L’ordinateur de chaque salarié doit être sécurisé : la procédure à suivre

L’ordinateur de chaque salarié doit être sécurisé : la procédure à suivre.

Dans deux arrêts (CA Aix-en-Provence 8-7-2016 n° 14/11313, 9e ch. A CA Nîmes 26-7-2016 n° 15/04114, ch. soc.) les sanctions des salariés pour des faits de connexions internet abusives n’ont pas été validées car les ordinateurs n’étaient pas suffisamment sécurisés.

Au préalable, il faut rappeler que l’employeur peut contrôler librement l’utilisation d’internet par ses salariés.

Les connexions réalisées par un salarié sur des sites internet grâce à l’outil informatique mis à sa disposition par l’entreprise pour l’exécution de son travail sont présumées avoir un caractère professionnel, de sorte que l’employeur peut les rechercher aux fins de les identifier, hors de la présence de l’intéressé (Cass. soc. 9-7-2008 n° 06-45.800 F-P). 

Toutefois, la question de l’imputabilité au salarié d’un usage abusif de l’ordinateur de l’entreprise peut soulever des difficultés pour les connexions internet en particulier. Si le salarié nie avoir réalisé les connexions internet abusives à des fins personnelles qui lui sont reprochées, l’employeur peut être confronté à une difficulté de preuve. Tel était le cas en l’espèce.

Devant la cour d’appel de Nîmes, le salarié contestait être l’auteur des nombreuses connexions sur des sites internet sans rapport avec son activité professionnelle, et notamment des sites pornographiques.

Les juges du fond relèvent :

  • que l’employeur n’avait adopté aucune charte informatique,
  • que l’ordinateur à partir duquel les connexions litigieuses avaient eu lieu était en libre accès et non protégé par un mot de passe
  • que cet ordinateur était situé dans une pièce à laquelle pouvaient accéder tous les salariés disposant d’un passe.

La preuve formelle que le salarié concerné était bien l’auteur de ces connexions abusives n’étant pas rapportée la sanction est annulée.

C’est une solution similaire que retient la cour d’appel d’Aix-en-Provence :

  • les codes d’accès aux ordinateurs de l’entreprise étaient uniquement composés des initiales de leurs utilisateurs habituels
  • les doubles des clés de l’ensemble des bureaux étaient accessibles à tous, de sorte que, n’importe quel salarié pouvait avoir accès au poste informatique de l’intéressé.

Conclusion : il est impératif de sécuriser les ordinateurs des salariés. Voici la procédure à suivre :

  • Mettre un mot de passe de 8 caractères avec chiffres, lettres, majuscules et minuscules : la CNIL a notamment considéré que une suite de 5 caractères qui correspond au prénom ou nom de famille et inchangée depuis longtemps n’est pas suffisant (Délibération Cnil 2013-139 du 30 mai 2013).
  • Le changer régulièrement : la CNIL recommande 3 mois mais cela nous semble difficile. Une fois par an parait suffisant.
  • Mécanisme de verrouillage systématique des postes informatiques au-delà d’une courte période de veille.
  • Interdiction aux salariés de divulguer leurs identifiants et mots de passe à leurs collègues de travail.
  • Tout ceci via le règlement intérieur par une charte informatique intégrée.

 

Benjamin Louzier
Avocat Associé

Laisser un commentaire