Protection du patrimoine informationnel et respect du droit du travail

Nous avons déjà abondamment traité ce thème sous plusieurs facettes http://demaisonrouge-avocat.com/category/social/

 

Ce qui nous intéresse désormais est l’utilisation de moyens numériques destinés à contrôler les activités des salariés, dans le cadre de l’objectif de sécurité du patrimoine informationnel de l’entreprise.

 

Plusieurs décisions sont venues encadrer strictement ces procédés car ce que la technologie permet, ne vaut pas licéité juridique :

 

  • Un pointage biométrique (contrôle des empreintes digitales) est autorisé, sous certaines réserves, et notamment à condition que la technique employée ne soit pas destinée à servir exclusivement à surveiller les horaires de présence des salariés, indépendamment de l’impératif de sécurité de l’entreprise (CNIl 2018-009 du 6 septembre 2018) ;
  • Concernant l’exploitation des bases biométriques, la Cour de cassation a rappelé par ailleurs dans un arrêt du 17 octobre 2018 que seules les personnes habilitées pouvaient les consulter compte tenu du niveau de sensibilité de telles données.

 

  • En matière de géolocalisation, qui se trouve de plus en plus répandue, la Cour de cassation a, là encore, limité la portée d’une autorisation car, si la cour d’appel avait estimé que le procédé était légitime eu égard aux activités de l’entreprise (services de délivrance de colis postaux), la juridiction suprême a estimé qu’il fallait peser avec le principe de proportionnalité ce qui en l’espèce devait être mis en équilibre avec le degré de liberté dont dispose le salarié dans l’organisation de son travail (Cass. Soc, 19 déc. 2018).

 

  • Enfin, bien que cela s’éloigne de l’emploi de procédés techniques, il a été retenu que des témoignages anonymes de collègues ne pouvaient justifier un licenciement pour motifs personnels (Cass. Soc, 4 juillet 2018, n°17-18241).

 

 

Le lanceur d’alerte dans tous ses états

Tel est le titre du rapport d’étude auquel nous avons contribué pour l’Institut Messine : http://institutmessine.fr/wp-content/uploads/2018/11/2018-Novembre-Institut-Messine-Rapport-Le-lanceur-dalerte-dans-tous-ses-états-Guide-pratique-et-théorique-compressé.pdf

 

Dans le prolongement de ce travail nous avons été amené à répondre à welcome to the jungle : https://www.welcometothejungle.co/articles/lanceurs-alerte-risque-denoncer-entreprise

 

Par ailleurs, il convient de relever que si la France a adopté un statut protecteur pour les lanceurs d’alerte, une initiative européenne est désormais à l’œuvre http://europa.eu/rapid/press-release_IP-18-3441_fr.htm

Protection du patrimoine informationnel de l’entreprise et usage des réseaux sociaux par les salariés

Il existe déjà un faisceau de jurisprudences mettant en évidence les risques et sanctions éventuelles en matière d’expression électronique. Nous avions déjà recensé plusieurs décisions en ce sens : http://demaisonrouge-avocat.com/2016/02/09/les-salaries-et-la-securite-des-secrets-de-lentreprise/

 

Si le droit applicable paraît stable, ce n’est que le support qui varie.

 

Ainsi, dans cette première affaire, un syndicaliste de la RATP s’est vu sanctionné pour avoir diffusé sur WhatsApp un propos injurieux envers sa direction. Celle-ci était réputée privée, mais néanmoins ouverte à une centaines de membre du groupe concerné. En effet, la Justice qu’à partir d’un certain nombre de destinataires, l’injure devient publique.

