Les Archives Cyberlex La cybersurveillance à l'epreuve du droit La cybersurveillance à l'epreuve du droit
| Écrit par Gérard HAAS, Marie Pierre FENOLL-TROUSSEAU le | |
|
Big Brother est partout, car qui dit communication dit aussi surveillance. Le formidable développement des moyens de communications dans les sociétés industrialisées et, surtout, informatisées, dont témoigne l'utilisation massive des téléphones mobiles et de la messagerie electronique depuis quelques années à peine, constitue un important facteur de productivité pour les entreprises comme pour les particuliers, au point que certains parlent aujourd'hui de notre société comme d'une "société de l'information". Mais si l'on peut se féliciter de l'enrichissement incontestable que cette mutation technologique apporte à nos sociétés, on doit aussi en mesurer les dangers pour les les libertés individuelles. Le respect de la vie privée est une de ces libertés individuelles fondamentales sur lesquelles se fonde la valeur que nous donnons à notre système politique et social; c'est même l'une des plus importantes, car elle en commande d'autres, comme le droit à la non discrimination, la liberté de conscience, le droit à la dignité etc; mais c'est aussi l'une des plus menacées par les progrès constants des technologies de l'information. On peut en donner pour preuve la récente loi britannique autorisant les entreprises à surveiller (c'est à dire à ouvrir et à lire) les messages électroniques envoyés et reçus par leurs salariés, ou, dans une optique inverse, la récente condamnation à des peines d'amendes de trois dirigeants d'une grande école scientifique française pour "violation de correspondances effectuées par voie de télécommunication", les dirigeants en question ayant espionné le courrier électronique d'un de leurs élèves. [1] La messagerie électronique n'est que l'un des supports d'informations concernant la vie privée d'une personne. Dans une entreprise, l'employeur peut très facilement collecter puis traiter par des techniques informatiques des renseignements concernant la vie privée de ses salariés. Et la tentation est grande car ces renseignements peuvent lui être très utiles pour sélectionner les candidats à l'embauche, donner ou refuser une promotion, empêcher le développement d'un syndicat, faire pression sur un salarié etc. C'est pourquoi le droit communautaire et le droit français se sont préoccupés depuis longtemps de mettre en oeuvre des règles claires et efficaces sur la collecte, le traitement et le stockage de toutes les informations concernant la vie privée d'une personne physique. Nous allons donc examiner d'abord l'application de ces règles dans le fonctionnement interne d'une entreprise, avant d'en étudier l'application spécifique au contrôle de la messagerie électronique, et nous terminerons par l'étude de l'utilisation des informations privées concernant les clients ou les tiers. Chapitre 1 Les contraintes juridiques existantes en matière de vie privé des salariés. Ces informations font partie de ce que le droit communautaire appelle "données à caractère personnel". Le réseau Intranet d'une entreprise (messagerie électronique, site Web, forum, annuaire électronique etc) est constitué en partie par des informations sur ses salariés qui aux yeux du droit français, et notamment au regard de la loi française "Informatique et Liberté" du 6 janvier 1978 [2] et de la Directive européenne n°95/46 du 23 novembre 1995 "visant à assurer la protection des libertés et droits fondamentaux des personnes physiques, et en particulier du droit à la vie privée, à l'égard du traitement des données à caractère personnel (directive déjà applicable en droit français, et s'imposant donc aux juridictions françaises, bien qu'elle n'ait pas encore donné lieu à une loi française d'application par suite de retard du gouvernement français à saisir le Parlement [3] ) peuvent être ou non qualifiées "de données nominatives" ou "de données à caractère personnel". [4] L'art 4 de la loi "Informatique et liberté" donne la définition suivante: "Sont réputées nominatives au sens de la présente loi les informations qui permettent, sous quelque forme que ce soit, directement ou non, l'identification des personnes physiques auxquelles elles s'appliquent, que le traitement soit effectué par une personne physique ou par une personne morale. " Une donnée à caractère personnel peut donc concerner la vie privée de la personne physique (adresse personnelle, numéro de téléphone personnel, image, nationalité, religion, race, appartenance politique etc) ou sa vie professionnelle (numéro de poste, fonction, salaire). La loi n'en donne pas une liste exhaustive , c'est la jurisprudence qui dans chaque affaire décide de la qualification. La Directive (article 2) la définit comme "toute information concernant une personne physique identifiée ou identifiable ("personne concernée"); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale." Ni la loi "Informatique et libertés" ni la Directive ne font de distinction selon que la donnée concerne la vie privée ou la vie professionnelle de la personne; la distinction est cependant importante car dans la pratique, et notamment dans les rapports entre un employeur et ses salariés, elle peut entraîner l'application de règles différentes. Section 1. Les conditions juridiques de la collecte et du traitement des données à caractère personnel. Les annuaires des différents services de l'entreprise, les dossiers du service du personnel ou du comité d'entreprise, le site Web, vont généralement utiliser des "données à caractère personnel" concernant les salariés (noms, numéros de poste ou de téléphone, adresses de la messagerie électronique, photos, numéro de Sécurité Sociale, adresse, date de naissance etc) ce qui obligera l'entreprise à respecter des règles contraignantes. La Directive prévoit que les données à caractère personnel doivent être "collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités". [5] La loi "Informatique et libertés" est beaucoup plus exigeante, et beaucoup plus détaillée, et à ses exigences il faut ajouter celles du Code du Travail lorsque la collecte des données concerne des salariés. L'entreprise sera donc soumise à deux formalités préalables indispensables, l'une auprès de la CNIL [6] , l'autre auprès de son comité d'entreprise, ou d'établissement, lorsqu'il en existe un. - Il faut tout d'abord effectuer auprès de la CNIL une déclaration préalable du traitement informatique mis en oeuvre. En effet, l'article 25 de la loi "Informatique et libertés" prévoit que "la collecte de données opérée par tout moyen frauduleux, déloyal ou illicite est interdite.", l'article 26 que "toute personne physique a le droit de s'opposer, pour des raisons légitimes, à ce que des informations nominatives la concernant fassent l'objet d'un traitement" et l'article 31 que "il est interdit de mettre ou conserver en mémoire informatique, sauf accord exprès de l'intéressé, des données nominatives qui, directement ou indirectement, font apparaître les origines raciales ou