Un e-mail est donc une correspondance privée justifiant l'application des dispositions légales relatives à la protection de la vie privée. La protection du secret de la correspondance est prévue dans l'article 226-15 du nouveau Code pénal qui punit outre la violation de la correspondance postale, "le fait, commis de mauvaise foi, d'intercépter, de détourner, d'utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie de télécommunications".

Les recommandations de la CNIL :

  • prônent la transparence, la loyauté et la nécessité de trouver un équilibre entre "le droit de l'employeur à connaître ce qui est nécessaire à l'exercice de sa fonction dirigeante et le droit du salarié à protéger sa vie privée",
  • dénoncent certaines chartes d'entreprise cumulant "sans souci de pédagogie, les prohibitions de toute sorte" et se contentant d'aviser de la mise en place "d'un véritable arsenal de surveillance et de conservation pendant de longues durées des données de connexions permettant l'identification des agissements des salariés".
    • (Rapport relatif à la cybersurveillance sur les lieux de travail, février 2002)
  • proposent l'instauration d'un dialogue entre les entreprises et les représentants de leur personnel sur les conditions d'usage de la messagerie, la mise en place d'un bilan annuel "Informatique et Libertés" et la désignation d'un délégué à la protection des données et l'usage des nouvelles technologies. (Cybersurveillance au bureau : pour un juste équilibre employés-employeur, L'internaute, 12/02/2002)

Responsabilités respectives des salariés et des employeurs

Informer les salariés de l'emploi de modes de contrôle et de surveillance ne vaut pas autorisation pour l'employeur à les mettre en oeuvre. En effet, la légalité des contrôles pratiqués dans les entreprises (contrôle des connexions à Internet et à la messagerie) dépend du respect par l'employeur de quatre conditions :

  • la preuve fournie par les enregistrements est illicite si les salariés n'ont pas été informés des controles pratiqués,
  • le comité d'entreprise doit avoir été préalablement consulté,
  • les contrôles susceptibles d'être pratiqués doivent faire l'objet d'une déclaration auprès de la CNIL,
  • l'employeur doit respecter le principe de proportionnalité (article L 120-2 du code du Travail), c'est-à-dire que l'employeur ne peut prendre connaissance d'un fichier intitulé "Personnel" sans abuser de son pouvoir et doit reconnaitre à ses employés le droit, même au temps et lieu de travail, au respect de l'intimité de sa vie privée.

La préoccupation sécuritaire des entreprises peut donc justifier le contrôle a posteriori des messageries, à condition, selon la CNIL, "qu'il soit raisonnable et que les salariés en soient informés". Par ailleurs, pour Jean-Emmanuel Ray, professeur de droit, "l'employeur a non seulement le droit, mais le devoir, de surveiller ses salariés" (La cybersurveillance revue et corrigée, Les Echos, 18/02/2002). Sa responsabilité peut être engagée:

  • en cas d'utilisation pénalement illicite de la messagerie : rapatriement d'images à caractère pédophile sur le réseau interne depuis l'Internet, diffusion d'images sensibles, interdites, à caractère racial ou touchant les moeurs des personnes, portant atteinte à la vie privée ou à la considération, harcèlement sexuel, téléchargement de logiciel sans licence d'utilisation...,
  • lorsque l'e-mail contient un virus portant atteinte à la sécurité du réseau,
  • lorsqu'un message sortant contient des informations confidentielles touchant aux secrets de l'entreprise.
men.minefi.gouv.fr