112. Plusieurs questions se posent autour de l’élaboration d’un document réglementant l’utilisation des technologies.
113. La première est de déterminer quelle est la marge de manœuvre de l’employeur en ce qui concerne la réglementation de l’usage des outils de communication mis à la disposition des travailleurs. Cette réflexion ne doit pas forcément être cantonnée à l’usage de l’internet et de l’e-mail mais peut aussi inclure des réflexions sur le stockage d’informations personnelles sur le disque dur des ordinateurs de l’entreprise ou sur des serveurs, ou sur les précautions à prendre concernant l’usage de ces ordinateurs (confidentialité de mots de passe, connexion de matériel étranger à l’entreprise, installation / téléchargement de logiciels sur les PC de l’entreprise, etc.) (cf. section A, infra).
114. La seconde question a trait à la manière dont la réglementation devra concrètement être réalisée. En premier lieu, nous examinerons le contenu-même de la charte informatique : quels sont les éléments qui doivent y figurer, ceux qui sont optionnels mais recommandés, les limites et possibilités qu’offre la rédaction d’un tel texte (cf. section B, infra). En second lieu, nous verrons quel support utiliser pour diffuser la politique d’usage des technologies au sein
de l’entreprise (papier, format électronique, règlement de travail ou annexe au contrat de travail,..) (cf. section C, infra).
A. Quelle marge de manœuvre pour l’employeur ?
115. Comme nous l’avons souligné ci-avant 214, l’employeur peut décider de l’utilisation qui sera ou non permise des moyens de communications élec-troniques ou plus généralement du matériel mis à disposition des travailleurs. Outre les utilisations qui en seront autorisées, interdites ou tolérées, il appar-tient à l’employeur de déterminer de quels moyens les travailleurs pourront disposer pour travailler. 215
Il est clair que l’implémentation de solutions techniques et organisa-tionnelles sont autant d’options que l’employeur pourra mettre en place : dis-poser les écrans à la vue de tous, bloquer l’accès à certains sites web, limiter la taille des fichiers pouvant transiter par courrier électronique, ou encore ne pas donner l’accès à internet à certaines personnes. On veillera toutefois à ne pas discriminer les travailleurs face à ces décisions. 216
116. La mise en place de mesures techniques et/ou organisationnelles est sans doute la meilleure manière de respecter la vie privée des travailleurs, dès lors qu’elles sont peu intrusives et relèvent plutôt de l’implémentation de la poli-tique de l’entreprise que de la surveillance et du contrôle. D’ailleurs, à cet égard, le Groupe de l’Article 29 217 préconise que, « dans la mesure du pos-sible, la prévention devrait l’emporter sur la détection. En d’autres termes, il est davantage dans l’intérêt de l’employeur de prévenir l’utilisation abusive de l’internet par des moyens techniques plutôt que de consacrer des ressources à sa détection. Dans la limite de ce qui est raisonnablement possible, la politique de l’entreprise concernant l’internet devrait s’appuyer sur des outils techniques visant à limiter l’accès plutôt que sur des dispositifs de contrôle des compor-tements, par exemple par des systèmes verrouillant l’accès à certains sites ou générant des avertissements automatiques ». 218 Des systèmes interdisant l’accès
214 Cf. chapitre 2, section 2, A.
215 A. Peiffer, A. Matthijs et E. Verlinden, Privacy in de arbeidrelatie – Gids voor het voeren van een priva‑ cybeleid, Gent, Story, 2008, p. 38.
216 Ainsi, on peut difficilement imaginer que seuls certains travailleurs ne puissent pas envoyer d’e‑mails privés alors que les autres y sont autorisés sans justification objective.
217 Ce groupe, qui tient son nom du fait qu’il a été institué par l’article 29 de la directive 95/46/CE, est un organe consultatif européen, composé en autres de représentants de chaque autorité de contrôle des États membres et qui rend des avis sur l’application de la législation sur la protection des données à caractère personnel.
218 Groupe de l’Article 29, Document de travail concernant la surveillance des communications électro‑ niques sur le lieu de travail, WP55, 29 mai 2002, http://ec.europa.eu/justice, p. 25.
à certains sites prédéterminés par l’employeur, tels Facebook par exemple, sont donc licites.
117. Une question qui se pose toutefois est de savoir si l’employeur peut interdire totalement l’utilisation privée des moyens de communications qu’il met à disposition des travailleurs.
L’arrêt Niemietz 219 de la Cour européenne des droits de l’homme, déjà cité, confirme que les personnes développent une partie importante de leurs relations avec le monde extérieur et leur droit à la liberté d’expression joue donc assurément un rôle dans ce contexte. Faut-il en déduire une obligation de mettre à disposition de tels outils ? Nous ne le pensons pas. Il nous semble que si l’on admet que c’est l’employeur qui détermine quels sont les outils de travail mis à la disposition de ses préposés et quelles en seront les modalités d’utilisation, il devrait pouvoir interdire tout usage à des fins privées.
