Le contrôle interne au sein de l'entreprise : les limites de l'exercice posées par le droit




Le 10 Novembre 2021, par Olivier de Maison Rouge


Le contrôle interne au sein de l'entreprise : les limites de l'exercice posées par le droit
Dans notre précédente chronique https://www.journaldeleconomie.fr/Qu-est-ce-qu-un-lanceur-d-alerte_a10495.html, nous avions pointé le rôle cardinal des lanceurs d’alerte, précision faite que la Loi Sapin 2 du 9 décembre 2016 a institué un régime protecteur, mais encore une obligation de procédure de signalement pour toute entreprise employant plus de 50 salariés.
 
Désormais, il appartient à toute entreprise destinataire d’un signalement de procéder aux investigations rendues nécessaires. Nous exposons ici les limites posées par le droit en matière d’enquête interne.
 
Vie privée et travail sont deux conceptions qui paraissent à première vue opposées, et pourtant, la chambre sociale de la Cour de cassation est venue circonscrire le pouvoir d’intrusion de l’employeur, reconnaissant de facto une vie privée du salarié au travail, qualifié de « noyau d’autonomie » qui échappe à l’autorité du patron, selon le professeur LYON-CAEN.
 
Ces questions sont aujourd’hui brûlantes tant elles alimentent divers scandales relayés par les médias, où l’on découvre que des entreprises aussi connues que IKEA ou DISNEY ont été stigmatisées pour avoir enfreint le respect de la vie privée des salariés [1], tandis que le Code du travail et les principes généraux du droit limitent strictement de telles manœuvres.
 
 
Les garanties légales : exégèse des textes
 
En la matière, la règle d’airain est la suivante, telle que posée par l’article L. 1121-1 du Code du travail :
 
 « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché. »
 
À cet égard, les garanties légales sont légion :
 
À commencer par l’article 9 du Code civil lequel dispose :
 
« Chacun a droit au respect de sa vie privée. Les juges peuvent, sans préjudice de la réparation du dommage subi, prescrire toutes mesures, telles que séquestre, saisie et autres, propres à empêcher ou faire cesser une atteinte à l’intimité de la vie privée : ces mesures peuvent, s’il y a urgence, être ordonnées en référé. »
 
Mais aussi son pendant procédural (article 9 du Code de procédure civile) :
 
« Il incombe à chaque partie de prouver conformément à la loi les faits nécessaires au succès de sa prétention » consacrant la loyauté des preuves ou des procédés de preuve.
 
Au niveau européen, article 8 CEDH :
 
« Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance. Il ne peut y avoir ingérence d’une autorité publique dans l’exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu’elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l’ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d’autrui. »
 
Et encore l’article 12 de la Déclaration universelle des droits de l’homme énonçant que :
 
« Nul ne sera l’objet d’immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance ni d’atteintes à son honneur et à sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes. »
 
 
Le contrôle électronique
 
Le défi actuel est en outre accentué par la technologie accessible à tous, au mépris parfois des sphères privatives, se traduisant par une ingérence dans cet espace consacré. Pour preuve, la libre mise à disposition d’objets connectés constituant le matériel du parfait petit espion. À bon droit, la CNIL rappelle régulièrement que la loi LOPPSI 2 a introduit un dispositif pénal réprimant l’utilisation et la vente de dispositifs techniques de captation de données informatiques.
 
En conséquence, nous proposons une revue de détail de l’appréciation jurisprudentielle eu égard à l’emploi, en matière de surveillance et par extension d’intrusion, des nouvelles technologies en milieu professionnel (et techniques Forensic).
 
Tel est le cas des Keylogger – qui peuvent être définis familièrement comme étant des logiciels espions – lesquels permettent de surveiller en direct et d’enregistrer l’activité d’un système d’information et son contenu (clavier, écrans, etc.). La CNIL [2] condamne en tant que tel l’usage de tels outils par l’employeur dans l’entreprise, les estimant trop intrusifs dans l’espace de liberté du salarié. À titre dérogatoire, pour la CNIL, la seule restriction à cette interdiction de principe réside dans le fait qu’ils sont cependant susceptibles d’être utilisés à des fins de sécurité des données de l’entreprise (la lutte contre la divulgation de secrets industriels étant citée à titre d’exemple).
 
