La délicate articulation du droit du travail, du respect de la vie privée et de la protection du patrimoine informationnel

Sur ce sujet maintes fois abordé par nos soins (pour une brève étude : http://www.lesechos.fr/28/09/2010/LesEchos/20772-082-ECH_proteger-les-secrets-de-l-entreprise-en-respectant-le-droit-du-travail.htm ), plusieurs décisions et analyses sont à souligner :

 

–          Les conclusions d’une filature d’un salarié démontrant une faute professionnelle effectuée pendant son temps de travail – et dans la mesure où elle ne porte pas atteinte à sa vie privée – quand bien même cette enquête ne serait pas connue du salarié, sont recevables au titre des preuves licites produites devant le Conseil de Prud’hommes. Dans un arrêt du 5 décembre 2014, la Chambre sociale de la Cour de cassation a ainsi  estimé que « le contrôle de l’activité d’un salarié, au temps et au lieu de travail, par un service interne à l’entreprise chargé de cette mission ne constitue pas, en soi, même en l’absence d’information préalable du salarié, un mode de preuve illicite » (Cass. soc., 5 nov. 2014, n°13.18427).

–          En revanche, conformément à la jurisprudence antérieure, tout système de contrôle instantané doit régulièrement être porté à la connaissance des salariés, mais aussi être dûment déclaré à la CNIL. Au cas d’espèce, cette dernière formalité faisait défaut et le contrôle de la messagerie d’un salarié qui en faisait un usage abusif à titre personnel n’a pu être reçu à  titre de preuve licite (Cass. soc., 8 oct. 2014, n°13-14991).

–          www.Cadremploi.fr  dresse un état complet sur la question, reprenant en partie nos analyses : http://www.cadremploi.fr/editorial/conseils/droit-du-travail/detail/article/mon-employeur-peut-il-fouiller-mon-bureau.html, http://www.cadremploi.fr/editorial/conseils/droit-du-travail/detail/article/cyber-surveillance-en-entreprise-quels-sont-vos-droits.html, http://www.cadremploi.fr/editorial/conseils/droit-du-travail/detail/article/badge-video-geolocalisation-les-nouveaux-espions-de-votre-employeur.html, http://www.cadremploi.fr/editorial/conseils/droit-du-travail/detail/article/salaries-etes-vous-sur-ecoute.html.

–          Le Figaro revient sur une enquête du PwC concluant que les entreprises sont majoritaires victimes de fraudes internes : http://www.lefigaro.fr/societes/2014/11/07/20005-20141107ARTFIG00007-la-majorite-des-fraudes-en-entreprise-est-commise-par-les-salaries.php

La discrétion du salarié post rupture du contrat de travail

Si la discrétion sur les tâches accomplies au sein de l’entreprise pendant l’exécution du contrat de travail est de rigueur (découlant des dispositions de l’article L. 1222-5 du Code du travail), elle n’est pas nécessairement de mise après la cessation du contrat.

 

Il faut que le contrat ait préalablement prévu cette obligation, à moins que la rupture conventionnelle ou la transaction ne l’intègre.

 

En l’espèce, le salarié avait travaillé au sein d’une entreprise pharmaceutique, qu’il avait ensuite quittée, avant de rédiger et soutenir une thèse deux ans plus tard.

Au motif que la thèse comportait des éléments collectés durant l’exécution de son contrat de travail, puis publiquement et postérieurement divulgués, l’ex-employeur a obtenu la condamnation de l’ex-salarié à retirer ses travaux universitaires de tous les supports ou canaux où ils circulent.

 

Source : Cass. soc., 12 fév. 2014, n°11-27899

 

Aux USA, une telle obligation de discrétion post-contractuelle est interprétée strictement, comme en témoigne cette affaire où la fille de l’ex-salarié ayant, à titre confidentiel, reçu une indemnité substantielle, l’a révélé sur les réseaux sociaux.