Dès lors, il s’agit là, selon nous, essentiellement d’une question d’oppor-tunité vis-à-vis du personnel. C’est en ce sens que la Commission belge de la protection de la vie privée considère que « le lieu de travail étant le lieu le plus propice pour entretenir des contacts avec des collègues et même avec des personnes extérieures, les employeurs doivent faire preuve d’une certaine tolé-rance quant aux communications privées passées par les membres de leur per-sonnel à l’aide de leurs moyens de communication ». 220 Son pendant français, la Commission nationale Informatique et Liberté, constate quant à elle qu’« une interdiction générale et absolue de toute utilisation d’internet à des fins autres que professionnelles ne paraît pas réaliste dans une société de l’information et de la communication, et semble de plus disproportionnée au regard des textes applicables et de leur interprétation par la jurisprudence. Un usage raisonnable, non susceptible d’amoindrir les conditions d’accès professionnel au réseau ne mettant pas en cause la productivité est généralement et socialement admis par la plupart des entreprises ou administrations. Aucune disposition légale n’inter-dit évidemment à l’employeur d’en fixer les conn’inter-ditions et limites, lesquelles ne constituent pas, en soi, des atteintes à la vie privée des salariés ou agents publics » 221.
118. Quoi qu’il en soit, ce n’est pas parce que l’employeur interdit toute utili-sation non professionnelle des outils de communication électronique qu’il sera
219 C.E.D.H., Niemietz c. Allemagne, 16 déc. 1992, Publ. Cour. eur. D.H., série A, no 251‑B.
220 Commission de la protection de la vie privée, Avis no 21 relatif au code de déontologie concernant l’uti‑ lisation des moyens informatiques et le traitement électronique de données au sein du Service public fédéral Économie, PME, Classes moyennes et Énergie, 12 juillet 2006, www.privacycommission.be, p. 5.
autorisé à contrôler les communications de ses travailleurs sans respecter les principes exposés ci-avant.
B. Éléments susceptibles d’être inclus dans un règlement de bons usages
119. Nous nous proposons de mentionner ici quelques éléments qu’une poli-tique d’utilisation des outils informapoli-tiques est susceptible de contenir. Il est certain que plus une politique sera connue et acceptée par les travailleurs, plus elle sera susceptible d’être respectée et suivie par ces derniers. Bien que l’employeur doive parfois inclure dans ses directives un certain nombre de mentions obligatoires 222, le contenu de la charte dépendra fortement de la culture d’entreprise, de la sensibilité des informations traitées dans l’entreprise et des outils informatiques mis à disposition des employés 223.
1. Utilisation générale des outils informatiques
120. Cette liste exemplative sera à adapter, modifier ou compléter en fonction des souhaits de l’employeur, de la nature des activités du travailleur et de la culture d’entreprise 224.
– Imposition de mesures de sécurité (utilisation et changement de mots de passe) ;
– Précision selon laquelle chaque membre du personnel est responsable de son propre compte et ne peut en aucun cas laisser un tiers accéder à son
login et son mot de passe ;
– Interdiction d’installer un quelconque programme ou logiciel, ou
hard-ware sans autorisation de l’employeur ;
– Interdiction d’utiliser les outils informatiques à des fins personnelles, de les emmener au domicile, ou de sortir avec le matériel informatique sans autorisation de l’employeur ;
– Interdiction de désactiver l’antivirus ou le firewall ;
222 Rappelons que la C.C.T. no 81, lorsqu’elle s’applique, requiert qu’un certain nombre d’informations figure sur ce document.
223 Nous renvoyons également à R. Blanpain et M. van Gestel, Gebruik en controle van e‑mail, intranet en internet in de onderneming, Praktijk en recht, Bruges, Die Keure, 2003. Cet ouvrage aborde de manière très pratique l’élaboration d’une politique d’utilisation des outils de communication électronique.
224 Notons que les accès à certaines données en entreprise sont de plus en plus fréquemment divisés en role‑based access, dont l’étendue dépend de la fonction que le travailleur occupe, et rule‑based access, étant des accès déterminés en fonction du profil du travailleur (administrateur, assistant, directeur, etc.). Il est donc possible d’ériger plusieurs politiques d’accès différentes en fonction des profils de travailleurs concernés.
– Obligation de réaliser des backups réguliers des données stockées sur un PC portable ;
– Interdiction d’utiliser les ressources informatiques pour rédiger ou envoyer des courriers électroniques ou pour utiliser l’internet dont le contenu est susceptible de porter atteinte à la dignité d’autrui, notam-ment l’envoi de messages ou la consultation de sites à caractère érotique ou pornographique, révisionniste, prônant la discrimination notamment sur la base du sexe, de l’orientation sexuelle, du handicap, de la religion, de la race ou de l’origine nationale ou ethnique, ou des convictions poli-tiques ou religieuses d’une personne ou d’un groupe de personnes ; – Interdiction de connecter du matériel à celui de l’entreprise ;
– Interdiction de copier ou transmettre des informations et données appar-tenant à l’entreprise ou des documents informatiques utilisés à des fins professionnelles sans que cette copie ou transmission ne concerne les activités habituelles du travailleur ;
– Interdiction de diffuser des informations confidentielles à l’extérieur ou de porter atteinte au mécanisme de sécurité mis en place pour les proté-ger ;
– Interdiction d’effectuer des actes illicites, tels que notamment le télé-chargement de données ou œuvres protégées par un droit de propriété intellectuelle ;
– Interdiction d’utiliser le matériel de l’entreprise pour participer à une autre activité professionnelle ou à la recherche de gain ou d’un but de lucre pendant les heures de travail ;
– Interdiction d’exécuter des fichiers exécutables (.exe) vu le risque poten-tiel qu’ils représentent pour la sécurité de l’outil informatique et du réseau.