 

Tel n’est pas le cas dans cette seconde espèce où précisément, s’agissant d’un groupe restreint sur Facebook, la conservation a conservé son caractère privé https://www.legalis.net/jurisprudences/cour-de-cassation-ch-sociale-arret-du-12-septembre-2018/

 

Enfin, dans une dernière décision rendue par le Conseil d’Etat, en date du 27 juin 2018, une sanction disciplinaire visant un officier de gendarmerie, qui publiait sur Internet, sous pseudonyme, des messages critiquant les autorités publiques a été validée en ce que, même s’il n’était pas identifiable du grand public, en usant de sa qualité d’ayant élève de Saint Cyr et de l’EOGN, et après injonction, il a poursuivi ses publications, ce faisant il a violé son obligation de réserve :

https://www.legifrance.gouv.fr/affichJuriAdmin.do?oldAction=rechJuriAdmin&idTexte=CETATEXT000037134667&fastReqId=130037027&fastPos=1

 

 

Géolocalisation et techniques numériques de surveillances des salariés

Devant l’évolution manifeste des technologies intrusives permettant de contrôler les activités des salariés, plusieurs décisions sont venues encadrer la pratique qui tend à s’accroître actuellement.

 

Ainsi, les juges et la CNIL se penchent sur la stricte finalité des moyens employés afin de limiter l’emprise de l’employeur sur la vie privée du salarié au travail.

 

Ainsi, la CNIL s’était opposée à un système de géolocalisation servant la contrôler le temps de travail. Saisi d’un recours, le Conseil d’Etat a estimé que « l’utilisation par un employeur d’un système de géolocalisation pour assurer le contrôle de la durée du travail de ses salariés n’est licite que lorsque ce contôle ne peut pas être fait par un autre moyen fut-il moins efficace » (CE 15 décembre 2017).

 

En revanche, si un employeur fait le choix de mettre en place un système de géolocalisation – qui peut s’avérer licite dans les limites fixées par la CNIL, il n’y a pas d’interdiction de principe pour autant – un salarié ne peut en prendre prétexte pour justifier d’une prise d’acte de rupture de son contrat de travail (CA Rennes, 20 décembre 2017).

 

 

S’agissant de la jurisprudence Facebook, déjà bien nourrie, sur la possibilité pour l’employeur d’utiliser le réseau social à des fins de preuve, deux décisions a priori contradictoires ont été rendues successivement :

Dans le premier cas, l’employeur voulait rapporter qu’une salariée avait une activité soutenue, attestée par celle relevée sur son compte Facebook, alors qu’elle était en arrêt maladie. La juridiction a toutefois écarté ce moyen de preuve, estimant que l’employeur avait violé son intimité en produisant cette pièce et ce dès lors que le compte était en accès restreint (cela est conforme aux appréciations précédentes en la matière).

Dans la seconde espèce, une salariée avait laissé ouvert pendant une absence – volontairement selon les juges –sa session Facebook sur son poste de travail au sein de l’entreprise, présent dans un open space, et il était mentionné des messages insultants envers son employeur et ses collègues, justifiant d’un licenciement pour faute. En l’occurrence, selon les juges d’appel, la publication n’était plus privée (CA Toulouse 2 février 2018).

 

S’agissant de Facebook, en dépit de conditions générales donnant compétence à des juridictions étrangères, il a encore été rappelé que la loi applicable et le tribunal compétent devait être celui de l’utilisateur qui agit en demande (CJUE 25 janvier 2018).

 

Si la protection de la vie privée prévaut en droit social, il se retrouve également en matière fiscale. Ainsi, le gouvernement vient d’énoncer que le drone ne pouvait être employé aux fins « d’espionnage fiscal » http://www.lemonde.fr/la-foire-du-drone/article/2018/01/16/les-drones-interdits-d-espionnage-fiscal_5242465_5037916.html

 

 

Le salarié, entre protection du secret et loyauté de la preuve

Détenteur – parfois malgré lui – d’informations confidentielles de l’entreprise, le salarié est un engrenage souvent déterminant de la préservation du patrimoine informationnel secret, quand il n’est pas lui-même acteur.