 

http://www.lefigaro.fr/emploi/2014/03/04/09005-20140304ARTFIG00018-le-message-facebook-qui-a-coute-80000-dollars-a-un-americain.php

Données personnelles vs activité professionnelle

Concernant cette problématique juridique, nous avons déjà eu l’occasion, à de nombreuses reprises, de faire état du droit applicable. http://www.lesechos.fr/28/09/2010/LesEchos/20772-82-ECH_proteger-les-secrets-de-l-entreprise-en-respectant-le-droit-du-travail.htm

En résumé, il est loisible d’affirmer que tout ce qui n’est pas formellement estampillé comme étant « PERSONNEL », est considéré comme professionnel par défaut, et peut donc être librement contrôlé sans l’autorisation du salarié concerné ; même s’agissant d’une clef USB connecté au poste de travail. http://demaisonrouge-avocat.com/2013/03/05/l%e2%80%99employeur-peut-acceder-a-la-clef-usb-du-salarie-si-elle-est-connectee/

 

Deux affaires furent encore récemment tranchées dans ce domaine :

 

Dans la première espèce, la Chambre sociale de la Cour de cassation a estimé que les e-mails provenant d’un compte de messagerie mis en place par l’employeur au profit du salarié étaient par nature professionnels. Ainsi en est-il, même si l’adresse ne comprend pas de manière distincte le nom de l’entreprise. En conséquence, l’employeur peut librement inspecter la messagerie hors la présence du salarié, sauf pour les e-mails estampillés PERSONNEL.

 

Dans la seconde espèce, et dans le prolongement de cette doctrine désormais bien affirmée, la même chambre élargit davantage le champ de présomption professionnelle, posant comme principe que les données importées sur l’ordinateur professionnel du salarié, depuis son compte de messagerie personnel (privé), sont également réputées professionnelles, sauf si elles sont expressément marquées comme étant personnelles.

 

Le principe qui demeure est donc le suivant : peu importe le moyen employé pour les transférer sur le poste de travail professionnel (clef USB, téléchargement par messagerie personnelle, …), toutes les données présentes sur l’ordinateur du salarié, appartenant à l’entreprise, sont réputées professionnelles pour peu qu’elles ne soient pas identifiées comme étant personnelles.

 

Cass. soc., 16 mai 2013, n°12-11866

Cass. soc., 19 juin 2013, n°12-12138

Intrusion informatique, si et seulement s’il y a protection

Nous avions précédemment rendu compte d’une décision rendu sous le visa de l’article 323-1 du Code pénal, réprimant le piratage informatique, celui-ci n’étant pas constitué dans la mesure où l’entreprise n’avait pas mis en place de mesure de sécurité efficientes pour protéger l’accès à son système d’information http://demaisonrouge-avocat.com/2013/07/04/libre-acces-meme-involontaire-nest-pas-intrusion-ni-vol/

 

Dans la même veine, un victime supposée ou prétendue de piratage informatique ne pourra pas faire valoir son préjudice si elle n’a pas pris les précautions nécessaires.

Dans cette affaire, un salarié avait transmis à un concurrent les données commerciales de l’employeur (fichier client / prospects).

Si le concurrent voit sa responsabilité être engagée pour avoir utilisé un fichier d’une entreprise rivale, sans s’être assuré au préalable des conditions d’obtention d’un tel bien informationnel, le tribunal retient néanmoins que l’employeur lésé a concouru à son propre préjudice en ne sécurisant pas suffisamment son réseau informatique, dans la mesure où il a été démontré que le salarié indélicat disposait d’un code d’accès qui servait à 3 autres personnes de l’entreprise.

 

TGI Paris, 4e ch., 3e section, 21 févr. 2013

 

A cet égard, nous avons toujours soutenu que la principale faille dans la perte et/ou la diffusion de secrets d’affaires était le facteur interne (salarié malveillant ou plus généralement par inadvertance non intentionnelle), davantage que l’intrusion externe (vol, espionnage, intrusion informatique). D’où les nécessaires efforts de sensibilisation et de formation auprès du personnel de l’entreprise pour faire admettre les enjeux d’une telle préoccupation légitime de l’outil de travail.

