Utilisation de l’IA en entreprise : la nécessaire mise à jour de la charte informatique

 

 Ce qu’il faut retenir

L’utilisation de l’IA en entreprise se répand à grande vitesse. Pour éviter que cette utilisation se fasse à l’insu des employeurs, et limiter les risques, il convient d’aborder le sujet par la nécessaire mise à jour de la charte informatique de l’entreprise, accompagnée d’une formation adaptée des salariés.

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-utilisation-de-l-ia-en-entreprise-la-necessaire-mise-a-jour-de-la-charte-informatique

Les messages WhatsApp envoyés avec un téléphone professionnel ont un caractère professionnel

 

Ce qu'il faut retenir

Dans la droite ligne de la jurisprudence de la cour de cassation, la cour d’appel de Paris a étendu la présomption du caractère professionnel aux messages WhatsApp envoyés par un salarié depuis son téléphone professionnel.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-les-messages-whatsapp-envoyes-avec-un-telephone-professionnel-ont-un-caractere-professionnel

La protection des données personnelles : un droit fondamental, mais non absolu

 

Ce qu’il faut retenir

Le droit à la protection des données personnelles est un droit fondamental mais non absolu. Les juges sont régulièrement amenés à le mettre en balance avec d’autres droits fondamentaux, selon le principe de proportionnalité.

 

Lire la suite de l'article :  https://www.deleporte-wentz-avocat.com/actualite-la-protection-des-donnees-personnelles-un-droit-fondamental-mais-non-absolu

Covid-19 – La CNIL rappelle les conditions de collecte de données de santé par les employeurs

La CNIL a rappelé aux employeurs les règles applicables à la collecte de données de santé dans le contexte du déconfinement et du retour des salariés sur leurs lieux de travail, dans une communication du 7 mai dernier. (1)

Les données concernant la santé sont définies à l’article 4 du Règlement général sur la protection des données (RGPD) comme “les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne.”

Les données de santé sont en principe interdites de traitement (art 9 RGPD), sauf dans le cadre des exceptions prévues au RGPD, et notamment lorsque le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l'appréciation de la capacité de travail du travailleur, de diagnostics médicaux, et sous réserve que ces données soient traitées par un professionnel de la santé soumis à l’obligation de secret professionnel. (2)

La collecte de données de santé des employés par les employeurs est donc interdite, car susceptible de porter une atteinte disproportionnée à la vie privée des personnes concernées. Les employeurs souhaitant mettre en place des procédures visant à s’assurer de l’état de santé de leurs employés à leur retour sur leur lieux de travail doivent se conformer au RGPD et au droit du travail. Il leur est conseillé de suivre les conseils des services de santé au travail (SST), particulièrement pendant la durée de la crise sanitaire. (3)

• L’obligation de sécurité des employeurs

Les employeurs sont soumis à une obligation de sécurité de leurs employés (art. L.4121-1 et R.4422-1 code du travail). Ils doivent notamment mettre en œuvre des actions de prévention des risques professionnels, mais également informer et former les salariés. Enfin l’organisation et les conditions de travail doivent être adaptés. Ainsi, il leur est demandé de mettre à leur disposition du gel hydroalcoolique et des masques pour permettre de limiter les risques de contamination, mas également réaménager les postes de travail dans le respect des règles de distanciation sociale.

L’employeur peut rappeler à ses employés travaillant au contact d’autres personnes, de remonter toute information en cas de contamination éventuelle ou avérée, auprès de lui ou des autorités sanitaires compétentes pour adapter les conditions de travail, faciliter la transmission de ces informations par la mise en place de canaux dédiés et sécurisés, favoriser les modes de travail à distance et encourager le recours à la médecine du travail. En tout état de cause, il est recommandé aux employeurs d’informer les employés sur la mise en oeuvre de dispositifs ou de traitements liés à la santé pendant la période de crise sanitaire.

• L’obligation de sécurité des employés

Les employés sont également soumis à une obligation de sécurité en matière de santé. En application de l’article L.4122-1 du code du travail, chaque employé doit veiller à préserver sa propre santé et sécurité, ainsi que celles des personnes avec qui il peut être en contact à l’occasion de son activité professionnelle.

Pendant la pandémie, tout employé en contact avec des tiers (collègues ou public) doit informer l’employeur en cas de contamination avérée ou éventuelle. Par contre, les employés en télétravail qui seraient contaminés ne sont pas tenus d’informer leur employeur. L’arrêt de travail n’aura pas à mentionner la cause.

Seules les données de date, d’identité de la personne, de contamination suspecte ou avérée, et de mesures organisationnelles prises peuvent être traitées par l’employeur. Par contre, l’identité de la/des personne(s) infectée(s) ne doit pas être communiquée aux autres employés.

• Les différentes pratiques pendant la crise sanitaire

- Relevés de température des employés et clients à l’entrée des locaux : les employeurs ne peuvent constituer des fichiers conservant les données de température des salariés et clients. De même, il est interdit de déployer des outils de captation automatique de température. En revanche, l’utilisation d’un thermomètre manuel (type infrarouge sans contact), sans conservation des résultats, ni autre traitement, est autorisée.

- Tests sérologiques et questionnaires de santé : selon la Direction générale du travail, les campagnes de dépistage organisées par les entreprises pour leurs salariés ne sont pas autorisées. Seuls les personnels de santé compétents, soumis au secret médical, peuvent collecter ces données.

Les autorités sanitaires peuvent collecter des données de santé, dans les limites de leurs compétences, y compris “l’évaluation et la collecte des informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes.”


                                                                             * * * * * * * * * * *

(1) CNIL, « Coronavirus(Covid-19) : les rappels de la CNIL sur la collecte de données personnelles par les employeurs »

(2) Règlement 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD, et plus particulièrement les considérants 35, 52 à 54 et l’article 9

(3) Ordonnance n°2020-386 du 1er avril 2020 adaptant les conditions d'exercice des missions des services de santé au travail à l'urgence sanitaire et modifiant le régime des demandes préalables d'autorisation d'activité partielle


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juin 2020

Géolocalisation : quel cadre légal pour les véhicules des salariés ?

Face au développement du recours à la géolocalisation en entreprise, la Commission nationale de l’informatique et des libertés a publié, en juin dernier, une nouvelle délibération portant norme simplifiée. (1) Ce texte vise à préciser l’encadrement juridique de la mise en œuvre des dispositifs de géolocalisation sur les véhicules utilisés par les salariés. Il remplace une norme de 2006 qui, compte tenu de l’évolution des technologies et des usages, était devenue en partie inadaptée. (2) Nous faisons ci-après un bref rappel des règles applicables en la matière.


1. Les conditions d’installation à respecter par l’employeur

Le caractère particulièrement intrusif de la géolocalisation dans le cadre du travail a conduit la Cnil à définir plus en détail les conditions de recours à ce dispositif.

     - Les cas de recours autorisés à un dispositif de géolocalisation
 

L’utilisation d’un système de géolocalisation par GPS des véhicules mis à disposition des salariés est strictement limitée aux finalités suivantes :
(i) respecter une réglementation imposant l’installation d’un tel dispositif en raison du type de transport ou de la nature des biens transportés ;
(ii) besoins du suivi et de la facturation d’une prestation de transport de personnes ou de marchandises, ou d’une prestation de services liée à l’utilisation d’un véhicule et la justification d’une prestation auprès d’un client ou d’un donneur d’ordre ;
(iii) garantir la sûreté ou la sécurité des employés et/ou des marchandises transportées ;
(iv) améliorer l’allocation des moyens pour des prestations à accomplir dans des lieux éloignés (pour des interventions d’urgence par exemple) ;
(v) s’assurer du respect, par les salariés, des règles d’utilisation du véhicule prédéterminée par l’employeur.

Il est enfin précisé, à titre de finalité accessoire du traitement, que le dispositif peut être utilisé pour le suivi du temps de travail des salariés, sous réserve que ce suivi ne puisse être réalisé par un autre moyen, et uniquement pendant le temps de travail.

     - Les informations pouvant être collectées et traitées

Seules les données limitativement énumérées par la Commission peuvent faire l’objet d’un traitement, à savoir : les informations d’identification des salariés (nom, prénom, numéro de plaque d’immatriculation, etc.), aux déplacements des salariés (historique des déplacements effectués, etc.), à l’utilisation du véhicule (vitesse de circulation, nombre de kilomètre, temps de conduite, etc.), ainsi que les dates et heures d’activation / désactivation du dispositif.

     - Les points spécifiques à retenir
 

En toute hypothèse, la mise en œuvre d’un dispositif de géolocalisation ne peut induire la collecte et le traitement des données de localisation en dehors du temps de travail du conducteur, en particulier lors des trajets entre le domicile et le lieu de travail ou encore pendant les temps de pause. De même, le traitement de la vitesse maximale n’est pas autorisé, sauf disposition légale contraire ; seul celui de la vitesse moyenne est envisageable.

Par ailleurs, il ressort de la délibération Cnil que le salarié doit pouvoir désactiver le système GPS, l’employeur pouvant demander des explications en cas de désactivations répétées ou d’une durée excessive. Enfin, les salariés investis d’un mandat électif ou syndical ne doivent en aucun cas faire l’objet d’une opération de géolocalisation lorsqu’ils se déplacent dans le cadre de l’exercice de leur mandat.


