L’espionnage informatique n’est pas seulement une affaire d’État. Dans l’entreprise, la cybersurveillance s’impose de plus en plus comme la norme sous les yeux impuissants des instances protectrices de la vie privée. Car face aux enjeux de sécurité et de responsabilité auxquels s’expose l’entreprise du monde numérique, la vie privée pèse d’un poids bien relatif. Les principes jusqu’alors inviolables du secret des correspondances et du respect de l’intimité du salarié sont donc de plus en plus souvent amenés à céder le pas à d’autres impératifs. La "continuité du service" en fait partie.
Poinçon "privé" ou "personnel"
Prenons le cas d’une commande devant être honorée pendant l’absence du responsable commercial qui en est chargé. La loi autorise l’employeur à rechercher dans son ordinateur différentes données, et notamment les échanges de mails détaillant les conditions du contrat. Mais attention : "L’employeur ne doit pas en profiter pour exploiter ou éditer d’autres contenus relevant de la vie privée du salarié", prévient l’avocat Olivier Iteanu. Sauf que rien ne l’en empêche officieusement...
Moralité : avant de prendre le large, mieux vaut s’atteler au grand nettoyage de sa machine pour éviter que la souris baladeuse de son employeur ne tombe sur un contenu discréditant. Et autant mettre toutes les chances de son côté en revêtant ses fichiers et mails confidentiels du poinçon "privé" ou "personnel". Car, hormis le cas exceptionnel de la "continuité du service", l’employeur ne peut pas y toucher. Il ne peut les consulter qu’en présence du salarié ou si celui-ci a été convoqué mais ne s’est pas présenté. Toutefois, tous les mails estampillés "personnel" ne le sont pas forcément. Ainsi, la Cour de cassation a rappelé, dans un arrêt rendu en mai 2013, que les mails transitant par une messagerie mise à disposition par l’employeur étaient présumés "professionnels", même si l’adresse mail ne comporte pas le nom de l’entreprise.
Préserver la preuve
Autre exemple : un employeur soupçonne son directeur commercial de fricoter avec un concurrent et de lui avoir transmis des informations stratégiques en couvrant cet envoi par la mention "personnel". La menace de destruction de preuves lui pend au nez. Certes, il multipliera les attestations et rapports d’enquêtes privées. Mais les captures d’écran établissant noir sur blanc l’implication du salarié dans l’entreprise concurrente lui seront aussi d’une grande utilité pour nourrir son dossier de concurrence déloyale.
Ainsi, par souci de pragmatisme et de préservation des preuves, les juges admettent que l’employeur est autorisé à forcer le verrou des fichiers et courriels estampillés "personnel" "en cas de risque ou d’événement particulier". Concrètement, l’employeur dépose une requête devant le juge civil sollicitant des mesures d’investigation précises. Puis, un expert se rend dans l’entreprise, accompagné d’un huissier. Il effectue la copie partielle ou totale du disque dur et répète l’opération dans l’entreprise concurrente si l’ordonnance l’y autorise. Son rapport peut alors dévoiler la contrefaçon d’un logiciel, le vol des plans d’une machine ou le détournement du cahier des prix... Autant d’armes juridiques qui viendront consolider un contentieux en concurrence déloyale et un licenciement pour faute lourde. La notion de "circonstances particulières" abrite toutes sortes de situations de ce type, qui sont autant de portes ouvertes sur le domaine réservé des salariés.
Identifiants et mots de passe des salariés absents
Reste qu’en période de vacances, le principe de respect de la vie privée du salarié s’oppose à ce que l’administrateur réseau communique à l’employeur les identifiants et mots de passe – par nature personnels – des salariés, sans raison particulière, et ce, même si les fichiers qu’il souhaite consulter ont un caractère professionnel. Cela est tout au moins le point de vue de la Cnil. "La Commission est très en pointe sur la question de la vie privée et va bien au-delà de la jurisprudence actuelle", note Me Iteanu.
En effet, les tribunaux autorisent l’employeur à prendre connaissance du mot de passe d’un salarié absent si celui-ci stocke sur son poste informatique des informations "nécessaires à la poursuite de l’activité de l’entreprise", et si l’on ne peut accéder à ces informations par d’autres moyens. Ainsi, un remplaçant doit pouvoir ouvrir le fichier de clients indispensable à la prospection de son secteur, dès lors que le salarié absent est le seul détenteur de ce fichier.
Ce qu’il faut retenir ? "Qu’au-delà de la cybersurveillance, la tendance des tribunaux est de faire du système d’information de l’entreprise la chasse gardée et exclusive de l’employeur", résume Me Iteanu.