les opinions politiques, philosophiques ou religieuses ou les appartenances syndicales (Loi n° 92-1336 du 16 décembre 1992, art. 257) “ ou les moeurs ” des personnes." On doit donc distinguer deux catégories de données. Celles qui sont visées par l'article 31 exigent un accord express du salarié. En cas de refus, l'employeur ne saurait passer outre. Dans la pratique cependant, on peut penser que le problème se posera rarement, tant les données en question présenteront en général peu d'intérêt pour l'employeur. Cependant, le fait qu'un salarié soit délégué ou représentant syndical sera généralement pris en compte dans les fichiers informatisés de la direction du personnel, et, peut-être, indiqué sur l'annuaire de l'entreprise (au moins l'annuaire interne): dès lors, il faudra que l'employeur obtienne l'accord express du salarié en cause. Pour les autres données ne se posera que le problème des "raisons légitimes" qu'un salarié pourrait invoquer pour s'opposer à ce que certaines données à caractère personnel le concernant soient collectées et utilisées par l'employeur. Le refus que l'adresse personnelle, le numéro de téléphone portable ou l'e-mail personnel du salarié, soient collectés pourrait-il se justifier par l'invocation du droit au respect de l'intimité de la vie privée [7] ? Le refus de voir figurer sa photo sur l'annuaire de l'entreprise, alors que tous les autres salariés ont accepté, pourrait-il se fonder sur le droit absolu que chacun a sur son image ? On peut imaginer bien des hypothèses où un salarié pourrait avoir de vraies, sinon bonnes, raisons (crainte d'une vengeance amoureuse, désir de dissimuler à sa famille une mutation ou une rétrogradation professionnelle humiliante etc.) de vouloir que son appartenance à son entreprise ne soit pas rendue publique. Et le fait même d'obliger un salarié à justifier son refus ne pourrait-il pas être constitutif d'une atteinte à l'intimité de sa vie privée, en l'obligeant à révéler à son employeur des événements familiaux ou patrimoniaux qui ne regardent normalement que lui? Il n'existe encore aucune jurisprudence sur ces questions, du fait de la radicale nouveauté de ces dernières, mais on peut penser qu'une jurisprudence constante et exhaustive, et donc de nature à permettre à une entreprise de mettre en place un système de collecte de données la mettant à l'abri de toute contestation, n'est pas près de se constituer tant les principes en jeu pourront souvent paraître malaisément conciliables (intérêt de l'entreprise, pouvoir disciplinaire de l'employeur, respect des droits fondamentaux du salarié). Le texte de la Directive ne donne guère d'éclaircissements sur le problème posé par le refus d'un salarié. Il prévoit en effet que le traitement des données ne peut avoir lieu, s'il n'y a pas consentement de la personne concernée, qu'au cas où "il est nécessaire à l'exécution du contrat auquel la personne concernée est partie ou à l'exécution de mesures pré contractuelles prises à la demande de celle-ci" ou bien "il est nécessaire à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement... à condition que ne prévale pas l'intérêt ou les droits et libertés fondamentaux de la personne concernée." [8] Mais toute la question c'est justement de savoir ce qu'implique l'exécution du contrat de travail et ce que l'on doit entendre par les "droits et libertés fondamentaux" du salarié! On notera aussi qu'il résulte de diverses déclarations de la CNIL que cette dernière semble pencher pour un droit discrétionnaire de refus d'un salarié de voir utilisée (et donc collectée) par l'entreprise son image. La révélation du montant du salaire du salarié peut aussi poser question. Nombreux sont les salariés qui, en France du moins, estiment que c'est là un domaine qui relève de la vie privée. En droit, on peut douter cependant de la validité de cette opinion. En effet, le Code du travail ne prescrit en aucune de ses dispositions que le salaire doit rester confidentiel, et la vaste jurisprudence sur le respect de l'intimité de la vie privée n'a jamais décidé que le salaire en faisait partie (à la différence de la composition du patrimoine, qui, elle, en fait effectivement partie) [9] . Dans la pratique, on peut conseiller à l'employeur d'avoir un argumentaire précis sur la nécessité pour l'entreprise de collecter telles ou telles données à caractère personnel concernant ses salarié (ce ne seront pas nécessairement les mêmes pour tous les salariés, bien évidemment) de façon à pouvoir convaincre les salariés récalcitrants. Comme responsable du traitement de données à caractère personnel, l'employeur devra assurer la sécurité des données collectées. La loi "Informatique et libertés" est très claire: "Toute personne ordonnant ou effectuant un traitement d'informations nominatives s'engage de ce fait, vis-à-vis des personnes concernées, à prendre toutes précautions utiles afin de préserver la sécurité des informations et notamment d'empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés." [10] Et la Directive est plus précise encore: "1. Les États membres prévoient que le responsable du traitement doit mettre en oeuvre les mesures techniques et d'organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite. Ces mesures doivent assurer, compte tenu de l'état de l'art et des coûts liés à leur mise en oeuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger. L'employeur devra donc prendre toutes les mesures nécessaires à la protection de ses fichiers contre les intrusions de tiers non autorisés. La Directive prévoit aussi la nomination d’un délégué à la protection des données informatiques dans chaque entreprise. [11] Monsieur H. Bouchet, commissaire à la CNIL, indiquait récemment que ce délégué devrait avoir “un statut spécifique et indépendant des directions, comme celui de la médecine du travail”. [12] C'est tout le problème du "piratage informatique", problème toujours aussi préoccupant si l'on en croit la presse informatique. C'est aussi la question du partage des fichiers au sein de l'entreprise. Les fichiers de la direction du personnel, particulièrement sensibles, devront être strictement réservés aux salariés qui ont besoin de pouvoir les consulter pour l'accomplissement de leur travail, et on peut considérer que ces salariés seront tenus au secret professionnel. L'installation de "mots de passe" est évidemment une précaution élémentaire, mais elle peut se révéler insuffisante, car on sait que ces mots de passe sont rarement mémorisés par les utilisateurs, et le plus souvent notés sur des documents facilement accessibles. Une information et une mise en garde de l'ensemble du personnel sur l'accès aux fichiers sont donc nécessaires, qui rappelleront notamment que tout accès frauduleux dans tout ou partie d'un système de traitement automatisé de données est punie par le Code Pénal d'un an d'emprisonnement et de 100.000 frs d'amende [13] , et sera en outre constitutif d'une faute lourde entraînant le licenciement, immédiat et sans indemnités, du fautif. Si l'entreprise ne met pas en oeuvre les moyens