A l’heure où la croissance technologique participe des actions de développement durable, les entreprises ne peuvent plus ignorer ce que l’on appelle le « social computing ». Qu’ils soient personnels, professionnels ou internes à l’entreprise, les réseaux sociaux offrent certainement de multiples avantages : le partage des connaissances et des compétences, l’optimisation des expertises, la mutualisation des recherches et des travaux collectifs, le développement d’une « e-réputation », etc. Pour autant, leurs caractéristiques – une mémoire d’éléphant et une capacité impressionnante de dissémination des informations à l’échelle de la puissance de l’internet – contraignent l’entreprise responsable à bien mesurer les risques associés : fuite d’informations confidentielles, espionnage industriel, fausses rumeurs, collecte et exploitation préjudiciables de données à caractère personnel, perte du contrôle de sa communication extérieure, etc. Ajoutons que lorsqu’ils sont consultés sur le lieu du travail, à partir de la connexion professionnelle, ils peuvent accentuer les risques de piratage informatique, provoquer des encombrements ou saturations du réseau de l’entreprise et bien sûr, la perte du temps de travail. En effet, selon une étude menée par Vactures-references et Koppen, publiée en décembre 2008, « 46% des utilisateurs de Facebook et Netlog surfent sur ces sites pendant leurs heures de travail. Le temps consacré à ces réseaux sociaux demeure toutefois relativement limité : 82% des répondants déclarent y passer moins d’une demi-heure par jour, 14% surfent entre 30 et 60 minutes et 4% dépassent l’heure de surf sur les réseaux sociaux ». Une autre étude a établi que Facebook ferait perdre jusqu’à 260 millions de dollars par jour aux entreprises anglaises[1].
Dans ce contexte, quelle stratégie doivent adopter les entreprises ?
I – S’agissant des réseaux sociaux « personnels » et « professionnels »?
Pour ceux qui seraient tentés par la politique du « laisser-faire », il convient de rappeler qu’au-delà des risques précédemment exposés, l’employeur peut voir sa responsabilité mise en cause en sa qualité de commettant (C. civ. art. 1384, al. 1er), par exemple à raison d’une information préjudiciable à un tiers diffusée par un employé au moyen de sa connexion professionnelle à internet. Rappelons que la cour d’appel d’Aix-en-Provence a en effet considéré qu’en permettant à son personnel « d’utiliser les équipements informatiques mis à leur disposition pour consulter d’autres sites que ceux présentant un intérêt en relation direct avec leur activité », l’employeur était responsable des faits de contrefaçon de marque reprochés à son employé. Ce dernier avait créé un site internet satirique dénonçant les abus supposés de la société E. et avait procédé à sa mise en ligne depuis son poste de travail[2]
Faut-il pour autant interdire au salarié l’accès aux réseaux sociaux personnels et professionnels à partir de sa connexion professionnelle et de son lieu de travail ? Dans l’affirmative, l’entreprise peut-elle le faire ? A la première question, il convient d’observer que selon l’étude précitée de Vactures-references et Koppen, « près d’un employeur sur cinq envisage de bloquer techniquement l’accès à des sites de réseaux sociaux tels que Facebook ou Netlog ». A la seconde question, on rappellera que l’employeur dispose du pouvoir de contrôle des outils technologiques mis à la disposition de ses employés – y inclus donc la connexion internet professionnelle, à charge pour lui de respecter deux règles : la transparence (information des employés via le contrat de travail, la charte, le règlement intérieur ; information et consultation du comité d’entreprise) et la proportionnalité (la finalité du contrôle doit être justifiée).
Convient-il au contraire d’opter pour une politique d’incitation des employés à exploiter, au service et dans l’intérêt de l’entreprise, leurs réseaux sociaux professionnels ? Cette démarche peut se justifier dans un contexte où les outils privés sont de plus en plus utilisés dans la sphère professionnelle (son téléphone portable, son adresse mail ou sa connexion internet personnelle….).
Quelle que soit l’orientation prise, un constat s’impose : l’employeur ne disposera d’aucun moyen de contrôle des contenus véhiculés via les réseaux sociaux personnels. Son seul recours consistera à renforcer l’obligation de confidentialité – via une charte ou un contrat – ou encore à multiplier les actions de sensibilisation visant à rappeler à l’employé son devoir de loyauté. C’est en considération de ces limites que certaines entreprises, prenant exemple sur la campagne électorale de Barack Obama, ont entrepris d’exploiter les capacités des réseaux sociaux de façon plus directe.
II – Vers le développement des réseaux sociaux d’entreprise ?
Plusieurs entreprises ont développé leur propre réseau social. Le principal avantage est bien sûr la mise en place de réseaux propriétaires, sécurisés et internes, offrant une nouvelle perspective. Selon Carlos Diaz, fondateur de BlueKiwi, le spécialiste français du « logiciel social d’entreprise », « l’intranet est un outil de communication hiérarchique du haut vers le bas, qui crée des liens entre des pages, des documents, pas entre des personnes ; créer des réseaux sociaux, c’est créer des liens entre les individus».
