Votre patron sait tout sur vous

Les employés passent de plus en plus de temps sur le Réseau, mais pas forcément pour le boulot. Les employeurs se font plus regardants. Peuvent-ils vous contrôler et vous sanctionner? Les tentatives de réglementer l’utilisation d’Internet au travail à des fins personnelles touchent à des principes fondamentaux. Vie privée et liberté sous cybersurveillance?

L’informatique a envahi les bureaux. Sites Web ou e-mail, l’Internet est devenu un précieux outil de travail. Mais, aussi, de divertissement en tout genre : anodin lorsque deux collègues s’envoient une blague par e-mail, scabreux lorsque le PC du bureau sert de porte d’entrée à un site porno. La sacro-sainte productivité est-elle menacée par le recours croissant au Réseau?

Ce que beaucoup d’employés ignorent en tout cas, c’est que les entreprises disposent de moyens aussi discrets qu’efficaces pour suivre, seconde après seconde, l’utilisation du matériel informatique par le personnel. En effet, pour arrêter les pirates capables de bousiller ou de récupérer des informations sur la plus sophistiquée des installations, des logiciels très pointus (des firewalls ou pare-feu) sont mis en place afin de protéger les réseaux internes des entreprises. Or ces logiciels, mais pas seulement eux, permettent, aussi, une recension extrêmement précise de tout le trafic informatique de la société, ordinateur par ordinateur. Un exemple ? Les serveurs Proxy, qui mémorisent les pages visitées sur le Web afin de diminuer les risques d’engorgement du réseau de l’entreprise, constituent un instrument de traçage possédant l’avantage d’interdire l’accès à certains sites déterminés.

Que dire des serveurs mails où sont entreposés les messages électroniques en attente (ceux que vous envoyez et que vous recevez) ? Si ceux-ci ne sont pas cryptés, l’administrateur réseau (le type sympa toujours prêt à vous dépanner lorsque votre ordinateur ne répond plus) a tout loisir de les ouvrir sans laisser la moindre trace. De là à ce que le chef d’entreprise lui demande de surveiller la correspondance de certains salariés, il n’y a qu’un pas, que certains n’ont pas hésité à franchir.

Ainsi, dans le chapitre « Usages de l’Internet au travail » du nouveau « Forum des droits sur l’Internet » du gouvernement français, on peut parcourir quelques témoignages édifiants. « Je suis sysadmin (administrateur système) et je contrôle les accès à Internet ainsi que les serveurs de mails dans ma société. Récemment, mon supérieur m’a demandé de fliquer un utilisateur: « je veux savoir tout ce qu’il fait sur Internet pour la journée de demain »… » Et le quidam d’interroger la communauté des internautes, sur la légalité de ce genre de pratique. Dans le doute et au risque de passer pour incompétent notoire aux yeux de son employeur, il a expliqué à celui-ci que le pistage n’était techniquement pas possible. Un pieux mensonge qui pourrait se retourner contre lui. Aux Etats-Unis, un groupe de juges fédéraux de San Francisco a constaté le contrôle de leurs ordinateurs depuis Washington. Soit, depuis le bureau administratif des tribunaux qui s’est empressé d’expliquer que son intention était uniquement d’empêcher que l’écoute de radios en ligne ou le chargement de fichiers vidéo engorgent le système informatique. Une intention qui n’a pas empêché l’examen du trafic, puisque certains employés se sont fait rappeler à l’ordre pour avoir visité des sites pornos. Le même motif a valu à un employé français d’IBM un licenciement pour téléchargement d’images salaces. Une raison fallacieuse pour le travailleur qui, devant les prud’hommes (équivalent français du tribunal du travail), a défendu une « mise au placard » par ses supérieurs. Selon lui, ceux-ci cherchaient à se débarrasser des cadres trop âgés. Un argument porteur, renforcé par la faiblesse des preuves fournies par IBM (un disque dur contenant des photos pornos, dont un certain nombre affichaient une date postérieure de 23 mois aux faits) a fait pencher la balance en sa faveur.

Chez nous, c’est une romance passionnée entretenue par e-mails qui a coûté sa place à un responsable informatique belge. Devant sa faible productivité, son patron effectue un contrôle de ses activités professionnelles. Sur une dizaine de jours, l’amoureux transi a échangé avec sa dulcinée plus de 600 messages « chauds », durant les heures de travail. Résultat: un licenciement pour motif grave, sans préavis ni indemnité. Une décision contestée par l’employé. Devant le tribunal du travail, il réclame des dommages et intérêts pour licenciement abusif. Le tribunal lui donne raison le 2 mai 2000, estimant, qu’en vertu de l’article 8 de la Convention européenne des droits de l’homme, les messages personnels échangés sur les lieux du travail appartiennent à la sphère privée. De plus, comme le rapporte le site Droit et nouvelles technologies qui commente l’affaire, le tribunal a jugé que l’échange d’un très grand nombre de messages ne présente pas un degré de gravité suffisant pour invoquer la faute grave. Tout au plus reconnaît-il dans l’acte une faute légère. Ce constat n’aura cependant pas empêché l’employé de se retrouver sans boulot.

