Les employeurs sont souvent tentés de “surveiller” leurs employés au travers de toutes les traces d'utilisation du réseau. Cette pratique est-elle permise? les informations collectées de cette manière peuvent-elles être utilisées contre l'employé surveillé et, surtout, dans quelle mesure un acte est-il susceptible d'être sanctionné?

• le règlement intérieur de l'entreprise ou de l'établissement peut prévoir les “règles générales et permanentes relatives à la discipline” que l'on veut voir régner sur les lieux de travail, et “notamment la nature et l'échelle des sanctions” qui peuvent être prises sur leur fondement (article L122-34 du Code du travail). L'employeur pourra ainsi prévoir des restrictions à l'usage des moyens informatiques, mais ceci cependant dans le strict respect des lois et règlements, ainsi que des conventions et accords collectifs de travail applicables dans l'établissement en cause. Le règlement intérieur ne peut en aucun cas “apporter au droit des personnes et aux libertés individuelles et collectives des restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnée au but recherché” (article L122-35 du Code du travail).

• l'employeur a, de plus, “le droit de contrôler et de surveiller l'activité de ses salariés pendant le temps du travail” (Chambre sociale de la Cour de Cassation, 20 Novembre 1991). Mais ce contrôle est soumis à certaines obligations :
  • Ce contrôle doit être justifié par la nature de la tâche à accomplir et proportionné au but recherché (article 120-2 du code du travail);
  • les informations collectées ne doivent pas concerner la vie privée des personnes sous surveillance : si l'enregistrement d'une conversation ayant pour objet des pourparlers en vue de la publication d'un article ne pose par exemple aucune difficulté (Cour d'Appel de Paris, 26 mars 1987), l'employeur qui dissimule “un magnétophone à déclenchement vocal dans le faux plafond du bureau occupé par deux de ses employés” se rend coupable du délit d'atteinte à l'intimité de la vie privée, prévu à l'article 226-1 du Nouveau Code Pénal (Crim, 24 janvier 1995). Le respect de la vie privée implique également le secret des correspondances. La Chambre sociale de la Cour de Cassation a affirmé dans un arrêt du 2 Octobre 2001 que “l'employeur ne peut (...), sans violation de cette liberté fondamentale, prendre connaissance des messages personnels émis par le salarié ou reçus par lui grâce à un outil informatique mis à sa disposition pour son travail, et ceci même au cas où l'employeur aurait interdit une utilisation non professionnelle de l'ordinateur”.
  • Ensuite, l'employeur doit porter à la connaissance de ses employés le contrôle dont ils font l'objet, sous peine de ne pas pouvoir se servir de l'éventuelle preuve d'une faute qu'il pourrait ainsi recueillir (“tout enregistrement d'images ou de paroles fait à l'insu des salariés constitue un mode de preuve illicite” ; Chambre sociale de la Cour de Cassation, 20 nov. 1991 - jurisprudence constante).
  • Enfin, il doit en informer le comité d'entreprise (article 432-2-1 du code du travail).
  • Au delà, les informations ainsi collectées sont considérées par la CNIL comme des données nominatives dès l'instant où elles ont “un caractère indirectement nominatif au sens de l'article 4 de la loi du 6 janvier 1978”. Leur traitement informatique est alors soumis à déclaration préalable ou à autorisation, selon respectivement que l'organisme en cause sera de nature privée ou publique : voir notamment, à ce sujet, la norme simplifiée n°40 de cette Commission, en date du 3 janvier 1995, relative aux traitements automatisés d'informations nominatives mis en œuvre à l'aide d'autocommutateurs téléphoniques sur les lieux de travail. Voir aussi le rapport adopté par la CNIL le 5 février 2002 concernant "la cybersurveillance sur les lieux de travail".
• Enfin, l'employeur ne peut surveiller ses employés en dehors des heures de travail, si aucune mesure de sécurité ne le justifie : il a en effet été jugé que s'étaient rendus coupables du délit d'atteinte à l'intimité de la vie privée le Président-Directeur Général d'une entreprise et son gendre qui, à l'aide d'un interphone installé dans le local servant de cantine aux employées, ont écouté les conversations de celles-ci qui se réunissaient dans ce local à l'heure du déjeuner, alors que les conversations étaient relatives non seulement à la vie professionnelle, mais aussi à l'intimité de la vie privée de différentes personnes.

Les universités ont aujourd'hui, pour la plupart d'entre elles, un serveur hébergeant les boîtes aux lettres électroniques de leurs étudiants et leur proposant un accès à Internet. Comment garantir un usage loyal de ces ressources informatiques (exemple : prévention des utilisations abusives ou de diffamations éventuelles envers l'Université ou le corps enseignant...) et comment éviter les dérapages tout en respectant la liberté d'expression?

• la mise en place d'une charte d'utilisation des ressources informatique (voir notre page sur ce point et nos exemples de chartes) est tout d'abord fortement recommandée : elle permettra de responsabiliser l'étudiant, tout en lui rappelant les règles de droit à respecter. Cette charte pourra énumérer des obligations spécifiques imposées par l'université, qui ne devront bien entendu être contraires ni aux principes généraux du droit ni aux textes en vigueur.

• en cas d'acte litigieux commis par un étudiant, l'université pourra éventuellement le sanctionner selon la procédure disciplinaire interne, mais également par les voies de droit habituelles, en cas de préjudice effectif ou d'infraction constituée.

• enfin, il semble possible de se retourner contre l'étudiant dans certains cas de poursuites par un tiers : l'article 434-23 du Nouveau Code Pénal dispose en effet que “le fait de prendre le nom d'un tiers, dans des circonstances qui ont déterminé ou auraient pu déterminer contre celui-ci des poursuites pénales, est puni de cinq ans d'emprisonnement et de 75.000 euros d'amende”.

Pour information : le décret 92-657 relatif à la procédure disciplinaire dans les établissements publics d'Enseignement Supérieur (en arrivant sur la page du site “Legifrance”, choisir “lois et décrets”, insérer le mot “décret” dans la case “nature du texte” et “92-657” dans la case “numéro du texte”, puis valider).