Lundi 11 février 2002, la CNIL a dévoilé les conclusions de son second rapport sur la cybersurveillance au travail. Au menu, la question du rapport entre vie privée et vie professionnelle et quelques innovations...
Sur le thème de la cybersurveillance au travail, la Cnil (Commission nationale de l’informatique et des libertés) vient au rapport pour la seconde fois. Le texte a été adopté par la Commission le mardi 5 février 2002 et rendu public lundi 11 février. Objectif :améliorer les recommandations faites l’année dernière, pertinentes certes, mais qui laissaient dans le vague un certain nombre de questions. Après un an de réflexion et d’appel à contributions, la Cnil a donc revu sa copie.
Vie privée et vie professionnelle, où se trouve la frontière ?
Pour ce faire, la Commission s’est appuyée sur l’évolution des mentalités et de la jurisprudence. Elle passe au crible le principe de protection de la vie privée du salarié sur son lieu de travail en se référant à des décisions de justice intervenues à la fin de l’année 2001, l’arrêt Nikon ( Voir aussi : les juristes s’interrogent toujours sur la surveillance des mails au travail) et
la décision de la cour d’appel de Paris à propos d’ une affaire survenue dans l’entreprise Alstom. Dans le cadre d’un arrêt rendu le 17 décembre 2001, la cour expliquait ainsi que " la préoccupation de la sécurité du réseau justifie que les administrateurs de réseaux informatiques fassent usage des possibilités dont ils disposent pour mener à bien des investigations et prendre les mesures que cette sécurité impose, de la même façon que la Poste doit réagir à un colis ou à une lettre suspecte. Par contre la divulgation du contenu des messages ne relève pas de ces objectifs "
Pour la CNIL, " le phénomène de convergence ne permet plus de distinguer nettement ce qui relèverait de la vie professionnelle et ce qui ressortirait de l’intimité de la vie privée ". Il est difficile, conclut-elle donc, d’empêcher un employeur de mener des investigations techniques sur l’un de ses salariés lorsque ses raisons sont justifiées, tout comme il est gênant pour un employé de voir l’intimité de sa vie privée inquiétée par une enquête portant sur sa messagerie.
Où, alors, commence la vie privée du salarié et où s’arrête celle de son employeur ? Dans le cas de l’utilisation d’Internet et des messageries électroniques au travail, le respect de la protection de la vie privée, encadré par la Cour européenne des droits de l’homme, s’avère donc des plus délicats.
La commission, qui prend acte de ces jurisprudences affirme qu’ " une interdiction ne permettrait pas à l’employeur de prendre connaissance, dans des conditions régulières, du contenu de celles des correspondances qui relèveraient de la vie privée des personnes "
Idées fausses
La Cnil recommande aussi de former les organisations et les utilisateurs aux mesures de sécurité et met l’accent sur deux idées fausses largement répandues. Il est ainsi faux de penser, côté salariés, que : " l’ordinateur personnel mis à la disposition du salarié sur le lieu de travail serait, en tant que tel, protégé par la loi informatique et libertés et relèverait de la vie privée ". Tout aussi faux, côté employeur, de s’imaginer indemne de toute réclamation s’il a organisé une " une information préalable des personnels " sur le sujet de la surveillance. Rien, en effet, ne peut le prémunir contre une plainte ultérieure de ses salariés.
La Commission rappelle ainsi que " les impératifs de l’entreprise et le nécessaire respect de la vie privée des salariés doivent être conciliés ".
Rappel des responsabilités des administrateurs réseaux
La Cnil précise aussi le rôle des administrateurs du réseau, conduits dans certains cas à être les petites mains des employeurs. Ces employés n’ont pas, selon la Commission, à exploiter, volontairement ou sur ordre de leur hiérarchie, les informations électroniques des salariés sauf si cette exploitation est liée au " bon fonctionnement et à la sécurité des applications dont ils peuvent avoir connaissance dans l’exercice de leur fonction ". Les administrateurs sont tenus, en outre, au secret professionnel et ne sauraient être contraints à dévoiler des informations " sauf dispositions législatives particulières ".
Un syndicalisme électronique ?
L’action syndicale, délaissée dans le premier rapport, est abordée cette fois par la Cnil qui appelle les entreprises à négocier les conditions de l’utilisation de la messagerie, en faisant appel aux instances représentatives du personnel. Les modalités de cette utilisation devraient êtres précisés et la confidentialité des messages échangés assurée. La Cnil laisse aux entreprises et aux syndicats le soin de s’entendre sur la mise en place d’une information syndicale électronique. Un sujet délicat.
Pour Hubert Bouchet, vice-prédident délégué de la CNIL , "les mentalités doivent encore évoluer (lire son interview ci-contre) : " Les syndicats restent pour l’instant enfermés dans les limites d’une action traditionnelle. Cela est dû à la peur, encore très présente, des employeurs de voir leur entreprise devenir en forum permanent. La plupart interdisent ainsi à leurs délégués syndicaux d’envoyer par exemple des tracts aux salariés par messagerie électronique".
Un " délégué à la protection des données "
Au chapitre "nouveautés" du rapport de la Cnil figure une idée : la désignation d’un délégué à la protection des données qui serait chargé des questions liées aux nouvelles technologies dans l’entreprise. Il pourrait être choisi par l’entreprise en concertation avec les syndicats et serait " plus particulièrement chargé des questions relevant des mesures de sécurité, du droit d’accès et de la protection des données personnelles sur le lieu de travaill ".