2. Les obligations inhérentes à la mise en oeuvre d’un dispositif de géolocalisation

L’installation d’un système de géolocalisation implique pour l’employeur le respect de plusieurs obligations légales.

     - Les formalités préalables auprès de la Cnil
 

Un dispositif de géolocalisation installé dans les véhicules mis à disposition des salariés doit faire l’objet d’une déclaration à la Cnil préalablement à sa mise en oeuvre, au moyen d’une déclaration simplifiée de conformité.

Les entreprises ayant déjà effectué une déclaration simplifiée en référence à la norme de 2006 ont jusqu’au 17 juin 2016 pour se mettre en conformité avec les nouvelles conditions posées par la Cnil. Seuls peuvent bénéficier de cette procédure les traitements de géolocalisation des véhicules répondant exactement aux conditions définies par la Cnil. Si l’un des critères n’est pas rempli, d’autres formalités préalables seront requises.

     - La consultation et l’information des représentants du personnel et des salariés
 

La mise en œuvre d’un dispositif de géolocalisation sur les véhicules utilisés par les employés implique l’information et la consultation préalable des représentants du personnel.

Par ailleurs, le salarié concerné doit également être informé, individuellement et préalablement à la mise en œuvre du traitement. Les mentions devant être portées à sa connaissance sont notamment les finalités poursuivies, les données traitées, la durée de conservation, etc. (3)

     - Les obligations relatives au traitement des données
 

Comme pour tout traitement de données personnelles, le responsable de traitement doit respecter des obligations quant à la durée de conservation des données et à leur sécurité mais également concernant l’information et les droits des salariés concernés (droit d’accès, de rectification, d’opposition, etc.).

Les données de localisation doivent ainsi être conservées uniquement pour une durée dite « pertinente » au regard de l’objectif du traitement. Une durée de deux mois est considérée adéquate par la Cnil.

Toutefois, la délibération Cnil mentionne plusieurs cas dans lesquels la durée de conservation peut aller au-delà de deux mois, notamment si la conservation de l’historique des déplacements a pour but l’optimisation des tournées.

Quant à la sécurité des données, l’employeur est tenu de prendre toutes les précautions nécessaires (mise en place de mesures à la fois physique et technique). A ce titre, la Cnil recommande notamment la réalisation d’une étude des risques, la mise en place d’un mécanisme de gestion des habilitations régulièrement mis à jour, le chiffrement des données, etc.


   A défaut, pour l’employeur de respecter la réglementation précitée, le dispositif de géolocalisation mis en oeuvre au sein de l’entreprise sera jugé illégal et ne pourrait être opposé aux salariés, notamment à des fins disciplinaires ou pour justifier un licenciement. En outre, le manquement aux obligations légales est puni de sévères sanctions financières et pénales. Dans ce contexte, il est recommandé aux entreprises de s’assurer, au moyen d’un audit par exemple, de la conformité de leur dispositif de géolocalisation à ces nouvelles règles et à défaut, de prendre toutes mesures nécessaires de mise en conformité.


                                                          * * * * * * * * * * *

(1) Délibération n°2015-165 du 4 juin 2015 portant adoption d’une norme simplifiée concernant les traitements automatisés de données à caractère personnel mis en œuvre par les organismes publics ou privés destinés à géolocaliser les véhicules utilisés par leurs employés (norme simplifiée n°51). Cette délibération vient remplacer la précédente recommandation CNIL sur le même sujet en date du 16 mai 2015.

(2) A noter que cette délibération ne concerne pas les dispositifs de contrôle des transports routiers (chronotachygraphes), dispensés de déclaration à la Cnil - voir délibération Cnil n°2014-235 du 27 mai 2014.

(3) Voir notamment les articles L.1121-1, L.1222-3, L.1222-4 et L.2323-32 du Code du travail.

Betty SFEZ 

Avocat
 

Deleporte Wentz Avocat

www.dwavocat.com

Septembre 2015

Cybersurveillance des salariés : les SMS échangés depuis un téléphone mobile professionnel sont présumés professionnels

La Cour de cassation vient de rendre une décision précisant les conditions dans lesquelles l’employeur peut consulter les SMS de ses salariés. Avant d’exposer les faits de l’espèce et la décision de la Cour, nous rappelons brièvement les règles applicables en matière de cybersurveillance des salariés.


1. Rappel des règles applicables en matière de cybersurveillance des salariés

Il appartient à l’employeur, dans le cadre de son pouvoir directionnel et disciplinaire, de s’assurer de la bonne exécution du travail de ses salariés. Le droit pour l’employeur de contrôler l’activité de son personnel durant le temps de travail découle du lien de subordination existant entre l’employeur et le salarié. La surveillance et le contrôle de l’activité des salariés paraît donc légitime.

Avec le développement des technologies de l’information, les dispositifs techniques de surveillance sont venus compléter le contrôle humain des salariés, exercé par l’employeur. Les moyens utilisés sont variés : vidéosurveillance, biométrie et badges électroniques d’accès aux locaux, géolocalisation, dispositifs de contrôle de la messagerie électronique, systèmes de filtrage de sites internet, etc. Le contrôle peut avoir pour objectif d’assurer la sécurité des réseaux contre les attaques informatiques ou de limiter les risques d’abus liés à l’utilisation d’internet ou de la messagerie à des fins personnelles.

Toutefois, le contrôle de l’activité des salariés doit respecter quelques principes et conditions posés par la réglementation (Code du travail et loi informatique et libertés) et la jurisprudence.

Ainsi, l’employeur ne peut apporter de restrictions aux libertés individuelles et collectives si elles ne sont pas “justifiées par la nature de la tâche à accomplir ni proportionnées ou au but recherché” (art. L.1121-1 du code du travail). La jurisprudence a notamment affirmé que le salarié a droit au respect de sa vie privée sur son lieu de travail et pendant son temps de travail.

Par ailleurs, en cas de contrôle, l’employeur doit respecter les principes de transparence, de loyauté et de proportionnalité. Ces principes impliquent notamment pour l’employeur l’obligation d’informer les salariés sur la possibilité et l’étendue du contrôle, mais également d’informer ou de consulter les instances représentatives du personnel. A ce titre, il est vivement recommandé de mettre en place une charte informatique au sein de l’entreprise. (1)

Enfin, si le moyen de contrôle utilisé implique la collecte et le traitement de données à caractère personnel, il incombera à l’employeur d’effectuer des démarches déclaratives auprès de la Commission nationale de l’informatique et des libertés (CNIL).

Plusieurs décisions ont été rendues dans ce domaine depuis le début des années 2000, venant préciser les droits et limites de l’employeur en matière de cybersurveillance de ses salariés. Ainsi, les fichiers et emails, envoyés et reçus par un salarié, à l’aide des équipements informatiques mis à disposition par l’employeur, sont présumés avoir un caractère professionnel et peuvent être consultés par ce dernier. Ce principe connaît cependant une exception si le salarié a clairement identifié les fichiers ou emails comme étant personnels.

La jurisprudence évolue et se précise avec l’apparition de “nouveaux” outils et pratiques. Ainsi, la Cour de cassation a jugé en 2013 que la clé USB personnelle d’un salarié connectée à l’ordinateur mis à la disposition de ce dernier par son employeur était présumée être utilisée à des fins professionnelles. L’employeur pouvait donc avoir accès aux fichiers non identifiés comme personnels contenus sur la clé, et ce même hors de la présence du salarié. (2)


2. Le cas des SMS : la décision GFI Securities Ltd c/ Newedge Group

Cette affaire opposait deux sociétés de courtage d’instruments financiers, la société Newedge Group (Newedge) et la société GFI Securities (GFI). La société Newedge reprochait à GFI d’avoir procédé au débauchage massif de ses salariés avec pour conséquence la désorganisation interne de Newedge.

La société Newedge a donc décidé de faire constater les agissements de la société GFI et obtenu, pour ce faire, une ordonnance sur requête autorisant un huissier à procéder au constat des informations issues des outils de communication mis à la disposition de ses salariés. Suite à ce constat, la société Newedge a utilisé les SMS “compromettants” extraits des smartphones de ses salariés pour poursuivre GFI en justice.

La société GFI a demandé la rétractation de cette ordonnance, estimant que l'utilisation de tels messages par l'employeur, effectuée à l'insu de l'auteur des propos invoqués, constituait un procédé déloyal rendant irrecevable en justice la preuve ainsi obtenue. Déboutée en appel, la société GFI s’est alors pourvue en cassation.

La société GFI invoquait notamment le fait que :

- le règlement intérieur et la charte informatique de la société Newedge ne prévoyaient pas que les SMS envoyés ou reçus par les salariés sur le téléphone mobile mis à leur disposition par l’entreprise étaient présumés avoir un caractère professionnel, de sorte que l'employeur pouvait y avoir accès hors de la présence du salarié, dès lors qu'ils n'étaient pas marqués comme “personnels”. Ces documents ne faisaient mention que des emails et des conversations téléphoniques ;

- il est impossible d'identifier comme “personnel” un SMS envoyé par un téléphone mobile, de tels messages ne comportant pas de champ “objet”.