Une affaire assez similaire a fait l’objet d’un récent procès en France. Son épilogue, le 2 octobre dernier, en a surpris plus d’un ( voir l’encadré). Se basant également sur l’article 8 de la Convention européenne des droits de l’homme, la Cour de cassation française a estimé que « l’employeur ne peut, sans violation de la liberté fondamentale, prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail et ceci même au cas où l’employeur aurait interdit une utilisation non professionnelle de l’ordinateur (…) ». Une décision qui pourrait faire jurisprudence et influencer la justice belge dont les bases juridiques s’appuient encore, pour partie, sur le code français. Encore que certains avocats et professeurs de droit, réunis par l’Agence pour la protection des programmes pour commenter le jugement, se disent plutôt sceptiques sur les fondements juridiques pris comme référence dans cette décision. Cité par le magazine français Transfert, Jean Deveze, professeur de droit à l’université des sciences sociales de Toulouse, s’interroge:  » Si les messages personnels relèvent de la vie privée et également de l’intimité de celle-ci, quels contrôles restent possibles pour l’employeur ?  » Une question qu’il propose de résoudre en faisant un distinguo assez subtil: « Les employeurs pourront disposer d’un accès aux e-mails de leurs employés mais sans pouvoir les utiliser contre eux. » Une solution intéressante, mais humainement inapplicable. En effet, si un employeur trouve dans le courrier d’un salarié une information « répréhensible », même s’il ne peut l’utiliser juridiquement, la seule connaissance de cette information suffira à ternir leur collaboration.

La cybersurveillance au travail, comme l’indiquent ces exemples, se règle encore au cas par cas (1). Ce flou juridique devrait, dès lors, inciter les sociétés à établir, en association avec le personnel, des chartes d’utilisation des nouvelles technologies au sein de l’entreprise. Ce type de convention pourrait notamment s’appuyer sur les trois principes posés par la Commission de protection de la vie privée ( lire l’encadré p.36). L’idée d’un code de (bonne) conduite qui « fixerait les conditions dans lesquelles le personnel peut utiliser les moyens de communication mis à sa disposition sur le lieu du travail » est d’ailleurs l’un des axes principaux de la proposition de loi « Internet et travail » du sénateur, Alain Destexhe (PRL).

La peur du vide

Après avoir pondu un livre sur la question, La folie du Net… mieux vaut en être et plusieurs interpellations (jeux de hasard sur le Net, libéralisation des noms de domaines en Belgique, etc.), le sénateur libéral veut combler l’absence de législation qui entoure l’utilisation des nouvelles technologies sur le lieu du travail. Le 29 août dernier, il dépose un proposition de loi au Sénat. « Il n’existe pour l’instant pas de dispositif juridique en la matière déplore Destexhe. Ma proposition a pour objectif la sécurité juridique non seulement dans l’intérêt de l’employeur qui doit faire prévaloir la sûreté informatique de son entreprise et l’exécution correcte du contrat de travail mais aussi du travailleur qui a droit au respect de sa vie privée. » Il s’agit donc de trouver un équilibre entre le droit des employés à voir leur vie privée protégée et celui de l’employeur à limiter l’utilisation de ses installations à des fins non professionnelles. Il est vrai qu’en la matière certains employés ont tendance à exagérer. Ainsi, selon une étude de Websense/Taylor Nelson Sofres, le salarié européen utiliserait le matériel de la société à concurrence de trois heures et demie par semaine pour des séances de surf personnelles. Séances que 11% des sondés prolongeraient jusqu’à dix heures par semaine.

Fort courte et prochainement examinée par la Commission des Affaires économiques du Sénat, la proposition de loi que l’on peut consulter sur le site personnel du sénateur, ne comporte que trois articles. Si, dans l’ensemble elle pose assez bien la problématique de la cybersurveillance au travail, elle comporte cependant quelques lacunes qui font craindre que le respect des droits des employés ne soit bafoué. Ainsi, selon les spécialistes d’e-Consult ( voir page ?), « le texte s’avère extrêmement permissif pour l’employeur qui peut tout se permettre – ou presque – sans souffrir aucune limite ». Il devrait également être clairement précisé que le contrôle ne peut être que temporaire: « Sans ce garde-fou indispensable qu’est la proportionnalité des mesures de contrôle, on ne peut envisager sereinement la question de la surveillance des communications des employés par l’employeur ».

