens dont elle dispose pour s’y opposer. Ces dispositions ne sont pas applicables si l’acces aux informations stockees dans l’equipement terminal de l’utilisateur ou l’inscription d’informations dans l’equipement terminal de l’utilisateur : -soit a pour finalite exclusive de permettre ou faciliter la communication par voie electronique ; soit est strictement necessaire a la fourniture d’un service de communication en ligne a la demande expresse de l’utilisateur. III. – Lorsque les donnees a caractere personnel n’ont pas ete recueillies aupres de la personne concernee, le responsable du traitement ou son representant doit fournir a cette derniere les informations enumerees au I des l’enregistrement des donnees ou, si une communication des donnees a des tiers est envisagee, au plus tard lors de la premiere communication des donnees.

Lorsque les donnees a caractere personnel ont ete initialement recueillies pour un autre objet, les dispositions de l’alinea precedent ne s’appliquent pas aux traitements necessaires a la conservation de ces donnees a des fins historiques, statistiques ou scientifiques, dans les conditions prevues au livre II du code du patrimoine ou a la reutilisation de ces donnees a des fins statistiques dans les conditions de l’article 7 bis de la loi n° 51-711 du 7 juin 1951 sur l’obligation, la coordination et le secret en matiere de statistiques.

Ces dispositions ne s’appliquent pas non plus lorsque la personne concernee est deja informee ou quand son information se revele impossible ou exige des efforts disproportionnes par rapport a l’interet de la demarche. IV. – Si les donnees a caractere personnel recueillies sont appelees a faire l’objet a bref delai d’un procede d’anonymisation prealablement reconnu conforme aux dispositions de la presente loi par la Commission nationale de l’informatique et des libertes, les informations delivrees par le responsable du traitement a la personne concernee peuvent se limiter a celles mentionnees au 1° et au 2° du I.

V. – Les dispositions du I ne s’appliquent pas aux donnees recueillies dans les conditions prevues au III et utilisees lors d’un traitement mis en ? uvre pour le compte de l’Etat et interessant la surete de l’Etat, la defense, la securite publique ou ayant pour objet l’execution de condamnations penales ou de mesures de surete, dans la mesure ou une telle limitation est necessaire au respect des fins poursuivies par le traitement. VI. Les dispositions du present article ne s’appliquent pas aux traitements de donnees ayant pour objet la prevention, la recherche, la constatation ou la poursuite d’infractions penales. 5 Est puni d’un an d’emprisonnement et de 45000 euros d’amende le fait, au moyen d’un procede quelconque, volontairement de porter atteinte a l’intimite de la vie privee d’autrui : 1 : En captant, enregistrant ou transmettant, sans le consentement de leur auteur, des paroles prononcees a titre prive ou confidentiel ; ° En fixant, enregistrant ou transmettant, sans le consentement de celle-ci, l’image d’une personne se trouvant dans un lieu prive. 6 article 2 loi informatique et libertes La presente loi s’applique aux traitements automatises de donnees a caractere personnel, ainsi qu’aux traitements non automatises de donnees a caractere personnel contenues ou appelees a figurer dans des fichiers, a l’exception des traitements mis en ? uvre pour l’exercice d’activites exclusivement personnelles, lorsque leur responsable remplit les conditions prevues a l’article 5.

Constitue une donnee a caractere personnel toute information relative a une personne physique identifiee ou qui peut etre identifiee, directement ou indirectement, par reference a un numero d’identification ou a un ou plusieurs elements qui lui sont propres. Pour determiner si une personne est identifiable, il convient de considerer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir acces le responsable du traitement ou toute autre personne.

Constitue un traitement de donnees a caractere personnel toute operation ou tout ensemble d’operations portant sur de telles donnees, quel que soit le procede utilise, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise a disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.

Constitue un fichier de donnees a caractere personnel tout ensemble structure et stable de donnees a caractere personnel accessibles selon des criteres determines. La personne concernee par un traitement de donnees a caractere personnel est celle a laquelle se rapportent les donnees qui font l’objet du traitement. 7 Article L1121-1 Nul ne peut apporter aux droits des personnes et aux libertes individuelles et collectives de restrictions qui ne seraient pas justifiees par la nature de la tache a accomplir ni proportionnees au but recherche. 8 Article 8 de la convention europeenne des droits de l’homme . Toute personne a droit au respect de sa vie privee et familiale, de son domicile et de sa correspondance. 2. 11 ne peut y avoir ingerence d’une autorite publique dans l’exercice de ce droit que pour autant que cette ingerence est prevue par la loi et qu’elle constitue une mesure qui, dans une societe democratique, est necessaire a la securite nationale, a la surete publique, au bien-etre economique du pays, a la defense de l’ordre et a la prevention des infractions penales, a la protection de la sante ou de la morale, ou a la protection des droits et libertes d’autrui. Article 9 du code civil Les juges peuvent, sans prejudice de la reparation du dommage subi, prescrire toutes mesures, telles que sequestre, saisie et autres, propres a empecher ou faire cesser une atteinte a l’intimite de la vie privee : ces mesures peuvent, s’il y a urgence, etre ordonnees en refere. 0 « Mais attendu que les connexions etablies par un salarie sur des sites internet pendant son temps de travail grace a l’outil informatique mis a sa disposition par son employeur pour l’execution de son travail sont presumees avoir un caractere professionnel, de sorte que l’employeur peut les rechercher aux fins de les identifier, hors de sa presence ; que l’inscription d’un site sur la liste des « favoris » de l’ordinateur ne lui conferant aucun caractere personnel, le moyen, qui e tend, dans ses trois dernieres branches, qu’a remettre en cause l’appreciation souveraine par les juges du fond des elements de fait et de preuve qui leur etaient produits, n’est pas fonde pour le surplus ». Declaration Universelle des Droits de l’Homme Art. 12: «Nul ne sera l’objet d’immixtions arbitraires dans sa vie privee, sa famille, son domicile ou sa correspondance, ni d’atteintes a son honneur et a sa reputation.

Toute personne a droit a la protection de la loi contre de telles immixtions ou de telles atteintes. » 11 « L’employeur devrait informer regulierement les travailleurs de la nature des donnees conservees a leur egard » et ceux-ci devraient pouvoir « consulter toutes les donnees les concernant ». Les employeurs devraient prendre les precautions voulues pour proteger les donnees personnelles contre les risques de perte, d’emploi non autorise, de modification ou de divulgation.

Les donnees medicales « ne devraient etre stockees que par des membres du personnel tenus au secret medical et etre conservees dans des fichiers distincts de toutes les autres donnees personnelles ». Ils soulignent le fait que toute personne « ayant acces aux donnees personnelles des travailleurs devrait etre tenue a une obligation de confidentialite » et ajoutent que « les travailleurs ne devraient pas avoir la faculte de renoncer a leurs droits relatifs a la protection de leur vie privee ».