Agence du Numérique (ex - Agence Wallonne des Télécommunications / AWT), la plateforme ICT de la Wallonie

vendredi 30 septembre 2016

Encadrer l'usage de l'e-mail dans l'entreprise

Responsabilité civile des e-mails sortants, mauvais usage technique ou usage non-professionnel excessif de la messagerie électronique: autant de raisons qui incitent les entreprises à encadrer l'usage du courrier électronique. Mais pas n'importe comment!
Twitter Facebook Delicious
Mis à jour le 16/05/2008 | Imprimer | Envoyer

Peut-on lire des e-mails qui ne nous sont pas destinés?

En règle générale, prendre connaissance du contenu d'un tel message est strictement interdit, à l'instar d'une communication téléphonique. Consulter les e-mails d'un collègue à son insu est donc illégal, de même qu'un service informatique ne peut programmer sur le serveur de messagerie une copie des e-mails entrants sur une autre boîte aux lettres (vers par exemple une personne d'un autre service) sans l'accord du destinataire des messages.

Bien évidemment, l'interception du contenu étant interdit, un tiers ne pourra pas valablement se servir en justice d'un tel document, sauf s'il l'a obtenu en bonne et due forme d'une des parties et qu'il ait le consentement de l'autre partie (sauf si l'e-mail n'a aucun caractère confidentiel).

Deux points de vue doivent être abordés: celui de l'employeur et celui des autorités policières.

L'employeur

Une convention collective de travail (n°81) a été conclue en 2002 en Belgique afin d'établir un équilibre entre le principe de protection de la vie privée et le souci légitime de l'employeur de s'assurer de la bonne productivité de ses travailleurs et d'éviter de voir sa responsabilité engagée par leurs e-mails. Cette convention confirme que l'employeur détermine librement les modalités d'accès à la messagerie électronique.

La convention collective légitime la possibilité d'effectuer en toute légalité une surveillance, y compris de l'usage privé, dès lors que plusieurs conditions sont effectivement remplies:

  • condition 1 (principe de finalité): la surveillance doit poursuivre l'une des 4 finalités suivantes:
    1. la prévention de faits illicites, diffamatoires, contraires aux bonnes moeurs ou susceptibles de porter atteinte à la dignité d'autrui;
    2. la protection des intérêts économiques, commerciaux et financiers de l'entreprise auxquels est attaché un caractère de confidentialité ainsi que la lutte contre les pratiques contraires;
    3. la sécurité et le bon fonctionnement de systèmes informatiques en réseau (par exemple éviter la surcharge des disques durs du serveur);
    4. le respect du règlement interne d'utilisation (qui peuvent par exemple interdire l'envoi de fichiers vidéos);
  • condition 2 (principe de transparence): aucune surveillance secrète n'est autorisée. Les travailleurs doivent avoir été préalablement avertis de l'existence et des modalités de cette surveillance. Cette information doit être dirigée d'abord vers le conseil d'entreprise, à défaut vers le comité de prévention et de protection, à défaut vers la délégation syndicale; puis vers l'ensemble des travailleurs (par affichage, circulaires, consignes à l'allumage de l'ordinateur, règlement de travail, etc.). A noter qu'une concertation sociale n'est pas imposée par la convention collective, mais celle-ci peut l'être par des dispositions sectorielles ou internes. L'information doit toutefois être obligatoirement double: collective et individuelle. Elle doit préciser la politique et la finalité poursuivies, le fait ou non que les données personnelles soient conservées, le lieu et la durée de conservation, le caractère permanent ou non de la surveillance, l'éventuel règlement interne d'utilisation, ainsi que les sanctions possibles en cas de manquement;
  • condition 3 (principe de proportionnalité): le contrôle doit être adéquat et pertinent. Il ne peut être excessif au regard de la ou les finalités qu'il poursuit. Ne peuvent être collectées que les données nécessaires au contrôle. L'ingérence dans la vie privée du travailleur doit être réduite au minimum.

