A l'heure de Prism et du PatriotAct où tous les regards sont tournés vers l'espionnage des Etats, poser la question de la surveillance sur le lieu de travail peut surprendre. Pourtant la question des libertés individuelles sur le lieu de travail est peut être une réalité bien plus prégnante pour le commun des citoyens. Or, la Loi est à ce point faite, qu'on peut se demander si elle n'a pas organisé sciemment l'obligation de surveiller dans l'entreprise et l'administration.
Chacun connaît la cybersurveillance. Cette pratique nouvelle a vu le jour à la fin des années 90. La cybersurveillance pourrait se définir comme le droit, pour l'employeur, de traiter et d'interpréter des données de trafic enregistrées sur son système d'information en entrée et en sortie. La légalité de la cybersurveillance a été très rapidement encadrée, grâce à un dispositif légal pré existant, général et applicable à la pratique. Ainsi, pour pouvoir cybersurveiller, l'employeur doit avoir préalablement informé ses collaborateurs, recueilli l'avis des représentants du personnel et respecter un principe dit de proportionnalité. Ce dernier principe, en pratique, signifie en fait l'obligation de motiver le recours à la cybersurveillance. Celle-ci étant une atteinte à un certain nombre de principes à valeur constitutionnelle, comme le droit à l'intimité de la vie privée sur le lieu de travail reconnu à l'employé, elle doit être motivée pour couvrir un risque grave. Ainsi, cybersurveiller pour s'assurer de la productivité de ses salariés, a déjà été reconnu comme une violation du principe de proportionnalité et dès lors constitue une cybersurveillance illégale. Enfin, quatrième condition à la légalité de la cybersurveillance, l'employeur doit déclarer le traitement qui collectera les données de trafic, à la Cnil.
Mais avant de cybersurveiller, c'est-à-dire traiter des données de trafic, il convient de se poser la question de savoir si l'employeur n'a pas simplement l'obligation de conserver hors de tout traitement, ces données de trafic.
L'employeur est un «fournisseur d'accès»
En effet, l'employeur donne l'accès aux réseaux numériques à ses employés. De ce fait, l'article 9 de la Loi pour la Confiance dans l'Economie Numérique (Lcen) du 21 Juin 2004 dispose que «toute personne assurant une activité de transmission de contenus sur un réseau ou de fourniture de l'accès à un réseau» bénéficie d'une responsabilité atténuée dans la Loi. Or, il est d'interprétation unanime, que cette activité de «fourniture d'accès» n'est aucunement réservée dans la Loi aux opérateurs de communications électroniques (ex opérateurs de télécoms) ou à ceux qui techniquement fournissent l'accès. Cette définition dans la Lcen s'applique, comme pour les hébergeurs, à tous ceux qui sont dans la fonction de fournir un accès aux réseaux. Tel est le cas de l'employeur pour ses employés.
Or, ce statut de fournisseur d'accès bénéficie d'un régime de responsabilité atténuée qui a une contrepartie, celle de conserver les «données de nature à permettre l'identification de quiconque a contribué à la création de contenu» (article 6 Lcen). Pour mémoire, le défaut de conservation est puni d'un emprisonnement d'un an et de la peine maximale de 75 000 euros d'amende. La durée de conservation des données a, quant à elle, été fixée à une année à compter de leur enregistrement.
Ainsi donc, en dehors de toute cybersurveillance au sens où nous l'avons entendu ci-avant, l'employeur serait donc astreint à conserver les données de trafic pendant un an à compter de leur enregistrement. L'objectif avoué du législateur est de permettre à la justice de requérir dans le cadre de sa traque aux délits civils et / ou pénaux, une identification. C'est ce que rappelle une décision abondamment commentée : «il y a lieu de constater que le législateur français, ainsi que la législation européenne le lui permettait, a souhaité trouver un équilibre en conférant à l'opérateur [cette affaire mettait au prise un opérateur] une responsabilité atténuée en contrepartie de sa collaboration pour la conservation de données qu'il est dans l'obligation de produire sur injonction d'une autorité judiciaire quelle qu'elle soit, civile ou pénale.» 2
La fiche pratique de la Cnil
Sans doute consciente du problème et de la question, la Cnil s'est exprimée en 2010 par le biais d'une fiche pratique qu'elle a publiée sur son site Web intitulée «conservation des données de trafic : hot-spots wi-fi, cybercafés, employeurs». Dans cette fiche, elle rappelle avec raison que tous les accès publics, cybercafés, restaurants, aéroports etc, ont l'obligation de conservation des données de trafic.
S'agissant cependant des employeurs, elle prend une position inverse faisant valoir que «la Cnil considère que les entreprises et les administrations fournissant un accès internet à leurs employés ne sont pas concernés par cette obligation de conservation». Chacun aura remarqué que c'est la «Cnil (qui) considère», la Cnil se gardant d'ailleurs de préciser le fondement légal et textuel de sa position. Il faut aussi ajouter par honnêteté, que la Cnil n'est pas le législateur, ni même un tribunal, que ces fiches pratiques sont sa position, sa doctrine, laquelle a déjà été contredite dans le passé pour d'autres questions, par des tribunaux.
Notre opinion est en effet contraire, car nous ne voyons pas dans la Loi de dispositions dérogeant aux dispositions générales de la Lcen et s'appliquant à la relation employeur/ employé.
Clarifier la surveillance sur le lieu de travail
Il convient, enfin, d'ajouter, qu'il peut être de l'intérêt de l'entreprise de détenir et conserver un an, de telles données. En effet, il existe un certain nombre de délits pour lesquels l'entreprise aurait intérêt à la traçabilité. Par exemple, l'article 227-23 du Code pénal prévoit que le simple fait de «détenir» une l'image ou la représentation d'un mineur lorsque cette image ou cette représentation présente un caractère pornographique, ce que l'on a nommé comme la cyberpédophilie, est puni en tant que tel des peines maximales de 30 000 euros d'amende et 3 ans d'emprisonnement. L'entreprise qui détient sur ses serveurs de telles images, pourrait se voir poursuivie, ses représentants légaux également, si elle n'est pas en position d'assurer une traçabilité sur ces contenus.
Comme on le voit, dans un climat de suspicion lié aux affaires Prism et au PatriotAct, on a également nécessité à clarifier la surveillance sur le lieu de travail. Doit-elle obligatoirement conserver les données de trafic pendant un an, en dehors de toute cybersurveillance, et notamment pour répondre aux réquisitions de la justice ? La réponse, en l'état des textes, paraît positive.