Dans un arrêt du 12 février 2013, la Cour de Cassation vient de se positionner sur le pouvoir de contrôle de l’employeur en matière de BYOD (Bring Your Own Device) et d’autoriser celui-ci à prendre connaissance du contenu d’une clé USB personnelle d’une salariée.
Nombres de professionnels étaient dans l’attente de cette première décision de la Cour de Cassation en matière de BYOD. En effet, comme nous l’écrivions dans un précédent article (Cf.https://www.haas-avocats.com/actualite-juridique/byod-tous-a-vos-chartes/), apporter son matériel personnel sur son lieu de travail pour se connecter au réseau de l’entreprise (phénomène appelé BYOD) soulève un certain nombre de risques pour l’entreprise et pose de nombreuses questions de responsabilité.
À notre sens, bien que très attendue, cette décision de la Chambre Sociale constitue simplement le prolongement logique de la jurisprudence Nikon (Cf. Cass 2/10/2001) qui consacrait en son temps la vie privée des salariés sur leur lieu de travail et la frontière à tracer entre cette vie privée et la vie professionnelle.
Les faits de ce nouveau cas d’espèce sont en effet relativement simples :
Un employeur décide de consulter le contenu d’une clé USB personnelle laissée branchée sur son ordinateur professionnel par l’une de ses salariés en son absence. Or, il s’aperçoit que cette clé USB contient des données confidentielles de l’entreprise ainsi que des documents personnels de collègues et même de membres de la direction. Le licenciement est prononcé dans la foulée mais invalidé par la Cour d’Appel de Rouen qui considère que la preuve des agissements reprochés à la salariée était illicite faute pour elle d’avoir été notamment présente lors de la consultation du contenu de sa clé USB.
La Haute Cour casse cet arrêt et précise dans un attendu de principe « qu’une clé USB, dès lors qu’elle est connectée à un outil informatique mis à la disposition du salarié par l’employeur pour l’exécution du contrat de travail, étant présumée utilisée à des fins professionnelles, l’employeur peut avoir accès aux fichiers non identifiés comme personnels qu’elle contient, hors la présence du salarié ».
Ainsi, en laissant connectée à son poste de travail professionnel une clé USB personnelle, cette dernière se voit appliquer le même régime juridique à savoir une liberté de consultation de l’employeur pour tout fichier non identifié comme « personnel ».
Il est donc possible d’imaginer que la décision aurait pu être toute autre si cette même clé USB n’était pas restée connectée à l’ordinateur mais simplement posée sur le bureau de la salariée…
Elle ne répond toutefois pas à des questions plus complexes posées par le BYOD notamment lorsqu’il s’agit d’ordinateurs portables personnels connectés au réseau de l’entreprise ou de SmartPhones sur lesquels peuvent transiter ou être stockées des données extrêmement sensibles à n’importe quelle heure et à n’importe quel moment, y compris en dehors de l’entreprise ou des heures de travail du salarié.
Il appartient donc aux entreprises, avec l’aide de leur DSI, d’anticiper ces questions et de mettre en place les mesures adéquates afin d’assurer un tracé lisible et sécurisé de la frontière entre vie privée et vie professionnelle incluant le « phénomène BYOD ».
Chartes « Utilisateurs des SI », Politiques de sécurités doivent donc être mises à jour au regard de ces évolutions technologiques et des pratiques au sein de l’entreprise.
Vous souhaitez en savoir plus ? Cliquer ICI.
*
* *
