Le contrôle de l’utilisation du matériel et des NTIC de l’entreprise

Fiche pratique
RH Surveillance des salariés

L’employeur peut contrôler, sous certaines conditions, l’utilisation faite par les salariés du matériel informatique ou des NTIC de l’entreprise. Pour cela, il doit, au préalable, préciser les règles et modalités de contrôle dans le règlement intérieur.

Publié le
Mis à jour le
Télécharger en PDF

L’employeur peut contrôler, sous certaines conditions, l’utilisation faite par les salariés du matériel informatique ou des NTIC de l’entreprise. Pour cela, il doit, au préalable, préciser les règles et modalités de contrôle dans le règlement intérieur de l’entreprise, en informer les salariés et consulter les représentants du personnel. De plus dès lors que le dispositif de contrôle inclut un traitement automatisé des données personnelles, l’entreprise doit être en conformité avec le RGPD (règlement général de protection des données).

Comment contrôler l’utilisation du matériel informatique professionnel ?

  • L’utilisation du matériel informatique professionnel :

L’employeur a le droit d’accéder au matériel informatique mis à disposition des salariés et de consulter les fichiers de l’ordinateur professionnel d’un salarié, à l’exception des documents identifiés comme personnels par le salarié, par une mention spécifique telle que « personnel », « privé » ou « perso ».

L’employeur peut également consulter l’agenda électronique d’un salarié disponible sur son ordinateur professionnel dès lors que les éléments n’ont pas été identifiés comme étant personnels. Cass. soc., 09/11/2022, n° 20-18.922.

En revanche, les mentions « mes documents », « confidentiel », « prénom du salarié » ne valent pas une identification de fichiers personnels. Cass. soc., 08/12/09, n° 08-44.840 ; Cass. soc., 21/10/09, n° 07-43.877.

La Cour Européenne des Droits de l’Homme et la Cour de Cassation estiment également que la dénomination donnée au disque dur lui-même ne peut pas conférer un caractère personnel à l'ensemble des éléments contenus dans celui-ci. Un salarié ne peut en effet pas utiliser l’intégralité du disque dur de son ordinateur professionnel, censé enregistrer des données professionnelles, pour un usage privé. CEDH, 22 février 2018, n° 588/13.

Attention : La jurisprudence considère que le téléchargement de fichiers personnels volumineux par un salarié sur son ordinateur portable professionnel ne constitue ni une faute grave ni une cause réelle et sérieuse de licenciement. Cass. soc., 25/10/17, n° 16-11.173.

  • Le contrôle des connexions internet :

La CNIL estime que l’employeur ne peut pas interdire de manière générale et absolue l’utilisation du matériel informatique professionnel à des fins personnelles. L’utilisation de ce matériel à des fins personnelles doit être raisonnable et ne concerner que des sites dont le contenu n’est pas contraire à l’ordre public et aux bonnes mœurs.

Les connexions à internet étant présumées avoir un caractère professionnel, l’employeur peut les consulter (historique, favoris, etc…). Cass. soc., 09/07/08, n° 06-45.800 ; Cass. soc., 09/02/10, n° 08-45.253.

Les connexions internet à des fins personnelles peuvent être sanctionnées par l’employeur si elles sont abusives ; elles peuvent constituer une faute grave justifiant un licenciement. La jurisprudence estime par exemple que des connexions à des fins non professionnelles durant 41 heures par mois sont abusives. Cass. soc., 18/03/09, n° 07-44.247 ; Cass. soc., 26/02/13, n° 11-27.372 ; Cass. soc., 18/12/13, n° 12-17.832.

L’employeur qui licencie un salarié pour une utilisation excessive d’Internet à des fins personnelles doit toutefois s’assurer qu’il est bien l’auteur de ces connexions. Cass. soc., 03/10/18, n° 16-23.968.

De même, la connexion à des sites pornographiques pendant les heures de travail sur l’ordinateur professionnel justifie un licenciement pour faute grave. Cass. soc., 10/05/12, n° 10-28.585.

L’employeur ne peut en revanche pas sanctionner l’envoi de tweets non professionnels durant le temps de travail dès lors que le temps consacré est peu important (4 minutes par jour). CA Chambéry, 25/02/16, n° 15.01264.

Le règlement intérieur de l’entreprise peut interdire les échanges d’e-mails personnels durant le temps de travail. CEDH, 12/01/16, n° 61496/08.

  • Le contrôle des e-mails envoyés et reçus :

L’employeur peut consulter les e-mails reçus sur la boîte électronique professionnelle du salarié, à l’exception des e-mails identifiés comme « personnels ». Cass. soc., 26/06/12, n° 11-15.310.

En revanche, en application du principe du secret des correspondances, l’employeur n’a pas le droit d’accéder aux e-mails envoyés et reçus de la boîte électronique personnelle du salarié, même s’ils ont été rédigés sur l’ordinateur professionnel. Cass. soc., 26/01/16, n° 14-15.360.