Dans un arrêt du 10 février 2015, la Cour de cassation a confirmé la décision de la Cour d’appel et a débouté la société GFI de ses demandes. La Cour a jugé que : “les SMS envoyés ou reçus par le salarié au moyen du téléphone mis à sa disposition par l'employeur pour les besoins de son travail sont présumés avoir un caractère professionnel, de sorte que l'employeur est en droit de les consulter en dehors de la présence de l'intéressé, sauf s'ils sont identifiés comme étant personnels”. Or, en l’espèce, ces messages n’avaient pas été identifiés comme personnels par les salariés. Dès lors, selon la Cour, la recherche de ces messages et leur consultation “pour des motifs légitimes” par l’employeur, puis leur utilisation en justice constituent un procédé loyal. (3)


Il ressort donc de cette décision que l’employeur a la possibilité de consulter les SMS de ses salariés aux conditions suivantes : les SMS sont envoyés et reçus au moyen du téléphone portable mis à leur disposition par l’employeur ; les messages ne doivent pas être identifiés comme “personnel” ou “privé” ; et la consultation doit être justifiée par un “motif légitime” (soupçons de fraude, violation d’une clause de confidentialité, etc.).

Cette décision rejoint la jurisprudence visant à préciser les conditions dans lesquelles l’employeur peut contrôler l’utilisation par ses salariés des équipements informatiques de l’entreprise. Il appartient donc aux salariés d’être vigilants quant à l’utilisation de leurs smartphones professionnels fournis par l’employeur. En revanche, pour le moment, la question du contrôle reste posée pour les équipements informatiques du salarié (ordinateur, tablette, smartphone) utilisés dans l’entreprise à des fins professionnelles (BYOD). A ce titre, la charte informatique sera le document de référence pour définir les droits et les devoirs de chacun, salarié et employeur, en matière du bon usage des ressources informatiques.

                                                         * * * * * * * * * * *


(1) Voir notamment notre article intitulé “La charte informatique face à l’évolution des technologies : l'outil indispensable pour définir les règles du jeu"

(2) Cass., ch. soc., 12 février 2013, n°11-28.649.

(3) Cass, ch. comm., 10 février 2015, n°13-14779

Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com

Février 2015

Propriété d’un logiciel : l’entreprise n’est pas systématiquement propriétaire de “son” logiciel

A qui appartient le logiciel développé au sein d’une entreprise ? C’est à cette question que la Cour de cassation a récemment répondu, dans un arrêt du 15 janvier 2015. Avant d’exposer les faits de l’espèce et la décision de la Cour, nous rappelons brièvement les règles applicables en matière de droit d’auteur sur le logiciel.


1. Les règles relatives au droit d’auteur et ses titulaires en matière de logiciel

Le logiciel est une œuvre de l’esprit protégée par le droit d’auteur (article L.112-2 du Code de la propriété intellectuelle).

Cependant, cette protection n’est pas acquise automatiquement, le caractère original du logiciel étant un préalable nécessaire à la protection. L'originalité d’une oeuvre peut être définie comme étant ce qui distingue cette oeuvre des autres. Appliquée au logiciel, l’originalité ressort de l’effort personnalisé de son auteur, au-delà de la simple mise en oeuvre d'une logique automatique et contraignante. La matérialisation de cet effort réside dans une structure individualisée. (1)

Selon le principe posé par l’article L.113-1 du Code de la propriété intellectuelle (CPI), “La qualité d’auteur appartient, sauf preuve contraire, à celui ou à ceux sous le nom de qui l’oeuvre est divulguée.”

Le titulaire des droits d’auteur sur un logiciel peut être une personne physique, le développeur du programme ou une personne morale, l’entreprise au sein de laquelle le logiciel a été développé. Plus précisément, une entreprise peut être considérée comme titulaire des droits d’auteur sur un logiciel dans trois cas de figure :

    1 - le logiciel est qualifié d’œuvre collective : dans cette hypothèse, la contribution de chacune des personnes ayant participé au développement du logiciel se fond dans un ensemble ne permettant pas de distinguer le travail de chacun. Ce logiciel peut être la propriété de l’entreprise qui est à l’initiative du développement, l’édite et sous le nom de laquelle il est distribué. L’entreprise sera donc investie des droits d’auteur ;

    2 - le logiciel est développé par un salarié de l’entreprise : l’article L.113-9 du CPI dispose que “les droits patrimoniaux sur les logiciels et leur documentation créés par un ou plusieurs employés dans l’exercice de leurs fonctions ou d’après les instructions de leurs employeurs sont dévolus à l’employeur qui est seul habilité à les exercer”, sauf dispositions statutaires ou stipulations contraires (prévues dans le contrat de travail). Toutefois, cette disposition ne concerne pas tous les salariés et exclut les tiers à l’entreprise, même intervenant pour son compte, tels que les stagiaires, intérimaires, consultants détachés par un prestataire informatique, consultants indépendants, etc. ;

    3 - le logiciel est cédé dans le cadre d’un accord de cession de droits d’auteur : dans cette hypothèse le logiciel a été développé par une ou plusieurs personnes qui cèdent les droits patrimoniaux à l’entreprise. Pour être valable, la cession doit remplir les conditions de fond et de forme spécifiques, prévues par la loi (article L.131-3 al.1 du CPI).

Enfin, l’auteur du logiciel détient sur celui-ci les droits de propriété intellectuelle comprenant les droits patrimoniaux (notamment le droit d’exploiter et de distribuer le logiciel, et d’en tirer des revenus) et le droit moral (droit à la citation et au respect de l’intégrité l’oeuvre). Le logiciel ne pourra donc être exploité ou utilisé par des tiers qu’avec l’accord de l'auteur. Toute utilisation non autorisée du logiciel (reproduction ou distribution sans l’autorisation de l'auteur) pourra être qualifiée de contrefaçon, en vertu des articles L.335-2 et suivants du CPI.


2. La décision Sociétés Orqual c/ Tridim et autres de la Cour de cassation

Dans cette affaire, un professeur en médecine et un informaticien s’étaient associés pour créer une structure en commun, la société Tridim. Cette société avait pour objet social la conception, la création, la réalisation, ainsi que la distribution de logiciels d’analyse médicale. Leur collaboration a ainsi permis le développement de deux logiciels, dénommés Tridim-Delaire 2008 et Céphalométrie Architecturale 2010.

Les deux associés ont ensuite décidé de se séparer, le professeur en médecine devenant gérant majoritaire de la société Tridim et l’informaticien créant deux nouvelles sociétés (Orqual et Orthalis), pour commercialiser des logiciels.

Un désaccord portant sur la titularité des droits d’auteur sur les deux logiciels développés pendant leur collaboration dans la société Tridim a conduit le gérant des sociétés Orqual et Orthalis à bloquer les codes d’accès à ces logiciels à la société Tridim. En réponse, la société Tridim a assigné ces deux sociétés afin de faire reconnaître qu’elle était le seul titulaire des droits d’auteur.

Déboutée en première instance, la société Tridim a interjeté appel du jugement. La Cour d’appel de Rennes, dans un arrêt du 28 mai 2013, a fait droit à ses demandes, considérant que les logiciels devaient être qualifiés d’œuvre collective, en ce que “leur développement est le fruit du travail de ses associés”. En conséquence, la société Tridim serait titulaire des droits d’auteur sur ces deux logiciels.

Contestant cette décision, les sociétés Orqual et Orthalis se sont pourvues en cassation. (2)

Dans un arrêt du 15 janvier 2015, la Cour de cassation a cassé l’arrêt d’appel, sur le fondement de l’article L.113-1 du CPI, rejetant l’analyse selon laquelle le développement des logiciels étant le fruit du travail des deux associés, la société Tridim en détenait les droits d’auteur. En effet, selon les juges, “une personne morale ne peut avoir la qualité d’auteur” et ce notamment au motif qu’en l’espèce les contributions des auteurs au développement des logiciels étaient de natures différentes (d’une part, développement de code pour l’informaticien, d’autre part, apport d’éléments “métier” pour le professeur en médecine) et ne se fondaient pas dans un ensemble permettant de qualifier ces œuvres de “collectives”.

Par ailleurs, bien que ceci n’ait pas été précisé par la Cour, il convient de souligner que la société Tridim ne pouvait ni se réclamer titulaire des droits d’auteur au motif que les logiciels avaient été développés par des salariés, puisque ce sont les deux gérants qui avaient élaboré ces logiciels, ni se prévaloir d’aucun accord de cession de droits sur les logiciels.

Enfin, les logiciels litigieux auraient pu être qualifiés d’oeuvre de collaboration, définie à l’article L.113-3 du CPI comme la propriété commune des co-auteurs (personnes physiques). Or, les co-auteurs doivent exercer leurs droits d’un commun accord, ce qui n’était pas le cas en l’espèce.

En conséquence, le gérant de la société Tridim, qui avait pourtant contribué à l’élaboration des deux logiciels litigieux, se voit interdire leur exploitation, faute d’accord contractuel avec son co-auteur.


