L’Internet dans l’entreprise ou comment naviguer entre Charybde et Scylla, par Jean-Pierre Gasnier, cabinet ABG (Analyse)

Internet.
Voilà un mot (et une réalité) qui ont soulevé et soulèvent encore bien des passions, pas toujours bien rationnelles d’ailleurs. Passion financière chez des investisseurs de tous crins qui pensaient avoir trouvé un nouvel Eldorado et qui souvent n’ont rencontré que mauvaise fortune. Passion intellectuelle et libertaire des tenants d’un Internet espace de liberté absolue, même au mépris des lois et des intérêts publics ou privés, pirates informatiques qui voulant revêtir l’aspect de " vertueux " corsaires invoquent une prétendue mission scientifique ou un simple but ludique (1). Passion sécuritaire, en réaction à la précédente, qui va du refus de l’outil (peut-on refuser le progrès ?), gage, de fait, d’une absolue sécurité, à la mise en place de systèmes et de procédures plus ou moins utiles ou légales.
Mais passion n’est pas raison, et c’est de raison qu’il faut s’armer quand, chef d’entreprise notamment, on aborde la question de l’Internet et de la sécurité.

Bien sûr, l’Internet peut être source d’ennuis : divulgation de secrets d’entreprise par des salariés ou associés indélicats qui se retranchent derrière le secret des correspondances, surtout depuis les récentes et inquiétantes dérives jurisprudentielles qui ont abondamment alimenté les chroniques juridiques (2), mise en jeu de la responsabilité du chef d’entreprise sur le fondement de l’article 1384 (responsabilité du commettant) en raison par exemple d’injures ou de diffamation, de propos incitant à la haine raciale, d’actes de dénigrement, de contrefaçon ou de piratage informatique commis par un préposé à partir d’un poste mis à disposition par l’entreprise. (3)

L’Internet, comme tout outil d’ailleurs, peut donc permettre le meilleur (que chacun connaît) comme le pire. Un couteau peut aussi bien servir à découper un fruit qu’à occire son voisin : Faut-il pour autant supprimer tous les couteaux ? Certes non.
C’est donc à une utilisation raisonnée de l’outil qu’il faut inviter les entreprises.

A. Utilisation raisonnée tout d’abord par une analyse des besoins en sécurité. Le " tout sécurité " est illusoire et serait hors de prix, mais le prix résultant des dégâts causés par une absence de mesures raisonnables de sécurité risque d’être lui aussi exorbitant. La sécurité est donc affaire, sinon de compromis, du moins d’équilibre. Elle suppose de bien analyser les systèmes en place pour en connaître les limites et les failles, puis de définir des priorités qui permettront d’envisager les solutions techniques.

B. Utilisation raisonnée, ensuite, par la mise en place des solutions techniques assurant la sécurité physique du réseau afin d’éviter les virus, vers, pirates et autres agressions extérieures et ce d’autant que ces agressions peuvent permettre l’intrusion dans des fichiers de données nominatives, voire les altérer, alors que la loi du 6 janvier 1978 et la Directive 95/46/CEE du 24 octobre 1995, (sur le fondement de laquelle la loi précitée devrait être prochainement modifiée), prévoient toutes deux que le responsable du traitement des données doit mettre en oeuvre les mesures techniques appropriées pour protéger celles-ci contre toute altération ou destruction accidentelle, mais également pour éviter les accès illicites à ces dernières et leur divulgation.

C. Utilisation raisonnée, enfin, par la mise en place de protections juridiques, dont les fameuses chartes d’utilisation de l’outil informatique et Internet. Ces chartes, à l’évidence, doivent être adaptées aux besoins de chaque entreprise. Adopter la charte du voisin ou celle d’une entreprise d’un autre secteur ou d’une autre taille qui, elle, s’en trouve bien, risque d’exposer l’entreprise à de graves désillusions.
Quelques rappels à propos de ces chartes, de leur contenu et des procédures d’adoption :

  D’une part, éviter d’intégrer leur contenu dans le contrat de travail lui-même, il en résulterait un manque de souplesse et d’adaptabilité préjudiciable à l’entreprise. Or cette souplesse est nécessaire du fait de la constante évolution des techniques et des difficultés corollaires.

  D’autre part, il convient de rappeler que l’interdiction absolue d’une utilisation de l’Internet (sites, forums, messagerie) à des fins personnelles est possible et légale, même si elle n’est pas toujours réaliste ou même souhaitable. Cependant, eu égard aux dispositions pénales protégeant la correspondance privée (4), cette prohibition ne peut avoir pour effet de prendre connaissance du contenu des messages, (sur ce sujet et les solutions possibles voir les articles précités sou note n° 2).

  On soulignera également que la protection du contenu des messages à caractère privé, contre toute interception, détournement ou prise de connaissance par une personne autre que le destinataire, ne saurait s’analyser en une interdiction absolue pour l’employeur de prendre connaissance du contenu des fichiers sauvegardés sur le disque dur de l’ordinateur mis à la disposition d’un salarié, dès lors que ces fichiers n’ont pas le caractère d’une correspondance. Il convient en effet d’écarter ici une idée fausse et pourtant fréquemment répandue, selon laquelle l’ordinateur personnel mis à la disposition des utilisateurs sur leur lieu de travail serait, en tant que tel, protégé par les dispositions relatives à la protection de la vie privée (notamment, article 9 du code civil, loi " Informatique et Libertés " du 6 janvier 1978) (5). Il n’en reste pas moins que l’employeur devra veiller à ce que les mesures de contrôles envisagées ne soient pas de nature à porter atteinte à la vie privée.