En pratique, il est souvent rédigé une charte informatique afin de rappeler les règles applicables en la matière et tolérances éventuelles dans l’entreprise.

La Cour Européenne des Droits de l'Homme (CEDH) estime que la lecture par l'employeur des échanges privés du salarié sur sa messagerie professionnelle constitue une violation de son droit à la vie privée dès lors qu'il n'a pas été averti de la surveillance mise en place par l'employeur. CEDH, 05/09/17, n° 61496/08.

Le salarié qui consulte les e-mails personnels d’un collègue sans son autorisation peut être sanctionné. En effet, son comportement constitue une violation de ses obligations découlant de son contrat de travail. Il s’agit d’une méconnaissance de son obligation de loyauté découlant de son contrat de travail. Ce comportement est susceptible de faire l’objet d’une sanction disciplinaire qui peut aller jusqu’au licenciement pour faute grave, même s’il commet les faits fautifs en dehors de son temps et lieu de travail. CE, 4ème et 1ère ch. réunies, 10 juillet 2019, n° 408644.

De même, la jurisprudence considère que l’employeur ne peut pas consulter les conversations d’un salarié sur une messagerie instantanée personnelle sans méconnaître le secret des correspondances. Cass. Soc., 23/10/19, n° 17-28.448.

Comment contrôler l’utilisation des téléphones professionnels ?

  • La surveillance des téléphones professionnels :

Afin de limiter voire sanctionner les abus liés à l’utilisation des lignes téléphoniques fixes de l’entreprise, l’employeur peut effectuer des relevés de la durée, du coût et des numéros des appels passés à partir de chaque poste, en occultant les 4 derniers chiffres des numéros.

Il peut également consulter les SMS reçus sur le téléphone portable professionnel d’un salarié, dès lors qu’ils n’ont pas été identifiés comme « personnels » par le salarié dans leur objet. Cass. com, 10/02/15, n° 13-14.779.

Attention toutefois : L’employeur qui consulte la messagerie personnelle que le salarié a installée sur son téléphone professionnel commet le délit de violation du secret des correspondances privées électroniques.

Le fait que le règlement intérieur de l’entreprise interdise l’usage personnel du téléphone professionnel et que le salarié ait enfreint cette règle en y installant sa messagerie personnelle, ne permet pas d’exonérer l’employeur de son obligation de respecter le secret des correspondances personnelles.

Peu importe aussi que le salarié n’identifie pas sa messagerie comme personnelle dans la mesure où il échange les courriels en cause sur une adresse électronique personnelle distincte de l’adresse professionnelle qui lui est attribuée pour exercer son activité professionnelle. Cela suffit à identifier la messagerie comme personnelle, ainsi couverte par le secret des correspondances qui y sont échangées. Cass. crim., 24/03/20, n° 19-82.069.

  • Les écoutes téléphoniques :

Compte tenu des risques d’atteinte à la vie privée, l’employeur n’a pas le droit d’écouter les conversations téléphoniques des salariés, sauf ponctuellement et à des fins de formation ou d’évaluation (mesures de la qualité par exemple).

Il doit alors, avant la mise en place du dispositif d’écoute ou d’enregistrement :

  • Informer, par tout moyen, les salariés.
  • Consulter les représentants du personnel : le CSE.

Attention : Il est interdit d’écouter ou enregistrer les lignes téléphoniques utilisées par les représentants du personnel.

Au regard de la jurisprudence de la Cour de cassation en matière sociale, les salariés doivent être informés des périodes pendant lesquelles ils sont susceptibles d’être écoutés ou enregistrés, par exemple dans le cadre d'enregistrements ou d'écoutes à des fins de formation ou d'évaluation.

Les interlocuteurs doivent également être informés de leur droit d’opposition avant la fin de la conversation téléphonique, afin d’être en mesure d’exercer ce droit.

L’information des interlocuteurs s’effectue en deux temps :

  • mention orale en début de conversation sur l’existence du dispositif, la finalité poursuivie, la possibilité de s’y opposer,
  • renvoi vers un site Internet (et un onglet « mentions légales » par exemple) ou une touche « mentions légales » sur le téléphone pour obtenir une information exhaustive.

L’information obligatoire des salariés

Avant la mise en place d’un dispositif de contrôle permettant le traitement de données personnelles, l’employeur est tenu d’informer les salariés :

  • des finalités poursuivies,
  • de la base légale du dispositif (obligation issue du code du travail par exemple, ou intérêt légitime de l’employeur),
  • de l’identité du responsable de traitement,
  • des destinataires des données,
  • de la durée de conservation des données,
  • de leur droit d’opposition pour motif légitime,
  • de leurs droits d’accès et de rectification,
  • de la possibilité d’introduire une réclamation auprès de la CNIL.

Il doit également :

  • Faire intervenir le Délégué à la protection des données (DPO) s’il existe dans l’entreprise ;
  • Inscrire les différents systèmes de contrôle au registre des activités de traitement.

Règlement UE n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).