     Cette décision illustre la nécessité pour les entreprises de réfléchir, pour chaque projet informatique, à la titularité des droits d’auteur et dès que nécessaire, de gérer les droits de propriété intellectuelle sur les développements, par la voie contractuelle.

 
                                                   * * * * * * * * * * *

(1) Voir Cass. civ., 17 octobre 2012, Codix c. Alix, et notre article “Les critères de l’originalité comme condition de la protection du logiciel par le droit d’auteur, rappelés par la Cour de cassation"

(2) Cass., 1e ch. civ., 15 janvier 2015, Sociétés Orqual c/ Tridim et autres

Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com

Février 2015

Pour ou contre la pratique du BYOD : quelques réponses juridiques

La pratique du BYOD (Bring Your Own Device) ou le fait d’apporter et d’utiliser ses propres appareils numériques (smartphone, ordinateur, tablette) au travail tend à se répandre. Certains prônent la flexibilité, la mobilité et la facilité d’utilisation d’appareils auxquels les collaborateurs sont déjà habitués. D’autres rappellent les inégalités entre les collaborateurs qui peuvent (ou doivent) utiliser leurs propres appareils et les autres. Au-delà de ces prises de position se posent de réelles questions, en termes de sécurité, mais également en termes juridiques.

Nous aborderons le sujet du BYOD selon trois axes : celui de la sécurité informatique, celui relatif à la nécessaire distinction entre les données professionnelles et les données privées, et enfin, l’axe “pédagogique” de la charte informatique.


1. BYOD et sécurité

La question de la sécurité concerne non seulement la sécurité des systèmes informatiques de l’entreprise, mais également, la sécurité de l’information.

La sécurité des systèmes informatiques de l’entreprise est, à juste titre, au coeur de la préoccupation des Directions informatiques.

L’entreprise qui tolère l’utilisation par ses collaborateurs de leurs propres équipements numériques à des fins professionnelles, sans mettre en place les procédures de sécurité appropriées pour assurer la fiabilité de ces supports (logiciels devant être utilisés, anti-virus à installer, etc.), se met en situation de précarité. Hormis les coûts engendrés en cas d’atteinte au système informatique, un système mal sécurisé et vulnérable aux intrusions peut engager la responsabilité de l’entreprise, ou au moins, si l’on se réfère aux dernières jurisprudences dans ce domaine, entraîner un allègement de la responsabilité de la personne coupable de l’atteinte au STAD. (1)

Les risques liés au BYOD concernent également les accès à distance aux serveurs et données, particulièrement si l’entreprise n’a pas déployé une politique de gestion des équipements BYOD, avec des pré-requis techniques avant d’autoriser l’accès à son système informatique, que ce système soit géré en interne, hébergé par un tiers ou exploité en mode Cloud.

En outre, en matière de traitements de données à caractère personnel, les entreprises sont responsables en cas d’atteinte à la sécurité des systèmes, en leur qualité de responsable de traitement. La loi Informatique et Libertés impose en effet au responsable de traitement de prendre toutes précautions utiles (mesures de sécurité technique et physique) pour empêcher que les données personnelles de leurs salariés et clients ne soient erronées, modifiées, effacées par erreur, ou que des tiers non autorisés y aient accès. (2)

Enfin, le BYOD requiert de mettre en place une politique spécifique relative au traitement des documents de l’entreprise et à leur confidentialité, afin d’éviter que d’autres personnes n’y aient accès, notamment si l’ordinateur personnel ou la tablette sont utilisés par ailleurs par d’autres membres de la famille.


2. BYOD et distinction entre données professionnelles et données privées

La frontière entre vie privée et vie professionnelle tend à se brouiller pour certaines catégories de salariés (télétravail, et mobilité notamment).

La jurisprudence relative aux droits de l’employeur à accéder aux documents et emails sur l’ordinateur du salarié est désormais relativement bien établie. Ainsi, l'employeur peut avoir accès aux fichiers informatiques créés, reçus et envoyés par les salariés, que ce soit dans le cadre de la réalisation normale de leur mission, ou dans une finalité de contrôle pour protéger les intérêts de l'entreprise ou sauvegarder les preuves en cas de faute disciplinaire du salarié.

Jusqu’à présent, la jurisprudence concernait les accès aux fichiers et emails sur les ordinateurs professionnels mis à la disposition des salariés par l’employeur. En résumé, l’employeur peut accéder aux fichiers numériques et emails du collaborateur, même en son absence, à l’exception des fichiers et emails identifiés comme “personnel” ou “privé”. La jurisprudence a récemment étendu cette faculté d’accès par l’employeur pour les documents se trouvant sur une clé USB appartenant au salarié, mais connectée à l’ordinateur professionnel. (3)

Alors qu’un appareil fourni par l’entreprise a pour finalité première d’être utilisé à des fins professionnelles et que l’utilisation à des fins privées est tolérée à la marge, un appareil personnel est censé être utilisé d’abord à des fins personnelles.

La jurisprudence relative à l’accès par l’employeur au contenu de l’ordinateur professionnel du salarié nous paraît difficilement transposable, telle quelle, au BYOD. En effet, le salarié a droit au respect de l'intimité de sa vie privée. Son employeur ne saurait librement accéder à ses équipements pour en contrôler le contenu. Afin de rétablir un équilibre entre données privées et données professionnelles, il est donc indispensable de définir les “règles du jeu” par la mise en oeuvre d’une charte technologique au sein de l’entreprise.


3. BYOD et charte technologique

Chaque entreprise devrait avoir déployé une charte informatique (également dénommée charte technologique ou charte utilisateur). (4) Cependant, même lorsqu’une charte est en vigueur dans l’entreprise, celle-ci doit être régulièrement revue et mise à jour pour tenir compte de l’évolution des usages et des technologies.

La charte informatique a une dimension pédagogique, à la fois pour les responsables informatique et sécurité qui doivent faire l’effort de poser les bonnes questions pour l’entreprise, la sécurité des systèmes et des données afin de rédiger une charte pertinente, et pour les collaborateurs qui auront à leur disposition les lignes de conduite à suivre dans ce domaine.

Ainsi, l’objet de la charte n’est pas nécessairement d’interdire mais de tracer les limites entre ce qui est autorisé et ce qui ne l’est pas : les collaborateurs sont-ils autorisés à utiliser la messagerie électronique pour échanger des emails privés, peuvent-ils consulter et utiliser les réseaux sociaux pendant leurs heures de travail, enfin sont-ils autorisés à utiliser leurs propres équipements pour l’exécution de leur travail, etc.

L’entreprise devra prendre une position claire sur le fait d’autoriser ou d’interdire l’utilisation par les collaborateurs de leurs propres équipements à des fins professionnelles. Si l’entreprise décide d’autoriser la pratique du BYOD, les règles d’utilisation devront alors être clairement définies afin de pallier les risques identifiés ci-dessus.

En cas d’autorisation du BYOD, la charte devra déterminer les types d’équipements autorisés, les logiciels et mesures de sécurité qui doivent être adoptés par les collaborateurs concernés, les règles de distinction ou de partition entre sphère privée numérique et sphère professionnelle numérique sur les équipements, et les règles d’accès aux données professionnelles par l’employeur.

Enfin, il conviendra de gérer rigoureusement le départ du collaborateur de l’entreprise. En principe, les équipements sont restitués à l’entreprise au moment du départ du collaborateur. Dans le cas du BYOD, il conviendra de prévoir une procédure d’effacement des données professionnelles, avec un engagement de confidentialité renforcé de la part du salarié sur le départ, sans oublier de fermer ses accès à distance au système informatique de l’entreprise (blocage des identifiants et mots de passe).


La question du BYOD ne laisse pas indifférent, à tel point que certains détournent cet acronyme en “buy your own device” (achetez votre propre appareil) ou “bring your own disaster” (apportez votre catastrophe) ! Il n’en demeure pas moins que le BYOD est source de risques en matière de sécurité informatique et juridique. Toute entreprise, quelle que soit sa taille, doit prendre position sur le fait d’interdire ou d’autoriser à ses collaborateurs l’utilisation de leurs équipements numériques. L’interdiction a le mérite d’écarter ces risques, a fortiori si l’entreprise intervient sur des domaines sensibles. Elle permet de conserver le contrôle et de rationaliser le parc informatique et les budgets y afférents ainsi que de gérer les risques de sécurité, compte tenu des composantes matérielles et logicielles. En revanche, l’autorisation du BYOD doit être accompagnée par le déploiement d’une politique de sécurité renforcée et d’une charte informatique adaptée, comprises par les collaborateurs et régulièrement contrôlées et mises à jour.

                                                     * * * * * * * * * *

(1) Voir notamment : CA Paris, 12é ch., 30 oct. 2002 Antoine C. / Ministère public et société Tati ; TGI Paris, 12é ch., 17 déc. 2010, Blogmusik / Anthony C, et TGI Créteil, 11e ch. correctionnelle, 23 avril 2013, Ministère public / Olivier L. (à noter que le Ministère public a interjeté appel de ce jugement).

