Confidentialité des données informatiques : quels sont mes droits ?

La situation est la suivante : - des PC avec une session utilisateur ouverte par mot de passe sur un réseau intranet avec liaison internet dans un lycée, - une boîte courriel professionnelle par enseignant, - le mot de passe étant donné par écrit sur papier au service informatique et au secrétariat. Des fichiers privés (cours personnel) sur une clef de stockage (USB) privée peuvent-ils être lus sans mon consentement, lors de préparation de documents pédagogiques sur un poste de l’établissement ? L’administration peut-elle imposer "la non gestion" de son mot de passe pour l’ouverture d’une session informatique? L’administration peut-elle imposer "la non gestion" de son mot de passe pour l’ouverture d’une boîte courriel professionnelle ? L’administration peut elle-imposer un mot de passe unique pour toutes les activités de l’enseignant (la boîte courriel professionnelle, l’ouverture d’une session informatique sur un poste de l’établissement, etc.) ? L’utilisateur doit-il être informé de la présence de logiciels espions installés sur les PC par l’administration?

Réponse de l'expert

Les nouvelles technologies offrent à l'employeur des moyens nouveaux et variés de contrôle et de surveillance des salariés. Sur le fondement des articles L. 1121-1 et L. 1222-4 du nouveau code du travail, quels que soient les moyens de contrôle mis en œuvre dans l'entreprise (badges, écoutes téléphoniques, vidéosurveillance…), l'employeur doit au préalable en informer les salariés.

En effet, tout en rappelant que l'employeur est en droit de contrôler et de surveiller l'activité de son personnel durant le temps de travail, la Cour de cassation considère qu'il ne peut cependant pas mettre en œuvre un dispositif de contrôle qui n'ait pas été porté préalablement à la connaissance des salariés. A défaut, le moyen utilisé par l'employeur constituera un mode de preuve illicite.

Les salariés doivent être informés, notamment de la finalité du dispositif de contrôle et de la durée pendant laquelle les données de connexion sont conservées. Une durée de conservation de l’ordre de six mois est suffisante, dans la plupart des cas, pour dissuader tout usage abusif d’internet.

Si des procédures disciplinaires sont susceptibles d’être engagées sur la base de ces fichiers, les salariés doivent en être explicitement informés (par exemple au moyen d’une charte).

Les dispositifs de contrôle de la messagerie doivent faire l’objet d’une consultation du comité d’entreprise ou, dans la fonction publique, du comité technique paritaire ou de toute instance équivalente et d’une information individuelle des salariés.

En cas d’archivage automatique des messages électroniques, ils doivent, en outre, être informés des modalités de l’archivage, de la durée de conservation des messages, et des modalités d’exercice de leur droit d’accès. Les messages envoyés par les salariés à une personne extérieure ou interne à l'entreprise transitent par le système informatique de l'entreprise. Dès lors, l'employeur est susceptible de conserver, archiver ou contrôler les courriers électroniques.

Comme pour les écoutes téléphoniques ou la vidéosurveillance, si l'employeur est en droit de surveiller et contrôler l'activité des salariés, ce n'est pas sans limite. En raison de l'absence de législation spécifique au contrôle des courriers électroniques et par analogie avec la jurisprudence sur les écoutes téléphoniques ou la vidéosurveillance, l'employeur devra informer préalablement les salariés du contrôle exercé. En effet, non seulement le devoir de loyauté dans les relations contractuelles est une condition de leurs bonnes exécutions, mais surtout le principe du droit au respect de la vie privée doit être respecté.

S’agissant des modalités de contrôle, les administrateurs de réseaux ont pour rôle de veiller à assurer le fonctionnement normal et la sécurité des réseaux et systèmes informatiques dans l'entreprise. Ils sont donc conduits par leurs fonctions même à avoir accès à l'ensemble des informations relatives aux utilisateurs (messagerie, connexions à Internet, etc.). Un tel accès n'est pas contraire aux dispositions de la loi de 1978.

Tenus au secret professionnel, ils ne doivent pas divulguer des informations qu'ils auraient été amenés à connaître dans le cadre de leurs fonctions et, en particulier, lorsque celles-ci sont couvertes par le secret des correspondances ou relèvent de la vie privée des utilisateurs et ne mettent en cause ni le bon fonctionnement technique des applications, ni leur sécurité, ni l'intérêt de l'entreprise. Ils ne sauraient non plus être contraints de le faire ( Rapport. CNIL février. 2002, "La cybersurveillance sur les lieux de travail").

A cet égard, la cour d'appel de Paris a précisé "qu'il est dans la fonction des administrateurs de réseaux d'assurer le fonctionnement normal de ceux-ci ainsi que leur sécurité ce qui entraîne, entre autre, qu'ils aient accès aux messageries et à leur contenu, ne serait-ce que pour les débloquer ou éviter des démarches hostiles".

De plus, depuis l'arrêt Nikon, la Cour de cassation a posé le principe de l'inviolabilité de la correspondance du salarié. En effet, le salarié a droit, même au temps et au lieu de travail, au respect de l'intimité de sa vie, celle-ci impliquant en particulier le secret des correspondances.

Il en résulte que l'employeur ne peut, sans violer cette liberté fondamentale, prendre connaissance des messages personnels émis et reçus par le salarié grâce à l'outil informatique mis à sa disposition pour son travail (Cass. soc., 2 oct. 2001, no 99-42.942, Sté Nikon France c/ Onof).

Toutefois, l'employeur peut accéder à ces messages si le juge l'y autorise. C'est ce qu’à affirmé la Cour de cassation dans un arrêt du 23 mai 2007.

Quant au contrôle des fichiers personnels stockés sur le disque dur de l'ordinateur du salarié, de tels fichiers sont présumés avoir un caractère professionnel dès lors qu'ils n'ont pas été identifiés comme personnels et peuvent donc être ouverts hors la présence du salarié (arrêt de la chambre sociale de la Cour de Cassation du 18/10/2006.

La nature personnelle d’un message peut figurer dans l’objet du message ou dans le nom du répertoire dans lequel il est stocké.

La CNIL recommande de porter à la connaissance des salariés (par exemple dans une charte) le principe retenu pour différencier les courriels professionnels des courriels personnels (qualification par l’objet, création d’un répertoire spécifique dédié au contenu privé, etc.).

Au sein de l’éducation nationale, il existe une application spécifique (I Prof) qui concerne les personnels d’enseignement, d’éducation et d’orientation, titulaires et stagiaires de l’enseignement public. La connexion requiert un compte utilisateur qui se compose de la 1ère lettre du prénom suivi du nom, quant au mot de passe, il correspond au NUMEN

Les académies ont créé une charte d’utilisation de la messagerie électronique, celle-ci définit les conditions générales d’utilisation du service de messagerie électronique selon les règles de nommage de l’Éducation nationale (circulaire DA-DT n° 98-190 du 16/09/1998 - BO n° 35 du 24 septembre 1998 - partie enseignements élémentaire et secondaire).

Elle précise tout d’abord son cadre légal. Elle rappelle notamment l’application du droit à l’Internet, afin de sensibiliser et de responsabiliser l’utilisateur.

La charte définit les droits et obligations de l’Académie. Elle rappelle l’existence de sanctions disciplinaires applicables en cas d’infraction aux règles établies, rappelées par la Charte que chaque utilisateur s'engage à respecter. Cet engagement vaut acceptation des conditions et limites portant sur l’utilisation du service ainsi que sur les éventuels contrôles visant à faire respecter la charte.