Le traitement d'informations (statistiques d'utilisation ou contenus échangés) rattachées à une personne ou à un poste n'est toutefois pas autorisé dans un premier temps. Suivant la logique du principe de proportionnalité, ce n'est qu'en cas d'anomalie constatée que l'employeur pourra dépasser le stade des données anonymes et identifier les employés à l'origine de ces irrégularités. Il pourra identifier directement l'employé s'il poursuit l'une des trois premières finalités évoquées ci-dessus. Par contre, si la finalité poursuivie est le respect du règlement, il devra d'abord avertir l'ensemble du personnel du constat d'une irrégularité et signaler qu'un contrôle individualisé pourra être effectué si l'anomalie réapparaît. Ce n'est qu'en cas de récidive malgré qu'il ait tiré la sonnette d'alarme de manière collective que l'employeur pourra repérer l'individu responsable et l'interpeller.

En entreprise, il est vivement recommandé d'effectuer une surveillance au moins en rapport avec la finalité 3 (sécurité et bon fonctionnement des systèmes informatiques). A cette fin, l'employeur peut se contenter de mesurer statistiquement l'usage fait globalement de l'outil de messagerie électronique, surveillance qui est peu intrusive et donc très facilement acceptée. Il peut aussi installer des systèmes qui filtrent automatiquement les e-mails entrants en fonction de l'expéditeur pour éliminer le spam, et qui isolent des fichiers de taille excessive.

Par contre, la poursuite des autres finalités implique souvent dans la pratique, sur base d'un indice de fait illicite (par exemple d'une plainte émise par un destinataire), de prendre connaissance du contenu des e-mails. Cet aspect n'est toutefois pas abordé dans la convention collective. Il n'existe donc aucune disposition autorisant un employeur à lire le contenu des e-mails. Cet acte reste interdit. Toutefois, cela peut être admis dans un état de nécessité critique, où le fait de ne pas prendre connaissance du contenu du message entraîne des conséquences plus néfastes que la violation de la vie privée. La plus grande prudence s'impose donc. La consultation d'un juriste n'est pas superflue. Si les circonstances le permettent et en l'absence de risque de disparition de preuves, il est bien entendu préférable que cette lecture puisse se faire avec l'accord du travailleur.

Il faut distinguer l'interception de l'e-mail (à l'entrée ou à la sortie du serveur de messagerie) de la lecture de l'e-mail sur le lieu de stockage en entreprise (disque dur du serveur / du PC):

  • interception lors de la transmission: légalement strictement interdite, même pour les e-mails professionnels, sauf si accord préalable de l'expéditeur et du destinataire (en pratique difficilement applicable). En cas de soupçon d'activités illégales (par exemple la participation à un réseau de diffusion d'images pédophiles), il est préférable de faire appel aux autorités judiciaires pour effectuer de telles interceptions;
  • lecture sur le disque dur: l'employeur peut prendre connaissance des e-mails qui ont un caractère professionnel indubitable (par exemple sur base de l'origine et de l'objet du message), non contesté par le travailleur. Il ne peut lire à l'insu du travailleur les autres e-mails, et a fortiori ceux clairement identifiables comme "privés", sauf dans l'état de nécessité critique décrit ci-dessus.

 

Cas spécifique de la messagerie instantanée: il est généralement considéré que les messages échangés de la sorte ont toujours un caractère privé.

Pratiquement, afin de faciliter le contrôle, il est recommandé de préciser aux travailleurs comment ils doivent présenter et archiver les e-mails privés. Ainsi tout autre e-mail pourra être examiné librement par l'employeur, y compris si nécessaire au niveau du contenu.

De plus, il y a lieu de savoir si les normes de cette convention collective n'ont pas été affinées par les représentants sociaux du secteur d'activité de l'entreprise.

Par ailleurs, cette convention ne s'applique qu'au secteur privé. Au niveau du secteur public, un certain flou subsiste quant à la nécessité de respecter ces principes. Deux positions peuvent être retenues:

  • la première consiste à se référer à la convention collective,
  • la seconde donne la priorité à la responsabilité de l'administration. Elle considère que les e-mails entrants doivent suivre le même traitement que tout document arrivant à l'administration et peuvent donc être répertoriés par l'Autorité dans un "indicateur" (sur base en principe de la simple lecture de l'objet du message, la lecture du contenu n'étant nécessaire que si l'objet n'est clairement pas privé, mais pas suffisamment clair pour être indicaté correctement), et même être réorientés vers un autre agent que le destinataire sans que l'accord préalable de celui-ci ne soit requis. Aussi une bonne pratique consiste à préconiser une identification claire sur l'objet des messages des échanges privés, ce qui permet de répertorier systématiquement tous les autres e-mails.

