|
ANNUAIRE DE SITES JURIDIQUES : |
|
ANNUAIRE DE CABINETS D'AVOCATS D'AFFAIRES : |
Quelle méthode pour rédiger une charte internet ? par Philippe Bazin. Analyse.
Telle qu’elle est formulée, la question paraît à la fois dépassée et actuelle.
Dépassée, parce qu’une abondante littérature existe déjà sur la question, de sorte qu’il peut paraître présomptueux de prétendre apporter un élément nouveau sur la question.
Opportune, parce que la réflexion menée le plus souvent par les auteurs, repose essentiellement sur une approche juridique du problème.
Or, dans la pratique l’Avocat Conseil qui accompagne l’entreprise dans la rédaction de la charte se trouve confronté à une approche psychologique.
Celle ci oppose deux logiques contradictoires :
- une logique de confiance, telle celle exprimée par la Cnil dans ses différents rapports.
Au nom de cette logique, il faut privilégier la " discussion " sur le contenu de la charte, et autoriser un usage " raisonnable " des NTIC à titre privé par les salariés
- une logique de défiance, telle celle vécue par l’employeur lorsqu’il se trouve confronté au problème de la preuve en cas de manquement à la discipline.
Au nom de cette logique, il faut privilégier une rédaction unilatérale de la charte par le Chef d’Entreprise, et interdire tout usage personnel des NTIC aux salariés.
Entre ces deux approches, l’Avocat Conseil doit naviguer pour concilier des principes généreux sur un terrain ...miné.
Quelle méthode rédactionnelle peut il adopter ?
La réponse tient schématiquement dans les trois propositions ci-après.
Celles ci sont tirées de l’expérience de rédactions de chartes pour des entreprises de taille très différentes et dans des secteurs d’activités très variés.
1. Proscrire le recours à une charte type en amenant l’employeur à faire des choix
2. Associer le responsable du service informatique au processus rédactionnel
3. Doubler l’action de conseil, par une action de formation
I : PROSCRIRE LE RECOURS A UNE CHARTE TYPE EN AMENANT L’EMPLOYEUR A FAIRE DES CHOIX
1.1 : Statuts types et CGV
Le syndrome des documents types frappe souvent lorsqu’une entreprise ne voit pas très bien, pourquoi elle devrait payer des honoraires pour des prestations sur mesure alors qu’il existe du prêt à porter.
Citons, à titre d’exemple, le créateur d’entreprise qui demande des "statuts type", ou le service commercial, qui demande des "conditions générales de vente type".
S’il est clair que chacun des ces documents comporte des rubriques communes, c’est commettre une erreur grossière que de croire que les clauses elles-mêmes peuvent s’appliquer de manière indifférenciée à toute entreprise.
La charte internet obéit aux même principes.
1.2 : Rubriques communes et contenus diversifiés
S’il est vrai que certaines de ses rubriques peuvent être communes à toutes les entreprises, les règles qui s’y trouvent attachées doivent au contraire être pensées en fonction de la philosophie exprimée par l’équipe de direction.
Cette philosophie transparaît notamment au travers des réponses apportées aux trois questions suivantes :
Question 1 : Contrôle de productivité ou contrôle de conformité ?
La cybersurveillance peut porter aussi bien sur la quantité de travail produite par le salarié à l’aide de l’outil informatique, (productivité) que de son affectation à l’usage pour lequel il lui a été remis (conformité).
Cette question est centrale puisqu’elle conditionne :
En pratique, la plupart des chartes optent pour le deuxième type de contrôle.
Mais encore faut-il que ce choix ressorte clairement de la rédaction du document, et que ses conséquences en soient clairement perçues par l’employeur.
Le recours à une charte type risque sur ce point essentiel de déboucher sur de graves malentendus.
- Question 2 : Contrôle a priori ou contrôle a posteriori ?
Les outils de surveillance doivent être clairement présentés aux salariés pour qu’ils sachent exactement ce que l’employeur peut techniquement contrôler.
Mais encore faut il que là encore, l’employeur et son équipe de direction aient fait un choix :
Les chartes sur ce point ne sont pas univoques.
Ici encore la philosophie et les valeurs de l’employeur sont décisives pour opérer un choix, qui à bien des égards conditionne la qualité des relations dans l’entreprise.
" J’ai confiance ", donc chacun est libre dans son utilisation, et le contrôle n’est que la conséquence d’un abus dans la liberté laissé aux salariés.
" Je n’ai pas confiance " donc chacun sait qu’à tout moment il peut être contrôlé, et j’évite ainsi d’exposer mon système d’information aux risques de dysfonctionnements.
