Le contrôle de l’utilisation du matériel et des NTIC de l’entreprise

RH SURVEILLANCE DES SALARIÉS
Fiche pratique

L’employeur peut contrôler, sous certaines conditions, l’utilisation faite par les salariés du matériel informatique ou des NTIC de l’entreprise. Pour cela, il doit, au préalable, préciser les règles et modalités de contrôle dans le règlement intérieur.

Accès à votre contenu
même hors ligne

Télécharger maintenant

L’employeur peut contrôler, sous certaines conditions, l’utilisation faite par les salariés du matériel informatique ou des NTIC de l’entreprise. Pour cela, il doit, au préalable, préciser les règles et modalités de contrôle dans le règlement intérieur de l’entreprise, en informer les salariés et consulter les représentants du personnel. De plus dès lors que le dispositif de contrôle inclut un traitement automatisé des données personnelles, l’entreprise doit être en conformité avec le RGPD (règlement général de protection des données).

Comment contrôler l’utilisation du matériel informatique professionnel ?

  • L’utilisation du matériel informatique professionnel :

L’employeur a le droit d’accéder au matériel informatique mis à disposition des salariés et de consulter les fichiers de l’ordinateur professionnel d’un salarié, à l’exception des documents identifiés comme personnels par le salarié, par une mention spécifique telle que « personnel », « privé » ou « perso ».

En revanche, les mentions « mes documents », « confidentiel », « prénom du salarié » ne valent pas une identification de fichiers personnels. Cass. soc., 08/12/09, n° 08-44.840 ; Cass. soc., 21/10/09, n° 07-43.877.

La Cour Européenne des Droits de l’Homme et la Cour de Cassation estiment également que la dénomination donnée au disque dur lui-même ne peut pas conférer un caractère personnel à l'ensemble des éléments contenus dans celui-ci. Un salarié ne peut en effet pas utiliser l’intégralité du disque dur de son ordinateur professionnel, censé enregistrer des données professionnelles, pour un usage privé. CEDH, 22 février 2018, n° 588/13.

Attention : La jurisprudence considère que le téléchargement de fichiers personnels volumineux par un salarié sur son ordinateur portable professionnel ne constitue ni une faute grave ni une cause réelle et sérieuse de licenciement. Cass. soc., 25/10/17, n° 16-11.173.

  • Le contrôle des connexions internet :

La CNIL estime que l’employeur ne peut pas interdire de manière générale et absolue l’utilisation du matériel informatique professionnel à des fins personnelles. L’utilisation de ce matériel à des fins personnelles doit être raisonnable et ne concerner que des sites dont le contenu n’est pas contraire à l’ordre public et aux bonnes mœurs.

Les connexions à internet étant présumées avoir un caractère professionnel, l’employeur peut les consulter (historique, favoris, etc…). Cass. soc., 09/07/08, n° 06-45.800 ; Cass. soc., 09/02/10, n° 08-45.253.

Les connexions internet à des fins personnelles peuvent être sanctionnées par l’employeur si elles sont abusives ; elles peuvent constituer une faute grave justifiant un licenciement. La jurisprudence estime par exemple que des connexions à des fins non professionnelles durant 41 heures par mois sont abusives. Cass. soc., 18/03/09, n° 07-44.247 ; Cass. soc., 26/02/13, n° 11-27.372 ; Cass. soc., 18/12/13, n° 12-17.832.

L’employeur qui licencie un salarié pour une utilisation excessive d’Internet à des fins personnelles doit toutefois s’assurer qu’il est bien l’auteur de ces connexions. Cass. soc., 03/10/18, n° 16-23.968.

De même, la connexion à des sites pornographiques pendant les heures de travail sur l’ordinateur professionnel justifie un licenciement pour faute grave. Cass. soc., 10/05/12, n° 10-28.585.

L’employeur ne peut en revanche pas sanctionner l’envoi de tweets non professionnels durant le temps de travail dès lors que le temps consacré est peu important (4 minutes par jour). CA Chambéry, 25/02/16, n° 15.01264.

Le règlement intérieur de l’entreprise peut interdire les échanges d’e-mails personnels durant le temps de travail. CEDH, 12/01/16, n° 61496/08.

 

  • Le contrôle des e-mails envoyés et reçus :

L’employeur peut consulter les e-mails reçus sur la boîte électronique professionnelle du salarié, à l’exception des e-mails identifiés comme « personnels ». Cass. soc., 26/06/12, n° 11-15.310.

