Attention, le salarié doit être vigilant lorsqu’il utilise un ordinateur professionnel mis à sa disposition et respecter des règles de bonnes conduites.
Les fichiers créés par le salarié à l’aide de l’outil informatique mis à sa disposition par l’employeur pour les besoins de son travail sont présumés avoir un caractère professionnel et peuvent donc être ouverts par l’employeur hors la présence du salarié, sauf si le salarié les identifie comme personnels. Si le salarié a identifié les fichiers comme personnels l’employeur ne peut pas exercer son contrôle en dehors de la présence du salarié (Cass. soc., 18 oct. 2006, n° 04-48.025, n° 2311 F – P + B Cass. soc., 18 oct. 2006, n° 04-47.400, n° 2381 FS – P + B).
Ne sont pas considérés comme personnels et peuvent donc être ouverts par l’employeur en l’absence du salarié :
- les fichiers classés dans un sous-répertoire portant le nom de la société faisant partie d’un répertoire portant les initiales du salarié. Le fait que le répertoire porte les initiales du salarié ne signifie pas que les fichiers contenus dans ce répertoire soient personnels (Cass. soc., 21 oct. 2009, n° 07-43.877, n° 2044 FS – P + B) ;
- les fichiers classés dans un répertoire portant le prénom du salarié. Le fait de donner son prénom à un répertoire ne signifie pas que les fichiers contenus dans ce répertoire soient identifiés comme personnels (Cass. soc., 8 déc. 2009, n° 08-44.840) ;
- les fichiers contenus dans un ordinateur dont le code d’accès n’est connu que des informaticiens de l’entreprise et qui est simplement destiné à empêcher l’intrusion de personnes étrangères à celle-ci dans le réseau informatique (Cass. soc., 8 déc. 2009, n° 08-44.840) ;
- les courriers adressés par le salarié à des organismes chargés de la gestion des droits sociaux contenus dans des fichiers de son ordinateur professionnel intitulés « essais divers, essais divers B, essais divers restaurés » (Cass. soc., 15 déc. 2009, n° 07-44.264, n° 2561 FS – P + B + R) ;
- un fichier portant seulement la dénomination « Mes documents » (Cass. soc., 10 mai 2012, n° 11-13.884, n° 1203 F – P + B) ;
- un disque dur nommé « Données personnelles ». Par conséquent, chaque fichier enregistré par le salarié sur ce disque dur et non identifié comme « privé » est consultable par l’employeur (Cass. soc., 4 juill. 2012, n° 11-12.502) ;
L’affaire qui a été portée devant la CEDH qui valide le raisonnement selon lequel un salarié ne pouvait « utiliser l’intégralité d’un disque dur, censé enregistrer des données professionnelles, pour un usage privé ». Par ailleurs, « le terme générique de « données personnelles » pouvait se rapporter à des dossiers professionnels traités personnellement par le salarié et ne désignait pas de façon explicite des éléments relevant de la vie privée ». L’employeur avait donc la possibilité d’ouvrir les fichiers non identifiés comme « privés », comme le préconisait la charte informatique de l’entreprise et d’utiliser ces éléments pour justifier une sanction, sans que cela ne caractérise une violation de l’article 8 de la Convention européenne de sauvegarde des droits de l’homme (droit au respect de la vie privée et familiale, du domicile et de la correspondance)
(CEDH, 22 févr. 2018, aff. 588/13) :
les documents enregistrés sur l’ordinateur professionnel du salarié, non identifiés comme personnels, même s’ils proviennent initialement de la messagerie personnelle du salarié. En effet, « des courriels et fichiers intégrés dans le disque dur de l’ordinateur mis à disposition du salarié par l’employeur ne sont pas identifiés comme personnels du seul fait qu’ils émanent initialement de la messagerie électronique personnelle du salarié » (Cass. soc., 19 juin 2013, n° 12-12.138, n° 1103 F – P + B Cass. soc., 19 juin 2013, n° 12-12.139).
En principe, l’analyse ou la fouille de l’ordinateur d’un salarié par l’employeur est autorisée sauf si un dossier est indiqué comme personnel et confidentiel.
L’utilisation à des fins personnelles des outils informatiques de l’entreprise mis à la disposition des salariés, comme un ordinateur fixe/portable ou un smartphone ou encore une connexion Internet, est tolérée à condition qu’elle demeure limitée et raisonnable et qu’elle ne mette pas en danger la sécurité du réseau informatique et n’affecte pas trop la productivité des effectifs.
Il appartient à l’employeur de fixer son niveau de tolérance à l’égard de l’usage personnel, puis d’en informer ses équipes. En sachant qu’une utilisation personnelle « excessive » peut constituer une « faute grave » et même justifier un licenciement, depuis un récent arrêt rendu par la Cour de cassation en date du 3 octobre 2018.
L’accès à l’ordinateur d’un salarié
Les fichiers informatiques créés ou stockés sur l’ordinateur professionnel d’un salarié sont présumés par défaut être de nature professionnelle. La consultation des mails des salariés par l’employeur est autorisée. Par conséquent, tout employeur peut a priori y accéder librement, même en l’absence de l’employé. Le salarié peut également être contraint de donner son mot de passe à son employeur. Seule exception à cette règle : les documents clairement indiqués comme privés, par exemple placés sur la clé USB personnelle du salarié.
Dans l’éventualité où les fichiers sont identifiés comme personnels, l’employeur ne peut y accéder qu’en cas de risque ou d’événement particulier et qu’en présence du salarié concerné. Le type de « risque ou événement » qui peut justifier la consultation par l’employeur n’est pas défini par la réglementation. Ce sont donc les hautes juridictions qui le précisent en cas de contestation en justice.
Surveillance de l’ordinateur d’un salarié
L’employeur est en droit de contrôler l’usage qui est fait d’un ordinateur professionnel, d’une messagerie pro et de la connexion Internet, dès qu’il s’agit d’assurer la sécurité des réseaux, et de limiter les abus d’utilisation personnelle des outils de l’entreprise. Néanmoins, il y a des limites à la surveillance des salariés. Il est interdit pour l’employeur de réclamer une copie de tous les documents ou messages des employés. De même, il est impossible de recourir à des « keyloggers » pour enregistrer les actions faites sur un ordinateur. Il s’agit là d’un dispositif de surveillance démesuré et illégal. Enfin, les salariés et les représentants du personnel doivent être tenus informés des outils de contrôle mis en oeuvre via une note de service ou une annexe rajoutée au règlement intérieur. Les règles en vigueur (CNIL, RGPD) pour les traitements de données s’appliquent ici.
Dossier personnel et confidentiel
Les contentieux juridiques relatifs à l’ouverture de dossiers personnels par l’employeur ont conduit à une jurisprudence fournie. La Cour de cassation a eu l’occasion d’aborder ce sujet à diverses reprises, et indique notamment que la seule dénomination « Mes Documents » ou « Mes emails » n’est pas suffisante pour conférer un caractère personnel à un fichier ou message électronique. De même, se contenter d’apposer ses initiales ou son prénom ne suffit pas pour empêcher une consultation par l’employeur ! Il est donc recommandé de nommer spécifiquement les documents ou les emails avec des mentions de type « Document personnel » ou « Message privé ».