nécessaires à la protection des données collectées, elle engage non seulement sa responsabilité civile, mais aussi sa responsabilité pénale, comme auteur ou complice de l'infraction (voir infra) [14] . - Il faut aussi que l'employeur donne une information préalable au comité d'entreprise, ou au comité d'établissement, sur la mise en place du système de collecte et de traitement des données à caractère personnel. L'introduction dans l'entreprise de "nouvelles technologies susceptibles d'avoir des conséquences sur... les conditions de travail du personnel" [15] , et de "traitements automatisés de la gestion du personnel" [16] oblige l'employeur à en informer préalablement [17] le comité d'entreprise. La connexion à l'Internet et la création d'un réseau Intranet est indiscutablement une nouvelle technologie, et elle ne fait en général que suivre la mise en place d'un traitement automatisé de la gestion du personnel. La consultation doit être sincère et complète, comme en toute autre matière, mais elle n'implique évidemment pas que l'employeur obtienne l'assentiment du comité à ses projets. Consultation n'est pas décision. On doit observer que l'assentiment donné par le comité à la collecte et le traitement des données tels qu'ils lui sont présentés par l'employeur n'aurait de toutes façons aucune valeur contraignante pour les salariés de l'entreprise qui voudraient refuser que l'entreprise utilise leur photo, par exemple. En effet, le comité n'est nullement en la matière le mandataire des salariés, et ces derniers restent pleinement titulaires de l'exercice de leurs droits fondamentaux: or le droit de refuser la collecte et le traitement de données à caractère personnel est un droit de la personnalité, comme le droit sur son image ou le droit au respect de l'intimité de la vie privée. Ces règles, d'ordre public, et qui ne peuvent donc pas être écartées par le contrat de travail passé entre le salarié et son employeur, sont sanctionnées pénalement et civilement . 2 – Section Les Sanctions civiles et pénalesLes différentes règles énoncées ci-dessus sont toute susceptibles des sanctions civiles communes à tout agissement fautif, mais elles sont surtout passibles de sanctions pénales importantes, ce qui démontre bien tout le prix que le législateur attache à leur respect. §1 - Les sanctions civiles: Dès lors que la violation de l'une de ces règles entraînera un préjudice pour une personne appartenant à l'entreprise (par exemple, la révélation publique de ce qu'elle souffre d'une maladie génétique, ou de son récent divorce, ou de son numéro de téléphone personnel pourtant sur la liste rouge), cette personne pourra mettre en jeu la responsabilité de l'entreprise devant les tribunaux civils, et en obtenir le paiement de dommages-intérêts. Si c'est un des salariés de l'entreprise qui est à l'origine du dommage, il pourra aussi voir engagée sa responsabilité personnelle, mais cela ne dégagera pas pour autant l'entreprise de son obligation d'assurer l'indemnisation de la victime [18] . L'entreprise ne pourra se retourner contre le fautif, en lui demandant de la rembourser, qu'en cas de faute lourde. §2 - Les sanctions pénales: Beaucoup plus redoutables que les sanctions civiles, l'emprisonnement et l'amende sanctionnent pratiquement toutes les règles énoncées ci-dessus. Le défaut de déclaration préalable du traitement automatisé des données à caractère personnel est passible de 3 ans d'emprisonnement et de 300.000 frs d'amende. [19] Ne pas prendre toutes les précautions nécessaires à la sécurité des informations collectées, c'est à dire à empêcher qu'elles ne soient "déformées, endommagées ou communiquées à des tiers non autorisés", expose à 5 ans d'emprisonnement et 2.000.000 frs d'amende ! [20] La collecte de données à caractère personnel sans l'accord de la personne concernée est également passible de 5 ans d'emprisonnement et 2.000.000 frs d'amende. [21] Enfin, la divulgation d'informations nominatives portant atteinte à la considération de l'intéressé ou à l'intimité de sa vie privée, sans son autorisation, expose à un an d'emprisonnement et 100.000 frs d'amende lorsqu'elle est volontaire, et seulement 50.000 frs d'amende lorsqu'elle a été commise par imprudence ou négligence. [22] Si ces informations ont un caractère secret, leur divulgation peut aussi être sanctionnée comme atteinte au secret professionnel, passible de un an d'emprisonnement et 100.000 frs d'amende. Chapitre 2 Internet & contrôle l'activité professionnelle des salariés. Cette messagerie est contrôlée par l'employeur sur le plan technique; matériellement parlant, il lui est donc très facile de prendre connaissance des messages reçus ou envoyés par ses salariés. Et nombre d'employeurs peuvent voir dans cette pratique une excellente façon de contrôler l'activité professionnelle de leurs salariés. Mais en ont-ils le droit? Aucun texte de loi ne répondant expressément à cette question, il convient de se référer à certains principes et à certaines règles bien précises en droit du travail et en droit pénal. Section 1 -Au regard du Code du Travail, l’employeur a l’obligation de consulter le Comité d'entreprise sur les conditions de fonctionnement de cette messagerie [23] . L'introduction dans l'entreprise de "nouvelles technologies susceptibles d'avoir des conséquences sur... les conditions de travail du personnel" [24] , et de "traitements automatisés de la gestion du personnel" [25] oblige l'employeur à en informer préalablement [26] le comité d'entreprise. La connexion à l'Internet, la création d'un réseau Intranet, et la mise en place d'une messagerie électronique utilisable par certains salariés sont indiscutablement des nouvelles technologies, et elles ne font en général que suivre la mise en place d'un traitement automatisé de la gestion du personnel. Il faut aussi que l'employeur donne une information préalable au comité d'entreprise, ou au comité d'établissement, sur la mise en place du système de collecte et de traitement des données à caractère personnel. En effet, les messages électroniques émis ou reçus par un poste de travail sont des données à caractère personnel au sens de la loi française "Informatique et liberté" et de la Directive européenne 96/45/CE sur la protection des données à caractère personnel. La consultation du comité doit être sincère et complète, comme en toute autre matière, mais elle n'implique évidemment pas que l'employeur obtienne l'assentiment du comité à ses projets. Consultation n'est pas décision. Section 2 Le respect du Code Pénal s'impose également à l'employeur (avec plus de force encore que le Code du Travail, si l'on peut dire, en raison de la gravité des sanctions) et on peut évoquer à ce titre les dispositions pénales protégeant l'intimité de la vie privée et le secret de la correspondance. – A première vue, les dispositions pénales protégeant la vie privée contre des enregistrement clandestins d'images ou de paroles d'un salarié dans l'entreprise (art 226-1 CP) [27] ne devraient pas s’appliquer car la messagerie ne transporte généralement