Une pointe de frustration, un gros ras-le-bol, une grève et voilà le salarié internaute qui se lâche sur la Toile. « Ambiance pourrie », « management inexistant ». L’entreprise est rhabillée en trois clics et sa réputation entachée à jamais par un internaute toujours anonyme. Avec Internet et l’avènement du Web 2.0, de nouveaux usages se développent. Et l’entreprise doit apprendre à les encadrer. Car, si l’accès à Internet est un droit fondamental au regard de la liberté d’expression, les effets pervers du Web explosent tous les jours au visage d’internautes incrédules et d’entreprises imprudentes.

De fait, la loi informatique et libertés de 1978 ne suffit plus pour assurer aux citoyens un droit à l’oubli. Une proposition de loi sénatoriale sur le respect de la vie privée à l’heure des mémoires numériques examinée et adoptée par les sénateurs fin mars (voir encadré ci-contre) a été transmise à l’Assemblée nationale et commence à construire ce droit à l’oubli. Adoptée par les députés, elle ne sera pas sans conséquence pour les entreprises. L’une des propositions vise à rendre obligatoires les correspondants informatique et libertés en entreprise. Il en existe déjà 1500 en France. « Au quotidien, nous accompagnons les équipes chargées de gérer des bases de données nominatives, comme les DRH qui choisissent d’externaliser leur système d’information RH ou de mettre en place des technologies de réseau social interne », explique Paul-Olivier Gibert, président de l’Association française des correspondants aux données personnelles. « Ces réseaux sociaux internes constituent un vrai défi pour les entreprises, souligne Ariane Mole, associée du cabinet Bird & Bird. Leur mise en place et les conditions d’utilisation doivent être transparentes pour pouvoir être juridiquement opposables aux salariés. L’une des erreurs de l’employeur serait de penser que ces réseaux internes ne relèvent pas de la loi informatique et libertés et du contrôle de la Cnil. »

Charte de bon usage. De leur côté, des cabinets de recrutement regroupés au sein de l’association À compétence égale ont jugé opportun de rédiger une charte pour réguler l’usage des réseaux sociaux. Si le texte n’interdit pas aux recruteurs d’y avoir recours, il précise de ne rechercher que les informations professionnelles et de préférer des réseaux professionnels comme Viadeo ou LinkedIn pour prendre contact. Sans proscrire Facebook (qui a refusé de signer la charte) ou le réseau Copains d’avant, cette charte encourage les recruteurs à utiliser ces plates-formes pour diffuser des offres d’emploi. Difficile d’espérer que ce texte pourra seul réguler les abus. « La déontologie et l’éthique ne suffiront pas, reconnaît Alain Gavand, président d’À compétence égale. Une loi est nécessaire et une régulation via la Cnil, voire la Halde, pourrait compléter le dispositif et apporter des garanties aux internautes. » Et sans doute beaucoup d’éducation.

Pour cadrer ces nouveaux usages, les entreprises avancent elles aussi à tâtons. Armées de leur règlement intérieur et trop souvent d’une courte déclaration simplifiée à la Cnil qui exclut le contrôle individuel des salariés, elles y annexent les règles d’utilisation des outils numériques qu’elles collent ensuite dans un coin de l’intranet. Dans les faits, les salariés, sans piqûre de rappel, oublient l’existence de ces règles et se sentent à l’abri des regards, noyés dans les flux d’informations et de données que traitent chaque jour les systèmes d’information de leur société. Et ils ont tout faux !

« La chambre sociale de la Cour de cassation est très claire et constante dans ses jugements. Tout ce que fait le salarié sur son temps de travail, avec les moyens de l’entreprise, est réputé professionnel. À moins que le salarié indique explicitement qu’un dossier ou un message est personnel, l’employeur peut y avoir accès », avertit l’avocate Ariane Mole. La banque de détail de la Société générale a ainsi choisi de rééduquer ses troupes à l’utilisation du mail. Ses 30 000 salariés ont découvert à travers une campagne de teasing déclinée sur le mode animalier les 10 commandements « du bon usage de la messagerie ».

