Employeurs ou espions ?
Depuis la décision Afrique pétrole en 2015, la commission des données personnelles ne cesse de dessiner les contours de la surveillance en entreprise. C’est ainsi que, dans son premier avis de 2022, cette question a été encore abordée. Cette résurgence témoigne de la périlleuse nécessité de protéger l’employé, et de permettre à l’employeur d’avoir le contrôle sur l’activité professionnelle.
Dans le secteur des affaires, en particulier celui des technologies, l’information constitue le cheval de bataille à maîtriser pour rester compétitif, anticiper sur l’offre de la concurrence et garder sa place de leader sur son secteur d’activité. La menace peut venir de l’intérieur comme de l’extérieur de l’entreprise. Pour le véhicule pouvant assurer la transmission de l’information, nous avons le couple homme et machine. Par ailleurs, chercher la faille, intentionnelle ou pas, pouvant générer une fuite d’information au bénéfice du concurrent peut conduire l’employeur à empiéter dans la vie privée des salariés.
C’est ce qui ressort de la plainte que la commission des données personnelles a reçue dans le premier trimestre de 2022. La plaignante dénonçait un « accès frauduleux dans son compte de messagerie personnel ». Interrogé par la cdp, « le directeur associé indique avoir consulté la messagerie personnelle de son employé car elle utilisait un ordinateur professionnel mis à disposition par la société, et que ladite boite personnelle n’était pas déconnectée ».
Il reprochait à son employé de débaucher un de ses clients, pour mener ses propres activités de centre d’appel. Par centre d’appel comprenez ce lieu regroupant un ensemble d’agents utilisant des moyens de télécommunication et d’informatique pour assurer les contacts d’une entreprise avec sa clientèle. Les agents qui y sont peuvent répondre à des demandes de renseignements, assurer un service après-vente ou effectuer des campagnes de prospection. Bref, si vous avez un souci avec votre abonnement téléphonique ce n’est pas forcément votre opérateur qui traite votre réclamation. Dans bien des cas, disons 90%, votre requête est traitée par un centre d’appel.
Pour ces conseillers client, il y a souvent deux perspectives qui s’offrent à eux : voyager au Maroc, parce que c’est bien rémunéré, plus de revenus comparé au Sénégal, ou créer sa propre structure. Ces deux chemins deviennent presque un passage forcé si vous avez quitté la position de conseiller pour exercer les fonctions de superviseur, de manageur ou de formateur produit.
C’est dans ce contexte que nous analysons la surveillance que la plaignante dénonce. Même légitime, elle est bien encadrée et obéit à un certain nombre de principes.
Les conditions de la surveillance.
Le pouvoir de direction est pour l’employeur, un élément lui permettant de surveiller l’activité professionnelle afin de garantir la productivité des salariés. Le contrôle de cette activité rentre très souvent dans le champ des libertés individuelles, précisément de la vie privée en ce qui concerne la surveillance des mails ou du poste de travail en entreprise.
Pour ne pas tomber sous le coup du titre de l’article, vous devez, en tant qu’employeur, trouver un équilibre intelligent entre contrôle légitime et respect des droits des employés. Ce qui vous oblige à satisfaire à un certains nombres d’obligation dont celle concernant la proportionnalité.
Proportionnalité des mesures de surveillance.
Il s’agit de mettre en œuvre un contrôle qui est en adéquation avec le but recherché. Il serait déplacé pour l’employeur de surveiller l’activité des comptes facebook ou twitter afin de profiler, déterminer le caractère de son employé. Est-ce que ce dernier est un militant ? Quel est son appartenance ethnique ou ses opinions politiques ? C’est dans le même sillage que l’employeur qui installe des caméras dans le bureau d’un salarié sous surveillance permanente.
L’affaire du Well Communication of Africa SARL qui est portée à la connaissance des autorités a les mêmes contours que celui de l’Arrêt NIKON 2001, dont s’est inspiré la CDP en 2015 pour résoudre l’affaire Afrique Pétrole. Ici, la plaignante indique, selon l’avis trimestriel N°1 2022 que : son employeur a saisi son poste de travail et a accédé frauduleusement à son compte personnel de messagerie. Ce dernier lui reprochait de débaucher ses clients pour mener ses propres activités de centre d’appel.
Pour justifier son comportement, le directeur soutien d’une part, que l’ordinateur en question est un outil de l’entreprise mis à la disposition du salarié. D’autre part, il se base sur le fait que la messagerie personnelle était déjà ouverte et pas déconnectée. Etait-ce le seul moyen pour lui de vérifier ses soupçons ?
Obligation d’information et loyauté
L’employeur doit aussi satisfaire à l’obligation d’information pour ne pas être considéré comme espion. Dès l’instant que le traitement mis en œuvre concerne des données personnelles, l’information préalable est obligatoire et surtout quand la surveillance est effectuée à travers un outil que l’employeur a mis à la disposition du salarié (téléphone, ordinateur, internet). Ce procédé permettra et facilitera la prise en compte des éléments de preuve issus des écoutes comme le note cette décision en date du 14 Mars 2000 (Chambre sociale cour de cassation française).
Dans cet arrêt, le juge considère que l’employeur a le droit de contrôler et de surveiller l’activité de ses salariés pendant le temps du travail. Le seul procédé qui était exclu est celui de l’emploi clandestin de surveillance qui selon le juge, est illicite. Ainsi, les salariés qui avaient été dûment avertis de ce que leurs conversations téléphoniques seraient écoutées, ne peuvent valablement s’opposer à la production des enregistrements comme preuve. Dans le secteur des centres d’appel il est souvent fait recours à la surveillance du poste de travail des conseillers. Si vous avez été en centre d’appel vous vous souvenez certainement du logiciel VNC ou du système d’écoute utilisé par la cellule d’écoute.