pas des "paroles" ou "des images" (stricto sensu) des salariés. Cependant, l'utilisation de plus en plus fréquente de caméras couplées à des ordinateurs ("webcam") permet de penser qu'un avenir proche verra des salariés envoyer en documents attachés à leurs messages des enregistrements d'eux mêmes en train de faire une démonstration technique, une conférence, ou seulement parlant à leur destinataire aussi bien de leur travail que de leur vie privée. Et l'article 226-1 CP deviendrait alors applicable à ces enregistrements. De même, si l'on associe à la messagerie un logiciel permettant de la faire "parler" (ce qui sera facilement réalisable dans un proche avenir, les logiciels nécessaires existant déjà), l'article 226-1 CP devrait s'appliquer compte tenu de la jurisprudence actuelle sur l'enregistrement de conversations de salariés à leur insu dans l'entreprise. - Plus certainement, la messagerie électronique tombe sous le coup de l'article 226-15 al 2 CP [28] protégeant le secret de la correspondance, ce qui rend fort délicat le problème du contrôle possible exercé par l'employeur sur le contenu ou les destinataires des message. L'employeur peut en effet invoquer à juste titre son pouvoir disciplinaire: la messagerie électronique est un outil à usage exclusivement professionnel, et il doit donc pouvoir sanctionner une utilisation "privée" de la messagerie. Mais si ces messages contiennent des informations sur la vie privée du salarié, il ne peut théoriquement pas en prendre connaissance, selon la jurisprudence qui s'est constituée sur l'utilisation dans l'entreprise des autocommutateurs téléphoniques. En revanche, pour que l'article 226-15 CP s'applique, il faut que l'employeur soit de mauvaise foi, ce qui n'est pas forcément le cas (Crim. 16-1-92) [29] . Problème délicat, donc. On peut penser que la jurisprudence pénale s'orientera dans le même sens que la jurisprudence civile de ces dernières années, c'est à dire dans le sens d'une protection efficace du salarié. On se rappellera en effet qu’ont été interdites les clauses du règlement intérieur autorisant l’employeur à ouvrir le courrier personnel les salariés, et qu'il a été jugé, dans le cadre de l'application des textes pénaux interdisant l'enregistrement clandestin d'images ou de paroles [30] qu'une entreprise n'était pas une zone où les salariés ne pouvaient avoir que des conversations professionnelles ou renonçaient à leur droit sur leur l'image, et qu'en conséquence l'employeur ne pouvait nullement "espionner" ses salariés au prétexte de l’exercice de son pouvoir disciplinaire. [31] On peut aussi rappeler que la CNIL n'autorise l'enregistrement systématique des conversations téléphoniques des salariés que dans le cas où le travail du salarié consiste pour l'essentiel à téléphoner (marketing téléphonique, vente par correspondance, standardiste), ce qui justifie que l'employeur puisse vérifier la façon dont le travail est accompli; dans les autres hypothèses, la CNIL n'autorise pas l'employeur à enregistrer les conversations téléphoniques, ni même l'intégralité des numéros de téléphone appelés par les salariés (il peut seulement enregistrer les 4 premiers numéros, pour savoir si le salarié appelle l'étranger ou la province etc). [32] Dans ces hypothèses, l'employeur peut seulement se protéger contre des abus de la part des salariés: ce n'est que s'il constate des vols à répétition, ou des factures téléphoniques anormalement élevées, par exemple, qu' il pourra alors vérifier les agissements du salarié suspect en recourant éventuellement à des enregistrements vidéos clandestins. Mais la règle pénale étant d'interprétation stricte, on ne peut pas décider de l'application de l'article 226-15 CP en raisonnant par analogie avec la jurisprudence civile précitée. En l'absence de toute décision d'une juridiction pénale sur la question de savoir si l'on pouvait considérer un message électronique comme une "correspondance" au sens de l'article précité , les juristes spécialisés dans le droit des nouvelles technologies se sont longtemps divisés sur la réponse à lui donner, la majorité d'entre eux ayant tendance à considérer que le caractère professionnel des messages s'opposait à ce que l'on puisse les qualifier de "correspondance". [33] C'était aussi vouloir interpréter les termes de l'article 226-15 CP dans un sens exagérément restrictif. En effet, le tribunal correctionnel de Paris, dans un jugement du 2 novembre 2000, déjà évoqué ci-dessus, procède à une analyse particulièrement convaincante de la nature juridique d'un message électronique pour en conclure que l'ouverture d'un message électronique à l'insu de son destinataire constitue bien une infraction à l'article 432-9 CP, en jugeant que ce message est bien "une correspondance" (les articles 432-9 et 226-15 CP protègent tous deux le secret de la "correspondance", le premier s'appliquant aux personnes dépositaire de l'autorité publique ou chargées d'une mission de service public, et le second à toute personne). On s'en convaincra par la lecture des principaux attendus du jugement: "En l'espèce il résulte, à l'évidence, de l'information et des débats que, bien que la présente poursuite soit fondée sur les dispositions de l'alinéa 1 de l'article 432-9 du Code pénal, les messages incriminés par la partie civile doivent être analysés comme étant susceptibles d'être des correspondances échangées par voie de télécommunications, dont la violation est prévue et réprimés par l'alinéa 2 du même texte. En effet, on entend par télécommunication "toute transmission, émission ou réception de signes, de signaux d'écrits, d'images, de sons ou de renseignements de toute nature par fil, optique, radio électricité ou autre système électromagnétique", conformément à la définition qu'en donne l'article L 32 du Code des postes et télécommunications. Cette énumération inclut toutes les communications à distance actuellement connues, qu'il s'agisse des communications téléphoniques ou de celles effectuées par Minitel, par télécopie, par fax et par satellite réseau Internet. Le réseau mondial du Net et l'intégralité des services qu'il offre, comme celui de la messagerie électronique, entrent donc dans le champ d'application de la législation relative aux télécommunications. Il apparaît, par ailleurs; que le terme correspondance désigne toute relation par écrit existant entre deux personnes identifiables, qu'il s'agisse de lettres, de messages ou de plis fermés ou ouverts. Cette relation est protégée par la loi, dès que le contenu qu'elle véhicule est exclusivement destiné par une personne dénommée à une autre personne également individualisée, à la différence des messages mis à disposition du public. Le secret en est aménagé suivant les dispositions figurant dans le Code pénal sous ses articles 226-13 et 432-9, lesquels reprennent pour ce qui concerne les télécommunications, la règle posée aux termes du premier alinéa de l'article 1 de la loi du 10 juillet 199l, qui édicte que "le secret des correspondances émises par la voix des télécommunications est