Selon la gravité des faits, l'employeur pourra:

  • soit appliquer des sanctions disciplinaires prévues dans le règlement de travail,
  • soit licencier, avec ou sans préavis, le travailleur responsable,
  • soit encore le poursuivre en justice.

Avant d'être sanctionné dans le cas d'un non-respect du règlement (4e finalité), le travailleur devra être invité à un entretien préalable afin de pouvoir s'expliquer. Il pourra être assisté d'un délégué syndical ou d'un avocat. Par contre pour les 3 autres finalités, un entretien préalable du travailleur concerné n'est pas obligatoire avant de prononcer une sanction. Toutefois cette démarche est conseillée car elle sera appréciée par un tribunal de travail lors d'une procédure de recours.

Il faut également attirer l'attention sur la facilité de falsifier une adresse sur le réseau Internet ou d'usurper une identité, ou encore d'utiliser le poste de travail de quelqu'un pendant une pause. L'employeur doit donc s'assurer d'identifier le réel responsable. Il est notamment recommandé d'appliquer dans sa société une politique stricte d'utilisation de mots de passe individuels.

De nombreuses solutions techniques de surveillance existent sur le marché. Certaines solutions développées à l'étranger, mais disponibles couramment en Belgique, ne prévoient pas deux niveaux d'analyse (global, puis individualisé, boîte par boîte), voire examinent systématiquement le contenu des e-mails, et ne permettent donc pas de respecter le cadre réglementaire belge.

En cas de non respect de ces différentes procédures (par exemple une surveillance sans avoir averti préalablement les employés), l'employeur risque, outre des poursuites, de ne pas pouvoir utiliser juridiquement parlant la preuve récoltée, et donc, de devoir par exemple payer une indemnité de rupture en cas de contestation d'un licenciement pour faute grave.

Il est important d'y être attentif vu l'augmentation de litiges en la matière.

Cette convention collective s'applique aussi de la même manière en ce qui concerne la consultation d'Internet.

Une utilisation accessoire à titre privé sur le lieu de travail ne peut être interdite si le travailleur a le droit d'utiliser Internet dans le cadre de son activité professionnelle. La surveillance est aussi possible moyennant le respect des 3 principes repris ci-dessus.

De même 2 stades doivent être respectés:

  • une analyse statistique globale (permettant par exemple de repérer les sites Internet les plus consultés par le personnel),
  • une analyse sur un poste déterminé ne pouvant se faire que dans un second stade (cf explications ci-dessus).

Une bonne pratique consiste à publier régulièrement aux valves la liste des 20 sites les plus consultés globalement, ce qui incite naturellement à une modération de l'usage non professionnel d'Internet.

Les autorités policières

Elles ne peuvent prendre connaissance du contenu d'une boîte aux lettres électronique que sur base d'une ordonnance d'un juge d'instruction.

Elles peuvent aussi saisir le disque dur, à condition de présenter un mandat de perquisition. Si cette saisie risque d'engendrer un préjudice démesuré pour l'entreprise, celle-ci peut proposer que les enquêteurs ne procèdent qu'à une copie du disque dur, ou encore à un cryptage de celui-ci de manière à maintenir l'intégrité des preuves récoltées.

Pour en savoir plus

  • Arrêté royal du 12 juin 2002 (cyber-surveillance) (.PDF 117 k)
    Arrêté royal rendant obligatoire la convention collective de travail n° 81 du 26 avril 2002, conclue au sein du Conseil national du Travail, relative à la protection de la vie privée des travailleurs à l'égard du contrôle des données de communication électroniques en réseau
    http://www.awt.be/contenu/tel/sec/arr_roy_cybersurveillance.pdf
Portail de la Région wallonne