Règle numéro un : rester poli dans un mail comme dans la vie, par exemple penser à écrire « Bonjour ». « L’idée est de réguler l’utilisation de la messagerie, qui prend trop de place au détriment de la parole, pointe Pierre-Yves Demoures, DRH de la banque de détail de la Société générale en France. Ces outils ont parfois des effets contre-productifs. Nous avons tous reçu le mail d’un collaborateur se justifiant auprès d’un collègue en mettant en copie 50 ? destinataires. Un buzz se crée autour d’un microphénomène qui n’aurait pas dû sortir du bureau. »

Collaborateurs et syndicats ont pignon sur le Net. Avec le Web 2.0, le buzz devient planétaire. Groupama est bien forcé de faire avec les quelque 3 000 collaborateurs présents sur Viadeo. Tout comme avec ses organisations syndicales qui ont, elles aussi, pignon sur le Net. La CGT, la CFDT et la CFTC de l’assureur disposent chacune de leur site ou blog bien renseigné et mis à jour. De son côté, la SocGen peut se « vanter » de la présence de plus de 61 000 salariés sur Viadeo. « J’essaie de cartographier les blogs et les groupes de collaborateurs présents sur les réseaux sociaux, explique Franck La Pinta, responsable de la marque employeur du groupe. Je suis convaincu qu’à terme certains salariés deviendront des ambassadeurs RH de l’entreprise, car je comprends les nouveaux comportements des candidats potentiels qui cherchent à dialoguer avec des opérationnels en complément des échanges avec les équipes de recrutement. »

Groupama et la Société générale sont des précurseurs. Tous deux disposent d’un réseau social interne. « La majorité des entreprises en est à la prise de conscience, indique Yves-Marie Cann, directeur d’étude pour l’observatoire Ifop des réseaux sociaux. DRH et dircom s’inquiètent surtout de ce qui peut être écrit sur le Net, et leur première réaction est souvent de couper l’accès à certains sites pour éviter les dérives. » Selon l’étude « Collaboration Nations » pour Cisco, 51 % des entreprises françaises interrogées interdisent l’utilisation des médias sociaux ou des outils de collaboration similaires. Et 50 % des salariés avouent ignorer au moins une fois par semaine la politique de l’entreprise. France Télécom interdit ainsi l’accès au site de l’Observatoire du stress et des mobilités forcées initié par deux syndicats (SUD et la CFE-CGC/Unsa) à partir de son intranet. Au siège de Siemens, à Saint-Denis, impossible de se passer en boucle la dernière chronique de Stéphane Guillon sur YouTube, d’accéder aux blogs de Skyrock ou de lire le magazine… Têtu. « Si on veut vraiment y avoir accès, il faut faire une demande circonstanciée auprès des services informatiques », explique un manager.

Pour justifier la censure, les entreprises ont commencé par reprocher à tous ces sites d’encombrer la bande passante. « Aujourd’hui, elles estiment que leur consultation excessive au bureau revient à leur voler du temps », explique Jean-Emmanuel Ray, professeur de droit à Paris 1. La bonne vieille productivité du salarié français serait donc mise à mal par le Web 2.0. L’éditeur de logiciels de contrôle et d’optimisation des accès à Internet Olfeo a ainsi calculé que les salariés ayant accès à la Toile y passent en moyenne quatre-vingt-six minutes par jour dont cinquante-huit pour consulter les sites d’actualité, des vidéos, écouter la radio en ligne, surfer sur Facebook, télécharger des jeux ou de la musique. « Le premier risque pour les entreprises est sécuritaire. Les sites pornographiques, mais aussi les réseaux sociaux laissent fréquemment dans les systèmes informatiques des malwares (virus malveillants) ou spywares (virus espion). Le second risque est une baisse de la productivité et, surtout, une responsabilité pénale forte », pointe Alexandre Souillé, directeur général d’Olfeo.

Stratégie de contournement. Car un salarié qui a accès à des sites interdits par la loi engage directement l’entreprise et ses dirigeants, DSI compris. « Les entreprises portent rarement plainte contre des propos injurieux ou une utilisation illicite de leur réseau parce qu’il y a souvent des enjeux en interne, parfois d’ordre syndical », explique Yves Crespin, délégué du Syndicat des commissaires de la police nationale (SCPN) et ancien responsable de la brigade d’enquête sur les fraudes aux technologies de l’information (Befti).

