Si Charlie Chaplin vivait encore, nul doute qu'il réaliserait « les Temps modernes : suite », film à la fois drôle et terrifiant. On y verrait des commerciaux provoquant le discret brouillage du système GPS/GSM installé dans leur voiture pour être enfin tranquilles mais dont le portable professionnel les géolocalise toujours et partout, y compris le week-end. Des employés dont les courriers électroniques amoureux sont lus puis archivés en temps réel à partir d'un centre de contrôle situé évidemment en dehors de l'Union européenne. Des cadres méfiants mettant systématiquement à la poubelle leurs courriels bien peu professionnels, dont un DSI facétieux fait un best of en pensant à sa future transaction de départ (si la poubelle est effectivement vide à l'écran, le disque dur a une mémoire d'ordinateur qu'un spécialiste peut activer à tout moment et à longue distance). De jeunes collaborateurs, enfin, s'esclaffant devant leurs ancêtres asservis comme Charlot à la chaîne de production, mais quittant leur bureau à 20 heures pour travailler ensemble tout le week-end de chez eux grâce à leurs ordinateurs mis en réseau, avec caméra incorporée pour identifier à coup sûr chaque intervenant de cette chaîne invisible mais tout sauf virtuelle : la Toile, au sens arachnéen.

Si l'on veut vraiment se faire peur avec les TIC, les exemples ne manquent effectivement pas, et renvoient 1984, de George Orwell au rayon « Bibliothèque rose ». Mais un contre-film serait tout aussi pédagogique, montrant des salariés exigeant un mobile pour se sentir moins seuls ou pour appeler le centre en cas de problème afin de se couvrir ; ou souhaitant disposer d'un ordinateur portable pour éviter les embouteillages en travaillant quelques heures à la maison. Montrant aussi une PME ruinée par les intrusions d'un concurrent habile, ou enfin un employeur condamné à des dizaines de millions de dollars de dommages et intérêts pour n'avoir pas, en temps que commettant, su empêcher un de ses salariés d'envoyer urbi et orbi des courriels gaulois en France, constitutifs de harcèlement sexuel aux États-Unis, et pénalement pornographiques en Arabie saoudite.

Entre la chasse aux temps morts liée aux 35 heures en France et partout la lutte contre le spamming et les intrusions, les textes se multiplient dans tous les pays pour mieux surveiller les réseaux (1°). Mais en France les représentants du personnel exigent un droit à la déconnexion de ce qu'ils vivent comme « Employer is watching you »(2°).

Les conditions de licéité des techniques de cybersurveillance sont connues, mais la question est aujourd'hui celle de leur pertinence. Trois exemples.

a) Article L. 121-8 : Information préalable de chaque salarié. Dix ans après l'explosion Internet, les juges du fond sont divisés sur la naïveté revendiquée par les collaborateurs pris en faute : « Si la vérification des relevés de communications téléphoniques n'est pas un procédé de surveillance illicite, il ne peut en aller de même pour la collecte des listings informatiques dans le but de contrôler l'utilisation d'Internet par les salariés, qui ne sont pas censés connaître les possibilités de traçabilité de leur appareil » (cour d'appel de Montpellier, 4 septembre 2002 : annulation de la rétrogradation). Pour la cour d'appel de Besançon, au contraire, « la traçabilité des opérations effectuées est connue de tous les utilisateurs de systèmes informatiques, sans qu'il y ait lieu pour l'employeur d'informer préalablement des salariés eux-mêmes spécialisés » : le réaliste arrêt de la cour de Besançon du 9 septembre 2003 paraît cependant en avance d'une loi.

b) Consultation du CE sur les méthodes et techniques permettant un contrôle de l'activité des salariés (L. 432-2-1). Si un DRH ne manque pas d'informer préalablement son CE des nouveaux logiciels destinés à contrôler les collaborateurs (de la nouvelle badgeuse au logiciel de surveillance du courriel ou des connexions à Internet), en fait-il de même à chaque modification informatique ? Qu'il demande à son collègue DSI si « le nouveau système tellement plus performant » qui va être mis en place – à supposer qu'on l'ait prévenu de cette évolution – ne permet pas également de mieux contrôler les collaborateurs. Ainsi du plus banal système de caisse, qui sert de facture au client, gère les stocks… mais est nominatif, permet de connaître en temps réel et de récapituler à tout moment la productivité précise de chaque vendeuse (nombre de clients, de produits.). Bref, tout système informatique sur lequel travaille un salarié n'est évidement pas destiné à le contrôler : mais il permet presque toujours de le faire, car mémoire et traçabilité sont inhérentes à l'outil.