(2) Art. 34 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée; et voir notre article “Protection des données personnelles : qui est responsable en cas de manquement à la loi ?” publié en mai 2013 sur notre blog à : http://dwavocat.blogspot.fr/2013/05/protection-des-donnees-personnelles-qui.html

(3) Voir les dernières jurisprudences de la Cour de cassation : C. cass., ch. soc., 16 mai 2013, N°12-11866 ; C. cass., ch. soc., 19 juin 2013, N°12-12138 ; C. cass., ch. soc.,12 février 2013, No 11-28.649 ; C. cass., ch. soc.,10 mai 2012, N°11-13.884 et notre article “Principes et limites à l’accès aux emails des salariés par l’employeur : les dernières décisions jurisprudentielles” publié en septembre 2013 sur notre blog à http://dwavocat.blogspot.fr/2013/09/principes-et-limites-lacces-aux-emails.html

(4) A ce sujet, nous renvoyons à nos articles relatifs à la mise en place d’une charte informatique  : http://dwavocat.blogspot.fr/2011/12/la-charte-informatique-face-levolution.html et http://dwavocat.blogspot.fr/2013/10/la-protection-du-patrimoine.html


Bénédicte DELEPORTE

Deleporte Wentz Avocat
www.dwavocat.com
Novembre 2013

Principes et limites à l’accès aux emails des salariés par l’employeur : les dernières décisions jurisprudentielles

Avec l’arrêt Nikon du 2 octobre 2001, la cour de cassation rappelait que le salarié avait droit, même sur le lieu et pendant le temps de travail, au respect de l'intimité de sa vie privée, y compris le respect du secret des correspondances. Dès lors, l'employeur ne pouvait, sans violer cette liberté fondamentale, prendre connaissance des messages personnels émis et reçus par le salarié grâce à l’ordinateur mis à sa disposition pour son travail, et ceci même au cas où l'employeur aurait interdit une utilisation non professionnelle de l'ordinateur. (1)

Cependant, même si le principe général du respect de l'intimité de la vie privée du salarié sur le lieu et pendant le temps de travail a été reconnu, plusieurs décisions de justice sont venues en préciser les contours depuis cet arrêt de 2001, notamment trois décisions rendues par la Cour de cassation en 2013.


1. La délimitation des sphères vie privée / vie professionnelle en matière d’accès aux contenus des ordinateurs professionnels

L'employeur peut avoir accès aux fichiers informatiques créés, reçus et envoyés par les salariés, que ce soit dans le cadre de la réalisation normale de leur mission, ou dans une finalité de contrôle pour protéger les intérêts de l'entreprise ou sauvegarder les preuves en cas de faute disciplinaire du salarié.

Le contrôle par l’employeur doit néanmoins être réalisé pour des motifs légitimes et être justifié, par exemple pour vérifier que le salarié n’utilise pas son ordinateur professionnel d'une manière qui serait susceptible de porter atteinte à l'image de l'entreprise ou pour exercer une activité professionnelle concurrente. Dans ce cas, conformément à la jurisprudence, un tel contrôle ne saurait porter atteinte aux droits du salarié au respect de sa liberté d'expression et de sa vie privée sur son lieu de travail et pendant son temps de travail.

Toutefois, sans pour autant remettre en cause ces libertés fondamentales, la jurisprudence tend, depuis quelques années, à préciser les contours de la sphère vie privée en affirmant que l'outil informatique mis à la disposition du salarié, par l'employeur, pour l’exécution de son travail ne doit pas être détourné de son objet professionnel.

La règle est désormais la suivante : tous les fichiers et emails créés, adressés ou reçus par un salarié à l'aide de son ordinateur professionnel sont présumés professionnels. L’employeur peut donc y accéder hors sa présence et s'en servir, notamment en cas d’action disciplinaire. (2)

Aussi, afin de limiter les accès à des documents relevant de la sphère privée, il appartient au salarié d'apposer un signe distinctif sur les documents et messages personnels. De récentes décisions de la Cour de cassation illustrent parfaitement cette tendance jurisprudentielle.


2. Le principe de présomption du caractère professionnel des échanges

Dans une décision du 16 mai 2013, la Cour de cassation a affirmé que l’employeur pouvait prendre connaissance des messages personnels émis et reçus par le salarié, grâce à son l’ordinateur professionnel mis à sa disposition. Ces emails, même s'ils ne comportaient pas le nom de la société dans l’adresse, sont présumés professionnels. (3)

En l’espèce, une société avait assigné l’un de ses anciens salariés, et son nouvel employeur, pour détournement de clientèle et concurrence déloyale pendant l’exécution du préavis du salarié. Au cours de la procédure, les défendeurs ont invoqué le fait que le constat d’huissier versé aux débats par la société demanderesse, ne constituait pas un mode de preuve licite. Ce constat avait été réalisé à partir de la boîte email de l’ancien salarié, dont l’adresse électronique ne comportait pas le nom de la société, et en l’absence du salarié concerné. Si le salarié utilisait cette messagerie dans un cadre professionnel, il recevait également des messages personnels, protégés par le secret des correspondances et le droit au respect de la vie privée.

La Cour de cassation a cependant jugé que "les courriels adressés et reçus par le salarié à l'aide de l'outil informatique mis à sa disposition par l'employeur pour les besoins de son travail sont présumés avoir un caractère professionnel, en sorte que l'employeur est en droit de les ouvrir hors la présence de l'intéressé, sauf si le salarié les identifie comme personnels."

En conséquence, tous les fichiers et emails édités et reçus par un salarié, à l’aide de son ordinateur professionnel, peuvent être consultés par l’employeur, sauf s’ils sont identifiés comme “personnels” (dans leur intitulé ou placés dans un dossier “personnel”).


3. Les emails envoyés depuis la messagerie personnelle, stockés sur l’ordinateur professionnel sont présumés de nature professionnelle

La Cour de cassation, dans cette décision du 19 juin 2013, a étendu la règle de l’identification “personnel” aux emails émis depuis l’ordinateur personnel du salarié, avec son adresse personnelle, puis transférés sur son ordinateur professionnel. (4)

En l'espèce, le directeur artistique d'une agence de publicité avait été licencié pour faute grave, à savoir pour concurrence déloyale. Une expertise de son disque dur professionnel avait révélé l'échange de nombreux emails, depuis son ordinateur et adresse de messagerie personnels, avec des salariés d’une agence concurrente portant sur les produits d’un client de son employeur. Ces emails avaient ensuite été transférés sur son ordinateur professionnel. Or, ces emails ne portaient pas la mention “personnel” dans leur objet et ne figuraient pas dans un dossier identifié comme personnel dans son ordinateur professionnel. Par ailleurs, plusieurs dossiers et fichiers expressément nommés “perso” ou “personnel” découverts sur le disque dur, avaient été exclus du rapport d'expertise.

Contestant son licenciement, le salarié a saisi la juridiction prud'homale. Il affirmait que les emails litigieux avaient un caractère personnel puisqu'ils avaient été envoyés depuis son adresse de messagerie personnelle. Aussi, le salarié considérait que l'accès à ses messages, effectué par un expert mandaté par l'employeur, hors sa présence, constituait une atteinte au respect de sa vie privée Les constatations effectuées par l'expert lui étaient donc inopposables. Selon le salarié, l’employeur ne pouvait ni lire, ni se servir des emails comme preuve d’une faute ; le licenciement était donc dépourvu de cause réelle et sérieuse.

La Cour de cassation n'a pas suivi l'argumentation du salarié. Les juges ont rappelé le principe de base concernant la qualité “professionnelle” des emails se trouvant dans l’ordinateur professionnel du salarié, en précisant que "des courriels et fichiers, intégrés dans le disque dur de l'ordinateur mis à disposition du salarié par l'employeur, ne sont pas identifiés comme personnels du seul fait qu'ils émanent initialement de la messagerie électronique personnelle du salarié".

En conclusion, tout le contenu du disque dur de l’ordinateur professionnel, y compris la messagerie, est présumé à caractère professionnel. Dans ce cas, l’employeur y a librement accès et peut consulter l’ensemble de son contenu, pour le cas échéant, l’utiliser contre le salarié.

De même, dès lors qu’un lien avec l'ordinateur mis à disposition du salarié peut être établi, les messages, dossiers, et autres fichiers sont présumés avoir un caractère professionnel. C'est ainsi que la Cour de cassation a, dans une décision du 12 février 2013, poussé le raisonnement jusqu’à considérer qu’une clé USB, même personnelle, connectée à l'ordinateur professionnel était présumée utilisée à des fins professionnelles. L’employeur peut donc avoir accès aux fichiers contenus sur la clé USB, hors la présence du salarié. (5)

Ainsi, seule la mention précise et clairement identifiable du caractère personnel d'un fichier est susceptible de protéger sa libre consultation par l’employeur. Pour rappel, dans un décision du 10 mai 2012, la Cour de cassation avait jugé que la seule dénomination "Mes documents" donnée à un fichier ne lui conférait pas un caractère personnel. L'employeur pouvait donc librement consulter ce fichier. (6)


On assiste depuis plusieurs années à une porosité accrue entre vie personnelle et vie professionnelle, tendance facilitée par une demande de flexibilité des salariés et par l’évolution des équipements informatiques.

