Droit à l’oubli contre liberté d’expression : la Cour d’appel de Paris confirme la primauté de la liberté d’expression

 

 

Ce qu’il faut retenir

Dans une décision du 20 février 2025, la Cour d’appel de Paris s’est prononcée sur la portée du droit à l’oubli en ligne, dans le cadre d’un litige opposant un ancien dirigeant sportif à un organe de presse numérique. La cour rappelle que la demande d’effacement fondée sur le droit à l’oubli ne saurait prévaloir sur le droit du public à l’information. 

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-droit-a-l-oubli-contre-liberte-d-expression-la-cour-d-appel-de-paris-confirme-la-primaute-de-la-liberte-d-expression

Deepfakes : Opportunités technologiques et risques juridiques

Ce qu’il faut retenir

Il existe une multitude d’applications licites des deepfakes, sous réserve de respecter les droits des personnes. Malheureusement, les utilisations malveillantes restent trop nombreuses. La loi est cependant en train de s’étoffer. La lutte contre les deepfakes illicites devrait s’intensifier et les poursuites contre les fraudeurs se multiplier dans les mois qui viennent.

 

Lire la suite de l'article: https://www.deleporte-wentz-avocat.com/actualite-deepfakes-opportunites-technologiques-et-risques-juridiques

La protection des données personnelles : un droit fondamental, mais non absolu

 

Ce qu’il faut retenir

Le droit à la protection des données personnelles est un droit fondamental mais non absolu. Les juges sont régulièrement amenés à le mettre en balance avec d’autres droits fondamentaux, selon le principe de proportionnalité.

 

Lire la suite de l'article :  https://www.deleporte-wentz-avocat.com/actualite-la-protection-des-donnees-personnelles-un-droit-fondamental-mais-non-absolu

Principes et limites à l’accès aux emails des salariés par l’employeur : les dernières décisions jurisprudentielles

Avec l’arrêt Nikon du 2 octobre 2001, la cour de cassation rappelait que le salarié avait droit, même sur le lieu et pendant le temps de travail, au respect de l'intimité de sa vie privée, y compris le respect du secret des correspondances. Dès lors, l'employeur ne pouvait, sans violer cette liberté fondamentale, prendre connaissance des messages personnels émis et reçus par le salarié grâce à l’ordinateur mis à sa disposition pour son travail, et ceci même au cas où l'employeur aurait interdit une utilisation non professionnelle de l'ordinateur. (1)

Cependant, même si le principe général du respect de l'intimité de la vie privée du salarié sur le lieu et pendant le temps de travail a été reconnu, plusieurs décisions de justice sont venues en préciser les contours depuis cet arrêt de 2001, notamment trois décisions rendues par la Cour de cassation en 2013.


1. La délimitation des sphères vie privée / vie professionnelle en matière d’accès aux contenus des ordinateurs professionnels

L'employeur peut avoir accès aux fichiers informatiques créés, reçus et envoyés par les salariés, que ce soit dans le cadre de la réalisation normale de leur mission, ou dans une finalité de contrôle pour protéger les intérêts de l'entreprise ou sauvegarder les preuves en cas de faute disciplinaire du salarié.

Le contrôle par l’employeur doit néanmoins être réalisé pour des motifs légitimes et être justifié, par exemple pour vérifier que le salarié n’utilise pas son ordinateur professionnel d'une manière qui serait susceptible de porter atteinte à l'image de l'entreprise ou pour exercer une activité professionnelle concurrente. Dans ce cas, conformément à la jurisprudence, un tel contrôle ne saurait porter atteinte aux droits du salarié au respect de sa liberté d'expression et de sa vie privée sur son lieu de travail et pendant son temps de travail.

Toutefois, sans pour autant remettre en cause ces libertés fondamentales, la jurisprudence tend, depuis quelques années, à préciser les contours de la sphère vie privée en affirmant que l'outil informatique mis à la disposition du salarié, par l'employeur, pour l’exécution de son travail ne doit pas être détourné de son objet professionnel.

La règle est désormais la suivante : tous les fichiers et emails créés, adressés ou reçus par un salarié à l'aide de son ordinateur professionnel sont présumés professionnels. L’employeur peut donc y accéder hors sa présence et s'en servir, notamment en cas d’action disciplinaire. (2)

Aussi, afin de limiter les accès à des documents relevant de la sphère privée, il appartient au salarié d'apposer un signe distinctif sur les documents et messages personnels. De récentes décisions de la Cour de cassation illustrent parfaitement cette tendance jurisprudentielle.


2. Le principe de présomption du caractère professionnel des échanges

Dans une décision du 16 mai 2013, la Cour de cassation a affirmé que l’employeur pouvait prendre connaissance des messages personnels émis et reçus par le salarié, grâce à son l’ordinateur professionnel mis à sa disposition. Ces emails, même s'ils ne comportaient pas le nom de la société dans l’adresse, sont présumés professionnels. (3)

En l’espèce, une société avait assigné l’un de ses anciens salariés, et son nouvel employeur, pour détournement de clientèle et concurrence déloyale pendant l’exécution du préavis du salarié. Au cours de la procédure, les défendeurs ont invoqué le fait que le constat d’huissier versé aux débats par la société demanderesse, ne constituait pas un mode de preuve licite. Ce constat avait été réalisé à partir de la boîte email de l’ancien salarié, dont l’adresse électronique ne comportait pas le nom de la société, et en l’absence du salarié concerné. Si le salarié utilisait cette messagerie dans un cadre professionnel, il recevait également des messages personnels, protégés par le secret des correspondances et le droit au respect de la vie privée.

La Cour de cassation a cependant jugé que "les courriels adressés et reçus par le salarié à l'aide de l'outil informatique mis à sa disposition par l'employeur pour les besoins de son travail sont présumés avoir un caractère professionnel, en sorte que l'employeur est en droit de les ouvrir hors la présence de l'intéressé, sauf si le salarié les identifie comme personnels."