Dans cette voie, les objectifs peuvent être très différents ; il sera donc nécessaire pour la direction d’une entreprise de justifier pourquoi elle a élaboré un tel outil et quelle utilisation en sera faite.
L’approche peut être de type « sociale », permettant de promouvoir l’entreprise auprès de panels larges de clients en vue de développer et communiquer sur de nouvelles activités, les fidéliser, à l’exemple des réseaux sociaux créés par la SNCF (https://www.tgv-rezo.com/) ou Air France (http://www.bluenity.com). Le site communautaire peut avoir pour finalité de promouvoir la marque de l’entreprise, sans vocation commerciale, suivant le modèle dewww.lafamilleRRRugby.com (Réseau Renault Rugby) qui revendique d’être seulement un lieu de rencontre de tous les passionnés du rugby. Dans les exemples précités, l’entreprise a repris le contrôle de son image.
Le réseau communautaire peut également viser l’ensemble des employés afin de les regrouper sur un même système, permettant ainsi de faciliter la communication, de visualiser les domaines de compétences de chacun et de décentraliser la gestion de ce réseau. L’objectif est ici d’améliorer la gouvernance de l’entreprise en facilitant le partage d’expériences, la communication entre les différents services et les individus, en créant davantage de visibilité sur le rôle de chacun dans l’entreprise. Il en résulte un gain de productivité et de gestion important.
Le réseau communautaire peut aussi constituer un moyen pour l’entreprise de communiquer sur ses engagements sociaux et environnementaux liés à sa responsabilité sociétale, et ce, tout en contrôlant les informations circulant sur elle. Cette approche permet à l’entreprise d’améliorer ses engagements par l’échange entre les parties prenantes, de mobiliser les acteurs autour de valeurs partagées et de projets stratégiques. L’entreprise réduit ainsi le risque social et crée une dynamique de progrès, en préservant et développant la performance de l’entreprise.
Dans cette voie de création dynamique de réseaux sociaux, l’entreprise ne doit pas occulter les questions juridiques qui se posent de plus en plus fréquemment.
D’une part, le statut juridique de ces sites communautaires n’est pas clairement défini. L’apparition du « web 2.0 » demeure relativement récente et la jurisprudence n’en finit pas d’osciller entre la responsabilité éditoriale (responsabilité des contenus véhiculés) et le régime dérogatoire de la responsabilité de l’hébergeur (pas de responsabilité des contenus sauf notification en cas d’illicéité) tels qu’établis par la loi pour la confiance dans l’économie numérique de 2004. Dans ce contexte, il est indispensable de définir des règles de fonctionnement pour définir notamment l’identité des membres du réseau, contrôler les échanges et les contenus émis par les membres du réseau.
D’autre part, les réseaux sociaux sont une source inépuisable de collecte de données à caractère personnel permettant de croiser diverses données de ressources humaines. La Commission nationale informatique et libertés (Cnil) s’est récemment penchée sur les problèmes soulevés par les réseaux sociaux et a annoncé que le respect de la vie privée et de la protection des données à caractère personnel par ces sites serait une de ses priorités d’action. La conférence « informatique et libertés » d’octobre 2008, réunissant les Cnil de plusieurs pays à travers le monde, a également émis dans une résolution un certain nombre de recommandations, tant à l’attention des utilisateurs de réseaux sociaux qu’aux fournisseurs de ce type de services. Aux premiers, il est recommandé de réfléchir soigneusement aux données personnelles qu’ils publient dans leurs profils et d’être vigilants lorsqu’ils publient les informations personnelles d’une autre personne. La résolution incite par ailleurs les seconds à diffuser des communications de bonnes pratiques en matière de diffusions d’informations personnelles ainsi qu’à se conformer aux normes en vigueur dans chaque pays où le service est accessible. Dans son avis du 12 juin 2009, le « Groupe de l’article 29 », réunissant les Cnil des Etats-membres de l’Union européenne, incite lui aussi à un meilleur respect des règles communautaires de protection des données à caractère personnel.
Alex Türk, président de la Cnil, considère que « le problème est qu’il y a un fossé abyssal aujourd’hui entre la conception américaine des données personnelles qui sont pour eux des données purement commerciales et la conception européenne où il s’agit d’attributs de nos personnalités ». En l’état actuel de la situation, il préconise alors une meilleure maîtrise des règles pour ne pas se laisser aliéner. Il appartient ainsi au chef d’entreprise non seulement de préserver les droits des personnes sur leurs données personnelles, mais aussi de se conformer aux principes généraux de la loi informatique et libertés, à savoir les principes de transparence, de loyauté, d’information et de consentement préalable ainsi que le respect des droits d’accès, de rectification et d’opposition.
[1] « L’entreprise méfiante face aux réseaux sociaux », M. Jasor, Les Echos, 26 juin 2009
[2] CA, Aix-en-Provence, 2e ch., 13 mars 2006
