Une secrétaire avait laissé son ordinateur allumé. Son patron est passé pour l’éteindre. Il a alors découvert qu’un fichier de quelque 1 400 coordonnées de clients et prospects étaient en cours d’expédition par messagerie interne à un salarié non habilité à y accéder.
En tant que « responsable du traitement » des données personnelles qu’il héberge, le dirigeant encourt des sanctions pénales si la perte ou la fuite de ces données, volontaire ou non, a mis au jour une faille de sécurité. De son côté, la loi Hadopi oblige en pratique l’employeur, sous peine de sanctions civiles et pénales, à sécuriser ses accès Internet pour éviter qu’ils ne soient utilisés à des fins de téléchargement illégal d’œuvres culturelles. L’employeur doit donc naviguer à l’intérieur de ce chenal étroit. Mais pour les salariés aussi, la situation devient délicate. L’accroissement des contrôles pour prendre sur le fait une utilisation abusive d’Internet au bureau fait grimper la courbe des licenciements.
Les tribunaux accordent à la vie privée dans l’entreprise une place de plus en plus résiduelle. La question à se poser est de savoir si le mail – ou le fichier- est personnel ou professionnel. « La responsabilité pénale de l’employeur ne sera pas mise en jeu si un mail personnel ouvert illégalement a permis de débusquer un délit tel que la divulgation d’un brevet ou le vol de la base de données ». A l’inverse, ce mail personnel ne pourra pas, en l’absence de décision pénale, servir à licencier le salarié. De manière générale, tout mail ou fichier est présumé professionnel sauf si ses caractéristiques manifestent un caractère personnel et son contenu pourra justifier un licenciement s’il révèle une faute de l’intéressé. Plusieurs salariés ont ainsi été licenciés pour avoir tenu des propos de dénigrement et outranciers envers l’entreprise. Le contenu d’un mail personnel ou d’une conversation sur le mur de Facebook ayant un « rapport avec l’activité professionnelle » peut aussi justifier des sanctions, le salarié abusant alors de sa liberté d’expression.
En revanche, l’intrusion sauvage dans l’ordinateur de l’intéressé se révèle un flop. Sauf à déclencher le SOS « sécurité ». Cette procédure est possible « en cas de risque ou d’évènement particulier ». « Dans ces conditions, l’employeur est en droit d’ouvrir les fichiers et courriels, même identifiés par le salarié comme personnels, et contenus sur le disque dur de l’ordinateur mis à disposition… ». Cette procédure, désormais admise par les tribunaux, délivre ainsi à l’employeur une sorte de ticket d’intervention d’urgence.
« Le premier devoir de l’entreprise est de veiller qu’aucune infraction n’a été commise ». Cette contrainte lui offre toute latitude pour définir une politique de surveillance adaptée à ses problématiques. « L’entreprise est désormais perçue comme un auxiliaire de justice devant prêter main-forte au juge pour identifier les auteurs d’infractions, ce qui légitime qu’elle conserve les données de connexion à l’instar des hébergeurs pendant un an ». La surveillance s’exerce néanmoins dans le cadre du triptyque « justification/proportionnalité/transparence ». Mais il s’agit d’encadrer, pas d’interdire. Le contrôle permanent des connexions d’un salarié est à proscrire car « disproportionné » au regard du devoir de respecter sa vie privée.