En conséquence, tous les fichiers et emails édités et reçus par un salarié, à l’aide de son ordinateur professionnel, peuvent être consultés par l’employeur, sauf s’ils sont identifiés comme “personnels” (dans leur intitulé ou placés dans un dossier “personnel”).


3. Les emails envoyés depuis la messagerie personnelle, stockés sur l’ordinateur professionnel sont présumés de nature professionnelle

La Cour de cassation, dans cette décision du 19 juin 2013, a étendu la règle de l’identification “personnel” aux emails émis depuis l’ordinateur personnel du salarié, avec son adresse personnelle, puis transférés sur son ordinateur professionnel. (4)

En l'espèce, le directeur artistique d'une agence de publicité avait été licencié pour faute grave, à savoir pour concurrence déloyale. Une expertise de son disque dur professionnel avait révélé l'échange de nombreux emails, depuis son ordinateur et adresse de messagerie personnels, avec des salariés d’une agence concurrente portant sur les produits d’un client de son employeur. Ces emails avaient ensuite été transférés sur son ordinateur professionnel. Or, ces emails ne portaient pas la mention “personnel” dans leur objet et ne figuraient pas dans un dossier identifié comme personnel dans son ordinateur professionnel. Par ailleurs, plusieurs dossiers et fichiers expressément nommés “perso” ou “personnel” découverts sur le disque dur, avaient été exclus du rapport d'expertise.

Contestant son licenciement, le salarié a saisi la juridiction prud'homale. Il affirmait que les emails litigieux avaient un caractère personnel puisqu'ils avaient été envoyés depuis son adresse de messagerie personnelle. Aussi, le salarié considérait que l'accès à ses messages, effectué par un expert mandaté par l'employeur, hors sa présence, constituait une atteinte au respect de sa vie privée Les constatations effectuées par l'expert lui étaient donc inopposables. Selon le salarié, l’employeur ne pouvait ni lire, ni se servir des emails comme preuve d’une faute ; le licenciement était donc dépourvu de cause réelle et sérieuse.

La Cour de cassation n'a pas suivi l'argumentation du salarié. Les juges ont rappelé le principe de base concernant la qualité “professionnelle” des emails se trouvant dans l’ordinateur professionnel du salarié, en précisant que "des courriels et fichiers, intégrés dans le disque dur de l'ordinateur mis à disposition du salarié par l'employeur, ne sont pas identifiés comme personnels du seul fait qu'ils émanent initialement de la messagerie électronique personnelle du salarié".

En conclusion, tout le contenu du disque dur de l’ordinateur professionnel, y compris la messagerie, est présumé à caractère professionnel. Dans ce cas, l’employeur y a librement accès et peut consulter l’ensemble de son contenu, pour le cas échéant, l’utiliser contre le salarié.

De même, dès lors qu’un lien avec l'ordinateur mis à disposition du salarié peut être établi, les messages, dossiers, et autres fichiers sont présumés avoir un caractère professionnel. C'est ainsi que la Cour de cassation a, dans une décision du 12 février 2013, poussé le raisonnement jusqu’à considérer qu’une clé USB, même personnelle, connectée à l'ordinateur professionnel était présumée utilisée à des fins professionnelles. L’employeur peut donc avoir accès aux fichiers contenus sur la clé USB, hors la présence du salarié. (5)

Ainsi, seule la mention précise et clairement identifiable du caractère personnel d'un fichier est susceptible de protéger sa libre consultation par l’employeur. Pour rappel, dans un décision du 10 mai 2012, la Cour de cassation avait jugé que la seule dénomination "Mes documents" donnée à un fichier ne lui conférait pas un caractère personnel. L'employeur pouvait donc librement consulter ce fichier. (6)


On assiste depuis plusieurs années à une porosité accrue entre vie personnelle et vie professionnelle, tendance facilitée par une demande de flexibilité des salariés et par l’évolution des équipements informatiques.

Si les salariés ont tendance à utiliser leur ordinateur professionnel à des fins personnelles (utilisation de la messagerie, stockage de documents, consultation d’internet, etc.), la pratique du BYOD, par laquelle les salariés peuvent être autorisés à utiliser leur propre équipement informatique à des fins professionnelles, implique d’appliquer des règles de conduite strictes pour maintenir une ligne claire entre sphère privée et sphère professionnelle. La première règle consiste à distinguer entre dossiers “personnels” et dossiers “professionnels”.

Les tribunaux considèrent que les documents et emails se trouvant sur un ordinateur professionnel sont d’ordre professionnel par défaut. Cela revient-il à considérer que, pour une entreprise tolérant ou encourageant la pratique du BYOD, les documents et emails se trouvant sur un équipement  informatique personnel sont d’ordre personnel par défaut ? (7) Les chartes informatiques doivent permettre aux entreprises de rappeler à leurs collaborateurs les règles de base en matière d’utilisation des outils informatiques et de distinction privé / professionnel.

* * * * * * * * * *

(1) Cour de cassation, chambre sociale, 2 oct. 2001, n°99-42.942, Nikon France

(2) Les courriels constituent des preuves admissibles et ont force probante devant les Conseils de prud'hommes.

(3) Cour de cassation, chambre sociale, 16 mai 2013, N°12-11866

(4) Cour de cassation, chambre sociale, 19 juin 2013, N°12-12138

(5) Cour de cassation, chambre sociale, 12 février 2013, No 11-28.649

(6) Cour de cassation, chambre sociale, 10 mai 2012, N°11-13.884

(7) BYOD (Bring your own device) consiste pour les salariés à utiliser leur propre équipement (ordinateur, tablette, smartphone) à des fins professionnelles


Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com

Septembre 2013

Les atteintes à l’e-réputation de l'entreprise : comment défendre son image de marque sur internet

Les atteintes à l'e-réputation font régulièrement la une de la presse internet. En attestent par exemple, la condamnation de sites de réservation d'hôtels et de voyages en octobre 2011 pour avoir notamment publié de faux avis de consommateurs ou, plus récemment, la révélation des pratiques de la société Orangina qui aurait trafiqué sa page Facebook avec de faux profils pour animer sa propre "fan page".(1)

Avec le développement de l’internet participatif, et la possibilité pour tous de créer, publier et partager des contenus en ligne, mais également de commenter ou recommander des sites webs, produits ou services, la gestion et la maîtrise de sa réputation numérique sont devenues une préoccupation majeure pour les entreprises et leurs dirigeants.

