Selon la loi, où s'arrête le droit de votre employeur et où commence le vôtre ? Cette question, en fil rouge tout au long de votre parcours professionnel, trouve un écho totalement légitime quand on parle du contrôle de vos communications personnelles. D'un point de vue juridique, un arrêt de la Cour de cassation (10 février 2015) donne de nombreux droits à votre patron si vous utilisez votre ordinateur, votre tablette ou votre mobile professionnel durant vos heures de travail. Il en va de même pour la confidentialité d'un courrier électronique ou d'un SMS. Le point sur les droits de l'employeur, ses limites et les recours envisageables.

L'employeur peut-il contrôler les connexions Internet de ses salariés ?

Votre employeur peut avoir accès à vos connexions Internet. En effet, toutes les connexions que vous pouvez avoir sur votre lieu de travail, via l'utilisation du matériel informatique fourni par l'entreprise, sont supposées être d'ordre professionnel. Selon la loi, votre patron a donc un droit de regard qu'il peut employer ou non.

Le contrôle de l'activité des salariés en télétravail et au bureau n'interdit cependant pas totalement l'accès à Internet pour des raisons personnelles. Toutefois, certaines limites peuvent être fixées en interne, dans le contrat de travail ou via une charte informatique liée au règlement intérieur de l'entreprise.

La charte peut ainsi lister la définition de l'utilisation du matériel professionnel mais aussi certaines interdictions liées à l'usage du web :

L'employeur peut également avoir accès à l'historique de navigation du salarié et donc voir quels sites ont été consultés via le matériel de travail. Il peut aussi contrôler le temps de connexion sur chaque site.

Votre patron a également la possibilité d'installer un logiciel de filtrage sur votre ordinateur professionnel. Ce système lui permet d'interdire ou d'autoriser la connexion à certains sites. En revanche, la surveillance constante des activités - par exemple via un keylogger qui stocke tout ce qui est tapé sur les claviers – est, elle, interdite.  

Il est à noter que la Cour de cassation a reconnu le droit au respect de l'intimité du salarié pendant le temps de travail et sur le lieu de travail. L'usage d'Internet à des fins personnelles est donc généralement toléré, dans les limites du raisonnable.

L'employeur peut-il consulter vos mails professionnels ?

L'employeur a le droit de consulter vos courriers électroniques. Par définition, le contenu de votre adresse mail pro est logiquement considéré comme possédant un caractère professionnel. Un employeur peut donc y avoir accès.

Toutefois, il existe une exception pour les courriels clairement identifiés comme personnels, envoyés dans le cadre d'une correspondance privée. Ces messages doivent afficher la mention « Personnel » ou « Privé » - par exemple, dans l'objet du courriel - ou être classés dans un espace ou un dossier « Personnel ». Les propos contenus dans ces messages ne peuvent donc être lus.

D'un point de vue juridique, l'employeur doit alors respecter la vie privée du salarié et le secret de cette correspondance. La violation de ce secret constitue une infraction pénale.

Il est à noter que cette protection n'existe plus en cas d'enquête judiciaire concernant un employé, ou avec une autorisation délivrée par un juge.

L'employeur peut-il lire les SMS reçus sur un mobile professionnel ?

De la même manière que pour les courriers électroniques professionnels, l'employeur a le droit de consulter le contenu de tous les SMS et MMS reçus et envoyés depuis un mobile fourni par l'entreprise. Ils sont donc présumés avoir un caractère professionnel. Si les motifs sont légitimes, votre patron peut alors lire les échanges de messages, y compris en votre absence.

Là encore, en tant que salarié, vous pouvez mentionner clairement des SMS comme étant « personnels ». Dans ce cas, ils entrent dans le secret de la correspondance. Votre patron ne pourra pas les consulter ou devra vous demander l'autorisation s'il souhaite examiner l'intégralité du message.

Afin de conserver un contrôle maximal sur l'ensemble de vos communications, la méthode la plus simple reste d'utiliser votre mobile personnel dès qu'il s'agit d'un envoi privé.

Quels recours en cas d'abus de l'employeur ?

En cas de non-respect des données personnelles et du Règlement européen sur la protection des données (RGPD), il est possible de lancer des recours et procédures contre votre patron.

Plusieurs solutions s'offrent à vous en fonction de l'abus, sa nature et sa gravité. Vous pouvez donc saisir :

  • le service des plaintes de la CNIL (Commission nationale de l'informatique et des libertés), sur les modalités de mise en œuvre d'un dispositif de contrôle de l'activité ;
  • les services de l'inspection du Travail ;
  • le procureur de la République en cas d'infraction pénale avérée, comme la consultation de mails ou SMS privés.

Consultation et stockage des données personnelles

La bonne activité d'une entreprise implique le traitement de nombreuses données personnelles relatives aux clients et aux employés. Pour les collaborateurs, ces informations sont notamment utiles pour :

  • la gestion administrative : coordonnées du salarié et des personnes à prévenir en cas d'urgence, permis de conduire, etc.
  • la rémunération des employés : coordonnées bancaires ;
  • les déclarations sociales obligatoires : numéro de Sécurité sociale ;
  • l'organisation du travail : photographies facultatives des collaborateurs ;
  • la tenue du registre unique du personnel.

Il convient donc de ne demander et de ne stocker que les informations essentielles à la bonne tenue de l'activité de l'entreprise, tout en évitant les données sensibles : opinions politiques, religion, santé, etc.

Sécurité et confidentialité des données

L'employeur est donc tenu d'assurer la confidentialité et la sécurité des données, qu'elles concernent les collaborateurs ou même les clients. Seules les personnes habilitées doivent être en mesure de consulter ces informations. Et chacune des actions effectuées par ces personnes doivent être enregistrées.

Il peut être pertinent de mettre en place un Security Operations Center, ou SOC : une équipe chargée de la sécurité de l'information. Le SOC doit notamment détecter les incidents de cybersécurité et les régler.

Demande d'accès aux données

Enfin, les collaborateurs ont le droit de demander une copie de toutes les données les concernant et étant en possession de l'entreprise. Cela peut être :

  • des copies de bulletin de paie ;
  • l'état d'un compte épargne-temps ;
  • des enregistrements téléphoniques ;
  • les relevés des badgeuses ;
  • les messages envoyés via le mail professionnel.

Le rôle d'un dirigeant dans une entreprise en pleine croissance reste d'assurer un fonctionnement en bonne intelligence. La surveillance des employés – via les e-mails ou SMS professionnels – doit avant tout reposer sur des intérêts légitimes pour l'entreprise, tout en respectant leur vie privée. De même, la transparence doit être de mise concernant les dispositifs de contrôle et de surveillance mis en place, ainsi que leurs réels objectifs.