c) Déclaration à la Cnil : confirmant la solution adoptée auparavant par nombre de juges du fond, l'arrêt rendu par la chambre sociale le 6 avril 2004 a rappelé que toute collecte et traitement d'informations nominatives devait, sous peine d'inopposabilité, faire l'objet d'une déclaration préalable à la Cnil. À dix-neuf reprises, Miguel X. avait refusé de pointer sur une badgeuse non déclarée : répondant que tout était prévu au règlement intérieur qu'il avait signé à l'embauche, qu'une badgeuse sert avant tout à empêcher toute intrusion extérieure, l'employeur l'avait licencié. « Il résulte de la combinaison des articles 16, 27 et 34 de la loi du 6 janvier 1978, 226-16 du Code pénal, L. 121-8 et L. 432-2-1 du Code du travail, qu'à défaut de déclaration à la Cnil d'un traitement informatisé d'informations nominatives concernant un salarié, son refus de déférer à une exigence de l'employeur impliquant la mise en œuvre d'un tel traitement ne peut lui être reproché » (défaut de cause réelle et sérieuse.) Dans son malheur, l'employeur a eu de la chance que le juge pénal ne soit pas saisi : ni pour délit d'entrave au comité d'entreprise, ni surtout pour défaut de déclaration (trois ans d'emprisonnement et 45 000 euros d'amende pour une personne physique, mais 225 000 euros pour une personne morale). Et ces pratiques risquent d'être encore davantage réprimées lorsque la nouvelle loi « relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel » renforcera sensiblement les pouvoirs de la Cnil.

Deux exemples, parmi les nouveautés intéressant directement entreprises et salariés.

– Article 44 : accès des membres de la Cnil aux locaux à usage professionnel de 6 heures à 21 heures, avec communication de tous documents nécessaires à leur mission, quel qu'en soit le support. Ils pourront en prendre copie, accéder aux programmes informatiques et aux données, sous le contrôle du TGI le cas échéant.

– Article 22 : comme le proposait la Cnil dans son rapport 2003, possibilité de désigner « un correspondant à la protection des données bénéficiant des qualifications requises et chargé d'assurer d'une manière indépendante le respect des obligations prévues » par cette loi. Avantage : la dispense de nombre de déclarations préalables prévues aux articles 23 et 24. « Correspondant » de celle-ci, « il peut saisir la Cnil des difficultés qu'il rencontre dans l'exercice de ses attributions », mais « ne peut faire l'objet d'aucune sanction de la part de l'employeur du fait de l'accomplissement de ses missions ».

Là encore, le problème est plus complexe qu'il n'y paraît : lorsque chacun d'entre nous ouvre son ordinateur et a fortiori se promène sur le Net ou travaille en réseau, sa petite boîte noire – dont il ignore lui-même les capacités exactes – collecte ou dépose automatiquement un nombre désormais considérable de données souvent personnelles à l'insu de notre plein gré. Entre le Mac naissant de la loi de 1978 et le surf sur Internet avec l'ADSL, les questions ne sont plus les mêmes, comme le remarquait la Commission de Bruxelles dans son rapport du 15 mai 2003, préparant son projet de directive sur « la protection des données personnelles dans le contexte de l'emploi » (contrôle du courriel, des connexions, données génétiques) qui devrait voir le jour fin 2004.

Dans sa communication du 8 avril 2004, enfin, la Cnil a émis un avis défavorable sur la création de bases de données d'empreintes digitales (ou de l'iris de l'œil) sur les lieux de travail en l'absence d'impératifs de sécurité incontestables. Si les zones réservées de Roissy ou d'Orly pourront être surveillées par des cartes d'accès individuelles, la Cnil conteste la nécessité d'un tel système pour contrôler le temps de travail des agents d'un centre hospitalier qui estimait sans doute que les échanges de badges, voire les remplacements par des proches, faisaient un peu désordre.

