Contrôler l'utilisation d'Internet

Tolérer l'utilisation personnelle si elle est raisonnable

Utiliser, sur le lieu de travail, des outils informatiques à des fins personnelles est généralement toléré si cela reste raisonnable et n'affecte pas la sécurité ou la productivité de l'entreprise. Remarque : à titre indicatif, rester connecté 41 heures en un mois sur Internet constitue une faute grave.

Fixer les conditions et limites d'utilisation d'Internet

Limiter l'utilisation des outils informatiques de l'entreprise ne porte pas, en soi, atteinte à la vie privée des salariés. L'employeur peut ainsi mettre en place un filtrage de sites non autorisés (pornographiques, pédophiles, incitant à la haine raciale, révisionnistes, etc.) ou interdire de télécharger des logiciels, de se connecter à un forum ou d'utiliser le "chat", d'accéder à une boîte aux lettres personnelle par Internet compte tenu des risques de virus etc.

Informer les salariés et les délégués du personnel

Les salariés et les délégués du personnel doivent être informés des dispositifs et modalités de contrôle de l'utilisation d'Internet : finalité du dispositif, durée de conservation des données de connexion, etc. Si des procédures disciplinaires sont susceptibles d'être engagées sur la base de ces fichiers, les salariés doivent en être informés, par exemple au moyen d'une charte.

Déclarer à la Cnil

La mise en place d'un dispositif de contrôle individuel des salariés, avec relevé des connexions ou des sites visés, poste par poste, doit être déclarée à la Cnil. Si le dispositif ne permet pas de contrôle individuel, une simple déclaration de conformité en référence à la norme simplifiée n°46 suffit (ex : logiciel ne réalisant que des statistiques globales sur l'utilisation d'Internet).

Contrôler les fichiers informatiques et la messagerie électronique

Conditions à respecter pour contrôler la messagerie des salariés

Pour des raisons de sécurité ou d'encombrement du réseau, les entreprises installent des outils de contrôle de la messagerie (fréquence et taille des messages, détection de virus, analyse des pièces jointes, filtres anti-spam etc.). Les délégués du personnel doivent être consultés et les salariés informés sur leur finalité, la durée de conservation des données et, s'il y a archivage automatique, sur ses modalités, la durée de conservation des messages et les modalités d'exercice de leur droit d'accès. Les dispositifs de contrôle individuel (ex : logiciel d'analyse du contenu des messages entrants ou sortants), doivent être déclarés à la Cnil. Sinon, une déclaration simplifiée suffit. Les informations collectées avant déclaration ne peuvent servir à établir une faute.

Modalités d'accès au poste informatique ou à la messagerie

Un mail, émis ou reçu par un salarié, peut avoir le caractère de correspondance privée, dont le viol est pénalement sanctionné : l'employeur ne peut consulter les messages personnels d'un salarié. Ce principe a des limites dans la sphère professionnelle (il peut aussi être levé dans le cadre d'une instruction pénale ou par décision judiciaire) : tout ce qui n'est pas identifié comme "personnel" est réputé professionnel. L'employeur peut donc y accéder librement, même en l'absence du salarié : un message envoyé ou reçu depuis l'ordinateur professionnel a un caractère professionnel, sauf s'il est identifié comme "personnel" (dans l'objet du message par exemple). Même principe pour les fichiers stockés sur une clé USB appartenant au salarié : branchée sur son ordinateur professionnel, elle est présumée être utilisée à des fins professionnelles et l'employeur peut librement en consulter le contenu. Même chose pour les messages que le salarié envoie de sa messagerie personnelle vers son poste de travail sans les identifier comme "personnels". Remarque : attention toutefois à respecter le règlement intérieur de l'entreprise : s'il stipule que les messageries des salariés ne peuvent être ouvertes qu'en leur présence, l'employeur devra s'y conformer, même pour consulter des documents professionnels. S'il a accès aux mails non identifiés comme personnels, l'employeur ne peut toutefois les utiliser en justice s'ils relèvent de la vie privée du salarié. Remarque : L'employeur peut informer les salariés, via une charte, du principe retenu pour différencier les mails professionnels des mails personnels (qualification par l'objet, création d'un répertoire privé etc.).

Contrôler l'usage que font les salariés du téléphone

Admettre l'usage du téléphone à titre personnel s'il n'est pas abusif

L'usage personnel du téléphone professionnel est admis, s'il reste raisonnable et ne nuit pas à l'employeur, qui doit pouvoir s'assurer que cette utilisation n'est pas abusive (il doit le faire dans des conditions garantissant le respect de la vie privée et des libertés des salariés). Attention : le principe applicable à l'ordinateur et à la messagerie professionnels du salarié vaut également pour les SMS qu'il a échangés avec son téléphone portable professionnel : s'ils ne sont pas clairement identifiés comme personnels, l'employeur peut y accéder et ce, même en l'absence du salarié.

L'employeur peut mettre en place des autocommutateurs

Les autocommutateurs sont des standards téléphoniques permettant d'orienter l'ensemble des numéros de téléphone appelants et appelés. Ils permettent aussi d'enregistrer les numéros de téléphone sortants. Ils peuvent donc être utilisés pour identifier les communications relevant d'un usage non professionnel et comptabiliser les flux entrants et sortants au niveau de l'entreprise, d'un service ou d'un poste. Reliés à des logiciels "de taxation", ils permettent de contrôler et d'imputer les coûts par service ou par poste. La simple vérification des relevés de la durée, du coût et des numéros appelés à partir de chaque poste est licite. Les salariés n'ont pas à en être informés au préalable.

Établir des relevés téléphoniques

Quand les relevés sont établis, les 4 derniers chiffres des numéros doivent être occultés. Les supérieurs hiérarchiques ne doivent qu'exceptionnellement accéder aux numéros complets (en cas d'utilisation manifestement anormale du téléphone par un salarié). Le salarié doit pouvoir accéder aux numéros complets composés depuis son téléphone, notamment quand il lui est demandé de rembourser le coût des communications présumées personnelles. La durée de conservation des données collectées ne doit pas dépasser un an.

Ne pas écouter les conversations téléphoniques à l'insu des salariés

Tout enregistrement d'images ou de paroles réalisé à l'insu des salariés est un mode de preuve illicite. En revanche, si ceux-ci sont avertis du fait que leurs conversations téléphoniques pourront être écoutées, ces écoutes constituent un mode de preuve valable pour fonder un licenciement. La mise en place d'un dispositif d'écoute ou d'enregistrement des conversations téléphoniques doit être préalablement déclarée à la Cnil.  
Pas de contrôle du téléphone des élus du personnel Les représentants du personnel doivent disposer d'une ligne téléphonique déconnectée de l'autocommutateur de l'entreprise. Pour accomplir leur mission et préserver la confidentialité qui s'y attache, les salariés investis d'un mandat électif ou syndical dans l'entreprise doivent disposer d'un matériel excluant l'interception de leurs communications téléphoniques et l'identification de leurs correspondants. Toute utilisation des informations issues de l'utilisation des services de téléphonie pour un contrôle des appels émis et reçus par les représentants dans le cadre de leur mandat est interdite. Le principe vaut pour tous les salariés protégés, tels que les administrateurs de l'Urssaf.