Contenu
La difficile surveillance des collaborateurs à l’heure du Net
Un collaborateur est soupçonné de visiter des sites aux contenus illicites. La bande passante de l’entreprise est régulièrement bloquée à cause d’envois de mails de trop grande taille. Que peut faire l’employeur?
Image
Les règles générales du droit civil assignent à l’employeur l’obligation de bien choisir, bien instruire et bien surveiller ses employés pour éviter d’encourir une responsabilité objective, du seul fait de sa qualité d’employeur, si un collaborateur lèse un tiers dans le cadre de l’accomplissement de son travail (art. 55 CO). D’autre part, l’article 328 CO impose à l’employeur de respecter la personnalité de ceux qui œuvrent pour lui, obligation que la loi sur la protection des données renforce encore. Dans ce contexte, il n’est pas aisé de savoir jusqu’où la surveillance peut et doit s’étendre pour rester licite et efficace. Cette contribution tentera de proposer des solutions à la lumière de la jurisprudence fédérale récente, qui a donné un aspect obligatoire aux recommandations du Préposé fédéral à la protection des données (ci-après le PFPD).
Les grands principes
Dans les rapports de travail, l’employé doit diligence et fidélité à celui qui l’engage. Il est ainsi censé passer son temps à exécuter ce qui lui est demandé par l’employeur. S’il envoie et reçoit incessamment des messages, ou télécharge des informations, il pourra causer un préjudice financier, porter atteinte à la capacité de stockage et à la bande passante, ou à la réputation de l’entreprise et affecter la sécurité des données informatiques par l’introduction de virus. L’employeur ne peut toutefois pas se muer en détective – on rappelle ici l’interdiction des caméras de surveillance dirigées sur le collaborateur – et doit adapter le contrôle aux besoins effectifs.
La surveillance portera traditionnellement sur les appels téléphoniques et les mails ainsi que le contrôle des déplacements par un GPS embarqué dans le véhicule de fonction. On peut également imaginer la vérification de l’ordinateur et le traçage des employés sur les réseaux sociaux. La licéité de ces différentes vérifications est diverse. Les maîtres mots sont information et proportionnalité. Cela signifie que l’employeur devra dans un premier temps mettre en place un règlement relatif à la surveillance, fondé sur l’article 321d CO et inspiré des recommandations du PFPD, puis dans chaque cas concret adapter la surveillance aux circonstances.
Quelques cas particuliers de surveillance
En Suisse où presque tout un chacun possède un smartphone généralement utilisé pour les appels privés, la surveillance des appels téléphoniques n’est plus un sujet de grande actualité.
Le cas des mails consultés depuis l’ordinateur professionnel est plus problématique. La règle est que l’employeur décide, fondé sur l’article 321d CO, s’il accepte ou non que ses collaborateurs utilisent la messagerie pendant leurs heures de travail. Dans l’affirmative, la surveillance de la messagerie n’est en principe possible que sur les mails professionnels, qui engagent l’employeur par leur contenu. Il faut donc instituer une différenciation claire entre mails professionnels et privés, les dossiers des mails privés étant soustraits à toute surveillance de l’employeur. On réservera le cas où un logiciel de sécurité conserve de manière automatique et anonyme les données, ce qui sera licite dans la mesure où l’utilisation de la messagerie est réglementée de manière transparente.
Dans le cas où l’employeur ne tolère aucune utilisation privée de la messagerie, tous les mails sont censés être professionnels et consultables, ce qui n’habilite toutefois pas l’employeur à prendre connaissance des mails apparaissant clairement comme privés, cas exceptionnels réservés.
Que faire enfin dans l’hypothèse de l’employé absent soudainement pour une longue durée, à la boîte mail duquel il faut pouvoir accéder? Une bonne solution paraît être de prévoir réglementairement que la personne de confiance nommée en cette qualité dans l’entreprise sera habilitée à entrer dans la boîte mail et à rediriger les messages vers ceux qui pourront les traiter, un message automatique d’absence étant installé.
La surveillance des employés par le biais d’un logiciel espion sur l’ordinateur est quant à elle prohibée si elle correspond à un contrôle poussé et permanent de l’ensemble de l’activité exercée par l’employé au travail. Qu’en est-il de la seule navigation sur Internet? Elle est en principe autorisée tant qu’elle ne nuit pas à l’employeur de manière particulière, ce qui dépendra souvent du champ d’activité de l’entreprise et des éventuelles règles particulières qu’elle doit observer.
Dans tous les cas, l’employeur sera bien inspiré de prendre les mesures techniques préventives nécessaires pour faire bloquer tous les sites qu’il veut interdire et éviter la réception de courriels peu sûrs ou jugés indésirables.