Concernant plus largement, la surveillance de l’activité professionnelle au travers des outils informatiques confiés au salarié (contrôle en temps réel des ordinateurs), outre une déclaration à la CNIL [3] toujours nécessaire [4], l’article L. 1222-4 du Code du travail stipule qu’ « aucune information concernant personnellement le salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance. ».
 
En revanche, il demeure convenu que l’examen postérieur de la traçabilité numérique n’a pas être à préalablement porté à l’attention des salariés. En effet, il s’agit là d’une mesure de contrôle a posteriori comme l’exploration de l’historique de l’ordinateur [5] et non a priori comme la surveillance informatique soumise à déclaration préalable.
 
La jurisprudence a eu l’occasion de sanctionner l’usage de procédés de surveillance non déclarés [6], et si d’aventure l’employeur devait utiliser dans le cadre d’un litige prud’homal des informations obtenues de manière déloyale, cette preuve sera écartée par les tribunaux [7] . L’employeur doit ainsi non seulement en aviser formellement et préalablement son personnel, mais justifier des objectifs poursuivis par ce procédé exorbitant du droit commun.
 
 
Exclusion des fichiers « personnels »
 
Les conditions ci-dessus énoncées étant effectivement remplies, il reste donc acquis que l’employeur peut accéder aux outils informatiques du salarié, à l’exclusion cependant des seules données estampillées « personnel », comme cela a été dégagé par une jurisprudence depuis lors constante [8]. En effet, les e-mails ainsi marqués ne peuvent être ouverts sans commettre le délit de violation du secret de la correspondance [9], et ce quand bien même l’employeur aurait interdit l’usage à des fins personnelles de la boîte de l’entreprise [10]. Pour ce faire, il faudra obtenir une ordonnance aux fins de constat d’huissier sur le fondement de l’article 145 du Code de procédure civile qui autorise celui-ci à procéder aux investigations autorisées par le juge. L’huissier devra impérativement agir en présence du salarié [11].
 
A contrario, tous les autres dossiers peuvent être librement visités, sans porter atteinte au principe ci-dessus et tout ce qui n’est pas identifié comme « personnel », est considéré comme étant « professionnel » [12], cette inspection pouvant se faire en dehors de la présence du salarié.
 
Dans le prolongement, un message personnel peut se voir perdre son caractère privé et justifier par voie de conséquence une sanction : dans le cadre de l’exécution de leur contrat de travail, des salariés ont échangé divers griefs sur leur hiérarchie en utilisant leurs comptes de messagerie professionnels. En leur absence, un autre employé a été amené à utiliser le compte de messagerie de l’un des salariés un peu trop en verve et, face à la teneur des propos outranciers, les a transmis à l’employeur. Dans une autre affaire, un salarié mécontent exposait s’absenter sans motif de l’entreprise, adressant ce courriel par erreur à l’un de ses collègues. Dès lors que ces messages n’étaient pas revêtus de la mention « personnel » et qu’ils avaient trait à l’activité professionnelle de leurs auteurs perdant ainsi leur caractère privé, la chambre sociale a estimé dans ces deux espèces que le licenciement était justifié. Il était constaté que l’employeur n’avait pas obtenu copie de ces courriels de manière déloyale ou n’avait pas ouvert lui-même la messagerie [13].
Il a également été posé comme principe que l’employeur pouvait également ouvrir la clef USB, dans la mesure où celle-ci est connectée à l’ordinateur du salarié (et toujours dans la mesure où les fichiers estampillés « personnel » ne sont pas visités) [14].
 
Une autre question était de savoir si l’employeur pouvait lire les SMS du salarié émis et reçus sur son téléphone mobile professionnel pour faire la preuve des agissements parasitaires d’une entreprise rivale (débauchage par un concurrent). Sans surprise, à l’instar de la jurisprudence établie concernant la lecture des e-mails du salarié sur un ordinateur professionnel, la chambre sociale de la Cour de cassation a estimé qu’à l’exclusion des SMS marqués « perso » ou « personnel », les autres messages échangés étaient accessibles à l’employeur [15].
 
 
L’usage de la vidéosurveillance
 
En matière de vidéosurveillance, le licenciement pour faute d’un salarié (en l’occurrence pour vol) dont le comportement a été constaté au moyen d’un système de vidéosurveillance assurant la sécurité du magasin a été validé. Cette appréciation s’appuie sur le fait que précisément ce système interne avait été mis en place non pour contrôler le personnel, mais pour assurer la sécurité de l’espace commercial [16] .
 