garantie par la loi". Ces dispositions consacrent, en droit interne, le principe que rappelle l'article 8 de la Convention européenne des droits de l'homme et des libertés fondamentales, selon lequel la correspondance est un attribut de la vie privée qui justifie la protection légale dont elle est l'objet. En l'espèce, il convient de déterminer si la messagerie de Tareg A... se trouve être protégée par le secret de la correspondance. Il est nécessaire de rappeler, à ce sujet, que la messagerie électronique permet de transmettre un message écrit d'une personne à une autre, de manière analogue au courrier. Chacune des personnes désireuses d'effectuer une transmission doit, à cette fin posséder une adresse électronique dont les deux composantes - son nom et celui de l'entité à laquelle elle est rattachée - définissent son identité informatique, qui est unique. A partir de là, l'une d'elle peut adresser à l'autre tout message qu'elle souhaite lui faire parvenir, son correspondant consultant alors sa boîte aux lettres dont l'accès peut être protégé par un mot de passe afin d'y lire les communications qui y ont été envoyées et s'y trouvent en attente. Le message ainsi transmis revêt les caractéristiques suivantes : - Il est exclusivement destiné à une personne physique ou morale - Il s'adresse à une personne individualisée, si son adresse est nominative, ou déterminée, si son adresse est fonctionnelle, le destinataire final du message n'étant pas précisé en ce cas, mais son récepteur ayant qualité pour recevoir le dit message. - Il est personnalisé en ce qu'il établit une relation entre l'expéditeur et le récepteur, laquelle fait référence à l'existence d'un lien les unissant qui peut être familial, amical, professionnel, associatif, etc..... Il en résulte que l'envoi de message électronique de personne à personne constitue de la correspondance privée. Il convient donc de considérer que la messagerie électronique de la partie civile, à laquelle il n'était, en l'occurrence, possible d'accéder qu'en utilisant son mot de passe, était protégée par le secret de la correspondance émis par voie de télécommunications, dont la violation tombe sous le coup de la loi pénale." [34] Cette analyse détaillée de la notion de "correspondance" appliquée à un message électronique nous parait assez solidement argumentée pour pouvoir être confirmée par la Cour de Cassation, si elle est saisie, et nous la tiendrons donc pour valable jusqu'à preuve du contraire. Ses conséquences sont alors assez claires: si les messages électroniques reçus et envoyés par un salarié disposant d'un mot de passe personnel d'accès à sa messagerie - l'existence d'un mot de passe est évidemment essentielle, car son absence impliquerait que les messages sont publics, et non privés, puisqu'accessibles à tout utilisateur de la messagerie, et l'article 226-15 CP n'aurait plus lieu d'être appliqué - sont protégés par l'article 226-15 CP, cela implique que l'employeur ne pourra en prendre connaissance que dans des circonstances exceptionnelles propres à écarter toute présomption de mauvaise foi de sa part. On peut alors raisonner de la même façon qu'en matière de communications téléphoniques: si l'employeur a des raisons objectives de penser qu'un salarié utilise sa messagerie à des fins personnelles, et non professionnelles - par comparaison, par exemple du nombre des messages, de leur volume, de l'importance des documents attachés etc. avec ceux des salariés exerçant les mêmes fonctions - il pourra prendre les mesures nécessaires, c'est à dire essayer de se constituer une preuve irréfutable du comportement fautif du salarié pour pouvoir ensuite le sanctionner disciplinairement. Pour ce faire, il pourrait, par exemple, demander au juge des requêtes l'autorisation de faire ouvrir les messages reçus et envoyés par le salarié, éventuellement sous le contrôle d'un huissier; mais nous ne pensons pas qu'il puisse de son propre chef procéder seul à cette opération, car violant ainsi la loi il s'exposerait d'une part à des poursuites pénales, et d'autre part ne pourrait plus ensuite utiliser en justice les preuves qu'il se serait ainsi constitué [35] . Ces principes peuvent évidemment paraître bien difficiles à appliquer à de nombreux chefs d'entreprise, qui y verront une atteinte anormale à leur droit de contrôle de l'activité professionnelle de leurs salariés. Mais les difficultés pourraient être fortement diminuées par un accord passé entre le chef d'entreprise et les délégués syndicaux présents dans l'entreprise. Le problème de l'accès à Internet et de l'utilisation de la messagerie électronique par les institutions représentatives du personnel et les organismes syndicaux dans l'entreprise doit d'ailleurs faire l'objet d'une étude attentive de la part de l'employeur, comme nous allons le voir maintenant. Chapitre 3. Cybersurveillance & Relations collectives de travail. De plus en plus nombreuses sont les entreprises françaises à donner à certains de leurs salariés, voire à tous leurs salariés, la possibilité d’utiliser une messagerie électronique (soit par un réseau Intranet, soit par Internet) et de se connecter sur Internet, car ces nouveaux outils professionnels peuvent accroître considérablement la productivité de leur personnel. En l’absence de toute législation spécifique en la matière, le Code du Travail, en particulier, n’ayant encore subi aucune modification de ce chef, on ne peut répondre à la question posée par les droits qu’auraient les délégués syndicaux et les institutions représentatives (délégués du personnel, comités d’établissement et d’entreprise, comités d’hygiène et de sécurité des conditions de travail) d’utiliser ces nouveaux moyens de communication que par une analyse précise des principes sous-tendant leurs actuels droits d’action dans l’entreprise. C’est ce que nous nous proposons de faire dans la présente étude, car nous pensons que nombre d’employeurs regrettent le flou juridique qui caractérise aujourd’hui encore cette question. C’est pourquoi nous rappellerons en premier lieu les principes juridiques qui gouvernent l’utilisation des moyens d’action traditionnels des syndicats dans l’entreprise - tels que le courrier postal, les panneaux d’affichage, les distributions de tracts, le téléphone -, avant d‘étudier, en deuxième lieu, dans quelle mesure ces principes peuvent être transposés à l’utilisation de la messagerie électronique et à la connexion à Internet. Nous pourrons alors, en conclusion, exposer la teneur de certains accords récents syndicat-employeur sur ces questions. Section 1 - Le régime juridique actuel des moyens d’action dans l’entreprise des délégués syndicaux et des institutions représentatives du personnel. Lorsque l’on étudie les articles du Code du travail régissant les moyens attribués aux délégués syndicaux, et la jurisprudence y afférente, on peut en conclure qu’ils visent à établir un équilibre entre d’une part la liberté d’action nécessaire aux délégués pour remplir leur mission et d’autre part la protection du légitime intérêt de l’employeur à ce