« Bring your own device » : quels risques ? Quelles règles ?

Publié le 01/01/2011 - bring-your-own-device-quels-risques-quelles-regles

Le salarié dispose aujourd’hui de deux excroissances indispensables à sa survie numérique : son smartphone et son ordinateur portable. A mesure que les sphères privées et professionnelles se mélangent, que le temps de travail mord sur le temps de repos et qu’une partie du temps de travail est consacrée à des activités personnelles, l’intérêt d’utiliser le même ordinateur portable, tant au bureau que chez soi, est évident.

Les intérêts du salarié, qui regroupe sur un même appareil toutes ses données, et de l’entreprise, qui n’a plus à en financer l’acquisition et la maintenance, peuvent ici se rejoindre. Chacun peut, cependant, avoir à souffrir de la situation.

Des risques réciproques à anticiper

L’ordinateur peut être une source de risques pour l’entreprise : c’est la porte d’entrée de virus et chevaux de Troie, c’est le lieu de stockage de contenus parfois illicites : musiques, vidéos, etc., c’est également un moyen pour sortir de l’entreprise de l’information confidentielle. Mais l’usage de son ordinateur dans le cadre du travail peut également être source de dommage pour le salarié : l’ordinateur peut être volé sur le lieu du travail ou même endommagé accidentellement par un autre salarié.

En l’absence de toute règle, quelques grands principes de droit de la responsabilité trouveront à s’appliquer. Le propriétaire d’un bien – donc le salarié – est responsable des dommages que le bien dont il a la garde cause à autrui, ce peut-être son employeur mais également un autre salarié. Les cas de blessures physiques causées par un PC portable à un autre salarié sont des cas d’école. Dans cette hypothèse, comme pour tout dommage subi par une personne sur son lieu de travail, le régime juridique des accidents de travail s’appliquera, que l’employeur soit propriétaire ou non de l’appareil ayant causé le dommage.

L’hypothèse que l’on peut plus facilement imaginer est celle où le PC d’un salarié, mal paramétré ou non doté d’un antivirus performant et à jour, est à l’origine de la dissémination de virus ou d’une intrusion frauduleuse dans le système de l’entreprise. Le salarié verra-t-il sa responsabilité engagée ? Rien n’est moins sûr. Il n’y a pas aujourd’hui d’obligation pesant sur tout individu d’assurer la sécurité de son matériel informatique, c’est peut-être son intérêt, mais ce n’est pas son obligation. On peut penser que l’entreprise, par essence dans une situation de compétence supérieure à celle du salarié sur ces questions techniques, accepte le risque de voir connectés sur son réseau des matériels hétérogènes, à la sécurité non avérée. En outre, la jurisprudence constante de la Cour de cassation considère que la responsabilité civile du salarié envers son employeur suppose « non une simple erreur involontaire, mais une faute lourde assimilable au dol ». Cette faute lourde doit être caractérisée par une intention de nuire à l’employeur. Ce n’est que sur le terrain du droit disciplinaire que l’employé pourra être sanctionné, à condition que les règles de conduite qui lui ont été imposées aient clairement été spécifiées dans le règlement intérieur.

Mieux valant prévenir que guérir, l’entreprise sera avisée d’imposer aux salariés des outils de protection à l’état de l’art mais en assistant le salarié dans cet usage : quel logiciel ? quel paramétrage ? quelles mises à jour ? etc. Si l’entreprise fournit elle-même les antivirus, elle devra s’assurer auprès des éditeurs que les licences acquises lui permettent cette mise à disposition sur des postes dont elle n’est pas propriétaire.

Imaginons maintenant que ce soit l’ordinateur du salarié qui soit victime du dommage : son ordinateur peut faire l’objet d’un vol, il peut être accidenté par un autre salarié. Quelle sera la responsabilité de l’entreprise ? Ici, encore, en l’absence de toute règle, nous devons utiliser les principes généraux du droit de la responsabilité.

En cas de vol, c’est l’employeur qui sera présumé responsable de la disparition de l’ordinateur. Il sera tenu d’indemniser le salarié. Il pourra atténuer sa responsabilité en prouvant la faute du salarié.

L’entreprise devra s’aviser de vérifier que sa police d’assurance couvre tous ces types de dommages et de responsabilités.

Des règles claires à fixer

Il existe manifestement un intérêt réciproque, entre le salarié ou l’entreprise, de fixer la règle du jeu de l’usage professionnel d’un bien privé. En l’absence actuelle de tout texte ou jurisprudence sur ces questions, il est préférable d’anticiper les risques. Le contrat de travail pourra fixer les règles en la matière. Beaucoup d’entreprises disposent également d’une « charte » d’utilisation des moyens informatiques. Celles qui n’en ont pas encore ont un intérêt pressant à en adopter une.

Ces chartes sont des adjonctions au règlement intérieur de l’entreprise. Même si des juridictions ont accordé une certaine valeur juridique à ces « chartes », il est préférable de s’assurer de l’efficacité des interdictions et des sanctions qui y seraient édictées en les soumettant au régime juridique du règlement intérieur. La charte sera donc adoptée après concertation des institutions représentatives du personnel, communication à l’inspection du travail et dépôt au conseil des prud’hommes.

Les ordinateurs personnels utilisés par les salariés dans le cadre de leur activité professionnelle, sur le lieu de travail, connectés au réseau et aux ressources de l’entreprise doivent être inclus dans le périmètre de cette charte.

La charte devra notamment veiller à fixer les règles relatives à l’accès par l’employeur aux données présentes sur l’ordinateur du salarié.

En une décennie, la jurisprudence de la Cour de cassation s’est formée concernant l’accès par l’employeur aux données, mail ou documents, qui sont stockés sur le poste d’un salarié. Il est aujourd’hui admis par les tribunaux que les données présentes sur les postes de travail mis à disposition des salariés par l’employeur sont présumées être des données professionnelles. Il en résulte que l’employeur peut librement en prendre connaissance, les conserver, les recopier, etc, sauf si ces données sont clairement identifiées comme personnelles. Et même dans ce dernier cas, en cas de circonstances exceptionnelles, l’employeur peut obtenir un accès aux courriers électroniques et documents identifiés comme personnel par le salarié.

Cette jurisprudence, établie pas à pas au cours de la dernière décennie, devra nécessairement être revisitée à l’aune du « bring your own device ». En effet, s’il est aujourd’hui acquis que l’employeur à un accès « de plein droit » aux données présentes sur les postes de travail de ses salariés, qu’en sera-t-il lorsque ces ordinateurs seront la propriété des salariés ? Doit-on s’attendre à un renversement de la présomption : les données de l’ordinateur personnel du salarié seront-elles considérées par les juges comme présumées personnelles ? Dans ces circonstances, comment l’employeur aura-t-il accès aux données professionnelles, notamment lorsque le salarié est absent ou quitte l’entreprise ? Il y a là un champ d’incertitude que la charte informatique doit absolument combler. Des procédures techniques de recopie ou d’effacement automatique des informations de l’entreprise, lorsque le poste informatique du salarié est connecté au réseau ou lorsqu’il quitte l’entreprise, sont à étudier.

Autres publications