À l’inverse, dans une décision du 3 janvier 2013, la CNIL [17] a sanctionné le titulaire d’un système de surveillance par vidéo jugé trop intrusif dans le contrôle des salariés. En l’espèce, le box des agents de sécurité d’un immeuble était sous « l’œil » permanent des caméras, ce qui portait atteinte à leur vie privée selon ces derniers. La CNIL a estimé que ce procédé disproportionné « en ce qu’il ne participait pas à la protection des occupants de l’immeuble (…) témoignait en réalité de la volonté du responsable de traitement de contrôler le travail du personnel de surveillance ».
 
Dans une autre affaire, la section chimie énergie Rhône-Alpes de la CFDT avait porté plainte contre un employeur au motif que ce dernier avait placé une caméra dissimulée dans un local syndical au sein de l’entreprise. Par jugement en date du 21 janvier 2014, le tribunal correctionnel de St Etienne a relaxé l’employeur dès lors que :
  1. le dispositif a été qualifié de « sommaire » (faible temps d’enregistrement),
  2. il a été placé dans un espace (un atelier) où de nombreux vols se sont produits et non dans le local syndical lui-même,
  3. les IRP en avaient été avisés.
 
 
Les fouilles en entreprise
 
S’agissant de fouilles au sein de l’entreprise, il a été jugé que : « eu égard aux restrictions qu’elle apporte aux droits des personnes et aux libertés individuelles, la vérification par la direction de l’entreprise des objets éventuellement emportés par les salariés ne peut être légalement prévu par le règlement intérieur que si celui-ci précise, d’une part, qu’il ne sera procédé à une telle vérification qu’en cas de nécessité, notamment à la suite de disparitions de matériel ou s’il existe des risques particuliers de vols dans l’entreprise, d’autre part, que le salarié sera averti de son droit de s’opposer à un tel contrôle et d’exiger la présence d’un témoin, enfin que ce contrôle sera effectué dans les conditions préservant la dignité et l’intimité de la personne » [18].
 
De même, dès lors que cette obligation est prévue en amont par le règlement intérieur, le port obligatoire d’un badge individuel par les salariés, indentifiable par des couleurs différentes donnant accès à des zones distinctes, ne contrevient pas à la liberté de la vie privée du personnel [19].
 
 
Filature et géolocalisation
 
Concernant la filature d’un salarié, ce mode opératoire utilisé frauduleusement par un employeur a été invalidé en regard du manque de loyauté de la constitution de la preuve et donc « insusceptible d’être justifiée, eu égard à son caractère disproportionné, par les intérêts légitimes de l’employeur » [20].
 
Plus récemment, il a cependant été jugé par ailleurs que les conclusions issues d’une filature d’un salarié démontrant une faute professionnelle effectuée pendant son temps de travail – et dans la mesure où elle ne porte pas atteinte à sa vie privée – quand bien même cette enquête ne serait pas connue du salarié, sont recevables au titre des preuves licites produites devant le Conseil de Prud’hommes. Au cas d’espèce, la Chambre sociale de la Cour de cassation a estimé que « le contrôle de l’activité d’un salarié, au temps et au lieu de travail, par un service interne à l’entreprise chargé de cette mission ne constitue pas, en soi, même en l’absence d’information préalable du salarié, un mode de preuve illicite » [21].
 
En matière de géolocalisation, la Cour d’appel de Lyon, dans un arrêt en date du 13 mars 2013, a estimé que le relevé des déplacements d’un salarié, obtenu au moyen d’un système de géolocalisation mise en place dans un but purement commercial, ne pouvait servir à la démonstration de la faute du salarié, dans le but de le licencier. Sur le sujet, la CNIL a récemment actualisé sa position et les obligations des entreprises par une délibération du 4 juin 2015 [22].
 
Enfin, si l’utilisation de la biométrie n’est pas sanctionnée en tant que telle, en revanche un employeur ne peut l’utiliser pour contrôler les horaires de travail de ses salariés. La CNIL [23] estime en effet qu’il doit y avoir, comme pour toute mesure interne de surveillance en définitive, une proportionnalité du dispositif au regard de la finalité recherchée. C’est pourquoi, désormais, pour la CNIL, aucune autorisation délivrée par cette autorité ne permet de contrôler les horaires, toutefois le contrôle de l’accès à des locaux professionnels demeure reconnu.
 