que cette liberté d’action ne perturbe pas le travail, et la productivité, des salariés de l’entreprise. C’est ainsi que si les délégués syndicaux peuvent « circuler librement dans l’entreprise, et y prendre les contacts nécessaires à l’accomplissement de leur mission », ils n’en doivent pas moins « ne pas apporter de gêne important à l’accomplissement du travail des salariés. » [36] De même, les distributions de publications et de tracts syndicaux « dans l’enceinte de l’entreprise » sont possible, mais elles ne doivent s’effectuer « qu’aux heures d’entrée et de sortie du travail ». [37] Cette disposition est d’ailleurs interprétée strictement par la jurisprudence, qui, par exemple, a interdit le dépôt de tracts dans un hall d’entrée accessible aux clients de l’entreprise [38] , et a jugé qu’une lettre syndicale mise sous enveloppe doit être assimilée à un tract, et ne peut donc être distribuée aux salariés en dehors des heures d’entrée et de sortie du travail [39] . En ce qui concerne le courrier reçu par un syndicat dans l’entreprise, il semble bien que la traditionnelle interdiction faite aux salariés par les règlements intérieurs de recevoir du « courrier privé » ne puissent pas s’appliquer aux délégués syndicaux. En effet, le courrier reçu par un délégué syndical est normalement relatif à sa mission, et ne peut donc être qualifié de « privé », même s’il doit évidemment rester confidentiel. Aussi, un employeur qui refuse de distribuer à un syndicat le courrier reçu à son nom dans l’entreprise doit-il être condamné [40] pour atteinte au secret de la correspondance [41] , et également pour entrave à l’exercice du droit syndical [42] . L’usage du téléphone dans l’entreprise par les délégués n’est pas expressément réglementé par le Code du Travail, qui se borne à prévoir que « les modalités d’aménagement et d’utilisation » du local syndical dans l’entreprise doit faire l’objet « d’un accord avec le chef d’entreprise ». [43] Dans la pratique, ces accords prévoient toujours l’installation d’une ligne téléphonique dont le syndicat, le plus souvent mais pas toujours, assure lui-même les frais d’utilisation. Tout contrôle de l’employeur sur cette ligne téléphonique (et, par analogie, sur celles des institutions représentatives de l’entreprise) paraît exclu; en effet, il a été jugé qu’un employeur ne pouvait s’opposer à ce qu’un répondeur installé sur cette ligne diffuse un message syndical [44] ; et la Commission Nationale de l’Informatique et des Libertés a indiqué dès 1994 que les salariés ayant une mission syndicale ou de représentation des salariés « doivent disposer d’une ligne téléphonique non connectée à l’autocommutateur », de façon à pouvoir échapper à tout contrôle de l’employeur. [45] Un enregistrement des communications téléphoniques par l’employeur serait d’ailleurs constitutive non seulement d’une atteinte à la vie privée des interlocuteurs [46] , mais encore d’une violation des règles de loyauté dans la constitution d’une preuve rappelée par le célèbre arrêt de la Chambre Sociale du 20 novembre 1981 [47] dans une affaire où l’employeur avait installé des caméras vidéo pour surveiller ses salariés à leur insu. Section 2 - Vers un droit des délégués syndicaux et des institutions représentatives à l’utilisation de la messagerie électronique et à la connexion à Internet. Les problèmes posés par l’utilisation de la messagerie électronique sont les plus communs car très nombreuses sont les entreprises recourant à une telle messagerie, que ce soit par Intranet ou par Internet; nous les traiterons donc en premier, avant d’examiner ceux posés par la connexion à Internet des délégués et des institutions représentatives. Il nous paraît d’abord certain qu’un employeur ne pourrait refuser aux délégués syndicaux et aux institutions représentatives l’utilisation de la messagerie électronique mise à la disposition des autres salariés de l’entreprise. Un tel refus serait contraire au principe qui veut que l’employeur ne mette aucune entrave à l’exercice légitime des missions de ces derniers. Tout contrôle direct ou indirect de l’utilisation de cette messagerie serait constitutif d’une entrave. Rappelons, sur ce point, qu’il a été récemment jugé que l’ouverture d’un message électronique d’une personne physique constitue une infraction au secret postal [48] ; si le contrôle portait sur un message reçu ou envoyé par un délégué syndical ou un membre d’une institution représentative, il serait en outre constitutif du délit d’entrave. [49] Sur ce point, on peut juger contraire à la loi sur le secret postal le récent jugement du Conseil des Prud’Hommes de Montbéliard qui a jugé justifié la mise à pied disciplinaire d’une déléguée syndicale ayant correspondu par messagerie électronique avec une ancienne salariée de son entreprise ayant été l’objet d’un licenciement économique, alors que l’entreprise avait averti ses salariés que leur messagerie électronique était sous surveillance. [50] L’employeur, en revanche, serait en droit d’exiger que le coût de ces communications électroniques soit à la charge des délégués (sur ce coût, voir nos développements ci-après). Il serait aussi en droit d’exiger que ces messages électroniques ne diminuent pas la productivité de l’entreprise. A cet égard, deux problèmes peuvent se poser : le blocage du système informatique de l’entreprise par l’envoi simultané d’un trop grand nombre, ou d’un trop grand volume, de messages, et la perte de temps de travail causé par la lecture de ces messages par les salariés destinataires. L’envoi d’un message en simultané (avec éventuellement des pièces jointes de gros volume) à plusieurs centaines, voire plusieurs milliers de salariés, peut en effet, comme le savent tous les directeurs informatiques des grandes entreprises, provoquer un « plantage » d’un système qui n’a pas été formaté pour une telle opération [51] . Et un système informatique bloqué pour plusieurs heures, voire plusieurs jours, cela peut coûter très cher à l’entreprise. L’employeur doit donc fixer des règles impératives d’utilisation de la messagerie que, comme tous les autres salariés, les délégués devront respecter. De même, il ne faut pas que l’envoi de messages aux salariés par les délégués deviennent un véritable « spaming » [52] , entraînant une perte de temps de travail par la nécessité où se trouveront les salarié de lire des messages qui ne les intéresseront peut-être pas. Un spaming syndical pourrait être assimilé à une distribution de tract hors des horaires déterminés par le Code du travail (entrées et sorties de travail), et donc interdit. En revanche, un échange de messages électroniques entre un délégué syndical et un salarié, à l’occasion d’une affaire concernant le dit salarié, ne saurait être interdit par l’employeur. Pour le reste, les délégués syndicaux et les institutions représentatives doivent évidemment respecter les droits des tiers, comme tous les autres salariés de l’entreprise, c’est à dire ne pas utiliser la messagerie pour inciter à une infraction, diffamer ou injurier une personne, porter