 

Soupçonné d’avoir frauduleusement transféré des données sensibles, un salarié avait refusé de remettre spontanément une clé USB à son employeur, à première demande de ce dernier. Le chef d’entreprise a donc pris la décision de licencier son employé pour faute grave. Or, celui-ci, s’il n’avait pas remis sur l’instant la clé litigieuse susceptible de contenir des informations confidentielles indûment extraites du serveur de l’entreprise, a néanmoins obtempéré par la remise du support querellé au bout d’un quart d’heure, par un représentant du personnel (sur fond de harcèlement moral).

Pour la Cour de cassation, dans de telles circonstances, le licenciement pour faute grave n’était pas justifié https://www.legalis.net/jurisprudences/cour-de-cassation-civile-ch-sociale-arret-du-5-juillet-2017/

 

Cass. Soc., 5 juillet 2017

 

De même, afin de faire la preuve des agissements contraires aux règles de sécurité par un salarié, un employeur avait mandaté des agents assermentés qui avaient suivi le subordonné. Il en a été tenu dans l’ignorance et les conclusions de cette mesure n’ont pas été portées à sa connaissance, bien qu’ayant servi de base à son licenciement.

La chambre sociale de la Cour de cassation, fidèle à sa doctrine, avait estimé que le procédé était déloyal et de fait, la preuve n’était pas constituée.

 

Cass. Soc., 18 octobre 2017, n°16-16.462

 

Par ailleurs, pour certains métiers sensibles (transport de fonds, gardiennage des zones aéroportuaires, …) les employeurs sont en droit, en vertu du Code de la sécurité intérieure, de pratiquer des enquêtes avant embauche. En outre, l’administration doit préalablement émettre une autorisation ou agrément d’embauche confiées à des services spéciaux de police administrative. Modifié par la loi n°2017-1510 du 30 octobre 2017, il est désormais possible de pratiquer une enquête post embauche si le salarié révèle des modifications apparentes de comportement, outre une affectation à un poste moins sensible.

 

 

Du régime juridique des divulgations internes et du lanceur d’alerte

La loi Sapin 2 du 9 décembre 2016 a institué un statut unifié du lanceur d’alerte, créant une garantie citoyenne au sein de l’entreprise, autant qu’un risque de dénonciation inappropriée voire calomnieuse. En la matière, le discernement et la pédagogie doivent amener à une meilleure efficacité du dispositif d’alerte interne.

 

 

Sur ce statut, l’affaire Luxleaks a connu un retournement car Antoine Deltour, qui avait été dans un premier temps condamné pour révélation d’informations confidentielles, s’est vu in fine reconnaître la protection ad hoc en qualité de lanceur d’alerte par la Cour de cassation luxembourgeoise, le 11 janvier 2018 http://www.lepoint.fr/justice/luxleaks-la-cour-de-cassation-annule-la-condamnation-du-lanceur-d-alerte-antoine-deltour-11-01-2018-2185601_2386.php

 

En revanche, pour avoir divulgué les montants de rémunération des salariés d’une entreprise, un responsable administratif a vu son licenciement pour faute grave validé en raison de la révélation d’informations confidentielles.

 

Cass. Soc., 22 novembre 2017, n°16-24.069

Du contrôle des marchandises dangereuses … et de son chauffeur

Pour des motifs de sécurité publique, en raison de la nature des marchandises dites dangereuses, et eu égard au comportement anormal d’un chauffeur qualifié pour le transport de ce type de matière, le nouvel article L. 114-2 du Code de la sécurité intérieure autorise désormais les employeurs à mettre à pied et à licencier un salarié dont les agissements sont incompatibles avec les activités sensibles https://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000034114663&cidTexte=LEGITEXT000025503132&dateTexte=20170331&oldAction=rechCodeArticle&fastReqId=1234963854&nbResultRech=1

 

Lanceur d’alerte, un statut en questions

Désormais largement installé dans le droit positif français, ce statut nourrit encore de nombreux débats car là où certains voient dans cette pratique une garantie éthique, d’autres l’utilisent pour son effet protecteur, sans pour autant en revêtir les vertus.

