Corbeau, mails harceleurs, fuite d'informations confidentielles, connexions à des sites au contenu inapproprié... Savoir qu'un salarié utilise à des fins contestables les outils informatiques de l'entreprise est une chose, pouvoir l'accuser de comportement fautif en est une autre. En effet, l'employeur doit composer avec différents principes de droit qui exigent de manier avec une grande précaution les cyberpreuves. « D'un côté, il a le droit de s'assurer que le travail demandé dans le cadre d'un contrat de travail est bien exécuté et, le cas échéant, d'envisager des sanctions ; de l'autre, le salarié a le droit au respect de sa vie privée, sachant que les droits fondamentaux des individus se prolongent dans l'entreprise (1) », précise Gérard Haas, de la société d'avocats Haas.

« Tout cela est éminemment compliqué, confirme Me Laurent Guardelli, du cabinet Dubarry, Le Douarin & Veil. S'il n'est pas, par exemple, interdit à l'employeur de contrôler le destinataire des mails d'un salarié que l'on soupçonnerait de communiquer à la concurrence des documents stratégiques, il faut toutefois pouvoir le prouver, donc ouvrir le mail. Ce qui est impossible. Cela équivaudrait à une violation de la correspondance, sanctionnée pénalement. » Sauf si le destinataire lui-même informe l'entreprise. Cela a été le cas dans une affaire qui a donné lieu, le 2 juillet dernier, à un arrêt de la Cour de cassation. « Un salarié avait utilisé la messagerie électronique de son entreprise pour envoyer un mail contenant des menaces et des injures antisémites à une personne domiciliée en Israël, dans des conditions permettant d'identifier le nom de l'entreprise et, donc, d'engager sa responsabilité, raconte Laurent Guardelli. Les juges ont tranché : ce comportement est nécessairement constitutif d'une faute grave. »

Mais, cette jurisprudence ne peut pas faire oublier le fameux arrêt Nikon, rendu par la Cour de cassation le 2 octobre 2001, qui a interdit à l'employeur de « prendre connaissance des messages émis et reçus par le salarié grâce à l'outil informatique ».

Ce casse-tête vaut aussi pour les navigations Internet. « Vous pensez qu'un de vos collaborateurs passent ses journées à surfer ? Il vous sera plus facile de prouver qu'il n'accomplit pas son travail correctement, tout occupé qu'il est par la consultation de sites Internet. Dès lors, l'employeur sera plus avisé de retenir la conséquence, autrement dit, l'absence de travail ou le travail insuffisant, plutôt que la cause de cette situation », avertit Thierry Gillot, également avocat au cabinet Dubarry, Le Douarin & Veil.

Le dilemme est d'autant plus grand que les techniques informatiques permettent d'apporter une preuve certaine. « Les connexions sur Internet, les téléchargements, les envois et les réceptions de messages génèrent énormément de traces, aisément repérables », signale Gilles Prola, responsable du service recherche de preuves informatiques chez Kroll Ontrack France, une société spécialisée dans la récupération de données informatiques, de plus en plus sollicitée aujourd'hui dans le domaine judiciaire pour la préservation de preuve.

Ces cyberpreuves n'étant pas forcément admises, les spécialistes des nouvelles technologies et du droit avertissent : les entreprises doivent utiliser tous les garde-fous. Et, en premier lieu, « être en conformité avec la législation, avance Agnès Cloarec-Mérendon, du cabinet Latham & Watkins. Le nombre d'entreprises en infraction avec la loi du 6 janvier 1978 et, plus récemment, avec celle du 6 août 2004 relative à l'informatique, aux fichiers et aux libertés - imposant une déclaration préalable à la Cnil de tout traitement automatisé de données personnelles nominatives -, est encore important. Et l'on ne parle pas forcément des systèmes sophistiqués de surveillance, car même les plus simples systèmes de badgeage ne sont pas déclarés. »

De tels manquements rendent inutilisable une preuve collectée, comme l'a précisé la Cour de cassation, le 6 avril dernier. « Une entreprise avait licencié un salarié au motif qu'il refusait d'utiliser son badge, géré par des moyens automatisés et permettant d'identifier ses heures d'entrée et de sortie. Les juges ont annulé le licenciement dès lors que ce système n'avait pas été préalablement déclaré à la Cnil », précise l'avocate.

Autres règles à respecter : l'information-consultation du comité d'entreprise et des délégués du personnel avant l'introduction dans l'entreprise, d'une part, de traitements automatisés de gestion du personnel et, d'autre part, de moyens et techniques permettant un contrôle de l'activité du salarié, ainsi que des salariés eux-mêmes (2). Il en va du principe de loyauté.