Comment l'entreprise peut-elle éviter "le mauvais buzz", faire face aux critiques et défendre son image de marque sur internet ? L’objet du présent article est d’apporter quelques éléments de réponse.

1. Comment anticiper les risques d’atteinte à la réputation numérique de l'entreprise ?

L'e-réputation consiste en l’image d’une personne physique, d'une entreprise ou d’une marque, telle que perçue par les internautes. Les clients, utilisateurs, concurrents et salariés d'une entreprise peuvent contribuer à faire et à défaire sa réputation ou celle d’une ligne de produits ou de services. Il est donc conseillé de mettre en oeuvre des règles de gestion, ou bonnes pratiques, de l’image de marque de l’entreprise.

    1.1 Les pratiques portant atteinte à l'e-réputation de l’entreprise et/ou de ses dirigeants

Les atteintes à l’e-réputation d’une entreprise peuvent être de deux types : d’une part, l’entreprise qui tente de manipuler son image de marque en ligne par l’intermédiaire de faux avis de consommateurs par exemple, et dont les pratiques sont divulguées, portant ainsi atteinte à la crédibilité de sa communication vis-à-vis du public, d’autre part un utilisateur ou un groupe de consommateurs insatisfaits qui décident de cibler une entreprise et ses produits en publiant des commentaires et avis négatifs, plus ou moins fondés, l’objectif étant de porter atteinte à l’image de cette entreprise et/ou de ses produits.

Les pratiques résultant en une atteinte à l’e-réputation se déclinent de plusieurs manières :

- Les faux avis de consommateurs mis en ligne par une entreprise visant à manipuler sa réputation. Cette pratique peut dans certains cas être qualifiée de pratique commerciale trompeuse ;

- Les faux avis de consommateurs mis en ligne par une entreprise concurrente, et édités par ses salariés ou des entreprises spécialisées dans la rédaction de faux commentaires ;

- Les avis négatifs de consommateurs ciblant les produits et services d'une entreprise, postés sur des forums de discussion, des blogs, etc. ;

- Le dénigrement et la diffusion de fausses informations : le dénigrement consiste à jeter publiquement le discrédit sur un concurrent en répandant des informations erronées ou malveillantes sur sa personnalité ou ses produits, services, compétences et prix, afin de détourner sa clientèle ou d’en tirer un quelconque profit ;

- La divulgation d'informations personnelles sur les clients ou dirigeants de l'entreprise pouvant porter atteinte à leur vie privée ou au droit à l'image ou la divulgation d'informations confidentielles (secret d’affaires, secret de fabrication, savoir-faire, etc.).(2) L’accès aux informations confidentielles peut, par exemple, être dû au piratage du système d'information de l'entreprise en cause ;

- La diffamation et l’injure consistent, par exemple, en l'allégation d’un fait portant atteinte à l’honneur d'un dirigeant d'entreprise ou en l'utilisation d'une expression outrageante à son encontre ;

- Les atteintes à la marque et au nom de domaine : une marque ou un logo peuvent faire l'objet d'un détournement, d'une reproduction non autorisée ou d'une imitation servile. L’atteinte peut par exemple consister en l’apposition d’un terme péjoratif, dénigrant ou insultant au nom de l’entreprise ou à l’une de ses marques (tel que arnaque, escroquerie ou boycott). Les noms de domaine peuvent également être détournés par le "cybersquatting" ou le “typosquatting” ;

- L’usurpation d'identité : l'identité d'une entreprise peut être usurpée au moyen du "phishing", consistant pour les fraudeurs à tromper un internaute sur l'origine d'un message (provenant de sa banque par exemple) afin de lui soutirer des informations confidentielles telles que mots de passe ou numéro de carte bancaire.

Les conséquences d’une atteinte à l’e-réputation :

Ces différentes pratiques sont nuisibles à l'entreprise dans la mesure où celle-ci court le risque de voir sa marque associée à des valeurs non souhaitées ou à des comportements répréhensibles et où la divulgation d'information peut desservir les intérêts de ses clients, actionnaires, fournisseurs, distributeurs et autres partenaires commerciaux.

De nombreuses entreprises ont déjà fait les frais d'un "mauvais buzz", justifié ou non. On citera, par exemple, les sociétés Acadomia (constitution de fichiers nominatifs sans autorisation contenant des commentaires injurieux envers les enseignants et clients), Nestlé (pratiques contestables liées à l’utilisation de l'huile de palme et à la déforestation, dénoncées par Greenpeace) ou, plus récemment, Guerlain (propos racistes tenus par le fondateur).(3)

Les entreprises doivent se préparer à ces types d’atteinte à leur image et développer des règles de gestion de leur e-réputation. 

   1.2 La mise en oeuvre de bonnes pratiques en matière de gestion de l’image de marque de l’entreprise

Anticiper les risques d’atteinte à l’image est indispensable ; l'entreprise doit donc développer une véritable politique de gestion de sa réputation numérique et mettre en oeuvre des bonnes pratiques de gestion de son image de marque :

- La protection des marques et noms de domaine de l'entreprise : en premier lieu, il est recommandé à l'entreprise de protéger sa/ses marques par le droit de la propriété intellectuelle par leur enregistrement auprès de l’INPI, éventuellement sous plusieurs formes (verbale et figurative) et d’étendre la protection à plusieurs pays au cas où l’entreprise aurait une activité commerciale à l’international (marque communautaire ou internationale). Ce mode de protection permettra à l’entreprise de poursuivre en justice les tiers qui reproduiraient sa marque de manière non autorisée et/ou en cas de parasitisme ou de dénigrement.

