Prévenir la fraude informatique interne : comment agir légalement ?

1. Organiser - Au titre de son pouvoir de direction et de commandement, le chef d’entreprise a le choix des moyens techniques, humains et organisationnels nécessaires à l’activité de l’entreprise (définition des prestataires, des outils, de l’administrateur, du correspondant informatique et libertés (CIL),  etc.). L’employeur est également appelé à organiser une veille technologique, à évaluer régulièrement l’efficacité de ses procédures internes à partir de retour d’expérience (traçabilité et suivi des incidents), et peut décider de faire évoluer les systèmes et les obligations des salariés en conséquence. Des mesures d’urgence peuvent en outre être imposées pour faire face aux situations de crise, et intégrées le cas échéant dans le plan de continuité de l’activité (PCA).  

2. Encadrer   - Au plan individuel, le salarié est légalement tenu d’une obligation de loyauté vis-à-vis de l’employeur. Dans ce prolongement, il est essentiel d’intégrer dans le contrat une clause générale de confidentialité, qui pourra notamment s’appliquer aux données touchant l’informatique. Au plan collectif, la mise en place de notes de services, ou mieux, d’une charte informatique est particulièrement recommandée. Ce document permet d’intégrer les règles d’utilisation des outils et systèmes informatiques dans les règles générales et permanentes de discipline de l’entreprise. Pour être pleinement opposable aux salariés utilisateurs, elle doit au plan formel être élaborée et mise en place dans chaque établissement selon les mêmes règles de procédure que le règlement intérieur (auquel elle viendra alors s’adjoindre - cf. C. Trav., L1321-5) : a) information et consultation préalable du CHSCT et du comité d’entreprise ou des délégués du personnel à défaut ; b) transmission à l’Inspection du travail ; c) dépôt auprès du secrétariat-greffe du Conseil de prud’hommes ; d) publicité interne (affichage sur les lieux de travail).

3. Informer - Le Code du travail prévoit un principe de transparence : au plan collectif, le comité d'entreprise doit être informé et consulté pour avis avant toute décision tendant à la mise en place dans l'entreprise de moyens ou de techniques de contrôle de l'activité du personnel (C. Trav., L2323-32). De même concernant le CHSCT (C. Trav., L4612-8).
Au plan individuel, chaque salarié doit être préalablement informé individuellement concernant a) tout dispositif de collecte d’informations personnelles ; b) les méthodes et techniques d'évaluation professionnelles mises en oeuvre à son égard c) de l’existence d’un droit d’accès et de rectification aux données issues d’un traitement de données personnelles. La preuve du respect de cette obligation d’information pèse sur l’employeur. En cas de télétravail (qui concerne selon une étude récente environ 4 millions d’actifs en France), le salarié doit également être informé par son employeur de toute restriction à l'usage d'équipements ou outils informatiques ou de services de communication électronique, et des sanctions en cas de non-respect de telles restrictions (C. Trav., L1222-10).

4. Déclarer - A cela s’ajoute les règles d’ordre public de la loi informatique et libertés n° 78-17 du 6 janvier 1978, qui imposent notamment de déclarer le(s) traitement(s) de données à caractère personnel, ou, selon la nature des données, de demander l’autorisation de la CNIL préalablement à leur mise en oeuvre.

5. Former - L’employeur est tenu d’assurer l'adaptation des salariés à leur poste de travail, et de veiller au maintien de leur capacité à occuper un emploi, au regard notamment de l'évolution des technologies (C. Trav., L6321-1).
Dans le cadre du plan de formation continue, les actions doivent être adaptées aux nouvelles formes de travail ainsi qu’aux nouvelles technologies (cloud computing, etc.), qui peuvent comporter de nouveaux risques et doivent en conséquence être maîtrisés.    

6. Sensibiliser - Le risque n’étant pas tant lié à l’outil lui-même mais surtout à l’utilisation que chacun en fait, la meilleure forme de prévention reste la pédagogie, qui relève des attributions fonctionnelles de l’encadrement. Les règles de sécurité seront d’autant mieux appliquées qu’elles seront comprises et acceptées par les utilisateurs.

