Internet, un outil de travail devenu indispensable

Les entreprises françaises utilisent de plus en plus internet dans un cadre professionnel. D’après une enquête Eurostat, c’est en 2013 qu’a été franchi le cap de la moitié des salariés français utilisant internet au travail. Cette généralisation de l’accès au web n’a pas été sans conséquences sur les comportements, aussi bien du côté des utilisateurs, que du côté des décideurs. Avec notamment la volonté d’encadrer cette utilisation d’un accès professionnel au web à des fins personnelles. Volonté, et même nécessité, car il faut rappeler que l’utilisation d’un accès internet dans le cadre du bureau par un salarié est toujours considérée par les tribunaux comme étant utilisée à des fins professionnelles, même si la CNIL reconnait comme un droit l’accès au web du salarié à des fins personnelles dans une mesure raisonnable.

Il nous semble important de rappeler quelques droits et devoirs, concernant l’utilisation d’internet au travail, surtout dans une période où l’internet est désigné parfois comme un grand coupable et souvent vu comme un espace trop libre.

Internet au bureau, droits, devoirs et responsabilités

D’après une étude réalisée par Olféo en 2014, 58% du temps passé sur Internet est du surf personnel, soit 63 min par jour consacrées à la visite de forums, de blog, des sites internet de commerce en ligne, les plateformes de partages ou encore les réseaux sociaux. Mais alors où est la limite ? Comment contrôler cet usage ?  Toutes les solutions mises en œuvre doivent prendre en compte la particularité du droit français en la matière.

Premier rappel, les connexions établies par le salarié sur des sites internet pendant son temps de travail avec les outils informatiques mis à sa disposition, sont présumées avoir un caractère professionnel (jurisprudence 09/02/2010 N8-45.253).

En l’occurrence, concernant la responsabilité d’actes illicites, celle-ci dépend du salarié, du dirigeant de l’entreprise, et du DSI !

Responsabilité civile et pénale pour les dirigeants, avec  en sus la possibilité pour un dirigeant informatique de pouvoir être poursuivi pour négligence fautive de ne pas avoir informé et mis en œuvre les moyens pour limiter les responsabilités de l’entreprise et du dirigeant.

Responsabilité du dirigeant de l’entreprise, en vertu de sa qualité de dirigeant, ceci même s’il n’a pas personnellement pris part à la commission de l’infraction.

Est-il possible de totalement limiter l’accès des collaborateurs, de le limiter uniquement à un usage professionnel ? La première tentation est effectivement d’interdire complétement cette utilisation. Tentant mais difficilement réalisable puisque cette limitation matérielle ne doit pas conduire à entraver l’exécution des missions des employés. Même en mettant en avant les risques posés par l’usage d’internet, notamment la perte de productivité ou encore une exposition du SI à des problèmes de sécurité, pour la CNIL (Commission nationale de l’informatique et des libertés), une interdiction totale de l’accès à internet à des fins personnelles n’est pas du domaine du faisable, et le salarié doit bénéficier d’un accès au net et en faire un usage de manière raisonnable.

Des solutions alternatives et moins restrictives ont alors vu le jour dans le code du travail et dans la jurisprudence. Si l’employeur met Internet à la disposition de l’employé, il doit adapter son règlement intérieur, notamment grâce à l’utilisation d’une charte informatique. En encadrant l’usage d’internet, la charte est essentielle puisqu’elle permet d’encadrer les risques liés à l’utilisation du système d’information par les salariés et de limiter les responsabilités pénales et civiles de l’entreprise et de ses dirigeants.

La charte informatique, à savoir …

Selon la CNIL, une charte informatique est obligatoire dès que l’entreprise collecte des données à caractère personnel, comme des logs de connexion, des durées de connexion, ou met en œuvre un archivage de messagerie.

Deuxième information essentielle, cette charte doit être diffusée individuellement et collectivement, pour être valable. Elle peut être affichée comme un règlement intérieur, diffusée par exemple avec le bulletin de salaire ou  encore signée électroniquement par action du destinataire à la réception d’un email. Toute modification de cette charte nécessite une nouvelle diffusion collective et individuelle. Avec l’Article L. 1222-4, le  code du travail rappelle bien qu’ « Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance. ».

Troisième point à savoir, pour être valide, la charte Internet doit obligatoirement autoriser l’usage personnel d’Internet sur le lieu de travail dans les limites du « raisonnable », au nom du droit à sa liberté résiduelle. Si la Charte Internet ne respecte pas ce droit, elle est caduque.

Quatrième point à prendre en compte, la mise en place d’une charte et d’une collecte de données à caractère personnel doit s’accompagner d’une déclaration à la CNIL, sauf si l’entreprise dispose d’un CIL(Correspondant Informatique et Libertés), car selon l’article 22 de la loi informatique et liberté : « (…) les traitements automatisés de données à caractère personnel font l’objet d’une déclaration auprès de la Commission nationale de l’informatique et des libertés.»

De l’usage des données collectées

Après cette déclaration à la CNIL, un DSI a la possibilité de consulter les logs si cela relève d’objectifs de sécurité. C’est notamment la conclusion de l’arrêt en date du 17 décembre 2001. La Cour d’appel de Paris a apporté un éclairage nouveau qui contribue à définir le rôle de l’administrateur réseau dans toutes entreprises. Selon cet arrêt, il relève donc bien de la fonction d’administrateur réseau d’en contrôler l’usage d’Internet, ce qui implique nécessairement l’accès à des données personnelles et à leur contenu. A noter également la jurisprudence Martin  de 2008  (Cass. Soc., 09-07 2008). Selon ce jugement, les données de connexions à Internet ne relèvent pas du domaine de la vie privée sur le lieu de travail et sont présumées professionnelles. Par conséquent, le personnel informatique serait en droit de divulguer des informations concernant l’utilisation d’Internet d’un salarié au dirigeant puisque ces données ne relèvent pas de la vie privé et que sur le lieu de travail, elles sont présumées être professionnelles.

 

Le sujet du filtrage d’internet pourrait devenir une priorité dans beaucoup d’entreprises. La loi française encadre très précisément l’utilisation du net, avec Hadopi, Hadopi 2, LOPSI et LOPPSI 2, la régulation des jeux en ligne par l’ARJEL ….. Les responsabilités sont aussi trop souvent mal connues. Malheureusement la tendance n’ira pas vers davantage de libertés, que ce soit dans le cadre d’un usage professionnel ou personnel.

Si techniquement beaucoup de firewall intègrent une possibilité sommaire de filtrage, il convient de rappeler que ces possibilités sont très limitées, et la plupart du temps inadaptées au contexte légal français. En sus de la préoccupation légale, l’usage d’internet au travail peut aussi prêter à débat sur le plan de la productivité, mais surtout sur … le plan de la sécurité ! Avec la montée du phishing, et du ransomware, une solution de filtrage peut s’avérer une solution idéale pour se prémunir de ces risques. Rappelons que la solution totalement SaaS proposée par Adista sur ses accès internet s’appuie sur Olfeo, qui met en avant un taux de 98% pour la reconnaissance des sites web, ce qu’aucune appliance ne peut approcher !