- La sécurisation du système d'information de l'entreprise : afin d'éviter une fuite d'informations, l'entreprise devra sécuriser son système d'information en déployant : (i) des solutions techniques de sécurisation de ses équipements (pare-feu, antivirus, filtre anti-spam, utilisation de codage pour les données sensibles, y compris la mise à jour régulière de ces dispositifs de sécurité), et (ii) une communication pédagogique envers les salariés axée sur les risques technologiques, la nécessité de signaler les incidents de sécurité et de prendre les précautions nécessaires en matière de sécurisation de leurs équipements et comptes (ex: choix de mots de passe complexes).

- L’adoption d’une stratégie de communication et de veille de l'e-réputation : l'entreprise doit communiquer sur sa marque, ses produits et services de manière régulière et adaptée aux nouveaux usages d'internet, par exemple en animant une communauté d'internautes et en dialoguant avec ses clients via la plate-forme internet collaborative de la société, telle la SNCF avec sa rubrique débats (http://debats.sncf.com/), ou via une page entreprise sur Facebook par exemple. La gestion de l'e-réputation sera alors assurée : (i) par la désignation d'un community manager, ayant pour mission d'animer la marque de l'entreprise auprès des différentes communautés d'internautes, et de répondre aux questions, détecter les problèmes ou désamorcer les crises ; (ii) et si nécessaire, par la mise en ligne de conditions d'utilisation détaillant les conditions de modération applicables à la plate-forme collaborative utilisée par l'entreprise.

Par ailleurs, de nouveaux outils et services sont mis à la disposition des entreprises par des sociétés spécialisées dans la gestion de l'e-réputation : logiciels de mesure de visibilité sur les réseaux sociaux, plates-formes permettant aux professionnels de consulter en temps réel les avis, commentaires et notes donnés par les internautes, assurance spécifique contre les atteintes à l'e-réputation, etc. Il est cependant recommandé d'étudier avec attention les contrats proposés par ces prestataires, les services et les engagements étant variables selon les prestataires.(4)

- La sensibilisation des salariés de l'entreprise : les salariés tendent de plus en plus à s'exprimer sur internet à propos de leur employeur. Les entreprises doivent donc instaurer une politique de sensibilisation de leur personnel consistant, d’une part en formations ciblées sur les bonnes pratiques d'utilisation des outils de communication électronique (email, réseaux sociaux et le cas échéant réseau social de l’entreprise), l’exercice de la liberté d'expression et ses limites, d’autre part dans la mise en place d'une charte internet complète et à jour.(5)

- L’information des internautes : enfin, l'image de marque de l’entreprise passe par une information claire sur les caractéristiques essentielles de ses produits et services, ses conditions de vente et de livraison, ses conditions de fourniture de services, les prix pratiqués, la politique relative aux données personnelles, etc. A ce titre, il est recommandé de soigner la rédaction des conditions générales de vente/d'utilisation et mentions légales figurant sur le site web de l'entreprise.

Si, en dépit de ces précautions, l'entreprise est victime d'atteintes à sa réputation sur internet, plusieurs moyens d'action pourront être envisagés pour lutter contre de telles offenses.

2. Comment réagir et se défendre en cas d’atteinte à la réputation numérique de l'entreprise

    2.1 Une riposte graduée en fonction de la gravité de l'atteinte

En cas d'atteinte à son e-réputation, l'entreprise doit définir la stratégie qui sera la plus efficace pour y mettre fin et réagir sans délai afin de ne pas laisser une information nuisible se propager. Cependant, avant toute action, judiciaire ou extra-judiciaire, il sera primordial de conserver la preuve des éléments litigieux, notamment via un constat d’huissier. Plusieurs actions sont envisageables compte tenu du type et de la gravité de l’atteinte à son image. Il est recommandé de faire établir une analyse de la gravité de l’atteinte à l’image et de la stratégie de défense à mettre en oeuvre avec l’aide d’un avocat.

- "Noyer" ou "nettoyer" les contenus indésirables : l'entreprise peut tenter de "noyer" les contenus nuisibles en mettant en ligne de nouveaux contenus correctifs ou informatifs (mais ni erronés, ni trompeurs) sur ses produits et/ou services, les informations litigieuses redescendant dans les pages de résultats des moteurs de recherche.

En outre, bien qu'il ne soit pas toujours possible de faire totalement disparaître du web certaines informations, l'entreprise peut tenter de les faire supprimer, par des moyens techniques divers, tels l'utilisation de dispositifs d'alerte mis en place par la plupart des médias participatifs ou le recours à des sociétés spécialisées dans le "nettoyage" de l'e-réputation. Il est là aussi recommandé d'étudier avec attention les contrats proposés par ces prestataires avant d’avoir recours à ces services.(6)

- Instaurer un dialogue avec l'auteur du trouble : s'il est identifié, l'entreprise peut préférer se rapprocher du/des auteur(s) des contenus portant atteinte à son image de marque, et tenter de négocier le retrait des informations gênantes afin d'éviter ou de limiter tout déficit d'image. Le rôle du community manager peut être déterminant dans le désamorçage du problème.