 

A lire sur ce même thème :

Un entretien sur le fléau que constitue la fuite de données stratégiques par des salariés quittant l’entreprise avec des fichiers confidentiels pour aller à la concurrence : http://www.atlantico.fr/decryptage/plus-dangereux-que-espionnage-industriel-que-peuvent-entreprises-francaises-face-aux-60-employes-qui-sont-partis-avec-donnees-co-800896.html

Résultat de l’enquête SYMANTEC affirmant que 60% des salariés qui ont quitté leur entreprise au cours des 12 derniers mois ont conservé des données confidentielles de leur ex-employeur http://www.symantec.com/fr/fr/about/news/release/article.jsp?prid=20130211_01

De la (nouvelle) confidentialité des IRP

La loi de sécurisation de l’emploi du 14 juin 2013 a introduit une obligation supplémentaire de communication de certains informations économiques stratégiques au profit des IRP (Institutions de représentation du personnel) par la création d’un registre dédié consultable par ces dernières (membres du CE, délégués du personnel, comité central d’entreprise, CHSCT, délégués syndicaux) .

 

Ce registre doit mentionner :

http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000027549181&cidTexte=LEGITEXT000006072050&dateTexte=20130618&oldAction=rechCodeArticle

 

1° Investissements : investissement social (emploi, évolution et répartition des contrats précaires, des stages et des emplois à temps partiel, formation professionnelle et conditions de travail), investissement matériel et immatériel et, pour les entreprises mentionnées au sixième alinéa de l’article L. 225-102-1 du code de commerce, les informations en matière environnementale présentées en application du cinquième alinéa du même article ;

2° Fonds propres et endettement ;

3° Ensemble des éléments de la rémunération des salariés et dirigeants ;

4° Activités sociales et culturelles ;

5° Rémunération des financeurs ;

6° Flux financiers à destination de l’entreprise, notamment aides publiques et crédits d’impôts ;

7° Sous-traitance ;

8° Le cas échéant, transferts commerciaux et financiers entre les entités du groupe.

 

Par extension, l’article L. 2325-5 du Code du travail http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000006902057&cidTexte=LEGITEXT000006072050&dateTexte=20130618&oldAction=rechCodeArticle renforce l’obligation de confidentialité des IRP.

 

Sur la base du texte antérieur, qui intègre depuis les délégués syndicaux, il avait à cet égard été jugé :

« la cour d’appel [ayant] constaté, d’une part, que le salarié, en sa qualité de membre du comité d’entreprise et dans le cadre des réunions de ce comité, notamment d’un comité extraordinaire, avait eu connaissance par l’employeur d’informations expressément présentées comme confidentielles, sous la forme d’une note, portant un tampon rouge indiquant sa confidentialité et une mention rappelant ce caractère confidentiel et que cette note ne pouvait « faire, à ce titre, l’objet d’une diffusion extérieure », et, d’autre part, qu’il est établi qu’en sa qualité de délégué syndical, ce même salarié a divulgué ces informations à la presse, de plus en les déformant, ce qui était de nature à nuire aux intérêts de l’entreprise ; qu’ayant ainsi caractérisé un manquement à l’obligation de discrétion préjudiciable aux intérêts de l’entreprise, elle a pu décider que la sanction de mise à pied prise par l’employeur, dans le cadre de l’exercice de son pouvoir disciplinaire, n’était pas entachée de nullité et qu’elle était justifiée ».

 

Cass. soc., 6 mars 2012, n°10-24.367

Clause prévoyant la rupture du contrat de travail en cas d’acquisition et changement de direction : un poison pill nécessaire à la protection du patrimoine informationnel

La Chambre sociale de la Cour de cassation (Cass. soc., 10 avril 2013, n°11-25841) a récemment validé un tel dispositif inséré dans le contrat de travail d’un homme-clef de l’entreprise.

 

Ce mécanisme permet ainsi de pouvoir intégrer une « pilule empoisonnée » (poison pill) en cas de rachat hostile d’un entreprise par un concurrent, en la vidant d’une partie de sa substance humaine (et financière du fait des indemnités à payer au salarié évincé) constituée d’ingénieurs, de chercheurs, cadres commerciaux … en possession de savoirs-faires déterminants. Au final, l’agresseur se prive de toute faculté de s’emparer du patrimoine informationnel de son rival.