Si les salariés ont tendance à utiliser leur ordinateur professionnel à des fins personnelles (utilisation de la messagerie, stockage de documents, consultation d’internet, etc.), la pratique du BYOD, par laquelle les salariés peuvent être autorisés à utiliser leur propre équipement informatique à des fins professionnelles, implique d’appliquer des règles de conduite strictes pour maintenir une ligne claire entre sphère privée et sphère professionnelle. La première règle consiste à distinguer entre dossiers “personnels” et dossiers “professionnels”.

Les tribunaux considèrent que les documents et emails se trouvant sur un ordinateur professionnel sont d’ordre professionnel par défaut. Cela revient-il à considérer que, pour une entreprise tolérant ou encourageant la pratique du BYOD, les documents et emails se trouvant sur un équipement  informatique personnel sont d’ordre personnel par défaut ? (7) Les chartes informatiques doivent permettre aux entreprises de rappeler à leurs collaborateurs les règles de base en matière d’utilisation des outils informatiques et de distinction privé / professionnel.

* * * * * * * * * *

(1) Cour de cassation, chambre sociale, 2 oct. 2001, n°99-42.942, Nikon France

(2) Les courriels constituent des preuves admissibles et ont force probante devant les Conseils de prud'hommes.

(3) Cour de cassation, chambre sociale, 16 mai 2013, N°12-11866

(4) Cour de cassation, chambre sociale, 19 juin 2013, N°12-12138

(5) Cour de cassation, chambre sociale, 12 février 2013, No 11-28.649

(6) Cour de cassation, chambre sociale, 10 mai 2012, N°11-13.884

(7) BYOD (Bring your own device) consiste pour les salariés à utiliser leur propre équipement (ordinateur, tablette, smartphone) à des fins professionnelles


Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com

Septembre 2013

La charte informatique face à l’évolution des technologies : l'outil indispensable pour définir les règles du jeu

L’entreprise, qui met à la disposition de ses salariés un ordinateur, les logiciels associés, une adresse email et éventuellement permet l’accès à internet, doit sensibiliser ses collaborateurs aux règles d’utilisation de ces outils et ressources de travail.

La charte informatique (ou charte internet), bien que non obligatoire, devient ainsi un document indispensable dans l’entreprise, pour une bonne gouvernance des règles d’utilisation des ressources technologiques. La charte informatique permet non seulement de définir les “règles du jeu” en terme d’utilisation des équipements et logiciels mis à la disposition des salariés, mais également de définir les règles de communication par voie électronique (emails, réseaux sociaux) dans et sur l’entreprise.(1)

Avant le déploiement d’une charte informatique, une réflexion de fond sur son périmètre d’application doit être menée afin de déterminer au mieux les droits et obligations des collaborateurs. La charte, rédigée dans les règles et dûment intégrée au règlement intérieur de l’entreprise, est reconnue comme étant opposable aux utilisateurs.


1. Le périmètre d’application de la charte informatique

    1.1 Les préalables à sa mise en place

Avant tout déploiement d’une charte informatique dans l’entreprise, une réflexion à 360° doit être menée sur les besoins des collaborateurs en termes de ressources informatiques au sens large (matériels, logiciels, usages, communication interne et externe, accès à internet, etc.). En effet, ces besoins ne sont pas les mêmes pour toutes les entreprises, ni au sein d’une entreprise, pour toutes les catégories de collaborateurs, selon leurs fonctions ou leur mobilité dans l’exercice de leur activité.

Il y a quelques années, la charte informatique se résumait à définir globalement les utilisations autorisées des matériels informatiques et logiciels mis à la disposition des collaborateurs, ainsi que quelques règles relatives à l’utilisation d’internet pendant les heures et sur le lieu de travail. Il est désormais nécessaire d’aller plus loin dans la réflexion afin de prendre en compte les équipements personnels des collaborateurs, la gestion des accès à distance, ou l’utilisation des outils collaboratifs.

Enfin, au terme de cette réflexion préalable, il conviendra de décider s’il est préférable de consigner ces règles d’utilisation dans un seul document (charte informatique), ou dans plusieurs documents suivant les domaines d’application (charte informatique, charte internet, voire charte de la communication).

    1.2 Les règles à prendre en compte pour la rédaction de la charte

Un certain nombre de principes généraux doivent être pris en considération dans la définition des règles générales applicables à la charte informatique : respect de la vie privée et liberté d’expression, deux libertés fondamentales qui ne disparaissent pas au moment où le salarié passe la porte de l’entreprise.

Le principe du respect de l’intimité de la vie privée
L’application de ce principe est régulièrement rappelée par les juges de la Cour de cassation, et son étendue précisée par leur jurisprudence au regard des évolutions de l’utilisation des technologies dans l’entreprise.

Ce principe vient d’être rappelé encore récemment par les juges dans une affaire d’accès par l’employeur aux emails d’un salarié. Un salarié avait été licencié, au motif notamment, qu’il détenait des messages à caractère pornographique dans sa messagerie professionnelle. Le salarié avait contesté le motif de son licenciement devant les tribunaux. La Cour d’appel de Rennes lui avait donné droit. Dans un arrêt du 5 juillet 2011, la Cour de cassation a confirmé l’arrêt d’appel en énonçant que “le salarié a droit, même au temps et lieu du travail, au respect de l’intimité de sa vie privée ; que si l’employeur peut toujours consulter les fichiers qui n’ont pas été identifiés comme personnels par le salarié, il ne peut les utiliser pour le sanctionner s’ils s’avèrent relever de sa vie privée (…).”(2)

Le principe de la liberté d’expression
Le principe de la liberté d’expression s’applique même au sein de l’entreprise.(3) Ce principe connaît cependant des limites, par exemple en cas de violation de la confidentialité des informations échangées, de mise en ligne de messages diffamatoires ou injurieux, ou de nature à porter une atteinte grave à l’image de la société.(4)

Il est donc recommandé de préciser dans la charte, les règles de communication institutionnelle de l’entreprise, mais également les règles applicables à l’utilisation des réseaux sociaux externes, tels Facebook ou Twitter, ou des blogs, ainsi que les règles d’utilisation du RSE, si un tel outil existe dans l’entreprise. Ainsi, la détermination de lignes de conduite permettant de distinguer entre communication de nature professionnelle et communication privée (ou non professionnelle) sera utile pour aider les collaborateurs à identifier les limites entre sphère professionnelle et non professionnelle.

A ce titre, il est intéressant de se référer aux guides des bonnes pratiques sur les réseaux sociaux mis en place dans le journalisme. L’une des questions posées était de déterminer notamment si les commentaires des journalistes sur les réseaux sociaux étaient postés à titre professionnel (et engageaient donc leur rédaction), ou à titre privé (et n’engageaient donc que l’auteur du message). Même si nous ne sommes pas tous des journalistes professionnels, toute personne qui publie un contenu en ligne est un “journaliste en herbe” et éditeur - et responsable - de son message.(5)

    1.3 Le contenu de la charte : équipements et logiciels autorisés, règles de communication

Globalement, toute charte informatique doit couvrir les points suivants : politiques de l’entreprise en matière d’équipements, en matière de logiciels à utiliser, et en matière de communication.

Les équipements
Quels équipements les collaborateurs sont-ils autorisés à utiliser dans le cadre de leur activité professionnelle ? Auparavant, la question était de déterminer dans quelle mesure les collaborateurs pouvaient utiliser les équipement fournis par l’entreprise (pc, téléphone portable) à des fins personnelles. Dorénavant, la question doit également porter sur l’utilisation des équipements personnels à des fins professionnelles.

Cette question est d’autant plus importante que dans certains domaines d’activité, la distinction vie professionnelle / vie privée tend à s’estomper quelque peu, de plus en plus de salariés utilisant leurs propres équipements (pc, smartphones, tablettes internet) pour travailler, pour se connecter à distance aux serveurs de l’entreprise, à l’intranet, à la messagerie dans le cadre de leur activité professionnelle.

La charte pourra donc préciser que seuls les équipements fournis par l’entreprise pourront être utilisés dans le cadre de l’activité professionnelle, à l’exclusion de tous autres, ou que certains équipements personnels pourront être utilisés. Dans cette seconde hypothèse, il conviendra de prendre en compte les aspects liés à la sécurité des accès, à la confidentialité des données de l’entreprise, aux problèmes liés à la maintenance de ces équipements, aux demandes des collaborateurs concernés relatives à l’indemnisation des abonnements, etc.

Les logiciels
Il conviendra de déterminer la liste des logiciels que les collaborateurs sont autorisés à utiliser dans le cadre de leurs activités professionnelles, ou d’interdire l’utilisation de tous logiciels non fournis par la DSI de l’entreprise. Ce point est très important, afin de limiter les téléchargements de logiciels non testés et approuvés par la DSI, ainsi que les logiciels potentiellement contrefaisants, et les logiciels de téléchargement peer-to-peer ou de streaming.(6)

Les règles de communication
Enfin, la charte technologique devra aborder la problématique de la communication et l’utilisation des différents outils de communication : email, sms, tchat, réseaux sociaux. Quant aux règles d’utilisation d’internet, il paraît difficile aujourd’hui de bloquer toute utilisation d’internet par les collaborateurs. Cependant, il reste possible de bloquer l’accès à certains sites ou catégories de sites web, ou d’émettre des règles sur les sites autorisés, les sites tolérés, et les sites interdits.