L'entreprise ou ses dirigeants victimes peuvent également faire jouer leur droit de réponse en ligne, dont l'exercice est soumis, par la loi, à certaines conditions ou faire jouer leur droit d'opposition à la divulgation de données personnelles, permettant de demander la suppression de ces données, soit auprès du webmaster du site internet à l'origine de la publication litigieuse, soit à défaut de suppression dans un délai de deux mois, auprès de la CNIL qui enjoindra au responsable du site web de faire le nécessaire.(7)

- Mettre en oeuvre des procédures alternatives de règlement des litiges : en cas de tentative d’enregistrement d’une marque ou d’un nom de domaine potentiellement contrefaisant ou dénigrant, l'entreprise peut selon les cas, soit lancer une procédure d'opposition, permettant d'empêcher l'enregistrement d'une marque nouvelle qui porterait atteinte à ses droits, soit lancer une procédure de suppression ou de transfert à son profit d'un nom de domaine susceptible de porter atteinte à ses droits. Les conditions de mise en oeuvre de ces procédures varient selon le type de marque ou d'extension du nom de domaine et selon l'office d'enregistrement et de gestion concernés.(8)

- Engager une action judiciaire : enfin, l'entreprise ou son dirigeant peut décider d'agir en justice afin d'obtenir (i) l'identité de l'auteur des propos litigieux, si celui-ci n'est pas identifié, (ii) le retrait du contenu litigieux, ou la désindéxation des pages sur lesquelles ces contenus ont été diffusés, et (iii) la réparation du préjudice subi par la condamnation de l'auteur à des dommages et intérêts. Ces actions, en référé ou au fond, seront dirigées selon les cas, soit directement contre l'auteur des faits au cas où l’entreprise a pu l’identifier, soit contre l'hébergeur du site internet litigieux ou les FAI au cas où ceux-ci n’auraient pas fourni les informations permettant d’identifier l’auteur des contenus ou n’auraient pas retiré les contenus litigieux à la demande de l’entreprise.(9)

Si internet permet de s’exprimer librement, le web n'est pas pour autant une zone de non-droit. Certaines atteintes à la liberté d’expression et à l'e-réputation sont sévèrement réprimées par la loi.

    2.2 Les différents fondements pouvant être invoqués en cas d’action judiciaire contre les auteurs des troubles

Plusieurs fondements juridiques peuvent être invoqués suivant le type d'atteinte subie, en cas d’action judiciaire contre les auteurs des troubles :

- La diffamation et l'injure sont réprimées par la loi du 29 juillet 1881 sur la liberté de la presse et sont notamment punies d'une amende de 12.000€. Les sanctions peuvent atteindre un an d'emprisonnement et 45.000€ d'amende en cas de diffamation à caractère racial. Il convient cependant de noter que ce type d’action est soumis à un délai de prescription court (trois mois).(10)

- Le dénigrement est sanctionné sur le fondement de l'action en concurrence déloyale en application de l'article 1382 du Code civil. Cette action vise à mettre en cause la responsabilité civile de l'auteur des propos litigieux et d'obtenir le versement de dommages et intérêts.(11)

- Le délit d'atteinte à la vie privée est prévu par le Code pénal qui punit d'un an d'emprisonnement et de 45.000€ d'amende, le fait de porter volontairement atteinte à l'intimité de la vie privée d'autrui. La loi réprime le fait d'enregistrer et/ou de diffuser des paroles prononcées à titre confidentiel ou l'image d'une personne se trouvant dans un lieu privé, sans le consentement de la personne concernée (articles 226-1 et 226-2 Code pénal).

- Le non-respect du droit d'opposition est réprimé par la loi Informatique et Libertés qui punit de cinq ans d'emprisonnement et 300.000€ d'amende le fait de procéder à un traitement de données à caractère personnel malgré l’opposition de la personne concernée, lorsque cette opposition est fondée sur des motifs légitimes (article 226-18-1 du Code pénal).

- Les pratiques commerciales trompeuses sont définies par le Code de la consommation et punies de deux ans d'emprisonnement et/ou 37.500€ d'amende (personnes morales : 187.500€ ou 50% des dépenses de publicité ou de la pratique constituant le délit). Ces pratiques consistent à tromper le consommateur et l’amener à prendre une décision commerciale qu’il n’aurait pas prise autrement.(12)

Les pratiques commerciales trompeuses visent ici les faux avis de consommateurs ou les commentaires positifs postés par l’entreprise elle-même, sous l’apparence d’un client satisfait. Ces pratiques font l’objet, depuis début 2011, d’enquêtes spécifiques diligentées par les agents de la DGCCRF. Par ailleurs, l’AFNOR est en train de travailler à un projet de norme visant à renforcer la fiabilité des commentaires déposés par les internautes sur les sites marchands.

- Les atteintes à la marque telles que la reproduction sans autorisation ou l'imitation servile sont sanctionnées au titre de la contrefaçon et punies de trois ans d’emprisonnement et de 300.000€ d’amende (article L.716-10 du Code de la propriété intellectuelle).

- Le délit d'usurpation d'identité numérique est défini par la LOPPSI 2 et passible d'un an d'emprisonnement et 15.000€ d’amende. Ce nouveau délit permet de sanctionner, par exemple, les actes de "phishing".(13)

Enfin, cet arsenal répressif pourrait bientôt se voir renforcé par l'instauration, (i) d'un droit à l'oubli numérique, facilitant la suppression des données publiées et prévu dans le projet de règlement communautaire sur les données personnelles et (ii) d'un délit d'atteinte au secret des affaires, punissant de trois ans d'emprisonnement et 375.000€ d'amende, la divulgation d'informations de nature commerciale, industrielle, scientifique, etc. compromettant gravement les intérêts d'une entreprise et prévu par une proposition de loi sur la protection des informations économiques.(14)

