Le rapport tant attendu sur la cybersurveillance des salariés sera enfin rendu public par la CNIL, mercredi 28 mars. Transfert présente ses principales dispositions.
Après six mois de préparation, la CNIL (Commission nationale de l’informatique et des libertés) rend enfin public, mercredi 28 mars, son rapport d’ensemble sur la cybersurveillance des salariés dans l’entreprise. Au menu : 40 pages d’étude sur les possibilités techniques de contrôle des salariés au travail, les règles de droits existantes s’appliquant à la protection des données personnelles, un état de la jurisprudence française sur le sujet et un tour d’horizon des avis déjà adoptés sur ce thème dans d’autres pays (voir encadré ci-contre). Très attendues, tant par les entreprises que par les syndicats de salariés, les recommandations proprement dites interviennent seulement sur les cinq dernières pages du rapport derrière le titre : "
Au moment de conclure... Des principes et des pratiques".
Un rappel des principes
Et le texte de la CNIL s’attache en effet beaucoup aux principes. Il rappelle que "l’entreprise doit exercer le contrôle de l’exécution du contrat de travail", que "les salariés ont droit au respect de leur vie privée laquelle ne peut s’arrêter en pratique à la porte de l’entreprise", donc "la sécurité informatique de l’entreprise n’[est] en rien contraire aux intérêts, aux droits et à la liberté des salariés". Un rappel qui n’est pas vain au regard des premières affaires de justice qui sont déjà intervenues en France (voir encadré ci-dessous) et qui se sont souvent soldées par la sanction du salarié. Le rapport de la CNIL précise à ce propos que "l’année 2000 a marqué un tournant dans la jurisprudence sociale relative à la surveillance électronique". Et même si ce texte n’a pas de valeur contraignante (son application n’est pas obligatoire), il dresse quand même un cadre de référence sur l’utilisation des nouvelles technologies au travail. "Ce rapport est avant tout un guide et une inspiration pour les entreprises. Il reste ouvert aux suggestions du public. C’est pour cela que nous avons décidé de ne pas figer nos recommandations et de mettre ce texte en ligne sur notre site", explique Hubert Bouchet, vice-président délégué de la CNIL et rapporteur du projet. Aussitôt bouclé, le texte a donc été adressé aux différents partenaires sociaux (les principaux syndicats) afin qu’ils puissent donner leur avis. "Les suggestions sont les bienvenues" ajoute Hubert Bouchet.
Quelques recommandations générales sur la pratique
Trois points sont abordés par le texte de la CNIL : les limites du contrôle exercé par les entreprises, l’utilisation des nouveaux moyens de communication au travail par les salariés et l’élaboration de véritables négociations dans les entreprises sur ce sujet.
1) "Les limites à la mise en œuvre de la sécurité informatique dans l’entreprise"
Si l’entreprise utilise un système de filtrage (ce qu’elles utilisent presque toutes pour éviter les virus), "toutes les informations enregistrées et leur durée de conservation doivent êtres précisées aux salariés". De même pour les copies de sauvegarde et les statistiques de connexion. En revanche, le texte ne précise pas la durée de conservation (3 mois, 6 mois, ou plus ?).
"L’interdiction faite aux salariés de disposer d’une messagerie sur un serveur de messagerie gratuite peut constituer une mesure de sécurité légitime pour l’entreprise." De même, la CNIL peut juger justifiée "l’interdiction faite au salarié de laisser leur mail professionnel sur des forums de discussion". Dans ce cas, l’utilisation d’une messagerie autre que celle de l’entreprise peut aussi s’avérer bien pratique comme mesure de sécurité. Si le salarié l’utilise par exemple à des fins privées, tout ce qu’il y dit n’engage pas son employeur.
2) "L’utilisation à des fins personnelles des moyens de communication de l’entreprise"
La CNIL préfère "la solution du filtrage" à "une interdiction absolue et de principe" pour ce qui est de la navigation sur le Web depuis le lieu de travail. Elle rappelle que si le contrôle est permis "dans certaines circonstances", il ne doit pas être nominatif.
L’interdiction de l’usage de la messagerie de l’entreprise à des fins non professionnelles est qualifiée, par le texte, d’"irréaliste et [de] disproportionnée". La CNIL rappelle aussi le caractère privé des messages échangés selon "les principes posés par la jurisprudence sur la correspondance postale".
3) "Charte et code de bonne conduite"
La CNIL recommande que l’établissement d’une charte ou d’un code de bonne conduite sur l’utilisation des nouvelles technologies au travail fasse l’objet d’une négociation entre syndicats et employeur, dans chaque entreprise. Nouveauté, le texte envisage en outre que "le bilan social de l’entreprise comporte un chapitre dédié au traitement des données personnelles et aux outils de surveillance mis en œuvre dans l’entreprise". Il propose donc que le CHSCT (Comité d’hygiène, de sécurité et des conditions de travail) - une instance présente dans chaque entreprise déjà en charge de veiller au respect de l’intégrité physique des salariés - ait une responsabilité particulière dans ce domaine.
Commission nationale informatique et libertés:
http://www.cnil.fr/