En attendant, une entreprise qui censure l’accès à certains sites oublie les technologies mobiles qui permettent aux salariés de surfer où qu’ils soient grâce au Wi-Fi. Et nourrit aussi la frustration de ses salariés internautes. « Je n’interdis pas à mes équipes de surfer pendant le travail. Ce serait contre-productif, estime Yves Crespin. Les gars passent beaucoup de temps au boulot, donnent d’eux-mêmes souvent au détriment de leur vie privée. Il faut juste trouver le bon équilibre. » Parole de commissaire !

Que recherchez-vous à travers cette proposition de loi ?

Nous n’avons pas cherché à réinventer l’eau chaude ! Les principes qui ont fondé la Cnil sont toujours valables. À l’époque, ils s’adressaient à des systèmes informatiques lourds, facilement contrôlables. Aujourd’hui, avec les réseaux sociaux, les informations sont disséminées. L’internaute ne maîtrise plus rien. Nous souhaitons qu’il soit plus en mesure de faire jouer son droit d’opposition, de disposer d’une information claire et lisible sur la conservation des données numériques le concernant, qu’il puisse plus facilement, par voie informatique, saisir la Cnil.

Vous proposez de rendre obligatoire la présence des correspondants informatique et libertés (CIL) dans les entreprises. Pourquoi ?

Le CIL serait obligatoire dès lors que 100 personnes ont accès au traitement de données nominatives. L’idée n’est pas de faire du CIL un empêcheur de tourner en rond. Généraliser le CIL, c’est l’assurance que personne ne bidouille les fichiers. C’est aussi le moyen d’introduire dans les entreprises une culture informatique et libertés. Cette proposition a été fortement combattue par le gouvernement lors de l’examen du texte au Sénat, sous prétexte que l’on handicaperait les entreprises.

La Cnil a-t-elle aujourd’hui les moyens de garantir un droit à l’oubli aux internautes ?

La Cnil dispose des moyens que la loi de 1978 a bien voulu lui donner. Ces moyens ne sont plus à la hauteur des enjeux. Dans les autres pays européens, des instances similaires ont aujourd’hui plus de poids pour faire respecter le droit des internautes. Nous proposons, par exemple, de doubler le montant maximal des amendes, à 600 000 euros. Il faudrait également que cette commission dispose d’une implantation régionale et non plus seulement parisienne pour se caler sur la réalité des réseaux sociaux.

Surveiller son identité numérique n’est pas réservé aux seuls égocentriques. Car la Toile peut à la fois mettre à nu les individus ou les parer d’infos bidon. Pour un trader, pas génial d’être qualifié d’as du poker sur le blog du beau-frère. Pour un chirurgien, plutôt gênant de se faire traiter de « boucher » sur un forum médical. Des traces numériques difficiles à effacer sans l’intervention d’un tiers. « Le contentieux se développe énormément. Une grosse partie de notre activité consiste à contacter les hébergeurs, les fournisseurs d’accès et les éditeurs pour faire retirer des contenus injurieux, diffamatoires, portant atteinte à la propriété intellectuelle ou relevant de la concurrence déloyale », explique l’avocat Olivier Iteanu, du cabinet éponyme spécialisé dans les TIC.

Des « nettoyeurs » du Web ont aussi fait leur apparition, comme ReputationDefender, Hington Klarsey ou ReputationSquad. Compter une trentaine d’euros pour faire disparaître une simple info sur un blog. Mais de 4 000 à 5 000 euros pour obtenir le « noyage » d’une trace indélébile, en la reléguant dans les profondeurs du Web. « On n’intervient pas seulement en réaction. De plus en plus de clients nous demandent de les aider à organiser leur présence sur le Web pour la rendre intéressante et cohérente avec leur activité », explique Albéric Guigou, cofondateur de ReputationSquad. Un marché naissant du personal branding qui attire les coachs et les formateurs.

• La loi informatique et libertés

1978 – Est opposable aux entreprises qui gèrent des données personnelles des salariés.

• La loi pour la confiance dans l’économie numérique

2004 – Rappelle que les crimes et les délits par voie de presse sont applicables aux sites et aux blogs.

• La Loppsi

2009 – Oblige les entreprises à filtrer les sites Internet « blacklistés » par le ministère de l’Intérieur. Punit l’usurpation d’identité et l’atteinte à la réputation.

• La loi Hadopi

2009 – Oblige les entreprises à surveiller leur connexion à Internet pour empêcher une utilisation illégale.