 

Tel a été le cas dans cette affaire où un administrateur de réseaux informatiques d’une entreprise industrielle avait parcouru des messageries de dirigeants, à leur insu, et avait signalé à l’Inspection du travail des licenciements en prévision. Poursuivi pour violation du secret de la correspondance et maintien dans un système automatisé de traitement de données, il invoquait l’irresponsabilité pénale en raison de la nature des dénonciations effectuées, relevant selon lui du régime de l’alerte prévue par l’article L. 1132-3 du Code du travail. La Cour d’appel de Chambéry, dans un arrêt du 16 novembre 2016, a refusé de lui conférer une telle protection, ne pouvant justifier d’un crime ou d’un délit commis par la direction. Il a au contraire violé le secret auquel il était astreint https://www.legalis.net/jurisprudences/cour-dappel-de-chambery-arret-du-16-novembre-2016/

 

La loi Sapin 2, dans son volet relatif à la lutte contre la corruption (article 6), a renforcé cette protection dans des conditions bien définies http://www.les-infostrateges.com/actu/16122296/le-nouveau-regime-juridique-des-lanceurs-d-alerte

 

A lire ici notre analyse en regard du secret des affaires (pp. 53-54) : http://www.avocats-conseils.org/e-revue-ace-138/

Préoccupations autour de la pratique religieuse en entreprise

Corolaire des inquiétudes liées aux évènements affectant désormais la France, dans son intégrité et son identité, et  après certaines révélations http://www.bfmtv.com/societe/radicalisation-d-inquietants-incidents-a-air-france-1044537.html plusieurs études juridiques se penchent sur cette question sensible.

 

Outre la position officielle de l’Administration à cet égard https://www.service-public.fr/particuliers/vosdroits/F20367 , relevons celle pertinente d’un juriste, qui s’achève sur une conclusion encore provisoire : http://business.lesechos.fr/directions-juridiques/droit-des-affaires/contentieux/0211380546069-pratiques-religieuses-en-entreprise-301013.php

 

Le colloque annuel du Club des Directeurs de Sécurité et de Sûreté des Entreprises (CDSE) réunira cette année ses adhérents sur ce même thème https://www.cdse.fr/colloque-annuel-2016-du-cdse-les

Les salariés et la sécurité des secrets de l’entreprise

Sur ce sujet que nous avons maintes fois traité, la jurisprudence s’affirme chaque jour un peu plus.

 

Ainsi, c’est au niveau européen, qu’il a été reconnu à l’employeur un droit de surveillance sur les messageries utilisées par les salariés sur le lieu de travail. La CEDH a cependant estimé que ce contrôle devait rester raisonnable. Ce droit de regard doit être exclusivement mis en œuvre sur des supports à usage professionnel, laissés à disposition du salarié, et sur une boîte de messagerie professionnelle, excluant toute correspondance échangée sur des supports et messageries privés.

 

CEDH, 12 janv. 2016, n°61496/08

 

 

S’agissant également de la relation employeur / salarié, les Echos ont révélé que les syndicats de France Télévisions allaient saisir la juridiction sociale pour se faire communiquer les fiches établies en interne, destinées à noter les salariés. L’existence des fiches secrètes avait été initialement mise au grand jour par FO. La direction les auraient supprimées, ce qui ne semble pas avoir convaincu les intéressés, estimant en outre qu’il s’agit d’une soustraction de preuve d’un agissement condamnable http://www.lesechos.fr/tech-medias/medias/021618018939-des-salaries-attaquent-france-televisions-pour-avoir-acces-a-leur-fiche-secrete-1192293.php

 

 

Enfin, pour revenir à la protection des informations sensibles des entreprises, une enquête a récemment démontré que les salariés utilisateurs du cloud de leur société étaient à l’origine de nombreux incidents de sécurité, par imprudence http://www.cio-online.com/actualites/lire-les-imprudences-des-collaborateurs-avec-les-services-cloud-creent-des-incidents-de-securite-8021.html