Peut-on utiliser son PC au travail pour surfer sur Internet ou s'envoyer des mails privés? L'employeur peut-il contrôler vos mails ou les sites que vous visitez ? Peut-il tout interdire? Comment l'employeur peut-il contrôler son réseau informatique et pourquoi faire ? Que peut-il contrôler au juste ?

Entre le légitime souci des employeurs pour la sécurité de leur réseaux et de leurs données, leur volonté de maintenir le niveau de productivité, et le légitime souci des travailleurs de ne pas voir leur patron empiéter sur les moments de vie privée qui émaillent inévitablement une journée de travail, la conciliation n’est pas toujours facile.

Certains employeurs pensaient résoudre la question en décrétant que le matériel étant professionnel et le temps de travail destiné au travail, il n'y a pas de place pour les communications privées.

Certains ont décidé de ne pas décider jusqu'au moment où des cas d'abus réels ou supposés les ont poussés à vouloir "faire un exemple". Certains tribunaux les ont cassés…

D'autres ont entrepris de filtrer les données grâce à des logiciels destinés à cet effet (blocage de sites peu recommandables, filtrage selon les expéditeurs, blocage des mails contenant des photos dénudées, blocage de téléchargement de fichiers programmes susceptibles de contenir des virus, etc.

Malgré l'existence d'une batterie de textes légaux sur le respect de la vie privée :

• La Constitution (art. 22, droit à la vie privée)
• la Convention européenne des Droits de l’Homme (art. 8)
• le Traité International en matière de droits civils et politiques
• le Code Pénal (art. 314 bis) : Sera puni d'un emprisonnement de 6 mois à un an toute personne qui place sous écoute des conversations privées ou des télécommunications sans l’accord des personnes concernées"
• la loi du 21 mars 1991, la fameuse «loi Belgacom» qui interdit toute interception de communication "Sous réserve de l’autorisation de toutes les autres personnes directement ou indirectement concernées" (Art. 109ter D)
• la loi du 8 décembre 1992 portant sur la protection des données à caractère personnel
• la CCT n° 68 à propos de la vidéosurveillance sur le lieu de travail: fixe le cadre et la durée du contrôle de l’utilisation de caméras ,

la justice répondait tantôt noir, tantôt blanc à la question de savoir si un employeur pouvait ou non surveiller les courriers électroniques de ses employés ou se baser sur leur contenu pour prendre une sanction.

Bref, dans l'incertitude juridique, employeurs et représentants des travailleurs ont préféré se mettre autour de la table au Conseil National du Travail pour trouver le juste milieu entre les droits des uns et des autres

C'est ainsi que fut conclue CNT le 26 avril 2002 la Convention collective de travail n° 81 "relative à la protection de la vie privée des travailleurs à l'égard du contrôle des données de communication électronique en réseau" qui indique la marche à suivre dans le respect de la législation existante.

Cette convention définit la manière dont doivent être appliqués dans le cadre des relations de travail les principes de finalité, de proportionnalité et de transparence contenus dans la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel.

Cela signifie que le but (finalité) des contrôles doit être celui qui a été annoncé (transparence). Le contrôle ne devra pas être disproportionné (proportionnalité) par rapport au but poursuivi ; il devra revêtir un caractère adéquat, pertinent et non excessif.

Ce texte repose sur les principes suivants :

• il s’inscrit dans le cadre des réglementations existantes relatives à la protection de la vie privée qu’elle ne fait que modaliser.
• il exclut de son champ d’application les activités syndicales ;
• il oblige l'employeur à informer préalablement de la mise en place d'un contrôle
  • · collectivement via le Conseil d'Entreprise (ou à défaut le CPPT ou à défaut les travailleurs) d’une part.Cette information doit expliquer le pourquoi (les finalités) et le comment, le caractère permanent ou non, le lieu de stockage des données, etc.
  • · et chaque travailleur individuellement (par voie d' affichage, de circulaire, règlement de travail, dans le contrat de travail ou par un écran lors de l'utilisation du PC ou du programme).

L'information doit porter sur les règles d'utilisation de l'outil informatique, les droits, devoirs, interdictions et sanctions possibles.

• il prévoit en tout et pour tout quatre finalités de contrôle dont est exclu le contrôle du travail du travailleur proprement dit; la surveillance secrète tombe sous le coup du code pénal.

Ces finalités sont :

1. la prévention de faits illicites ou diffamatoires, de faits contraires aux bonnes mœurs ou susceptibles de porter atteinte à la dignité d’autrui. Sont visés ici les actes de piratage de données confidentielles (personnelles, médicales) ou la consultation de sites à caractère pornographique, pédophile, racistes, etc.
2. la protection des intérêts économiques, commerciaux et financiers de l’entreprise auxquels est attaché un caractère de confidentialité ainsi que la lutte contre les pratiques contraires;
3. la sécurité et/ou le bon fonctionnement technique des systèmes informatiques en réseau de l’entreprise, en ce compris le contrôle des coûts y afférents, ainsi que la protection physique des installations de l'entreprise;
4. le respect de bonne foi des principes et règles d’utilisation des technologies en réseau fixés dans l’entreprise;

Les procédures

Si l'employeur constate des anomalies, il peut alors tenter d'en individualiser la cause.

1. Dans cadre de la procédure directe si l'anomalie relève des trois premières finalités définies plus haut (faits illicites, pornographie, données confidentielles, sécurité du réseau)
2. Dans le cadre de la procédure indirecte s'il s'agit d'une mauvaise utilisation de l'outil informatique.

Cette procédure se fait en 3 étapes:

• a. Information préalable
  • L’employeur, préalablement à l’individualisation des données, informe les travailleurs:
  • - de l’existence de la ou des anomalies;
  • - que, dans le cas où la ou les anomalies devraient se reproduire, l’employeur se réserve le droit d’opérer un contrôle individualisé afin d’identifier le(s) responsable(s).
    
• b. Contrôle individualisé
  En cas de détection d’une nouvelle anomalie, l’employeur peut réaliser le contrôle individualisé.
  
• c. Procédure contradictoire
  L’employeur, dans le cadre d’une procédure contradictoire, laisse au travailleur ainsi identifié la possibilité de s’expliquer sur l’utilisation faite par lui de l’outil avant de prendre une éventuelle sanction.

Contrôler quoi?

Selon l'article 6, le contrôle des données de communication électroniques en réseau ne peut, par principe, entraîner une ingérence dans la vie privée du travailleur. Si toutefois ce contrôle entraîne une ingérence dans la vie privée du travailleur, cette ingérence doit être réduite à un minimum.

Concrètement,

• Internet : l'employeur ne peut collecter que les données de communication électroniques en réseau qui sont nécessaires au contrôle, Pratiquement ceci signifie, par exemple, que le contrôle peut viser la durée de connexion par poste de travail et non l'individualisation par travailleur des sites consultés.
  
• courrier électronique : la collecte de données concernerait le nombre et le volume des courriers sortants par poste de travail et non l'identification du travailleur qui les transmet, ce qui exclut en particulier de consulter le contenu des communications sans l’accord préalable du travailleur concerné (l'objet d'un message électronique peut toutefois être consulté).

 

Cette CCT constitue un minimum à atteindre ou à dépasser, lorsque rien n’existe dans le secteur ou l’entreprise ;

Le texte complet de la CCT et disponible sur le site www.cnt-nar.be

La FGTB a édité une brochure consacrée exclusivement à ce sujet. Elle est téléchargeable sur le site http://www.fgtb.be/ (Documents/2002) .