Les règles de contrôle et d’accès aux informations de connexion et aux emails pourront utilement être rappelées.


2. La valeur normative de la charte informatique au sein de l’entreprise

La finalité de la charte informatique est double : i) informer les salariés sur les règles d’utilisation des équipements et logiciels mis à leur disposition et les sensibiliser sur les règles de communication professionnelle, et ii) les informer sur les sanctions éventuelles en cas de non-respect de ces règles.

Plus qu’un simple document informatif, la charte informatique est désormais bel et bien reconnue comme opposable aux salariés.

    2.1 Un document opposable aux utilisateurs, mais à quelles conditions ?

La valeur normative, et donc le caractère opposable de la charte informatique, a été consacrée par la Cour de cassation dans un arrêt du 15 décembre 2010. En l’espèce, un collaborateur de la société Coca Cola avait été licencié pour faute grave suite à la découverte par l’employeur de documents à caractère pornographique, conservés sur le disque dur de l’ordinateur professionnel du collaborateur. La Cour a relevé que cette pratique avait constitué “un manquement délibéré et répété du salarié à l’interdiction posée par la charte informatique mise en place dans l’entreprise et intégrée au règlement intérieur, (…) que ces agissements, (…) étaient constitutifs d’une faute grave et justifiaient le licenciement immédiat de l’intéressé ; (…).”(7)

En revanche, il est très probable qu’en l’absence de charte informatique définissant les règles d’utilisation des ressources technologiques de l’entreprise, l’employeur n’aurait pu licencier le salarié pour ce motif. Ainsi, dans un arrêt de décembre 2009, la Cour de cassation a cassé une décision d’appel qui avait validé le licenciement d’un salarié pour des faits similaires (détention de fichiers à caractère pornographique sur l’ordinateur professionnel). En l’espèce, la société n’avait déployé que des notes de service.

Ainsi, la Cour a retenu que “(…) l’arrêt (d’appel) énonce que les fichiers contenant des photos à caractère pornographique qui portaient atteinte à la dignité humaine, enregistrés et conservés dans son ordinateur dans un fichier archive accessible par tout utilisateur, établissent le détournement par le salarié du matériel mis à sa disposition en violation des notes de service (…) ; Qu’en statuant ainsi, (…) la cour d’appel a violé le texte susvisé.”(8)

Ainsi, pour que la charte informatique soit pleinement opposable aux utilisateurs, et donc suivie d’effet (application de sanctions éventuelles en cas de non-respect des règles qui y sont définies),  la charte doit être annexée au règlement intérieur de la société et déposée auprès des services de l’Inspection du travail et du greffe du Conseil des prud’hommes du siège social de la société. De simples notes de service risquent d’être jugées insuffisantes, au-delà de la simple information, pour être pleinement opposables aux utilisateurs.

    2.2 Un document opposable, mais à quels utilisateurs ?

Si la charte informatique est intégrée au règlement intérieur, elle devra non seulement être appliquée par les salariés de l’entreprise, mais également par les intervenants tiers pendant la durée de leur mission dans l’entreprise.

Le règlement intérieur, obligatoire dans les entreprises de plus de vingt salariés, fixe les règles en matière d’hygiène et de sécurité dans l’entreprise, et en matière de discipline (article L.1321-1 et s. C. du trav.). Ce document s’applique, en premier lieu, aux salariés de l’entreprise.

Le règlement intérieur est également appelé à s’appliquer aux tiers pendant la durée de leur mission dans les locaux de l’entreprise. En effet, les personnels intérimaires, les consultants indépendants et autres sous-traitants doivent respecter le règlement intérieur de l’entreprise-cliente, pour autant que ces interventions soient réalisées dans les locaux de cette entreprise.

En cas de non-respect du règlement intérieur par ces personnes (par exemple, oeuvres téléchargées illégalement par l’intervenant et sauvegardées sur les serveurs de l’entreprise, communication sur les réseaux sociaux avec divulgation non-autorisée d’informations confidentielles), l’entreprise pourra demander le remplacement de l’intervenant concerné, voire la résiliation du contrat de prestation, aux torts de la société prestataire.

En tout état de cause, le règlement intérieur et la charte informatique devront être affichés et diffusés au sein de l’entreprise.


L’évolution des technologies et des comportements de communication doivent susciter, dans l’entreprise, une réflexion régulière sur l’évolution des besoins des utilisateurs (par exemple : évolution des équipements - smartphones, tablettes internet ; évolution des modes de communication et des outils de collaboration en ligne tels le déploiement d’un RSE, l’utilisation du e-learning ou du serious gaming (formation en ligne), et sur les besoins réels de l’entreprise pour rester compétitive et attractive, sans pour autant mettre en danger la sécurité et la confidentialité des données ; le défi des RSI et des RH étant de s’appuyer sur une charte informatique claire et exhaustive, qui ne sera pas obsolète dans quelques mois…

* * * * * * * * * *

(1) Nous avions écrit un précédent article sur ce thème en septembre 2008 intitulé : La charte technologique : pour la protection des réseaux et des données de l’entreprise (http://www.journaldunet.com/solutions/expert/31256/la-charte-technologique---pour-la-protection-des-reseaux-et-des-donnees-de-l-entreprise.shtml). L’objet du présent article est d’approfondir la réflexion sur le déploiement des chartes informatiques face à l’évolution des technologies et des modes de communication dans l’entreprise.
(2) C Cass. soc. 5 juillet 2011, Gan Assurances Iard c/ M. X.
(3) Article L.1121-1 du Code du travail : “Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché.”
(4) Voir Conseil des prud’hommes de Boulogne-Billancourt, jugements de départage du 19 novembre 2010, M. B. c/ Alten Sir et Mme B. c/ Alten Sir, ayant confirmé la décision de licenciement de salariés ayant dénigré leur employeur et leur supérieur hiérarchique sur Facebook. Dans ces deux affaires, il a été jugé que les salariés avaient abusé du droit d’expression consacré à l’article L.1121-1 du Code du travail.
(5) Voir notamment la Charte d’éthique professionnelle des journalistes du Syndicat national des journalistes, le Guide de participation des journalistes AFP aux réseaux sociaux et le Guide des bonnes pratiques aux réseaux sociaux de France Télévisions
(6) Il conviendra notamment de sensibiliser les collaborateurs aux téléchargements illégaux et aux dispositions des lois Création et Internet ou lois Hadopi (Loi n°2009-669 du 12 juin 2009 favorisant la diffusion et la protection de la création sur internet ; et loi n°2009-1311 du 28 oct. 2009 relative à la protection pénale de la propriété intellectuelle et artistique sur internet)
(7) C Cass. soc. 15 décembre 2010, Emmanuel G. c/ Coca-Cola, Assedic
(8) C Cass. soc. 8 décembre 2009, Sergio G. c/ Peugeot Citroën Automobiles


Bénédicte DELEPORTE – Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Décembre 2011

article publié sur le Journal du Net le 27 décembre 2011

Réseaux sociaux d’entreprise et gestion des risques juridiques

Les habitudes de communication évoluent aussi rapidement que les outils de communication. Le monde de l’entreprise ne peut rester imperméable à ces nouveaux outils et usages. Ainsi, la mode des réseaux sociaux se décline désormais comme outil de travail collaboratif au sein de l’entreprise.

Les réseaux sociaux d’entreprise (RSE) peuvent intégrer des fonctionnalités diverses, depuis le classique profil de l’utilisateur, en passant par l’annuaire des collaborateurs, l’accès à des contenus divers. Le RSE peut également intégrer des fonctionnalités de collaboration active telles la consultation, l’édition et la modification de documents.

Cependant, la procédure de déploiement d’un RSE, puis la gestion du réseau dans le temps, ne doivent pas négliger la prise en compte du volet juridique. Nous faisons le point ci-après sur les obligations légales ainsi que sur la gestion des risques juridiques du RSE avant le déploiement du  service, puis au cours de son exploitation dans l’entreprise. 


1. Le déploiement d’un RSE : les règles de fonctionnement et le traitement des données personnelles

Comme pour tout projet, il est important de définir l’objet du RSE et ses règles de fonctionnement,  sans oublier a prise en compte des obligations légales, et ce préalablement à la mise en ligne de l’outil.

    1.1 L’objet du RSE et les règles d’utilisation du service

Préalablement au lancement du service, il est important d’en délimiter le périmètre d’utilisation. L’objet du RSE sera en principe déjà défini dans le cahier des charges. Cet objet sera repris au moment de la rédaction des conditions d’utilisation du RSE.

Les conditions d’utilisation indiqueront notamment les règles d’utilisation de l’outil et ses limites. Il est important de s’assurer que chaque collaborateur de l’entreprise accepte effectivement les conditions d’utilisation de l’outil lors de sa première connexion au service, ainsi qu’à chaque modification ultérieure des conditions d’utilisation. En effet, en cas d’absence de procédure d’acceptation effective des conditions d’utilisation, celles-ci pourront être considérées comme non opposables au collaborateur en cas de litige entre celui-ci et l’entreprise par exemple.