* * * * * * * * * * *

(1) Condamnation des sociétés Expedia et autres, à payer près de 430.000€ de dommages et intérêts au Syndicat national des hôteliers, restaurateurs, cafetiers et traiteurs (Synhorcat) (Tribunal com. Paris, 15e ch., 4/10/2011) ; et voir l’article : "Orangina aurait trafiqué sa page Facebook avec de faux profils", Le Journal du Net (15/02/2012).
(2) L'article 9 al.1 du Code civil dispose que "Chacun a droit au respect à sa vie privée". Cette disposition permet à toute personne de s'opposer à la divulgation d'informations concernant, notamment, la vie conjugale, la vie familiale, la santé, la sexualité ou encore le patrimoine du dirigeant de l'entreprise. En vertu du droit au respect de la vie privée, la jurisprudence a créé le droit à l'image afin de permettre à une personne, célèbre ou non, de s'opposer à la captation, la fixation ou à la diffusion de son image, sans son autorisation expresse et préalable.
(3) Voir les articles publiés sur Le Journal du Net : "L'affaire Nestlé: autoritarisme, mépris, absence" et "Acadomia engage le dialogue....mais reste muette" (29/04/2011).
(4) Voir les articles publiés sur le site Les Echos entrepreneur : "Le nouveau filon de l'e-réputation" (18/02/2011) et sur le site Capital.fr : "De nouvelles assurances pour protéger votre e-réputation" (31/01/2012).
(5) Voir nos articles : "La charte technologique : un document essentiel pour la protection des réseaux et des données de l'entreprise" (09/2008) et "La charte informatique face à l'évolution des technologies : l'outil indispensable pour définir les règles du jeu" (12/2011) (accessible sur notre site web: www.dwavocat.com).
(6) Voir article publié sur le Blog de l'agence de communication digitale 50A (www.50a.fr) : "Nettoyeur pour 9,90€: une e-réputation au rabais?" (30/11/2011).
(7) Article 6-IV de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN) et Décret n°2007-1527 du 24 octobre 2007 ; Loi n°78-17 du 6 janvier 1978, modifiée relative à l’informatique, aux fichiers et aux libertés, et notamment article 38 ; Fiche pratique CNIL : "l'e-réputation en questions" (24/08/2011).
(8) Voir les articles L.45 et s. du Code des postes et des communications électroniques et la procédure "Syreli" devant l'AFNIC.
(9) Voir l'article 6 de la LCEN et le Décret n°2011-219 du 25 février 2011.
(10) Sur la diffamation, voir jugement du TGI de Nanterre du 6/01/2011 David Douillé c/ Bakchich et autres et jugement du TGI de Paris du 8/09/2010, M. X c/ Google inc., Eric S., et Google France
(11) Sur le dénigrement, voir jugement du TGI de Béthune du 14/12/2010 société Kemenn c/ Eric N.
(12) Voir les articles L.121-1, L.121-6 et L213-1 du Code de la consommation et l’art. 131-38 du Code pénal.
(13) Loi n°2011-267 du 14 mars 2011 d'orientation et de programmation pour la performance de la sécurité intérieure, dite LOPPSI 2 (art. 2) et article 226-4-1 du Code pénal.
(14) Proposition de règlement du parlement européen et du conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données du 25 janvier 2012 ; Proposition de loi relative à la protection des informations économiques du 13 janvier 2012.

Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mars 2012

La charte informatique face à l’évolution des technologies : l'outil indispensable pour définir les règles du jeu

L’entreprise, qui met à la disposition de ses salariés un ordinateur, les logiciels associés, une adresse email et éventuellement permet l’accès à internet, doit sensibiliser ses collaborateurs aux règles d’utilisation de ces outils et ressources de travail.

La charte informatique (ou charte internet), bien que non obligatoire, devient ainsi un document indispensable dans l’entreprise, pour une bonne gouvernance des règles d’utilisation des ressources technologiques. La charte informatique permet non seulement de définir les “règles du jeu” en terme d’utilisation des équipements et logiciels mis à la disposition des salariés, mais également de définir les règles de communication par voie électronique (emails, réseaux sociaux) dans et sur l’entreprise.(1)

Avant le déploiement d’une charte informatique, une réflexion de fond sur son périmètre d’application doit être menée afin de déterminer au mieux les droits et obligations des collaborateurs. La charte, rédigée dans les règles et dûment intégrée au règlement intérieur de l’entreprise, est reconnue comme étant opposable aux utilisateurs.


1. Le périmètre d’application de la charte informatique

    1.1 Les préalables à sa mise en place

Avant tout déploiement d’une charte informatique dans l’entreprise, une réflexion à 360° doit être menée sur les besoins des collaborateurs en termes de ressources informatiques au sens large (matériels, logiciels, usages, communication interne et externe, accès à internet, etc.). En effet, ces besoins ne sont pas les mêmes pour toutes les entreprises, ni au sein d’une entreprise, pour toutes les catégories de collaborateurs, selon leurs fonctions ou leur mobilité dans l’exercice de leur activité.

Il y a quelques années, la charte informatique se résumait à définir globalement les utilisations autorisées des matériels informatiques et logiciels mis à la disposition des collaborateurs, ainsi que quelques règles relatives à l’utilisation d’internet pendant les heures et sur le lieu de travail. Il est désormais nécessaire d’aller plus loin dans la réflexion afin de prendre en compte les équipements personnels des collaborateurs, la gestion des accès à distance, ou l’utilisation des outils collaboratifs.

Enfin, au terme de cette réflexion préalable, il conviendra de décider s’il est préférable de consigner ces règles d’utilisation dans un seul document (charte informatique), ou dans plusieurs documents suivant les domaines d’application (charte informatique, charte internet, voire charte de la communication).

    1.2 Les règles à prendre en compte pour la rédaction de la charte

Un certain nombre de principes généraux doivent être pris en considération dans la définition des règles générales applicables à la charte informatique : respect de la vie privée et liberté d’expression, deux libertés fondamentales qui ne disparaissent pas au moment où le salarié passe la porte de l’entreprise.

Le principe du respect de l’intimité de la vie privée
L’application de ce principe est régulièrement rappelée par les juges de la Cour de cassation, et son étendue précisée par leur jurisprudence au regard des évolutions de l’utilisation des technologies dans l’entreprise.

