Réflexion sur l’abus de l’utilisation des systèmes informatiques
L’utilisation étendue de systèmes informatiques alliant les moyens matériels comme les ordinateurs, les imprimantes et les scanners ou encore les accès internet sur les lieux de travail, fournis par l’employeur à ses salariés, conduit dans la majorité des cas à des utilisations de ces moyens à des fins personnelles. Le sujet serait anodin si cette utilisation n’intervenait pas sur les lieux du travail, en rapport avec les heures travaillées, voire en-dehors des heures de travail mais susceptible de nuire au système d’information de l’entreprise, les serveurs ayant de plus en plus tendance à être virtuels et la notion de présence au travail rendue encore plus immatérielle par l’utilisation d’outils de travail informatiques en déplacement ou au domicile du salarié.
Respect des règles d’utilisation dans le contexte de la relation de travail
Selon l’environnement du travail dont il est question, l’employeur peut tolérer l’utilisation, par l’employé, à titre personnel, de technologies de l’information et de la communication, en respectant notamment le caractère privé des informations produites, échangées ou stockées par le salarié, ce dernier veillant à ne pas nuire au système d’information et à ne pas se trouver dans une situation d’abus d’utilisation. Même si l’employeur peut tolérer que le salarié utilise à des fins personnelles les équipements informatiques mis à sa disposition dans un contexte professionnel, pour un usage professionnel, la tolérance ouvre une brèche, faisant que ledit usage n’est plus aussi exclusif. Pour éviter tout dépassement, l’employeur a tout intérêt à exercer le contrôle de cette utilisation.
Les arbitrages pour l’exercice de ce contrôle ne sont pas faciles à établir, d’une part parce qu’ils reposent souvent sur des appréciations subjectives, mais également parce que l’environnement algérien n’est pas au niveau de ce que le développement de la technologie requiert comme réglementation appropriée en la matière. En-dehors de la loi sur la cybercriminalité, les dispositifs spécifiques au contexte de la relation de travail ne sont pas définis.
En l’absence d’une loi sur l’informatique, les fichiers et les libertés, la protection des données personnelles des salariés reste un sujet sensible sans pour autant que l’absence d’une telle loi n’empêche l’employeur de fixer les règles, à faire connaître à l’employé, pour définir ce qui est admis et ce que l’employeur prend comme mesures pour éviter les situations d’abus et leurs conséquences. C’est ainsi qu’un règlement intérieur peut préciser les faits qualifiants de fautes graves en cas de dommages causés à l’intégrité des bases de données de l’employeur ou encore en cas de preuves de connexion à des sites Internet contraires à l’ordre public, aux bonnes mœurs ou délictuels, y compris les téléchargements de fichiers de même nature.
Dans le même esprit et pour éviter toute ambiguïté, l’employeur gagne à concevoir et à diffuser une charte informatique dans laquelle il définit la responsabilité de l’employé sur l’usage des ressources informatiques auxquelles il a accès, les règles de sécurité et les règles d’utilisation des matériels et des accès à Internet. En règle générale, la définition de ce qui est permis et des limites imposées au personnel doit permettre de situer, de façon claire, les points d’équilibre entre la vie privée du salarié et sa vie professionnelle, voire publique.
La mise à disposition de moyens informatiques doit être encadrée
Au-delà des interdictions à définir au sein de la charte informatique voire au règlement intérieur, certains employeurs mettent en place des outils de contrôle de la messagerie, notamment pour la détection de virus et pour l’interdiction d’accès à des sites non autorisés. En l’absence de réglementation sur la protection des données personnelles, il est toujours recommandé que le salarié soit informé de l’existence de tels outils. Si en Algérie il ne s’agit pas d’une obligation, les pays qui ont mis en place une telle réglementation imposent aux employeurs d’informer les salariés de l’existence de dispositifs permettant la collecte d’informations les concernant personnellement, ou de déclarer à des commissions nationales, établies dans le cadre de ces réglementations, le traitement automatisé de données personnelles.
En France, à titre d’exemple, l’employé doit avoir été informé au préalable quant à la mise en place de «traceurs» ainsi que sur la durée de conservation des données de connexion. Quant à l’employeur, il doit avoir informé et consulté le comité d’entreprise et avoir déposé une déclaration préalable auprès de la Commission nationale de l’informatique et des libertés (CNIL), sauf si un correspondant informatique et libertés a été désigné, auquel cas la déclaration auprès de la CNIL n’est pas nécessaire.
L’encadrement est vital pour se préserver des menaces sur l’intégrité des données
Au-delà du sujet du respect des données personnelles du salarié, l’utilisation de technologies de l’information et de la communication impose à l’employeur d’avoir des procédures appropriées qui justifient la séparation entre ce qui doit être considéré comme personnel au salarié et ce qui est professionnel. Les protocoles définis dans les chartes informatiques gagnent à rappeler que l’employeur ne devrait pas avoir de limitations dans l’accès à tous types de données, qu’il s’agisse de fichiers ou de connexions Internet du salarié tant qu’ils sont de nature professionnelle, sans avoir à formaliser l’accord du salarié. Cette liberté d’accès est forcément restreinte pour les données personnelles pour autant qu’elles soient clairement identifiées en tant que tel par le salarié. Il doit en être de même pour les messages personnels adressés à partir d’un ordinateur professionnel. Quant aux connexions Internet, elles sont présumées avoir un caractère professionnel de sorte que l’employeur peut les rechercher aux fins de les identifier, même en-dehors de la présence du salarié. C’est notamment ce que la jurisprudence établit sous des juridictions hors de nos frontières.
De l’utilisation de l’Internet à titre personnel par le salarié
En pratique, c’est souvent l’employeur qui apporte la preuve des fichiers de nature personnelle, stockés en quantité importante sur tout support de sauvegarde, caractérisant un usage abusif pouvant affecter le travail confié au salarié ou de nature contraire à l’ordre public ou aux bonnes mœurs. Il peut en être de même pour des échanges de courriers électroniques (mails) portant atteinte aux personnes, constitutifs de diffamation ou divulguant des informations confidentielles. Au plan de la preuve, le dispositif législatif algérien a l’avantage d’avoir admis l’écrit sous forme électronique au sein de son code civil en tant que preuve pour autant que son intégrité soit préservée et que son auteur soit clairement identifié. Par ailleurs, les dispositions du code pénal relatives aux atteintes aux systèmes de traitement automatisé de données sont dissuasives quant aux actions frauduleuses et gagneraient à être connues tant des salariés que des employeurs.
Samir Hadj-Ali : expert Comptable