Le 20 novembre 1991, la Cour de cassation avait, ainsi, jugé que « si un employeur a le droit de contrôler et de surveiller l'activité de ses salariés pendant le temps de travail, tout enregistrement, quels qu'en soient les motifs, d'images ou de paroles à leur insu, constitue un mode de preuve illicite ».

Reste ensuite à réglementer en interne l'utilisation des NTIC. « Le règlement intérieur peut servir de cadre et interdire l'utilisation des outils informatiques mis à disposition par l'entreprise à des fins privées », suggère Me Matthias Rubner, du cabinet Latham & Watkins. A ce dernier s'ajoute la charte d'utilisation des NTIC « à soumettre au comité d'entreprise puis, dans un délai d'un mois, à envoyer à l'inspection du travail et à déposer au greffe », précise Gérard Haas. Son but ? Décrire le bon usage des NTIC dans l'entreprise et, évidemment, le porter à la connaissance des salariés (lire encadré ci-dessus). Pour sa part, Me Cloarec-Mérendon conseille à ses clients « de l'envoyer par courrier, en annexe du règlement intérieur, à chaque salarié, et à lui demander de retourner le courrier signé ».

Cela étant dit, même des preuves informatiques collectées dans les règles ne sont pas faciles à utiliser. La façon la moins risquée pourrait être, selon Me Guardelli, la voie judiciaire. « Lorsqu'une entreprise a des indices légitimes sur l'activité d'un salarié et que la conservation de preuves est nécessaire en vue de protéger ses droits, elle peut tenter d'en alerter le juge du TGI, qui l'autorisera, le cas échéant, à procéder à l'ouverture de la boîte mail, par un tiers extérieur, spécialiste en informatique. » La suite des opérations ? La mise sous scellés du matériel informatique « pour sauvegarder le contenu du disque dur afin d'empêcher le salarié fautif de le manipuler et d'effacer certaines données », explique Gilles Prola.

Néanmoins, il ne faut pas sous-estimer les réticences de la justice à intervenir dans ce genre d'affaire. « Certains juges considèrent, en effet, que ce n'est pas leur rôle que de permettre à l'employeur d'obtenir des preuves, précise Me Cloarec-Mérendon. Le sujet n'est d'ailleurs pas vraiment tranché, puisque, en 2003, deux ordonnances ont donné un avis contraire. La première, du TGI de Lyon, le 14 avril 2003, a ainsi missioné un expert pour rechercher sur le disque dur des ordinateurs tout élément dans les textes, fichiers, messages, répertoire, échanges, y compris les éléments détruits, en relation directe ou indirecte avec l'envoi des courriers anonymes. Le lendemain, les juges du TGI de Nice considéraient que le simple conflit relationnel existant entre les parties ne justifiait pas une mesure d'expertise. »

Le flou est tel qu'il est préférable d'être prudent et de faire intervenir huissier et expert en attendant que la justice se fasse une religion sur la question.

(1) Article 8 de la Convention européenne, article 9 du Code civil et L. 120-2 du Code du travail.

(2) Article L. 432-2-1 du Code du travail.

La notification de l'interdiction aux salariés de se connecter à des sites au contenu contestable. La mention des thématiques des sites visés n'est pas à exclure : pornographie, pédophilie, racisme...

L'indication d'une certaine tolérance. Ainsi, l'entreprise indique qu'elle admet la navigation sur Internet, à caractère privé, durant un laps de temps raisonnable. La Cnil n'évoque rien de très précis en la matière, mais il semble qu'une heure et demie de connexion par jour reste une limite admissible. Evidemment, il s'agit de consultations à titre personnel dont le « contenu n'est pas contraire à l'ordre public ni aux bonnes moeurs ».

L'énoncé de consignes dans l'utilisation quotidienne du matériel informatique, comme changer son mot de passe d'accès à l'ordinateur très régulièrement, éteindre son ordinateur à certaines occasions (repas, rendez-vous extérieur...).

L'obligation faite aux salariés de distinguer les mails personnels des mails professionnels. Inclure le terme «perso» dans la case objet d'un mail peut suffire.

La définition des circonstances qui vont permettre à l'employeur d'avoir accès au contenu de l'ordinateur d'un salarié, par exemple, lors d'une absence prolongée (vacances, arrêt maladie...).

1 Il n'est pas facile de sanctionner un salarié coupable d'utiliser à des fins contestables les outils informatiques de l'entreprise. Mails et navigation sur Internet appartenant tant au champ privé que professionnel.

2 Les entreprises sont obligées d'adopter des compromis, ce domaine manquant encore de références jurisprudentielles.

3 En guise de précaution et de prévention, les entreprises ont intérêt à utiliser tous les garde-fous prévus par la loi et conseillés par les spécialistes : déclaration à la Cnil, mentions particulières dans le règlement intérieur, charte informatique, mise sous séquestre...