La responsabilité des employeurs

Beaucoup d’administrateurs réseaux au sein de sociétés s’interrogent sur la manière d’administrer les ordinateurs dont ils ont la charge, sans être accusé d’une violation de l’intimité de la vie privée. Voici quelques élèments de réponses. Des arrêts rendus, le premier rendu le 02 octobre 2001 et le deuxième rendu le 17 mai 2005 viennent confirmer que l’on ne prendre connaissance des éléments sur un ordinateur professionnel, sans engager sa responsabilité pénale et civile*, voire enfreindre des dispositions législatives (Article 226-15 du Code Pénal).

En effet, dans son arrêt la cours d’appel évoque :
“”Attendu, cependant, que, sauf risque ou événement particulier, l’employeur ne peut ouvrir les fichiers identifiés par le salarié comme personnels contenus sur le disque dur de l’ordinateur mis à sa disposition qu’en présence de ce dernier ou celui-ci dûment appelé ;””.

Comment agir:

– La première mesure à prendre, et de prendre une chartre de l’usage de l’Internet. Des exemples sont disponibles sur Internet. Il convient d’y définir l’utilisation des moyens informatiques, et la législation applicable (Loi Godfrain, Loi de 1881, etc…). Celle-ci va définir les droits et les obligations du salarié. Concernant ce dernier point, un arrêt de la cour de cassation du 19 mai 2004 (Pourvoi N°03-83-953) confirme la condamnation d’un salarié pour abus de confiance car il utilisait durant ses heures de travail son ordinateur et sa connexion professionnelle pour surfer sur des sites pornographiques, télécharger des photogographies de même nature en vue d’une alimentation d’un site personnel qu’il avait créé. En outre, via l’adresse mail professionnelle il recevait du courrier à connotation sexuelle et en transmettait. L’infraction d’Abus de Confiance résulte suivant les termes de l’article 314-1 du Code Pénal :
“” est le fait par une personne de détourner, au préjudice d’autrui, des fonds, des valeurs ou un bien quelconque qui lui ont été remis et qu’elle a acceptés à charge de les rendre, de les représenter ou d’en faire un usage déterminé“”. L’usage déterminé résulte du détournement de la finalité des objets qui lui ont été confiés, en l’occurence une activité extra professionnelle. Pour information, l’abus de confiance est tout de même puni de trois ans d’emprisonnement et de 375000 euros d’amende.

– De faire référence à cette chartre notamment dans le contrat de travail, ou d’un avenant, ou bien dans le règlement intérieur de la société, ou sa convention collective.
– De donner connaissance que des systèmes sont utilisés pour collecter des données ou pour sécuriser les systèmes.
– Dans le cadre de données sensibles, il convient notamment de restreindre les droits d’administrations du salarié sur les moyens informatiques. Il s’agit notamment, de protéger en écriture les ports Usb (de nombreux logiciels gratuit le permettre sur Windows XP Sp2), d’empêcher l’utilisation d’un graveur, de restreindre les droits sur les pièces jointes ou lors de l’adressage de mails en utilisant des logiciels spécifiques (politique adoptée par Microsoft qui permet de déterminer les destinataires de l’information, la durée de validité de celle-ci, etc..). Interdire le lancement et l’installation de logiciels tels que ceux pour la messageries instantanées ou les logiciels de P2P (vecteurs de diffusion de virus).

– L’administrateur ne pourra pas prendre connaissance des éléments sur un disque dur d’un salarié dès l’instant ou il y aura la mention “personnel”. Dans ce cas, il appartient à la société de définir les répertoires présents sur le disque qui seront utilisés dans le cadre de l’activité professionnelle, sur lesquels une surveillance pourra être assurée.

– Dans le cadre de la surveillance des flux réseaux, l’administrateur pourra ainsi prendre connaissance des entêtes de mails (expéditeur – destinataires, éléments dateur / heure), mais pas le contenu du mail. Des questions récentes se sont posées quant au recours de certains outils qui ouvrent automatiquement les mails (anti spam), cependant celui-ci ne comprend pas le sens du mail, mais se base sur des réglages. Dans le cadre d’une utilisation de tels outils, il convient d’en informer le salarié par écrit.

Si des faits litigieux sont constatés par l’administrateur réseau, il convient qu’il en avise sa direction, en vue d’un signalement aux autorités judiciaires s’ils le jugent nécessaire.

Il convient de rappeler l’article L.230-3 du Code du Travail :
il incombe à chaque travailleur de prendre en fonction de sa fonction et de sa formation, et selon ses possibilités, sa sécurité et sa santé ou celles des autres personnes concernées du fait de ses actes ou ses omissions au travail“.

Agir contre les dérives du salarié :

Plusieurs options sont possibles suivants la nature des faits :
– une procédure devant les prud’hommes pour son licenciement pour faute lourde. (1)
– une procédure devant le Tribunal de Grande Instance (2) via les services de police.

Cependant, il convient de respecter certaines règles élémentaires suivant la procédure choisie :

1) Je recommanderais deux solutions, s’agissant :
– d’une part représentant du personnel et de l’utilisateur de l’ordinateur. Cependant aucune manipulation ne devra être effectuée pour éviter de modifier les éléments de preuve présents.
– d’autre part, le plus souhaitable, et le plus utilisé en justice, est de réaliser une copie “bits à bits” du support soit par l’administrateur réseau en présence d’un représentant du personnel et de la direction, ou soit via un huissier et un expert informatique, avec la mention que la copie est identique à l’original (via une signature Md5).

Le recours à des témoins est la solution à mon sens la plus appropriée, car elle rejoint celle pratiquée en procédure pénale.

2) J’aviserais les services de police ou de gendarmerie, en leur indiquant la présomption d’éléments illicites, voire en déposant plainte pour abus de confiance (C.F Jurisprudence précité), en argumentant avec des copies d’écran des éléments découverts. A l’aide de leurs techniciens, ils réaliseront eux même les opérations d’analyses de la machine compromise.

* Article 1384 Alinéa 5 du Code Civil.
consulter la responsabilité de l’employeur par rapport à l’Internet :

Dans une décision du 11 juin 2003, un tribunal français vient de procéder à la condamnation d’une entreprise et d’un de ses salariés au motif que ce dernier avait réalisé depuis son poste de travail un site personnel diffamant une société d’autoroute. Cette décision alourdit les obligations pesant sur l’employeur. http://www.foruminternet.org/texte/actualites/lire.phtml?id=595
http://www.foruminternet.org/documents/jurisprudence/lire.phtml?id=594

Tweet about this on TwitterShare on Facebook

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.