atteinte à un droit de propriété intellectuelle etc. Section 3La connexion à Internet & questions. On peut d’abord se demander si l’employeur est tenu de fournir aux délégués syndicaux et aux institutions représentatives un ordinateur connecté à Internet s’il en a fourni un aux autres salariés. En ce qui concerne le local syndical, on peut estimer qu’un ordinateur connecté à Internet est aujourd’hui un élément d’équipement aussi indispensable qu’un téléphone pour que le local puisse remplir les fonctions auxquelles la loi le destine. Comme nous l’avons vu, cela dépend de l’accord qui doit être passé avec l’employeur, mais on imaginerait difficilement qu’ un employeur puisse refuser à ce local un ordinateur connecté sur la messagerie électronique et sur Internet. Pour les délégués qui disposeraient d’une ordinateur en tant que salarié, dans le cadre de leur travail, l’employeur ne pourrait évidemment pas leur en interdire l’utilisation comme délégué; il pourrait évidemment exiger que soit pris sur leurs heures de délégation le temps qu’ils passeraient à l’utiliser. Même chose pour les comités d’entreprise : leur règlement intérieur devrait considérer l’usage de la messagerie électronique et de la connexion à Internet comme des moyens d’action normaux. L’un des éléments essentiels des missions des délégués syndicaux et de institutions représentatives est constitué par la communication d’informations au personnel : informations sur les élections professionnelles, sur les délibérations du comité d’entreprise et du comité d’hygiène et de sécurité des conditions de travail, sur les réponses données par l’employeur aux questions des délégués du personnel, sur les négociations annuelles sur les salaires, sur les modifications du règlement intérieur, sur les revendications syndicales etc. Cette information se fait traditionnellement par affichage sur des panneaux prévus à cet effet dans l’entreprise, mais, dans une entreprise disposant d’un Intranet, on peut évidemment penser que les panneaux d’affichage « matériels » pourrait être avantageusement doublés par des panneaux d’affichage « virtuels », c’est à dire soit un espace disque de l’Intranet réservé aux communications des délégués syndicaux et des institutions représentatives, soit un , ou plusieurs, site Web sur Internet. Rien n’empêche évidemment un syndicat, ou un comité d’entreprise, de créer son propre site Web sur Internet et d’en informer les salariés de façon à ce que ces derniers puissent aller le consulter, et de nombreux syndicats ont déjà adopté cette solution. Mais dans une entreprise disposant d’un Intranet [53] , les salariés auront beaucoup plus de facilité à consulter un espace disque réservé aux syndicats et aux institutions représentatives sur cet Intranet que de se connecter sur un site Internet. En l’état actuel de la loi, et compte tenu de la jurisprudence restrictive en matière de distribution de tracts citée précédemment, on peut cependant estimer que l’employeur ne peut être contraint d’accorder un « affichage virtuel » aux délégués syndicaux et aux institutions représentatives. S’il y consent, il devra veiller à n’établir aucune discrimination entre les différents syndicats représentés dans son entreprise : accorder à un syndicat un espace disque et le refuser à un autre constituerait le délit de discrimination syndicale, comme l’a récemment jugé le TGI de Versailles dans le cas d’un syndicat qui s’était vu refuser par l’employeur l’accès à Internet. [54] Bien entendu, le coût de l’utilisation de la messagerie électronique et de la connexion à Internet n’a pas à être supporté par l’employeur. Cette règle n’est cependant pas facile à mettre en œuvre car les frais d’installation et d’utilisation de la messagerie électronique et de la connexion à Internet varient considérablement selon les entreprises. Certaines entreprises ont leur propre serveur et leur propre gestion de leurs services informatiques, alors que d’autres externalisent complètement toute leur informatique; les unes ont leur propre réseau (Intranet), les autres non ; certaines paient leurs connexions à Internet par forfait, d’autres au temps passé etc. Bref, les calculs de coût d’un message électronique, ou d’une minute de surf sur Internet, font entrer en jeu tant de facteurs qu’il est souvent bien difficile d’arriver à un chiffre indiscutable. Aussi beaucoup d’entreprises, plutôt que de rentrer dans des querelles sans fin sur la facturation aux délégués et aux institutions représentatives de leurs communications électroniques et de leur temps de connexion sur Internet (ou sur Intranet) préfèrent-elles aujourd’hui renoncer à cette facturation en échange d’une limitation volontaire de ces communications et de ces temps de connexion par les intéressés. Conclusion : Un certain nombre d’entreprises françaises parmi les plus importantes, pensant que prévenir vaut mieux que guérir, sont d’ores et déjà en voie de passer des accords avec leurs délégués syndicaux et leurs institutions représentatives. [55] En règle générale ces accords s’articulent autour des principes suivants : - la messagerie électronique peut être utilisée par les délégués syndicaux et les délégués du personnel dans le respect des règles techniques destinées à préserver la sécurité du système informatique, mais seulement pour des communications individuelles (ce qui exclut les messages collectifs et le spaming syndical) ; en cas de communication collective, l’accord préalable de l’employeur est requis. - Un espace disque sur l’Intranet est réservé à chaque section syndicale et chaque institution représentative pour y afficher : o La liste, et les références, des délégués et des membres des institutions représentatives ; o Les heures de permanence ; o Les procès verbaux des réunions ; o Le règlement intérieur et les accords collectifs o Toute information intéressant l’ensemble du personnel. - la direction s’engage à respecter la confidentialité des messages échangés, sauf nécessité technique (blocage de la messagerie, purge d’un virus etc.) ; elle s’engage aussi à ne pas « lister » les connexions Internet. - La direction assure les frais de fonctionnement de la messagerie électronique et de la connexion à Internet dans le cadre d’un forfait fixé à l’avance (en nombre de messages envoyés et en temps de connexion), tout dépassement de ce forfait restant à la charge des intéressés. Ce ne sont évidemment là que des exemples, et chaque entreprise pourra, selon ses spécificités, apporter d’importants aménagements à ces règles. Mais l’essentiel, c’est certainement d’arriver à un accord pour éviter des conflits ultérieurs. [1] Tribunal correctionnel de Paris, 2 novembre 2000, rapporté par Le Monde, 4 novembre 2000. [2] Le texte de la loi est disponible sur le site Web de la Commission Nationale Informatique et Libertés: http://www.cnil.fr [3] Le 24 octobre 1995, l'Union européenne a adopté la directive 95/46/CE relative à la protection des données personnelles et à la libre circulation de ces données, publiée au Journal officiel des communautés