• E-reputation

    par brm_admin

    Les administrateurs réseaux peuvent-ils accéder aux messages personnels des salariés en cas d’incident de sécurité ? – 27/08/09

    Les administrateurs réseaux disposent de plus en plus de pouvoirs dans l’entreprise. Leurs compétences techniques les transforment la plupart du temps en gardiens des ressources informatiques (sécurisation des systèmes, gestion des messageries,…).

    A grands pouvoirs, grandes responsabilités.

    Ainsi, les administrateurs réseaux ne sont pas des salariés comme les autres. Ils sont soumis au secret professionnel et ne peuvent y déroger que dans des cas bien précis et sous certaines conditions.

    Dans son guide pour les employeurs et les salariés de 2008, la Commission Nationale Informatique Libertés rappelait les hypothèses de levée du secret professionnel :
    – mise en cause du bon fonctionnement des systèmes et de l’intérêt de l’entreprise ;
    – dispositions législatives particulières.

    La CNIL précisait par ailleurs, que les conditions d’intervention des administrateurs réseaux devaient être :
    – portées à la connaissance des employés et du Comité d’Entreprise (par l’édiction d’une charte informatique notamment) ;
    – encadrées ;
    – limitées au bon fonctionnement des applications ;
    – fixées dans le respect des principes de transparence, proportionnalité et finalité.

    Ce dernier principe de proportionnalité a été au cœur d’un arrêt de la Chambre sociale de la Cour de Cassation en date du 17 juin 2009.

    En l’espèce, suite à la réception par l’employeur de lettres anonymes dénonçant l’accès par des salariés non autorisés à des données hautement confidentielles (des données de santé), l’employeur avait missionné son administrateur réseau aux fins de prendre le contrôle des postes informatiques de 17 salariés et de rechercher notamment dans leur messagerie toutes les informations et traitements électroniques permettant d’identifier l’auteur des lettres anonymes.

    Des délégués du personnel s’étant émus de ces investigations et des dangers qu’elles représentaient pour les libertés individuelles des salariés concernés, ont saisi le bureau de jugement de la juridiction prud’homale afin qu’une enquête soit diligentée sur les conditions de consultation des messageries électroniques des salariés concernés (procédure prévue par l’article L.2313-2 du Code du travail).

    Après avoir été déboutés en première instance, ils ont interjeté appel.

    La Cour d’Appel d’Aix en Provence, dans un arrêt du 20 novembre 2007, avait retenu, pour justifier l’ouverture de l’enquête, que l’accès à la totalité des message sans nuance (professionnels, personnels) pouvait incontestablement constituer une atteinte à la liberté individuelle des salariés concernés et que, même s’il existait bel et bien un incident de sécurité justifiant des investigations, la mission de l’administrateur réseau aurait du se limiter aux seuls courriers électroniques qualifiés de professionnels ou qui pouvaient être identifiés comme tels.

    Les juges de la Cour d’Appel ont donc estimé que l’amplitude de la mission diligentée et l’absence de référence aux emails identifiés comme personnels était susceptible de porter atteinte aux libertés individuelles des salariés concernés.

    Ils ont également considéré que si la jurisprudence avait pu admettre l’ouverture de messages personnels en cas de « risque ou évènement particulier », ces notions ne sauraient être assimilées à celle d’ « incident de sécurité ».

    Pourvoi a par la suite été formé de l’arrêt d’appel par l’employeur.

    Ce pourvoi a été rejeté, l’analyse de la juridiction d’appel ayant été reprise par les juges de la Cour de Cassation, qui justifient également l’ouverture de l’enquête par le besoin de rechercher si les messages qualifiés de personnels avaient été seulement consultés par l’administrateur réseau dans le cadre de sa mission ou si l’employeur y avait eu également accès.

    La question essentielle qui se pose dans cette affaire est l’absence de définition claire de ce qu’est le « risque ou évènement particulier ».

    En effet, on aurait pu considérer qu’un incident de sécurité tel que celui apparu dans cette affaire mettant en jeu le secret médical et la fuite d’informations relevant elles-mêmes de la vie privée (données sensibles) et acquises par des courriers anonymes serait considéré comme un « risque ou évènement particulier ».

    L’enseignement à en tirer est que même en présence d’une charte informatique permettant des mesures d’investigation larges, l’employeur se doit d’être extrêmement vigilant dans la recherche de preuves sur les postes informatiques des salariés , soit en la présence du salarié ou celui-ci dûment informé préalablement, soit en cas de risque ou évènement particulier, se faire autoriser en justice sous peine de nullité de toutes les procédures en découlant.