La Cour de Cassation, dans un arrêt du 17 juin 2009 rappelle qu’un administrateur de réseau, qui est tenu par une clause de confidentialité, a la possibilité d’accéder aux messages personnels des salariés dans le cadre de sa mission de sécurité du réseau informatique.
La jurisprudence a eu l’occasion de rappeler à plusieurs reprises que la protection de la vie privée des salariés interdit aux employeurs d’ouvrir les messages qualifiés de personnel sauf risque ou événement particulier (Cf. Cass. Soc. 2 oct. 2001, Bull. civ. V, n° 291).
Il appartient en effet au salarié d’identifier les messages personnels par une mention explicite car à défaut d’une telle mention, ceux-ci seront présumés professionnels et pourront être librement consultés par l’employeur.
La Haute Cour vient préciser ici une distinction à opérer entre les pouvoirs de l’employeur dans ce domaine et ceux de l’administrateur réseau.
En l’espèce, la réception par les responsables d’une société de lettres anonymes a révélé à ces derniers que les auteurs de ces courriers avaient eu manifestement accès à des données confidentielles protégées de l’entreprise. Décidant de mener leur enquête pour trouver la source de cette fuite, les dirigeants ont décidé de charger leur administrateur réseau de contrôler notamment les messageries de 17 salariés.
S’appuyant sur l’article L.2313-2 du Code du travail qui dispose que :
Si un délégué du personnel constate, notamment par l’intermédiaire d’un salarié, qu’il existe une atteinte aux droits des personnes, à leur santé physique et mentale ou aux libertés individuelles dans l’entreprise qui ne serait pas justifiée par la nature de la tâche à accomplir, ni proportionnée au but recherché, il en saisit immédiatement l’employeur. Cette atteinte peut notamment résulter de toute mesure discriminatoire en matière d’embauche, de rémunération, de formation, de reclassement, d’affectation, de classification, de qualification, de promotion professionnelle, de mutation, de renouvellement de contrat, de sanction ou de licenciement. L’employeur procède sans délai à une enquête avec le délégué et prend les dispositions nécessaires pour remédier à cette situation. En cas de carence de l’employeur ou de divergence sur la réalité de cette atteinte, et à défaut de solution trouvée avec l’employeur, le salarié, ou le délégué si le salarié intéressé averti par écrit ne s’y oppose pas, saisit le bureau de jugement du conseil de prud’hommes qui statue selon la forme des référés.
, les délégués du personnel ont saisi le Conseil de Prud’hommes pour vérifier les conditions de cette enquête et des consultations des messageries.
La Cour de Cassation confirme la position des juges d’appel qui ont ordonné aux employeurs de rechercher si des messages personnels ou pouvant être identifiés comme tel par leur classement avaient été ouverts dans le seul cadre de la mission confiée à l’administrateur réseaux ou s’ils l’avaient été par l’employeur.
Deux éléments importants résultent de cette décision :
– D’une part, la Cour opère un élargissement sensible de la notion de message personnel. La mention personnelle ne semble plus obligatoire. A suivre la Cour, les messages pourraient être qualifiés de personnels « du fait de leur classement ». En clair, des messages non identifiés comme personnels mais rangés par le salarié dans un dossier « PERSONNEL » pourront recevoir la qualification de message personnel et la protection qui va avec.
– D’autre part il est rappelé que l’administrateur réseau, en raison de son obligation de confidentialité et dans le cadre de sa mission de sécurité informatique visant notamment à éviter toute fuite de données sensibles, a le pouvoir d’accéder à la messagerie électronique des salariés.
Ce second point est important. La Haute Cour observe en effet qu’une Charte informatique prévoyait la possibilité pour l’employeur de confier à l’administrateur réseau une enquête en cas d’incident de sécurité.
Dans cette hypothèse, l’administrateur réseaux est autorisé à ouvrir et prendre connaissance de tous les messages électroniques émis et reçus par les salariés qu’il soit professionnel ou même identifié comme personnel. Son obligation de confidentialité lui interdit toutefois d’en révéler le contenu à l’employeur.
Cet arrêt rappel une nouvelle fois que la sécurité des systèmes d’information d’une entreprise impose de prendre des mesures concrètes de protection et de surveillances ; mesures strictement encadrées par le droit pour assurer la protection des droits et libertés des salariés.
A ce titre, le Cabinet HAAS Société d’Avocats vous propose de vous assister dans l’élaboration de deux documents clés de la gestion des risques informatique que sont :
– La politique de sécurité et de gestion des incidents
– La Charte D’Utilisation des outils informatiques mis à disposition des salariés.
Source : www.legifrance.gouv.fr