Ces conditions d’utilisation peuvent par ailleurs être mentionnées dans la charte informatique de l’entreprise, avec un renvoi vers le service et la page web correspondante. La charte informatique permettra ici de décrire l’objet du RSE et ses conditions d’utilisation et ses conditions d’accès, notamment le fait que le RSE est limité à une utilisation professionnelle, et pour les activités de l’entreprise et qu’il n’est pas prévu pour les échanges privés.

    1.2 L’objet du RSE et le traitement des données à caractère personnel

Dans la mesure où la mise en oeuvre d’un réseau social, fut-il interne à l’entreprise, implique la collecte de données à caractère personnel des collaborateurs inscrits au service, l’entreprise devra s’assurer que le traitement envisagé est conforme aux dispositions de la loi Informatique et Libertés et entre dans le cadre des conditions prévues à la norme simplifiée n°46 “Gestion du personnel”.(1)

Cette déclaration de conformité “Gestion du personnel” a pour finalité non seulement la gestion administrative du personnel de l’entreprise (dossier professionnel du salarié, annuaire des salariés), la gestion de carrière (évaluations professionnelles, etc.), mais également la mise à disposition d’outils informatiques, tels la mise à disposition des salariés de matériels informatiques, l’accès à la messagerie électronique, ou à l’intranet.

L’entreprise aura en principe fait une déclaration en application de cette norme lors du lancement de son activité pour les premières embauches de personnel. Si les règles de fonctionnement et de gestion du RSE entrent dans le cadre des conditions définies à la norme simplifiée Gestion du personnel (finalité du traitement, données collectées, destinataires des données, lieu de stockage des données, durée de conservation), il ne sera pas nécessaire de procéder à une nouvelle déclaration. En revanche, si les conditions de fonctionnement du RSE impliquent une modification des conditions de traitement des données des collaborateurs, une nouvelle déclaration (une mise  à jour ou une modification de la première déclaration) devra être faite auprès des services de la CNIL.

    1.3 La consultation du Comité d’entreprise

Les entreprises ayant le projet de déployer un RSE compteront généralement plus de 50 salariés et disposeront donc d’un comité d’entreprise. Dès lors, en application des dispositions de l’article L.2323-13 du Code du travail, le comité d’entreprise doit être informé et consulté préalablement à tout projet important d’introduction de nouvelles technologies, les éléments d’information devant être communiqués un mois avant la réunion.(2) Suivant l’objet du RSE, notamment si le service est appelé à être utilisé à grande échelle dans l’entreprise comme outil de travail collaboratif, la consultation du CE pourra ainsi être nécessaire.


2. La gestion du RSE dans le temps : quelques précautions pour éviter les problèmes juridiques

Une fois que le réseau social de l’entreprise est déployé, il conviendra de s’assurer que l’exploitation du service est gérée en appliquant quelques règles permettant d’éviter les problèmes d’ordre juridique. On retiendra notamment les règles suivantes :

    2.1 Les utilisateurs et la gestion des droits d’accès

Certains réseaux sociaux d’entreprise sont strictement limités aux salariés de l’entreprise, alors que d’autres réseaux sont ouverts à des tiers.

Selon que l’entreprise opte pour le modèle fermé ou le modèle ouvert, il est très important de gérer les accès de manière stricte et structurée. Les droits d’utilisation et d’accès aux différentes catégories de contenus et services devront être paramétrés en fonction du statut des utilisateurs.

Dans un RSE “fermé”, limité aux collaborateurs de l’entreprise, il conviendra de définir ce que l’on entend par collaborateur autorisé à utiliser le RSE: le service est-il autorisé pour tous les salariés de l’entreprise, ou seulement pour certaines catégories de salariés (personnels impliqués dans la conduite de projet par exemple, ou personnels mobiles) ? Le service est-il autorisé pour les collaborateurs nouvellement arrivés dans l’entreprise, pour les personnels en CDD ?

Dans un RSE “ouvert” à des tiers à l’entreprise, il sera indispensable de définir les catégories de tiers autorisés à accéder et à utiliser le RSE (ou une seule partie de ses fonctionnalités) : les intérimaires, les consultants indépendants, les sous-traitants.

    2.2 Les données de l’entreprise et la confidentialité

L’une des principales différences entre un réseau social “classique” (de type Facebook) et un réseau social d’entreprise tient non seulement au statut des utilisateurs autorisés à utiliser le service, mais également à la confidentialité des informations échangées entre les utilisateurs.

Toutes les informations échangées sur le RSE ne sont évidemment pas confidentielles. Cependant, les échanges internes relatifs à des clients de l’entreprise, ou à des projets en cours (négociations, projets en cours de développement ou de déploiement par exemple), ou encore à des projets internes (recherche), à des informations financières, etc. sont généralement de nature confidentielle. D’où l’importance de gérer les accès et les autorisations d’utilisation pour éviter les fuites d’informations et risquer de mettre en jeu la responsabilité de l’entreprise pour violation de son obligation de confidentialité vis-à-vis de ses clients notamment.

Il est par ailleurs recommandé de distinguer entre l’objet du RSE et ses modes d’utilisation et les situations dans lesquelles les échanges 1/1 verbaux, par email ou autres doivent être maintenus. Même si le RSE intègre une fonctionnalité de tchat ou de messagerie, ce service n’a pas pour objet de remplacer les échanges “traditionnels”, au moins dans l’immédiat.

    2.3 La liberté d’expression et ses limites

Comme pour tout service collaboratif en ligne, les informations mises en ligne sur un RSE sont soumises aux règles de la responsabilité éditoriale. Dans la mesure où les informations mises en ligne et les échanges entre utilisateurs n’ont pas vocation à être modérés/validés par l’entreprise avant leur mise en ligne, chaque utilisateur est responsable du contenu des messages (messages, photos, documents) qu’il/elle met en ligne et des informations divulguées.

Le principe de la liberté d’expression s’applique, même au sein de l’entreprise, comme rappelé à l’article L.1121-1 du Code du travail.(3) Cependant, ce principe connaît des limites, par exemple en cas de violation de la confidentialité des informations échangées, de mise en ligne de messages diffamatoires ou injurieux, ou de nature à porter une atteinte grave à l’image de la société.

A ce titre, deux jugements du Conseil des prud’hommes de Boulogne-Billancourt, rendus le 19 novembre 2010 ont confirmé la décision de licenciement de salariés ayant dénigré leur employeur et leur supérieur hiérarchique sur Facebook. Les juges ont retenu que les échanges n’étaient pas d’ordre privé car ils étaient visibles par les “amis des amis” sur Facebook et non par les seules personnes impliquées activement dans ces échanges. Dans ces deux affaires, il a été jugé que les salariés avaient abusé du droit d’expression consacré à l’article L.1121-1 du Code du travail.(4)

Même si en l’espèce il s’agissait d’échanges sur un réseau social public, on peut penser que des propos insultants échangés sur un réseau social d’entreprise et accessibles à un large groupe de collaborateurs pourraient entraîner l’application de sanctions à l’égard du/des auteur(s) : suspension des droits d’accès au service et, le cas échéant, compte tenu de la gravité de la situation, mise en oeuvre d’une procédure disciplinaire, en conformité avec les règles de droit du travail. Il est recommandé de prévoir, dans les conditions d’utilisation, les règles de suspension d’accès au service en cas de violation desdites conditions d’utilisation.

    2.4 La durée de conservation des profils

Dans le cadre de l’administration des autorisations d’accès au service, il conviendra de gérer attentivement la cessation des droits d’utilisation et la durée de conservation des profils.

Concernant la cessation des droits d’utilisation, les règles de désactivation des codes d’accès au RSE devront correspondre à l’objet du service. Si le RSE est limité à l’activité de conduite de projet par exemple, les profils des utilisateurs seront désactivés à l’issue du projet, mais également, lors du départ d’un des collaborateurs de la société en cours de projet, ou lors du départ d’un consultant ou d’un sous-traitant. Si le RSE a un objet plus large, d’outil de communication au sein de l’entreprise, les profils seront désactivés au départ du collaborateur de l’entreprise.

Enfin, les données relatives aux profils des utilisateurs devront en principe être effacées dès la clôture du compte.

* * * * * * * * * * *

(1) La norme simplifiée n°46 “Gestion du personnel” est accessible sur le site de la CNIL, rubrique vos responsabilités > déclarer un fichier.
(2) L’article L.2323-13 du Code du travail dispose que “Le comité d’entreprise est informé et consulté, préalablement à tout projet important d'introduction de nouvelles technologies, lorsque celles-ci sont susceptibles d'avoir des conséquences sur l'emploi, la qualification, la rémunération, la formation ou les conditions de travail.
Les membres du comité reçoivent, un mois avant la réunion, des éléments d'information sur ces projets et leurs conséquences sur chacun des sujets mentionnés au premier alinéa.”
(3) L’art L.1121-1 du Code du travail dispose que : “Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché.”
(4) Conseil des prud’hommes de Boulogne-Billancourt, jugements de départage du 19 novembre 2010, M. B. c/ Alten Sir et Mme B. c/ Alten Sir

Bénédicte DELEPORTE – Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Décembre 2011

Article publié sur Le Journal du Net le 12 décembre 2011