Ce principe vient d’être rappelé encore récemment par les juges dans une affaire d’accès par l’employeur aux emails d’un salarié. Un salarié avait été licencié, au motif notamment, qu’il détenait des messages à caractère pornographique dans sa messagerie professionnelle. Le salarié avait contesté le motif de son licenciement devant les tribunaux. La Cour d’appel de Rennes lui avait donné droit. Dans un arrêt du 5 juillet 2011, la Cour de cassation a confirmé l’arrêt d’appel en énonçant que “le salarié a droit, même au temps et lieu du travail, au respect de l’intimité de sa vie privée ; que si l’employeur peut toujours consulter les fichiers qui n’ont pas été identifiés comme personnels par le salarié, il ne peut les utiliser pour le sanctionner s’ils s’avèrent relever de sa vie privée (…).”(2)

Le principe de la liberté d’expression
Le principe de la liberté d’expression s’applique même au sein de l’entreprise.(3) Ce principe connaît cependant des limites, par exemple en cas de violation de la confidentialité des informations échangées, de mise en ligne de messages diffamatoires ou injurieux, ou de nature à porter une atteinte grave à l’image de la société.(4)

Il est donc recommandé de préciser dans la charte, les règles de communication institutionnelle de l’entreprise, mais également les règles applicables à l’utilisation des réseaux sociaux externes, tels Facebook ou Twitter, ou des blogs, ainsi que les règles d’utilisation du RSE, si un tel outil existe dans l’entreprise. Ainsi, la détermination de lignes de conduite permettant de distinguer entre communication de nature professionnelle et communication privée (ou non professionnelle) sera utile pour aider les collaborateurs à identifier les limites entre sphère professionnelle et non professionnelle.

A ce titre, il est intéressant de se référer aux guides des bonnes pratiques sur les réseaux sociaux mis en place dans le journalisme. L’une des questions posées était de déterminer notamment si les commentaires des journalistes sur les réseaux sociaux étaient postés à titre professionnel (et engageaient donc leur rédaction), ou à titre privé (et n’engageaient donc que l’auteur du message). Même si nous ne sommes pas tous des journalistes professionnels, toute personne qui publie un contenu en ligne est un “journaliste en herbe” et éditeur - et responsable - de son message.(5)

    1.3 Le contenu de la charte : équipements et logiciels autorisés, règles de communication

Globalement, toute charte informatique doit couvrir les points suivants : politiques de l’entreprise en matière d’équipements, en matière de logiciels à utiliser, et en matière de communication.

Les équipements
Quels équipements les collaborateurs sont-ils autorisés à utiliser dans le cadre de leur activité professionnelle ? Auparavant, la question était de déterminer dans quelle mesure les collaborateurs pouvaient utiliser les équipement fournis par l’entreprise (pc, téléphone portable) à des fins personnelles. Dorénavant, la question doit également porter sur l’utilisation des équipements personnels à des fins professionnelles.

Cette question est d’autant plus importante que dans certains domaines d’activité, la distinction vie professionnelle / vie privée tend à s’estomper quelque peu, de plus en plus de salariés utilisant leurs propres équipements (pc, smartphones, tablettes internet) pour travailler, pour se connecter à distance aux serveurs de l’entreprise, à l’intranet, à la messagerie dans le cadre de leur activité professionnelle.

La charte pourra donc préciser que seuls les équipements fournis par l’entreprise pourront être utilisés dans le cadre de l’activité professionnelle, à l’exclusion de tous autres, ou que certains équipements personnels pourront être utilisés. Dans cette seconde hypothèse, il conviendra de prendre en compte les aspects liés à la sécurité des accès, à la confidentialité des données de l’entreprise, aux problèmes liés à la maintenance de ces équipements, aux demandes des collaborateurs concernés relatives à l’indemnisation des abonnements, etc.

Les logiciels
Il conviendra de déterminer la liste des logiciels que les collaborateurs sont autorisés à utiliser dans le cadre de leurs activités professionnelles, ou d’interdire l’utilisation de tous logiciels non fournis par la DSI de l’entreprise. Ce point est très important, afin de limiter les téléchargements de logiciels non testés et approuvés par la DSI, ainsi que les logiciels potentiellement contrefaisants, et les logiciels de téléchargement peer-to-peer ou de streaming.(6)

Les règles de communication
Enfin, la charte technologique devra aborder la problématique de la communication et l’utilisation des différents outils de communication : email, sms, tchat, réseaux sociaux. Quant aux règles d’utilisation d’internet, il paraît difficile aujourd’hui de bloquer toute utilisation d’internet par les collaborateurs. Cependant, il reste possible de bloquer l’accès à certains sites ou catégories de sites web, ou d’émettre des règles sur les sites autorisés, les sites tolérés, et les sites interdits.

Les règles de contrôle et d’accès aux informations de connexion et aux emails pourront utilement être rappelées.


2. La valeur normative de la charte informatique au sein de l’entreprise

La finalité de la charte informatique est double : i) informer les salariés sur les règles d’utilisation des équipements et logiciels mis à leur disposition et les sensibiliser sur les règles de communication professionnelle, et ii) les informer sur les sanctions éventuelles en cas de non-respect de ces règles.

Plus qu’un simple document informatif, la charte informatique est désormais bel et bien reconnue comme opposable aux salariés.