  Il est également nécessaire de rappeler que toute restriction aux libertés individuelles et collectives dans l’entreprise, doit être proportionnée au but recherché (article L.120-2 du code du travail) et que partant une information préalable des salariés concernés (article L.121-8 dudit code), outre qu’elle est rendue obligatoire par les dispositions légales en vigueur, est souhaitable, pour permettre une information précise quant aux buts poursuivis par la mise en place des systèmes de contrôle ou des interdictions. Par ailleurs, dans les entreprises dotées d’un comité d’entreprise, la consultation préalable de celui-ci est obligatoire (article L.432-2-1 du code du travail).

  De surcroît, lorsque les mesures de contrôle rendent nécessaires de traiter des données à caractère personnel, la loi du 6 janvier 1978 précitée rend obligatoire la déclaration préalable des fichiers de traitement, ainsi qu’une information des salariés quant à leurs droits (droit d’accès aux données, droit de contrôle, de rectification et d’opposition, articles 26, 34 à 36 de la loi). On soulignera que pour la CNIL (rapport précité sous note n°4), les fichiers de journalisation des connexions (logs) n’ont pas, en tant que tels, à faire l’objet d’une déclaration préalable. Par contre, les logiciels d’analyse de ces journaux, s’ils permettent de collecter des informations poste par poste en vue du contrôle de l’activité des salariés, doivent obligatoirement faire l’objet d’une déclaration préalable.

Pour terminer, il convient de s’arrêter quelques instants sur le rôle des administrateurs réseaux. Le rapport de la CNIL, qui précisons-le n’a pas de valeur normative, leur consacre une large place. Ceux-ci, de par leur fonction, ont un accès étendu aux informations relatives au réseau qu’ils administrent et à son utilisation par les personnes de l’entreprise. Selon le rapport de la CNIL précité, " un tel accès n’est contraire à aucune des dispositions de la loi du 6 janvier 1978 ". Cette position doit être approuvée.
Bien entendu, l’exploitation des informations collectées par les administrateurs à des fins autres que celles de la sécurisation du réseau ne sauraient être opérées, même sur demande ou ordre de la hiérarchie, en ce qu’une telle exploitation serait susceptible de constituer un détournement de la finalité des données collectées. (L’auteur du rapport de la CNIL va jusqu’à soutenir que les administrateurs réseaux seraient soumis au secret professionnel, nous ne pouvons toutefois prendre cette affirmation pour argent comptant en l’état du droit positif).

Fait encourageant la cour d’appel de Paris dans son arrêt du 17 décembre 2001 (voir note n° 2) a estimé que " la préoccupation de la sécurité du réseau justifiait que les administrateurs de systèmes et de réseaux fassent usage de leurs positions et des possibilités techniques dont ils disposaient pour mener les investigations et prendre les mesures que cette sécurité imposait ". Autrement dit, l’administrateur, tant qu’il utilise ses prérogatives conformément à sa charge et à la finalité avérée des contrôles, essentiellement assurer la sécurisation des systèmes, n’encoure aucun grief.
Qu’il dépasse d’un iota ces prérogatives et le voici soumis aux foudres judiciaires. Ce même arrêt a en effet condamné l’administrateur qui avait divulgué le contenu des messages à caractère personnel, quand bien même ceux-ci étaient attentatoires aux intérêts d’un autre salarié et de l’entreprise.

On peut regretter cette frilosité des juges devant ce qui s’avère être un enjeu important de la vie des entreprises, frilosité qui les conduit à se réfugier dans une orthodoxie juridique que d’aucuns ont qualifiée " d’intégrisme " (Cf. commentaire de M. Vivant et J. Devèze cité sous note n° 2). Celle-ci est source d’incertitude pour les entreprises et on le sait, l’incertitude juridique n’est jamais facteur de développement. A trop privilégier certaines valeurs (protection des intérêts individuels) au détriment d’autres (protection des légitimes intérêts de l’entreprise comme entité économique), on risque d’aboutir à des effets pervers.

On le voit bien, tout dans ce débat est question de raison et d’équilibre, équilibre qu’on peine quelque peu à atteindre, pour le moment.
Faut-il légiférer autant qu’on l’entend dire actuellement ?
Pas nécessairement, cela apparaît même peu souhaitable. Mais faire évoluer l’application de certains textes s’avère indispensable. En attendant, les chefs d’entreprise doivent naviguer entre de nombreux écueils techniques et juridiques, ce qui leur impose une extrême vigilance. Le recours à des conseils connaissant tout à la fois la vie de l’entreprise, les contraintes techniques et les contraintes juridiques s’avère donc indispensable.

Notes :

(1) A ce propos, l’article de C Le Stanc : " Du hacking considéré comme un des beaux arts et de l’opportun renforcement de la répression " in Communication Commerce Electronique, n° 4, avril 2002.
(2) CA Paris 11ème ch.A, 17 dec. 2001, JCP G, n° 23, juin 2002, note Vivant et Devèze ; Cass. Soc., 2 oct.2001, D.2001, jurispr. P. 3148, Comm. Comm Elect. N°120, note Lepage, JCP E 2001, n° 48, p. 1918, note Puigelier, également, Droit et Patrimoine, n°103, avril 2002, A. Favaro et JP Gasnier " Cybersurveillance et secret des correspondances : un difficile équilibre ".
(3) A propos de la responsabilité du créateur et de l’hébergeur d’un site mise en oeuvre à l’occasion de propos injurieux et diffamant sur un forum non modéré, voir TGI Lyon 28 mai 2002 consultable sur LegalisNet et TGI Toulouse, 5 juin 2002, consultable sur