Cette technique des poisons pills a longtemps prévalu dans les dispositifs préventifs d’OPA inamicales et peut désormais se trouver étendue à l’intelligence économique défensive.

 

Telle que validée par la Cour de cassation, pour remplir ses effets, une telle clause doit cependant répondre aux conditions suivantes :

  • Etre justifiée par les fonctions du salarié considéré ;
  • Ne pas faire échec à la faculté de résiliation unilatérale du contrat par l’une ou l’autre des parties (licenciement, démission).

L’employeur peut accéder à la clef USB du salarié, si elle est connectée

Nous avons déjà eu l’occasion d’exposer à maintes reprises les conditions juridiques qui autorisent un employeur à inspecter l’ordinateur de son salarié (http://lecercle.lesechos.fr/entreprises-marches/management/221131280/proteger-les-secrets-de-lentreprise-en-respectant-le-droit- ).

 

Il se trouve que la question s’est trouvée posée à la Chambre sociale de la Cour de cassation en d’autres termes : en l’espèce, l’employeur avait ouvert le contenu de la clef USB du salarié.

 

Suivant arrêt du 12 février 2013 (n°11-28649), il a été posé comme principe que l’employeur pouvait effectivement ouvrir la clef USB, dans la mesure où celle-ci est connectée à l’ordinateur du salarié (et toujours dans la mesure où les fichiers estampillés « personnel » ne sont pas visités).

 

S’agissant des faits de cette affaire, il a été retrouvé sur ce périphérique de nombreuses données confidentielles de l’entreprise, ainsi que des informations portant sur les autres salariés et les dirigeants de la société.

Surveillance des surveillants : BIG BROTHER is watching you

Dans une décision du 3 janvier 2013, la CNIL a sanctionné le titulaire d’un système de surveillance par vidéo jugé trop intrusif dans le contrôle des salariés.

http://www.cnil.fr/la-cnil/actualite/article/article/la-cnil-sanctionne-la-surveillance-permanente-de-salaries/

 

En l’espèce, le box des agents de sécurité d’un immeuble étaient sous « l’œil » permanent des caméras, ce qui portait atteinte à leur vie privée selon ces derniers.

 

La CNIL a effectivement estimé que ce procédé disproportionné « en ce qu’il ne participait pas à la protection des occupants de l’immeuble (…) témoignait en réalité de la volonté du responsable de traitement de contrôler le travail du personnel de surveillance ».

 

Petit rappel sur le droit applicable :

http://lecercle.lesechos.fr/entreprises-marches/management/221131280/proteger-les-secrets-de-lentreprise-en-respectant-le-droit-

Du bon usage de la mise à pied d’un salarié avant poursuites pénales et licenciement pour faute

Cette récente décision, globalement étrangère à l’IE, ne manque cependant pas de renvoyer et d’être associée à l’affaire Renault. En effet, l’employeur doit savoir comment combiner mise à pied, licenciement et plainte pénale pour les faits avérés.

 

Dans cette espèce, le salarié a été condamné par la juridiction pénale pour abus de confiance (détournement).

Il a néanmoins reproché à son employeur, devant le Conseil de prud’hommes, puis devant la juridiction du second degré, de l’avoir indûment mis à pied dès son interpellation, et ce jusqu’à la conclusion de l’enquête pénale, soit pendant 4 mois consécutifs, date à laquelle la procédure de licenciement a été initiée.

La chambre sociale de la Cour de cassation a estimé fondée la décision de l’employeur, et par conséquent valide la séquence de mise à pied avant licenciement. Elle estime en effet que, « lorsque les faits reprochés au salarié donnent lieu à l’exercice de poursuites pénales, l’employeur peut, sans engager immédiatement une procédure de licenciement, prendre une mesure de mise à pied conservatoire si les faits le justifient ».

 

Cass. soc. 4 déc. 2012, n°11-27508