Les deux logiques sont parfaitement respectables, et ont chacune leurs avantages et leurs inconvénients.
Le chef d’entreprise et son équipe de direction doivent faire des choix, en étant éclairé par leur Conseil sur les conséquences de ce choix.
Recourir à un document type dans ce contexte, marque l’abdication de la réflexion au profit d’un conformisme problématique, voire inconscient.
Question 3 : Un seul document ou deux ?
L’informatique est le terrain d’élection des mutations rapides.
Les solutions techniques en vigueur aujourd’hui seront dépassées demain et conduiront à des changements.
La charte internet dans ce contexte comporte deux aspects distincts :
- un aspect technique : c’est le mode d’emploi du système avec son aspect éphémère (procédures d’accès, changement des mots de passe, sauvegarde etc.)
- un aspect juridique : c’est le code de bonne conduite, pouvant déboucher sur des sanctions disciplinaires.
Il est fréquent de voir des chartes mélanger souvent les deux questions.
Or cette méthode de rédaction a un avantage et ... beaucoup d’inconvénients.
L’avantage tient en ce qu’il n’existe qu’un seul document de référence, véritable code complet d’utilisation.
Les inconvénients pour ne citer que les principaux tiennent en :
o l’obligation de soumettre toute modification technique au formalisme d’opposabilité de la charte (consultation du CE, dépôt à l’Inspection du Travail, et au Conseil des Prud’hommes, affichage dans l’entreprise)
o un mélange des genres qui fait voisiner des principes éthiques et disciplinaires par définition exprimés de manière synthétique et peu nombreux, avec des consignes techniques par définition exprimées de manière analytique et nombreuses.
Ici, encore se rallier à un " modèle " de charte est un non sens.
La méthode rédactionnelle qui consiste à rédiger deux documents : l’un sous forme de charte proprement dite, et l’autre de " note technique " ou note de service, permet de concilier le souci de stabilité de la charte, avec la nécessité de l’évolution de la note technique.
L’ensemble est au départ soumis au CE.
Ensuite, la note de service suit son évolution sans être rigidifiée par le formalisme attaché à la modification de la charte.
Le chef d’entreprise et son équipe de direction doivent mesurer les avantages et les inconvénients de chaque formule (un ou deux documents) et non pas suivre un modèle improbable issu d’une pratique incertaine.
Cette réflexion ordonnée sur ce que doit être le " noyau dur " de la charte, ne doit pas être menée par le seul chef d’entreprise et son équipe de direction.
Elle doit associer systématiquement le responsable du service informatique au processus rédactionnel.
II : ASSOCIER SYSTEMATIQUEMENT LE RESPONSABLE DU SERVICE INFORMATIQUE AU PROCESSUS REDACTIONNEL
2.1 : L’attitude " magique " des équipes de direction vis à vis du système d’information.
Un prestidigitateur produit des effets, sans révéler les causes.
Il donne par conséquent l’impression de produire sans effort, des effets extraordinaires.
A bien des égards, l’informatique suscite ce type d’attitude dans les équipes de direction.
Parce que - lorsqu’il fonctionne correctement !!!- un système d’information permet de faire très vite des opérations très puissantes, il donne une impression de facilité trompeuse.
Certains décideurs peuvent ainsi ne pas mesurer exactement l’ampleur de l’infrastructure et de l’investissement humain qui se cache derrière un système d’information.
Pour cette raison, le service informatique n’est pas nécessairement associé au processus de décision. (L’informatique suivra !!!)
Si cette approche est possible dans certains domaines, elle doit être nuancée dans le domaine de la cybersurveillance pour deux raisons :
Juridiquement, le responsable du service informatique encourt une responsabilité propre qui justifie de sa part une vigilance critique par rapport aux mesures de contrôle envisagées par l’équipe de direction
- Techniquement, le responsable du service informatique est un interlocuteur lucide sur les possibilités effectives de mise en place des procédures de contrôle.
2.2 : La responsabilité pénale personnelle de l’administrateur réseau
Il est constant juridiquement que l’administrateur réseau, ne peut se retrancher derrière le " commandement de l’autorité légitime " pour commettre des infractions informatiques de nature pénale.
Or, l’interception de correspondances privées, pour ne citer que celle ci constitue un risque réel en ce domaine.
Même si son employeur le lui demande un administrateur réseau ne peut mettre en place un système d’interception clandestin, c’est à dire ignoré des salariés, sans s’exposer au risque d’être poursuivi, au minimum en qualité de complice de l’infraction commise.
Ce motif à lui seul, justifie que le responsable du service informatique, soit associé à la réflexion sur la cybersurveillance.