Au-delà de l'obligation de transparence sinon de loyauté (information et déclaration préalables), c'est ici le principe de proportionnalité évoqué par l'article L. 120-2 qui réapparaît. Dans son avis d'octobre 2003, la Cnil avait fait état de ses doutes concernant la licéité d'une généralisation des techniques de géolocalisation par GPS/GSM. Reprenant l'arrêt du 26 novembre 2002 interdisant à un chef de service de se poster devant le domicile d'une commerciale pour surveiller ses déplacements, la Cnil estime qu'une filature électronique généralisée n'est pas susceptible d'être justifiée et proportionnée au but recherché : alors pour la laisse électronique que constitue la localisation par portable… Comme pour toutes les TIC, si tout est techniquement possible, tout n'est pas juridiquement permis.

Alors que la loi Fillon IV du 4 mai 2004 a ouvert en cas d'accord collectif l'accès à la messagerie électronique et à l'intranet aux syndicats, l'arrêt du 6 avril 2004 risque de donner quelques sueurs froides à nombre d'administrateurs réseau encore sous le choc de l'arrêt Nikon du 2 octobre 2001.

Au visa des articles L. 412-17, L. 424-3, mais également des menaçants L. 481-2 (entrave aux fonctions de DS) et L. 482-1 (entrave à fonctions de DP), de la délibération de la Cnil – pourtant simple autorité administrative indépendante – du 20 décembre 1994 ayant déjà évoqué cette nécessaire déconnexion de l'autocommutateur pour les délégués, la Cour de cassation énonce un principe général : « Pour l'accomplissement de leur mission légale et la préservation de la confidentialité qui s'y attache, les salariés investis d'un mandat électif ou syndical dans l'entreprise doivent pouvoir y disposer d'un matériel ou procédé excluant l'interception de leurs communications téléphoniques et l'identification de leurs correspondants. »

En l'espèce, il s'agissait d'un délégué syndical ayant exigé de disposer d'une ligne déconnectée du brave autocommutateur de l'entreprise : il n'est en effet pas certain qu'un employeur soit en droit de connaître le détail des appels téléphoniques d'un représentant du personnel ; mais la simple mise à disposition d'une ligne téléphonique privative, voire d'un portable (avec forfait), suffisait à l'affaire.

Soumettez en revanche à un DSI la transposition suivante : « Tous les représentants du personnel doivent pouvoir bénéficier d'un matériel excluant toute interception de leurs courriers électroniques et toute identification de leurs correspondants comme des sites qu'ils visitent. » Réponse en deux temps : a)« C'est techniquement impossible à moins qu'ils ne s'installent sur Internet à l'extérieur. » b)« C'est absolument impensable si je dois rester responsable de la sécurité informatique, qui est aujourd'hui plus importante pour nous tous que ta sécurité incendie. »

Heureusement que la loi du 4 mai 2004 veut développer la négociation d'entreprise…

Un vendredi entre 12 h 30 et 13 heures, un chauffeur d'ambulance refuse de répondre sur son téléphone portable personnel à trois appels successifs de son employeur. Licencié pour faute grave (« refus d'assurer son service, a mis la vie de personnes en danger et l'avenir de l'entreprise en péril »), il perd son procès devant la cour d'appel qui souligne les responsabilités spécifiques d'un ambulancier. Cassation par l'arrêt du 17 février 2004 : « Le fait de n'avoir pu être joint en dehors des horaires de travail sur son téléphone personnel est dépourvu de caractère fautif et ne permet donc pas de justifier un licenciement disciplinaire. »

Au-delà du cas d'espèce, il est salutaire que la chambre sociale veille à encadrer temporellement et géographiquement le lien de subordination en créant ce droit à la déconnexion, droit à la vie privée en ces « Temps modernes ».

C'est toute la différence entre le salarié d'en haut et celui d'en bas : lequel peut s'abstenir de répondre sur son portable professionnel en dehors des horaires normaux de travail et de toute astreinte officielle ? Mais le salarié d'en haut peut-il se passer de tous ces signes « de la servitude volontaire » (La Boétie) ? Avec les TIC, quand on veut (rester connecté), on peut. Et quand on peut, on doit. À quel prix pour l'entourage ?