Cette obligation d’information implique un devoir de loyauté vis-à-vis du salarié. A défaut, l’employeur enfile la tenue de l’espion. C’est le cas pour celui qui avait fait suivre par un détective privé le salarié, donc à l’insu de celui-ci. La cour d’appel a décidé, à bon droit, que les comptes rendus de filature constituaient un moyen de preuve illicite (Cour de Cassation, Chambre sociale, du 22 mai 1995).
Respect de la vie privée des salariés
Dans le cas d’espèce, nous apprenons que l’accès à la machine a eu lieu de manière « frauduleuse », selon les propos rapportés dans l’avis de la CDP. L’employeur doit en toute circonstance veiller à la vie privée de son salarié concernant l’usage que ce dernier fera des outils mis à sa disposition. Pour s’en convaincre, il suffit de revisité cet attendu de principe dégagé dans l’arrêt Nikon en 2001 : “le salarié a droit, même au temps et au lieu de travail, au respect de l’intimité de sa vie privée, laquelle implique en particulier le secret des correspondances ; que l’employeur ne peut dès lors sans violation de cette liberté fondamentale prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail, et ceci même au cas où l’employeur aurait interdit une utilisation non professionnelle de l’ordinateur”.
Devant la présomption de professionnalité des outils mis à disposition par l’employeur, il faut faire très attention pour ne pas empiéter sur l’espace privé. Il peut s’agir de disque dur externe ou de votre clé usb reliée à l’outil informatique ou de votre compte de messagerie personnel auquel vous avez accès via l’ordinateur professionnel ou enfin, de votre contenu facebook en fonction des paramètres.
Pour les fichiers contenus dans une clé USB appartenant à un salarié, la jurisprudence considère que celle-ci est une extension de l’ordinateur professionnel. Dès lors, si elle est connectée à un outil informatique mis à la disposition du salarié par l’employeur pour l’exécution du contrat de travail, elle est présumée utilisée à des fins professionnelles.
Ainsi, l’employeur peut avoir accès aux fichiers non identifiés comme personnels qu’elle contient, hors la présence du salarié et même si elle appartient au salarié. C’est comme si le périphérique de stockage relié à un ordinateur devenait un élément de celui-ci, faisant partie intégrante du système d’information. Le contenu est donc censé être professionnel, sauf mention contraire permettant une identification claire de ceux qui restent dans le domaine privé.
Pour le cas d’espèce nous avons une boite de messagerie personnelle qui n’était « pas déconnectée » et une machine appartenant à l’entreprise. Pour étayer le soupçon d’un éventuel détournement de la clientèle, le patron décide d’accéder à l’ordinateur à l’insu de l’employé.
Beaucoup d’éléments seront pris en compte pour venir à bout de cette affaire, est ce qu’il y’avait une charte informatique ? Non. Est-ce qu’il y avait un code pour accéder au bureau ? Que pouvions-nous lire, une fois sur le bureau ? Y’avait-il un signe évident qui montrait que nous sommes en face d’une interface de messagerie personnelle comme sunumail, samamail… ?
Pour appréhender l’issue de cette affaire nous allons revisiter une situation semblable dans laquelle le juge décidait que : « les courriels adressés et reçus par le salarié à l’aide de l’outil informatique mis à sa disposition par l’employeur pour les besoins de son travail sont présumés avoir un caractère professionnel de ce fait, l’employeur est en droit de les ouvrir hors la présence de l’intéressé, sauf si le salarié les identifie comme personnels. » Est-ce que la plaignante a pris le soin d’indiquer que la messagerie en question était personnelle ?
Si tel est le cas, nous pouvons entrevoir une décision en sa faveur concernant la protection du secret des correspondances, consacrée dans l’article 13 de la constitution du Sénégal.
En définitive, pour mieux se protéger de la surveillance illégale, il faut prendre le soin d’identifier depuis le sujet d’un mail, s’il s’agit du personnel ou du professionnel. Il faut exiger une charte informatique ou à défaut prévoir un code d’accès. Nous avons dans le code pénal de 2016 la protection de la confidentialité des systèmes informatiques la messagerie est concernée, article 431–8. — Celui qui accède ou tente d’accéder frauduleusement à tout ou partie d’un système informatique, est puni d’un emprisonnement de six mois à trois ans et d’une amende de 1.000.000 de francs à 10.000.000 de francs ou de l’une de ces peines.
C’est ainsi qu’il faut comprendre l’attitude de la CDP quand elle transmet le dossier au procureur sur la base des articles 16–2 et 75 de la loi 2008–12 du 25 Janvier 2008. Par ailleurs un centre d’appel, avec la masse de données traitée, ne devrait pas attendre que la CDP l’invite à satisfaire à l’obligation de déclaration, de mise en conformité. Si vous traitez des données personnelles dans votre activité, c’est le moment de comprendre comment un traitement conforme vous permet de rester compétitif.
Co-construction
Peut-être que votre préoccupation n’est pas pris en compte dans cet article c’est le moment de nous contacter. Nous restons disponibles pour vos questions, suggestions ou contribution afin d’enrichir le sujet. N’hésitez pas aussi de partager les décisions sénégalaises.
Enfin, ne pensez vous pas que cet article peut aider un (e) ami (e) employé ou employeur ? Oui Oui Oui c’est le moment du partage!