Les divers modes de surveillance
Il n’est pas contesté que l’employeur recueille des données relatives à l’utilisation d’Internet directement ou par le biais de la messagerie. Tout traitement étant soumis aux exigences strictes de la LPD, l’employé doit être informé des surveillances possibles, analyse anonyme (consultation des fichiers journaux et restitution des résultats sous forme statistique, ne se rapportant pas aux personnes), analyse pseudonyme (sondages qui se rapportent aux personnes mais ne permettent pas leur identification) ou enfin analyse nominale (se rapportant et permettant d’identifier des personnes déterminées). Pour satisfaire à la proportionnalité, l’analyse nominale ne peut être mise en place que si des soupçons d’abus sont décelés: le nombre ou la taille des messages envoyés bloque la bande passante, les sites consul- tés ont un contenu illicite, la commission d’une infraction est vraisemblable. La surveillance licite est donc une voie étroite pour l’employeur; après avoir consulté ses employés, il se dotera d’un règlement clair, le communiquera à ses collaborateurs, l’appliquera effectivement de manière égale et veillera à exercer la surveillance qui paraît la plus adéquate dans les circonstances de l’espèce, dans le respect de la sphère privée de ses collaborateurs et en ayant pris soin de rendre certains sites inaccessibles.
Certes, les avancées de la technique rendront probablement ces problèmes obsolètes dans la mesure où le collaborateur ne se servira plus que de son smartphone, sans passer même par la connexion de l’employeur. Restera cependant toujours délicate la question de la consultation de la trace laissée par le collaborateur sur la toile; sous l’angle de la LPD, la «googleisation» du nom d’un collaborateur risque d’être illicite!
Etude de cas: Malversation: qui paie les frais d’investigation?
L’affaire
Monsieur Dépensier travaille pour la banque Picous. Son salaire annuel est d’environ CHF 200 000.–. Il avoue en 2007 avoir prélevé des montants de CHF 400 000.– au maximum, qui en fait s’élèvent à CHF 1 725 315.60.
La banque et M. Dépensier, assisté d’un avocat, signent une convention par laquelle il autorise la vente de ses actions (CHF 3 089 387.25) pour indemniser les clients et couvrir tous les frais liés aux malversations, puis à débiter du compte d’indemnisation notamment «tous les frais (internes et externes) y compris d’avocats et d’audits, pour les procédures de vérification, de rétablissement des comptes et d’indemnisation des clients». M. Dépensier dépose en 2010 une demande aux prud’hommes de Genève, fondant ses prétentions sur le contrat de travail et surtout sur la convention.
Dans la pratique
Invoquant les art. 341 (selon lequel le travailleur ne peut renoncer valablement pendant un certain délai à des créances résultant de dispositions impératives de la loi ou d’une CCT) et 321e CO, il conteste que la convention soit licite. Il n’invoque pas une créance qui découle de la loi ou d’une CCT, mais se place exclusivement sur le terrain de sa responsabilité (art. 321e al. 1 CO), qui évoque une dette éventuelle du travailleur, et non pas une créance de celui-ci. La banque aurait été en droit, en présence de malversations intentionnelles, de mandater une fiduciaire pour établir les faits. Elle aurait payé des honoraires, ce qui aurait constitué un dommage (ATF 133 III 462.consit.4.4.2 p.471 des arrêts cités) dont elle aurait pu demander réparation selon l’art. 321e al. 1 CO, en tant que dommage résultant directement de la violation intentionnelle du contrat. Les parties avaient stipulé par convention que la banque effectuerait ce travail en fournissant des «relevés d’heures d’intervention des services internes» et en pratiquant «un tarif horaire raisonnable». En comprenant que la banque voulait être rémunérée pour cette activité, la cour cantonale n’a pas violé le principe du droit fédéral sur l’interprétation des dispositions contractuelles (ATF 135 III 410 consid. 3.2 p.412s; 131 III 606 consid. 4.1 p.611 s.) La cour cantonale a constaté que la banque avait pratiqué un tarif conforme à celui des fiduciaires, de sorte que la clause litigieuse de la convention n’a pas aggravé les conditions de responsabilité de M. Dépensier, telles qu’elles découlent de l’art. 321e CO. Il n’a pas été moins bien traité que si la banque s’était adressée à une fiduciaire externe, comme elle était en droit de le faire. La clause contractuelle contestée ne peut par conséquent pas être considérée comme nulle. Les frais d’investigation de la banque ont donc été mis à charge de M. Dépensier.
Conclusion
La décision aurait peut-être été différente si les modalités d’investigation n’avaient pas été convenues par écrit. Un employeur placé dans cette situation sera bien inspiré de conclure au préalable une convention prévoyant qu’il sera rémunéré pour cette activité s’il souhaite procéder lui-même aux investigations.
Pierre Matile