En revanche, en application du principe du secret des correspondances, l’employeur n’a pas le droit d’accéder aux e-mails envoyés et reçus de la boîte électronique personnelle du salarié, même s’ils ont été rédigés sur l’ordinateur professionnel. Cass. soc., 26/01/16, n° 14-15.360.

En pratique, il est souvent rédigé une charte informatique afin de rappeler les règles applicables en la matière et tolérances éventuelles dans l’entreprise.

La Cour Européenne des Droits de l'Homme (CEDH) estime que la lecture par l'employeur des échanges privés du salarié sur sa messagerie professionnelle constitue une violation de son droit à la vie privée dès lors qu'il n'a pas été averti de la surveillance mise en place par l'employeur. CEDH, 05/09/17, n° 61496/08.

Le salarié qui consulte les e-mails personnels d’un collègue sans son autorisation peut être sanctionné. En effet, son comportement constitue une violation de ses obligations découlant de son contrat de travail. Il s’agit d’une méconnaissance de son obligation de loyauté découlant de son contrat de travail. Ce comportement est susceptible de faire l’objet d’une sanction disciplinaire qui peut aller jusqu’au licenciement pour faute grave, même s’il commet les faits fautifs en dehors de son temps et lieu de travail. CE, 4ème et 1ère ch. réunies, 10 juillet 2019, n° 408644.

Comment contrôler l’utilisation des téléphones professionnels ?

  • La surveillance des téléphones professionnels :

Afin de limiter voire sanctionner les abus liés à l’utilisation des lignes téléphoniques fixes de l’entreprise, l’employeur peut effectuer des relevés de la durée, du coût et des numéros des appels passés à partir de chaque poste, en occultant les 4 derniers chiffres des numéros.

Il peut également consulter les SMS reçus sur le téléphone portable professionnel d’un salarié, dès lors qu’ils n’ont pas été identifiés comme « personnels » par le salarié dans leur objet. Cass. com, 10/02/15, n° 13-14.779.

 

  • Les écoutes téléphoniques :

Compte tenu des risques d’atteinte à la vie privée, l’employeur n’a pas le droit d’écouter les conversations téléphoniques des salariés, sauf ponctuellement et à des fins de formation ou d’évaluation (mesures de la qualité par exemple).

Il doit alors, avant la mise en place du dispositif d’écoute ou d’enregistrement :

  • Informer, par tout moyen, les salariés.
  • Consulter les représentants du personnel : CE, ou à défaut les DP, et CHSCT, ou le CSE dès sa mise en place.

Attention : Il est interdit d’écouter ou enregistrer les lignes téléphoniques utilisées par les représentants du personnel.

Au regard de la jurisprudence de la Cour de cassation en matière sociale, les salariés doivent être informés des périodes pendant lesquelles ils sont susceptibles d’être écoutés ou enregistrés, par exemple dans le cadre d'enregistrements ou d'écoutes à des fins de formation ou d'évaluation.

Les interlocuteurs doivent également être informés de leur droit d’opposition avant la fin de la conversation téléphonique, afin d’être en mesure d’exercer ce droit.

L’information des interlocuteurs s’effectue en deux temps :

  • mention orale en début de conversation sur l’existence du dispositif, la finalité poursuivie, la possibilité de s’y opposer,
  • renvoi vers un site Internet (et un onglet « mentions légales » par exemple) ou une touche « mentions légales » sur le téléphone pour obtenir une information exhaustive.

L’information obligatoire des salariés

Avant la mise en place d’un dispositif de contrôle permettant le traitement de données personnelles, l’employeur est tenu d’informer les salariés :

  • des finalités poursuivies,
  • de la base légale du dispositif (obligation issue du code du travail par exemple, ou intérêt légitime de l’employeur),
  • de l’identité du responsable de traitement,
  • des destinataires des données,
  • de la durée de conservation des données,
  • de leur droit d’opposition pour motif légitime,
  • de leurs droits d’accès et de rectification,
  • de la possibilité d’introduire une réclamation auprès de la CNIL.

Il doit également :

  • Faire intervenir le Délégué à la protection des données (DPO) s’il existe dans l’entreprise ;
  • Inscrire les différents systèmes de contrôle au registre des activités de traitement.

Règlement UE n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

Accès à votre contenu
même hors ligne


ou
ou

Réagir à cet article

Avez-vous trouvé cet article utile ?
Note actuelle
(3 votes)
Votre note :
Commentaires

Aucun commentaire, soyez le premier à commenter cet article !

Votre commentaire sera publié après connexion.

Une question sur cet article ?
Les questions liées sur le forum

Aucune question en rapport sur le forum.