Un peu moins sévère, la Commission de la protection de la vie privée tient toutefois à attirer l’attention du législateur sur certains principes fondamentaux qui doivent être pris en considération lors de la discussion de cette proposition de loi. Dans un avis datant du 8 octobre 2001, elle s’interroge, par exemple, sur les critères justifiant l’exclusion du champ d’application de la proposition de loi de certaines personnes soumises au secret médical. Celles-ci, selon la proposition Destexhe, échapperaient aux mesures de contrôle. La Commission souligne que la protection du contenu des communications ne peut être limitée de la sorte, d’autres professions requérant également un besoin de confidentialité. Plus loin, la Commission s’étonne: « Si la communication fait l’objet d’une définition, le moyen de communication n’est pas défini alors que la proposition vise précisément ces moyens de communication. » Selon Etienne Wery, avocat aux barreaux de Bruxelles et de Paris, ce manque de précision peut s’expliquer par une volonté d’anticiper les évolutions technologiques futures. Plus préoccupant: la proposition énumère certaines finalités susceptibles de justifier le contrôle des communications (garantir le respect des bonnes moeurs, empêcher la divulgation d’informations confidentielles, contrôler les prestations du travailleur et la manière dont celui-ci s’acquitte de sa mission, etc.). La formulation de ces motifs, trop générale, ouvre la porte à de nombreux risques d’abus. Une approximation qui appelle les plus grandes réserves de la Commission. Pas étonnant, dès lors, quelle souhaite être consultée lors de la procédure d’examen du texte définitif devant les chambres.

Patrons et syndicats dans la danse

A l’instar d’un juriste spécialisé dans ces questions, on se demande finalement si le dessein premier d’Alain Destexhe n’est pas de jeter un pavé dans la mare. En tout cas, les interlocuteurs sociaux ont pu le ressentir ainsi. Au sein du Conseil national du travail (CNT), ils planchent, depuis septembre 2000, sur un projet de convention collective de travail (CCT) relative à « la protection de la vie privée des travailleurs à l’égard du contrôle des données de communication électroniques en réseau ». Au bout de négociations « difficiles et très délicates », patrons et syndicats ont accouché d’un texte qui n’autoriserait les contrôles, par les employeurs, que sous certaines conditions et, ici encore, pour 4 finalités ainsi définies:

1. La prévention de faits illicites, contraires aux bonnes moeurs ou susceptibles de porter atteinte à la dignité d’autrui (racisme, fichiers pornographiques…).

2. La protection des intérêts économiques, commerciaux et financiers de l’entreprise.

3. La sécurité et le bon fonctionnement technique du réseau.

4. Le respect des règles d’utilisation des technologies.

5. La bonne exécution du contrat de travail par le travailleur.

Ce projet de CCT prévoit aussi que le contrôle de l’employeur ne peut donner lieu à une ingérence dans la vie privée du travailleur. A tout le moins, devrait-elle être réduite au minimum. Autrement dit, le contrôle doit être « adéquat, pertinent et non excessif » par rapport aux objectifs poursuivis. Le contrôle initial exercé par l’employeur ne pourra être que général. Selon la gravité de l’infraction détectée, l’individualisation des données sera immédiate ou annoncée, préventivement, aux travailleurs concernés. « Il s’agit d’une procédure de sonnette d’alarme », indique Michèle Claus, juriste à la Fédération des entreprises de Belgique (FEB). Le but n’est pas de contrôler tout le monde, mais de permettre à l’entreprise de fonctionner. » Si une nouvelle anomalie d’utilisation est constatée, le travailleur concerné sera invité à un entretien d’explication. « Autrement dit, un employeur ne pourra plus licencier quelqu’un pour mauvais usage des technologies sans être passé par cette phase de dialogue », résume l’un des négociateurs du CNT.

S’il présente incontestablement des atouts, ce projet de convention collective n’en soulève pas moins des réserves dans les rangs syndicaux, d’où émerge toutefois clairement la volonté d’aboutir. « Il reste de nombreux points à éclaircir », explique Jean-Paul Delcroix, directeur du département social du service d’études de la FGTB. Comme la notion de « bonne exécution du contrat de travail », très large, au point d’autoriser toutes les interprétations. Ou comme la vérification du contrôle effectué par l’employeur. « Le projet est bon à 95 %, évalue Nicolas Gougnard, juriste auprès de la puissante Centrale nationale des employés (CNE-CSC). Mais, sous prétexte que les finalités de contrôle sont légitimes, il ne faudrait pas autoriser d’autres abus. »

Le projet de CCT est actuellement soumis aux troupes syndicales. Rien ne devrait se décider avant la mi-février. Une CCT, transposée en arrêté royal, aurait force de loi.

En attendant la clarification juridique, quelle devrait être l’attitude des employés? La prudence s’impose. Attention à l’exagération. Il s’agit d’éviter de renforcer le risque ou le besoin de surveillance par l’employeur. Quant à celui-ci, il ne devrait pas perdre de vue – notamment au moment où il équipe son personnel de matériels mobiles (GSM, ordinateur portable, etc.) qui estompent la frontière entre le travail et la vie familiale – que les divagations extra-professionnelles réalisées sur le Web renforcent souvent l’esprit de convivialité à l’intérieur de sa société. De part et d’autre, la solution pourrait finalement n’être qu’une subtile question de modération.

(1) Notamment sur la base de l’article 8 de la Convention européenne des droits de l’homme et, en ce qui concerne la confidentialité des télécommunications en Belgique, sur la loi du 21 mars 1991 et sur l’article 314 bis du Code pénal qui réprime l’écoute des communications privées).

Vincent Genot et Laurence van Ruymbeke , V.G. et L.v.R.