    2.1 Un document opposable aux utilisateurs, mais à quelles conditions ?

La valeur normative, et donc le caractère opposable de la charte informatique, a été consacrée par la Cour de cassation dans un arrêt du 15 décembre 2010. En l’espèce, un collaborateur de la société Coca Cola avait été licencié pour faute grave suite à la découverte par l’employeur de documents à caractère pornographique, conservés sur le disque dur de l’ordinateur professionnel du collaborateur. La Cour a relevé que cette pratique avait constitué “un manquement délibéré et répété du salarié à l’interdiction posée par la charte informatique mise en place dans l’entreprise et intégrée au règlement intérieur, (…) que ces agissements, (…) étaient constitutifs d’une faute grave et justifiaient le licenciement immédiat de l’intéressé ; (…).”(7)

En revanche, il est très probable qu’en l’absence de charte informatique définissant les règles d’utilisation des ressources technologiques de l’entreprise, l’employeur n’aurait pu licencier le salarié pour ce motif. Ainsi, dans un arrêt de décembre 2009, la Cour de cassation a cassé une décision d’appel qui avait validé le licenciement d’un salarié pour des faits similaires (détention de fichiers à caractère pornographique sur l’ordinateur professionnel). En l’espèce, la société n’avait déployé que des notes de service.

Ainsi, la Cour a retenu que “(…) l’arrêt (d’appel) énonce que les fichiers contenant des photos à caractère pornographique qui portaient atteinte à la dignité humaine, enregistrés et conservés dans son ordinateur dans un fichier archive accessible par tout utilisateur, établissent le détournement par le salarié du matériel mis à sa disposition en violation des notes de service (…) ; Qu’en statuant ainsi, (…) la cour d’appel a violé le texte susvisé.”(8)

Ainsi, pour que la charte informatique soit pleinement opposable aux utilisateurs, et donc suivie d’effet (application de sanctions éventuelles en cas de non-respect des règles qui y sont définies),  la charte doit être annexée au règlement intérieur de la société et déposée auprès des services de l’Inspection du travail et du greffe du Conseil des prud’hommes du siège social de la société. De simples notes de service risquent d’être jugées insuffisantes, au-delà de la simple information, pour être pleinement opposables aux utilisateurs.

    2.2 Un document opposable, mais à quels utilisateurs ?

Si la charte informatique est intégrée au règlement intérieur, elle devra non seulement être appliquée par les salariés de l’entreprise, mais également par les intervenants tiers pendant la durée de leur mission dans l’entreprise.

Le règlement intérieur, obligatoire dans les entreprises de plus de vingt salariés, fixe les règles en matière d’hygiène et de sécurité dans l’entreprise, et en matière de discipline (article L.1321-1 et s. C. du trav.). Ce document s’applique, en premier lieu, aux salariés de l’entreprise.

Le règlement intérieur est également appelé à s’appliquer aux tiers pendant la durée de leur mission dans les locaux de l’entreprise. En effet, les personnels intérimaires, les consultants indépendants et autres sous-traitants doivent respecter le règlement intérieur de l’entreprise-cliente, pour autant que ces interventions soient réalisées dans les locaux de cette entreprise.

En cas de non-respect du règlement intérieur par ces personnes (par exemple, oeuvres téléchargées illégalement par l’intervenant et sauvegardées sur les serveurs de l’entreprise, communication sur les réseaux sociaux avec divulgation non-autorisée d’informations confidentielles), l’entreprise pourra demander le remplacement de l’intervenant concerné, voire la résiliation du contrat de prestation, aux torts de la société prestataire.

En tout état de cause, le règlement intérieur et la charte informatique devront être affichés et diffusés au sein de l’entreprise.


L’évolution des technologies et des comportements de communication doivent susciter, dans l’entreprise, une réflexion régulière sur l’évolution des besoins des utilisateurs (par exemple : évolution des équipements - smartphones, tablettes internet ; évolution des modes de communication et des outils de collaboration en ligne tels le déploiement d’un RSE, l’utilisation du e-learning ou du serious gaming (formation en ligne), et sur les besoins réels de l’entreprise pour rester compétitive et attractive, sans pour autant mettre en danger la sécurité et la confidentialité des données ; le défi des RSI et des RH étant de s’appuyer sur une charte informatique claire et exhaustive, qui ne sera pas obsolète dans quelques mois…

* * * * * * * * * *

(1) Nous avions écrit un précédent article sur ce thème en septembre 2008 intitulé : La charte technologique : pour la protection des réseaux et des données de l’entreprise (http://www.journaldunet.com/solutions/expert/31256/la-charte-technologique---pour-la-protection-des-reseaux-et-des-donnees-de-l-entreprise.shtml). L’objet du présent article est d’approfondir la réflexion sur le déploiement des chartes informatiques face à l’évolution des technologies et des modes de communication dans l’entreprise.
(2) C Cass. soc. 5 juillet 2011, Gan Assurances Iard c/ M. X.
(3) Article L.1121-1 du Code du travail : “Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché.”
(4) Voir Conseil des prud’hommes de Boulogne-Billancourt, jugements de départage du 19 novembre 2010, M. B. c/ Alten Sir et Mme B. c/ Alten Sir, ayant confirmé la décision de licenciement de salariés ayant dénigré leur employeur et leur supérieur hiérarchique sur Facebook. Dans ces deux affaires, il a été jugé que les salariés avaient abusé du droit d’expression consacré à l’article L.1121-1 du Code du travail.
(5) Voir notamment la Charte d’éthique professionnelle des journalistes du Syndicat national des journalistes, le Guide de participation des journalistes AFP aux réseaux sociaux et le Guide des bonnes pratiques aux réseaux sociaux de France Télévisions
(6) Il conviendra notamment de sensibiliser les collaborateurs aux téléchargements illégaux et aux dispositions des lois Création et Internet ou lois Hadopi (Loi n°2009-669 du 12 juin 2009 favorisant la diffusion et la protection de la création sur internet ; et loi n°2009-1311 du 28 oct. 2009 relative à la protection pénale de la propriété intellectuelle et artistique sur internet)
(7) C Cass. soc. 15 décembre 2010, Emmanuel G. c/ Coca-Cola, Assedic
(8) C Cass. soc. 8 décembre 2009, Sergio G. c/ Peugeot Citroën Automobiles


Bénédicte DELEPORTE – Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Décembre 2011

article publié sur le Journal du Net le 27 décembre 2011