européennes du 23 novembre 1995. Cette directive vise à réduire les divergences entre les législations nationales sur la protection des données afin de lever tout obstacle à la libre circulation des données à caractère personnel à l'intérieur de l'Union européenne. Les dispositions de cette directive doivent être reprises par chaque État dans une loi nationale (transposition) dans un délai de trois ans après la date d'adoption de la directive, c'est-à-dire avant le 24 octobre 1998. En 1996, le garde des Sceaux M. Jacques TOUBON avait confié à deux membres du Conseil d'État une étude liminaire sur les orientations de la future loi (cf. 17ème Rapport d'activité de la CNIL 1996, p. 27-31). Le 25 août 1997, le premier ministre M. Lionel JOSPIN a confié à M. BRAIBANT, président de section honoraire au Conseil d'État une mission de réflexion et de propositions préalable à l'élaboration par le gouvernement d'un avant-projet de loi de transposition (discours d'Hourtin). Le 3 mars 1998, M. BRAIBANT a remis son rapport au premier ministre lequel a indiqué dans un communiqué que le projet de loi serait "soumis à la consultation de la Commission Nationale Consultative des Droits de l'Homme et à celle de la Commission Nationale de l'Informatique et des Libertés" avant d'être présenté au Parlement. Depuis, le Parlement n'a toujours pas été saisi d'un projet de loi [4] Pour des raisons de clarté de l'exposé nous utiliserons le terme de "donnée à caractère personnel", qui, dans un futur proche, devrait être adopté par la législation française, comme synonyme du terme "donnée nominative" utilisé par la loi "Informatique et liberté" française. [5] Article 6, 1, b) [6] CNIL, expression abrégée et usuelle pour "Commission Nationale Informatique et Liberté". Cette commission est chargée de veiller au respect de la loi "Informatique et liberté", elle a des pouvoirs d'interprétation, d'enquête et de poursuites. [7] Article 9 Code Civil [8] Article 7 b) et f). [9] Dès 1984 la Cour de Cassation jugeait qu’un comité d’entreprise ne pouvait pas exiger que les candidats à une prime de vacances fournissent une déclaration de revenus, car celle-ci peut fournir des renseignements – situation de famille, situation de fortune, existence de dettes etc – qui ne sont pas indispensables au comité d’entreprise. Civ. 29/5/84. B II, n°176, p.149. Voir aussi Paris 23/1/89. D. 89,J 471, note Lindon; Civ. 20/11/90. JCP 91, IV, 29; Civ. 20/10/93. D 94. J 94, note Picod. [10] Article 29 [11] Article 18, al 2. [12] Libération 9/11/98, p. 23. [13] Article 323-1 Code Pénal [14] Articles 323-6 et 121-2 Code Pénal [15] Article L432-2 Code du Travail [16] Article L432-2-1 Code du Travail [17] Et, dans le premier cas, à "consulter" le comité d'entreprise. [18] Article 1384 Code Civil [19] Article 226-16 Code Pénal [20] Article 226-17 Code Pénal [21] Article 226-18 et 226-19 Code Pénal [22] Article 226-22 Code Pénal [23] Article L432-2-1 Code du travail [24] Article L432-2 Code du Travail [25] Article L432-2-1 Code du Travail [26] Et, dans le premier cas, à "consulter" le comité d'entreprise. [27] Article 226-1 CP: "Est puni d'un an d'emprisonnement et de 300000 frs d'amende le fait, au moyen d'un procédé quelconque, volontairement de porter atteinte à l'intimité de la vie privée d'autrui: 1° En captant , enregistrant ou transmettant, sans le consentement de leur auteur, des paroles prononcées à titre privé ou confidentiel; 2° En fixant, enregistrant ou transmettant, sans le consentement de celle-ci, l'image d'une personne se trouvant dans un lieu privé. Lorsque les actes mentionnés au présent article ont été accomplis au su et au vu des intéressés sans qu'ils s'y soient opposés, alors qu'ils étaient en mesure de le faire, le consentement de ceux-ci est présumé." [28] Article 226-15 al 2 CP: "Est puni des mêmes peines (1 an d'emprisonnement et 300.000 frs d'amende) le fait, commis de mauvaise foi, d'intercepter, de détourner, d'utiliser ou de divulguer des correspondances émise, transmises ou reçues par la voie des télécommunications ou de procéder à l'installation d'appareils conçus pour réaliser de telles interceptions." [29] Crim. 16/1/92. G.P. 92. 2. Somm. 296. [30] Article 361 Ancien Code Pénal. [31] Voir notamment Cass Soc 20 novembre 1991. Dr. Soc. 1992. 28. rap. Waquet. [32] Recommandation n°84-31 du 18 septembre 1984 concernant l’usage des autocommutateurs téléphoniques sur les lieux de travail. Troisième rapport d’activités de la CNIL, p. 109. [33] Pour une opinion nuancée, mais finalement assez restrictive, sur la question, voir par exemple J.C. Patin "La surveillance des courriers électroniques par l'employeur." sur le site Juriscom "www. juriscom. net/espace2/courrier2.htm" [34] Lire le texte intégral du jugement sur le site de M° S. Canevet, avocat "www.canevet.com/jurisp/textes/001102.htm" [35] Au moins devant le Conseil des Prud'hommes, car on sait qu'en matière pénale la Chambre Criminelle admet la production de preuves obtenues de façon illicite. [36] Article L 412-17 Code du Travail [37] Article L 412-8 Code du Travail. [38] Crim. 30 janvier 1973. B. crim. n°55 [39] Soc. 31 mars 1998. TPS comm. 211 [40] Paris 3 juillet 1975. [41] Article 226-15 Code Pénal [42] Article L 481-2 Code du travail [43] Article L 412-9 Code du Travail [44] Soc. 27 octobre 1981. Dr. Ouvrier 1982. 288 [45] Délibération de la CNIL du 20 décembre 1994, disponible sur le site Web de la CNIL http://www.cnil.fr [46] Article 226-1 Code Pénal [47] Dr. Soc. 1992. 28. rapport Waquet [48] TGI Paris 2 novembre 2000, dans notre précédent article « La protection de la vie privée dans la pratique des entreprises. Le régime juridique des informations concernant la vie privée des salariés (2° partie). » Les Annonces de la Seine.1 février 2001. p. 9 et s. [49] Articles L481-2 et L481-3 Code du Travail [50] Jugement cité par V. Sedaillan. « Messagerie électronique et forums publics. » Communication lors de Euroforum 30 et 31 janvier 2001 « NTIC et contrôle des salariés ». [51] Le « bombardement » d’un site par plusieurs milliers de message est une technique bien connue des « pirates » voulant bloquer le fonctionnement d’un site Web, comme le révèle la lecture de la presse généraliste (récentes attaques des sites de Microsoft, du FBI etc.). [52] Terme anglais signifiant que l’on adresse un message (généralement publicitaire) à un destinataire qui n’a rien demandé, ce qui entraîne un encombrement de la boîte à lettres, une perte de temps de lecture etc.… Le spaming publicitaire sera vraisemblablement réglementé de façon assez restrictive par la future loi sur l’information en discussion devant le Parlement français. [53] L’Intranet est un réseau interne à l’entreprise, sur son propre serveur, et qui n’est pas nécessairement connecté sur Internet. [54] TGI Versailles 20 novembre 1998, cité par V. Sedaillan. « Messagerie électronique et forums publics. » Communication lors de Euroforum 30 et 31 janvier 2001 « NTIC et contrôle des salariés ». [55] Le lecteur comprendra que nous ne pouvons évidemment pas citer de noms… |