7. Contrôler - La question de la cybersurveillance des salariés s’avère très sensible puisqu’il faut concilier l’intérêt de l’entreprise avec la nécessaire confiance dans la relation contractuelle et le respect, au temps et au lieu du travail, de la sphère de vie privée et de libertés individuelles et fondamentales du salarié. Les domaines sont nombreux (connexions internet, fichiers, messagerie, réseaux sociaux, etc.). Si l’employeur a en principe le droit de surveiller l’activité de ses collaborateurs pendant leur temps de travail (attention cependant au cas des représentants du personnel dans l’exercice de leur mandat), il ne peut le faire à leur insu. La CNIL vient de publier une note d’information le 20 mars 2013 au sujet des keyloggers, logiciels permettant d’enregistrer à l’insu du salarié toutes les frappes effectuées sur son clavier et d’exercer ainsi une surveillance constante et permanente, non seulement sur l'activité professionnelle mais aussi sur leur activité personnelle résiduelle effectuée à partir du poste informatique. A la suite de mises en demeure d’entreprises, la CNIL indique que l'installation et l'utilisation d'un tel logiciel sont de nature à constituer une atteinte excessive à la vie privée et ne saurait se justifier en l'absence d'un fort impératif de sécurité (lutte contre la divulgation de secrets industriels par exemple), accompagné d'une information spécifique des personnes concernées. Elle rappelle en outre l’infraction applicable en matière de dispositifs de captation clandestine de données informatiques (C. pénal, art. 226-3).
La jurisprudence considère par ailleurs que « les fichiers créés par le salarié à l'aide de l'outil informatique mis à sa disposition par l'employeur pour les besoins de son travail sont présumés avoir un caractère professionnel, en sorte que l'employeur est en droit de les ouvrir hors la présence de l'intéressé, sauf si le salarié les identifie comme étant personnels » (Cass. Soc. 10 mai 2012, n° 11-13884). A défaut (comme par exemple dans le cas d’un fichier intitulé « mes documents »), la protection tirée de la vie privée ne s’applique pas. Dans le même ordre d’idées, il vient d’être jugé qu’à partir du moment où une clé USB personnelle du salarié est connectée à un outil informatique de l’entreprise, elle est présumée être utilisée à des fins professionnelles en sorte que l’employeur peut avoir accès aux fichiers qu’elle contient (sauf ceux identifiés comme personnels) en-dehors de la présence du salarié et sans avoir besoin de l’en informer (Cass. Soc. 12 février 2013, n° 11-28693). Il est intéressant de relever que le libellé de cet arrêt laisse penser que la Cour de cassation n’a pas souhaité étendre cette règle à l’ensemble des périphériques de stockage, tels qu’un smartphone par exemple, sans doute afin de ne pas autoriser une intrusion trop forte dans la vie privée du salarié.

8. Sanctionner - Face à des manquements constatés par rapport à une obligation de faire ou de ne pas faire - à condition que celle-ci soit bien justifiée par la nature de la tâche à accomplir et proportionnée au but recherché (C. Trav., L1121-1 et L1321-3 2°) - l’employeur aura toujours intérêt à privilégier la sanction disciplinaire plutôt que le « laisser-faire ». La sanction doit être proportionnée à la gravité de la faute. Par exemple, une utilisation abusive d’internet et la consultation excessive de sites extraprofessionnels (réseaux sociaux, etc.) pendant le temps de travail peut justifier une mesure de licenciement pour faute grave (Cass. Soc. 26 février 2013, n° 11-27372). 

9. Prouver - Que ce soit en vue d’initier une action ou de se défendre face à une contestation judiciaire, l’enjeu probatoire est essentiel et il est toujours recommandé à l’employeur de se préconstituer une preuve par écrit. La loi dispose que « l'écrit sous forme électronique est admis en preuve au même titre que l'écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité » (C. Civ. Art. 1316-1). Dans le contentieux du travail, les tribunaux se montrent vigilants : toute preuve tirée d’un procédé clandestin - y compris électronique- ou d’un stratagème mis en place par l’employeur est jugée déloyale et illicite (Cass. Soc. 4 juillet 2012, n° 11-30266). En matière pénale, une preuve obtenue de manière illicite peut néanmoins être librement appréciée par le juge pénal après débat contradictoire (C. Proc. Pén., art. 427 et suivants), indépendamment des poursuites pénales susceptibles d’être engagées ensuite contre son auteur (violation du secret des correspondances, enregistrement illicite, etc.).

10. Agir - En cas d’infraction ou de fraude (intrusion, piratage, etc.) portant atteinte à ses systèmes informatiques et relevant des articles 323-1 à 7 du Code pénal, ou de vol de données, l’employeur a tout intérêt enfin à déposer plainte et/ou se constituer partie civile devant la juridiction pénale.