2.3 : Un regard lucide sur la faisabilité technique des mesures de contrôle envisagées
Le responsable du service informatique dispose d’une vision d’ensemble du système d’information.
Il en connaît les limites, souvent très éloignées des affirmations péremptoires des vendeurs de matériel ou logiciels.
Il peut par conséquent donner un avis éclairé sur ce qui est possible et sur la disproportion qui pourrait surgir entre les types de contrôle envisagés par l’équipe de direction, et les investissements informatiques qu’il faudrait réaliser.
En outre, il connaît de l’intérieur les pratiques d’utilisation du système.
Il est donc le mieux placé pour donner à l’équipe de direction, une vision globale du profil des utilisateurs, et de leurs comportement.
Or, c’est bien ce profil et ce comportement qui entreront en ligne de compte dans les choix à faire sur :
- la nature (productivité ou conformité ?)
- l’étendue (sites et/ou courriels ?)
- et le moment ou s’exerceront les contrôles (a priori ou a posteriori ?)
Ainsi les mécanismes de la charte doivent ils être :
- le produit d’un travail de réflexion axé sur la spécificité de l’entreprise, et non une simple adhésion à un document qui n’aurait d’ailleurs de " type " que le nom
- le produit d’un travail d’équipe constituée par l’équipe de direction, le service informatique, et l’avocat conseil.
Mais quels que soient les efforts déployés pour donner au document final, un contenu le plus approprié à l’entreprise, il reste un troisième volet méthodologique qui consolide en enrichit les deux premiers : celui qui consiste à doubler l’action de conseil d’une action de formation.
III : DOUBLER L’ACTION DE CONSEIL D’UNE ACTION DE FORMATION
Quelles que soient les réponses apportées par l’équipe de direction aux questions essentielles, évoquées ci-dessus, elles doivent être expliquées aux salariés et non imposées.
Les actions de formation constituent un support très adapté pour ce type d’explications.
Elles sont justifiées au moins par les trois considérations suivantes :
- l’écrit numérique est un phénomène culturel majeur
- l’entreprise à un rôle à jouer pour diffuser cette culture
- le dialogue social peut y gagner
3.1 : Une nouvelle culture de l’écrit numérique
Peu de salariés et même, peu de décideurs, savent que l’écrit numérique a aujourd’hui une valeur juridique aussi forte que l’écrit papier, et qu’il engage par conséquent l’entreprise au même titre qu’une correspondance sur papier.
Peu de salariés, et même peu de décideurs, savent que la consultation de sites illicites constitue en soi une infraction pénale susceptible d’entraîner la responsabilité personnelle de celui qui effectue la consultation, et la responsabilité de l’employeur, sur le terrain de la complicité par fourniture de moyens.
Peu de salariés et même peu de décideurs, savent que le fait de détenir des fichiers d’informations nominatives, sans prendre de précautions pour les protéger contre une diffusion intempestive, expose l’éditeur de la base de données, donc en l’espèce l’employeur à des poursuites pénales personnelles.
En un mot, aujourd’hui peut de gens savent qu’à coté de l’écrit sur support papier il existe un écrit numérique qui a autant de force et de valeur.
Avant de sanctionner un salarié pour avoir méconnu cette règle, il est souhaitable en tous cas loyal de l’en avoir préalablement et clairement informé.
3.2 : Une approche citoyenne
Les générations actuellement en activité et dans une certaine mesure, les générations montantes, n’ont pas reçues de réelle formation sur ces mécanismes.
L’entreprise - dans le sens citoyen du terme- a un rôle à jouer pour diffuser ces notions auprès du plus grand nombre.
Elle a tout à y gagner.
3.3 : Un dialogue social renouvelé
Les nouvelles technologies donnent une chance historique à l’entreprise : diffuser auprès des salariés un savoir à la fois technique et culturel, valable aussi bien pour un usage personnel et privé que pour un usage professionnel.
Pour l’employeur, former les salariés au bon usage de l’internet et/ou du courrier électronique, c’est saisir l’opportunité historique d’engager un nouveau dialogue avec les salariés portant sur un sujet transversal puisqu’il concerne :
- les hommes comme les femmes
- tous les métiers
- toutes les générations.
Cela s’appelle un phénomène de société, et en d’autres lieux, ce type d’opportunité pourrait être qualifié de " dialogue social renouvelé ".
Ce n’est pas parce que la formule est galvaudée, qu’il faut renoncer à l’utiliser lorsqu’elle correspond si bien à la situation envisagée..
Rouen le 11/07/2002
Philippe BAZIN
Avocat au Barreau de Rouen
EMO HEBERT & ASSOCIES
|