 
La loi et les tribunaux ont ainsi contribué à bâtir un sanctuaire pour le salarié, au sein de l’entreprise.
 
Toutefois, il faut constater que désormais, et dans certaines circonstances exceptionnelles, et notamment à l’instar que celles que la France vit actuellement en matière de terrorisme, cet espace de liberté privatif soit réduit et soumis à des restrictions, voire à des ingérences, pour des motifs impérieux de sécurité et d’éthique ; que cette limitation soit en définitive consentie ou obligée. En cela, l’exception tend à devenir la règle.

 Par Olivier de MAISON ROUGE
Avocat – Docteur en droit
Dernier ouvrage paru « Survivre à la guerre économique. Manuel de résilience », VA Editions, 2020
 
[1] Le Monde, Ikea accusé d’espionner salariés et clients, 29/02/2012 ; Le Figaro, Ikea aurait espionné ses salariés et clients, 29/02/2012 ; Le Monde, Enquêtes illégales à l’embauche : Euro Disney renvoyé en correctionnelle 02/03/2012 ; Le Figaro, Les salariés sont de plus en plus surveillés, 01/03/2012
[2] CNIL délib. 20 sept. 2012 n° 2012-322
[3] Guide pour les employeurs et les salariés, CNIL, 2008.
[4] Dossier « La protection des données dans l’entreprise », In Cahiers de Droit de l’Entreprise, Juris-Classeur, n° 2, mars-avril 2010.
[5] Ca Dijon 2 déc. 2009, RG 09/002646 ; Cass. Soc. 18 juil. 2000, n° 98-43485.
[6] Cass. soc, 20 nov. 1991 n°4080 PF, Neocel / Spaeter : RJS 1/92 n°1
[7] Cass. soc., 14 mars 2000 n° 98-42.090 : RJS 4/00 n°386 ; Cass. soc., 15 mai 2001 n° 99-42.937 : Bull. civ. V n° 168 ; Cass. soc., 8 oct. 2014, n° 13-14991
[8] Cass. Soc. 21 oct. 2009, n° 07-43877, où un salarié a été condamné pour avoir constitué une entreprise concurrente à celle de son employeur. La preuve de cette activité déloyale a été retrouvée dans un fichier dédié sur l’ordinateur mis à disposition par l’entreprise lésée. Cass. Soc. 15 déc. 2009, n° 07-44264 : où l’employeur avait pu contrôler des actes de dénigrement par le salarié.
[9] Article 226-15 du Code pénal, réprimant d’un an de prison et de 45.000 € au plus.
[10] Cass. Soc. 2 oct. 2001, n° 99-42942 ; Cass. Soc. 12 oct. 2004, n° 02-40392.
[11] Cass. Soc. 23 mai 2007, n° 05-17818 ; Cass. Soc. 10 juin 2008, n° 06-19229.
[12] Guide pour les employeurs et les salariés, CNIL, 2008 ; Cass. soc, 18 oct. 2006, n° 04-47400 et 04-48025 BC V n° 308 ; Cass. Soc. 30 mai 2007, n° 05-43102.
[13] Cass. soc., 2 févr. 2011 n° 09-72313 et n° 09-72450
[14] Cass. Soc., 12 février 2013, n° 11-28649
[15] Cass. soc., 10 févr. 2015 n° 13-14779
[16] Cass. soc., 26 juin 2013, n° 12-16.564
[17] Dans le cadre des missions de contrôle de la CNIL, après une inspection et plusieurs manquements constatés, l’entreprise visée n’ayant pas corrigé certaines irrégularités relevées, notamment en matière de proportionnalité compte tenu de la violation de l’espace privé des salariés, elle s’est vue infligée une sanction de 5.000 € (CNIL, délib. n° 2014-307, 17 juill. 2014).
[18] CE 11 juil. 1990 : JCP E 1990, II, 15884, p. 609, n° 2, obs. Dugrip O.
[19] CE 29 déc. 1995 : Dr. Social 1996, 394, concl. Maugüé c.
[20] Cass. soc., 26 nov. 2002, Bull. 2002 pourvoi n° 00-42.401
[21] Cass. soc., 5 nov. 2014, n° 13.18427
[22] CNIL Délib. n° 2015-165 du 4 juin 2015
[23] CNIL délib. N° 2012-322, 20 sept. 2012