2. L’utilisation du courrier électronique
121. De manière non exhaustive, les règles relatives à l’utilisation du courrier électronique pourraient préciser les éléments qui suivent :
– Interdire l’usage de la messagerie professionnelle à des fins privées tout en tolérant l’utilisation d’une messagerie privée via le matériel de l’en-treprise.
– En cas d’autorisation ou de tolérance de l’usage de la messagerie profes-sionnelle pour un usage privé, plusieurs précisions peuvent être appor-tées. Par exemple :
• mentionner que cet usage doit être occasionnel ;
• omettre toute référence ou signature au nom de l’entreprise, ou toute autre indication qui pourrait faire croire que le message est rédigé par le travailleur dans le cadre de ses fonctions ;
• utilisation de préférence pendant les heures de pause ou hors des heures de bureau ;
• ne pas entraver la productivité ou la bonne conduite de l’entreprise ; • ne faire aucune utilisation prohibée par la charte informatique de
l’entreprise ;
• préciser que le message est privé en le mentionnant explicitement dans le champ ‘sujet’.
– De manière générale, d’autres principes peuvent être prévus, comme par exemple :
• une règle concernant la taille maximum des messages et leur contenu ; • l’obligation d’envoyer un accusé de réception lors de la réception
d’un message par l’employé ;
• l’obligation d’activer un message automatique de réponse (« out of
office ») dans certaines circonstances ;
• l’interdiction de dépasser telle capacité ou d’envoyer certains types de fichiers joints (fichiers videos, musicaux,…) ;
• interdiction d’envoyer des courriers électroniques non sollicités (« spamming »), à caractère commercial, ou de participer à des chaînes de messages ;
• interdiction de retransmettre des e‑mails professionnels en l’absence de but professionnel légitime, dans des circonstances qui peuvent porter préjudice à l’entreprise ou à l’auteur du message originel ; • interdiction d’échanger des messages sans rapport avec la fonction
exercée (textes, blagues, images, vidéos,…) vu les risques importants que représente cette pratique (blocage des sites, virus,…) ;
• interdiction d’utiliser l’adresse e‑mail à des fins de messagerie instan-tanée (ICQ, MSN,..) ou sur des cartes de visite personnelles ou tout autre document non professionnel.
3. Utilisation de l’internet
122. L’utilisation de l’internet peut être tolérée, mais devra dans ce cas respec-ter plusieurs principes, comme par exemple :
– l’interdiction de consulter des sites de certaines natures (commerciaux, pornographique, érotiques, sites de jeux, banque en ligne, télécharge-ment, sites faisant l’apologie de la discrimination notamment sur base du sexe, de l’orientation sexuelle, du handicap, de la religion, des convictions
philosophiques ou politiques d’une personne ou d’un groupe de per-sonnes, etc.) ;
– l’interdiction de participer à des forums de discussion ;
– l’interdiction d’utiliser certains programmes (Skype, MSN, etc.) ; – l’interdiction d’accéder au streaming, musique ou vidéo en temps réel. Par ailleurs, il est précisé que :
– l’employeur peut se réserver le droit de bloquer l’accès à certains sites et les mentionner dans le règlement ;
– l’accès à internet ne peut s’effectuer que sur le compte propre de l’utili-sateur (ce qui peut se traduire par une interdiction de donner son login et mot de passe à un tiers) ;
– aucune activité interdite en vertu de la charte ne peut avoir lieu en uti-lisant l’internet.
C. Support de la règlementation
123. Il n’existe aucune exigence légale qui imposerait à l’employeur de définir les règles d’utilisation des outils informatiques et de communication dans un règlement de travail.
L’employeur est relativement libre de choisir le support sur lequel il éta-blira son règlement d’utilisation ainsi que la forme que cette règlementation prendra. Aussi ces règles peuvent-elles être édictées dans un document informel tel qu’un « Règlement d’utilisation des outils informatiques », « Charte d’utili-sation des moyens de communication électronique », ou encore « IT Policy ». Il peut être porté à la connaissance des travailleurs soit par la remise d’une copie, d’un envoi par e-mail ou encore d’une publication sur l’intranet de l’entreprise.
Ceci étant, il conviendra d’être attentif au fait que les règles du contrôle du respect de ces règles est quant à lui soumis à certaines exigences comme il sera expliqué dans la section 3.
section 3