Fichiers personnels sur ordinateur professionnel : accès, surveillance
La fouille de l'ordinateur d'un salarié par l'employeur est autorisée sauf si un dossier est indiqué comme personnel et confidentiel.
L'utilisation d'un ordinateur professionnel à des fins personnelles
L’utilisation à des fins personnelles des outils informatiques de l’entreprise mis à la disposition des salariés, comme un ordinateur fixe/portable ou un smartphone ou encore une connexion Internet, est tolérée à condition qu’elle demeure limitée et raisonnable et qu’elle ne mette pas en danger la sécurité du réseau informatique et n’affecte pas trop la productivité des effectifs.
Il appartient à l’employeur de fixer son niveau de tolérance à l’égard de l’usage personnel, puis d’en informer ses équipes. En sachant qu’une utilisation personnelle "excessive" peut constituer une "faute grave" et même justifier un licenciement, depuis un récent arrêt rendu par la Cour de cassation en date du 3 octobre 2018.
L'accès à l'ordinateur d'un salarié
Les fichiers informatiques créés ou stockés sur l’ordinateur professionnel d’un salarié sont présumés par défaut être de nature professionnelle. La consultation des mails des salariés par l'employeur est donc autorisée. Par conséquent, tout employeur peut a priori y accéder librement, même en l’absence de l’employé. Le salarié peut également être contraint de donner son mot de passe à son employeur. Seule exception à cette règle : les documents clairement indiqués comme privés, par exemple placés sur la clé USB personnelle du salarié.
Dans l’éventualité où les fichiers sont identifiés comme personnels, l’employeur ne peut y accéder qu’en cas de risque ou d’événement particulier et qu’en présence du salarié concerné. Le type de "risque ou événement" qui peut justifier la consultation par l’employeur n’est pas défini par la réglementation. Ce sont donc les hautes juridictions qui le précisent en cas de contestation en justice.
Surveillance de l'ordinateur d'un salarié
L’employeur est en droit de contrôler l’usage qui est fait d’un ordinateur professionnel, d’une messagerie pro et de la connexion Internet, dès qu’il s’agit d’assurer la sécurité des réseaux, et de limiter les abus d’utilisation personnelle des outils de l’entreprise. Néanmoins, il y a des limites à la surveillance des salariés. Il est interdit pour l’employeur de réclamer une copie de tous les documents ou messages des employés. De même, il est impossible de recourir à des "keyloggers" pour enregistrer les actions faites sur un ordinateur. Il s’agit là d’un dispositif de surveillance démesuré et illégal. Les logs de connexion des équipes peuvent être enregistrés à titre de contrôle, mais doivent être détruits au bout de 6 mois. Enfin, les salariés et les représentants du personnel doivent être tenus informés des outils de contrôle mis en Oeuvre via une note de service ou une annexe rajoutée au règlement intérieur. Les règles en vigueur (Cnil, RGPD) pour les traitements de données s’appliquent ici.
Dossier personnel et confidentiel
Les contentieux juridiques relatifs à l’ouverture de dossiers personnels par l’employeur ont conduit à une jurisprudence fournie. La Cour de cassation a eu l’occasion d’aborder ce sujet à diverses reprises, et indique notamment que la seule dénomination "Mes Documents" ou "Mes emails" n’est pas suffisante pour conférer un caractère personnel à un fichier ou message électronique. De même, se contenter d’apposer ses initiales ou son prénom ne suffit pas pour empêcher une consultation par l’employeur ! Il est donc recommandé de nommer spécifiquement les documents ou les emails avec des mentions de type "Document personnel" ou "Message privé".