Droit de l'informatique en France - Définition
La liste des auteurs de cet article est disponible ici.
Introduction
On peut regrouper sous l'expression droit de l'informatique l'ensemble des dispositions normatives ou jurisprudentielles relatives aux nouvelles technologies de l'information et de la communication (NTIC).
On ne peut toutefois pas le décrire comme une unité organique telle que le droit civil ou le droit commercial. À cause de la diffusion de l'informatique dans un grand nombre d'activités aussi bien professionnelles que privées, ce droit consiste plutôt en modifications, parfois substantielles (droit de la communication portant sur les usages de l'information), parfois mineures, d'un grand nombre de domaines existants du droit.
Histoire
Pour bien comprendre le droit de l'informatique, il faut remonter à la préhistoire de l'informatique, c'est-à-dire à la mécanographie.
Mécanographie : le brevet
L'inventeur de la mécanographie fut un Américain d'origine allemande, Herman Hollerith. Celui-ci avait été employé pour le recensement américain de 1880. Employé au bureau américain des brevets, il eut l'idée de développer un procédé permettant d'automatiser le recensement, et fit déposer un brevet pour la carte perforée.
Dans les années 1930, IBM acheta les brevets de la carte Hollerith à la Tabulating Machine Company. Bull travaillait également avec des brevets.
Le système de brevet fut le seul moyen de protéger les inventions dans la mécanographie jusqu’à la Seconde Guerre mondiale.
Informatique : diversification du droit
L'informatique naquit dans l'immédiat après-guerre aux États-Unis. En Europe, elle n'apparut que vers la fin des années 1950, une fois l'essentiel de la reconstruction effectué.
Lorsque les logiciels apparurent dans les années 1960, l'office américain des brevets (USPTO) ne reconnut pas les brevets logiciels. En Europe, quelques brevets logiciels furent accordés. Voir : brevetabilité du logiciel.
Les problèmes de respect des libertés individuelles furent en France à l'origine de la loi informatique et libertés, en 1978, donnant alors naissance à la Commission nationale de l'informatique et des libertés (CNIL). Cette loi constitue la source juridique du droit dans le domaine informatique dans ce pays. Il n'y a pas en France de code de l'informatique.
En général, les logiciels furent couverts par le droit d'auteur.
Utilisation des ressources informatiques
L'ordinateur n'est pas un outil de travail comme les autres. Omniprésent dans les tâches quotidiennes pour de nombreux employés, il constitue pour eux un élément essentiel cadre de travail à l'intérieur de l'entreprise. À ce titre se posent des questions relatives à la protection de la « sphère privée » du salarié, du contrôle de ses activités par l'employeur et de la responsabilité de celui-ci par rapport à l'utilisation que son employé peut faire des outils informatiques.
Contrôle par l'employeur de l'utilisation des ressources informatiques
En France, les nouvelles technologies ont conduit le législateur, le juge et la CNIL, autorité de régulation, à redéfinir la séparation entre vie privée et sphère professionnelle afin de préciser jusqu'où va la liberté de l'employé sur son lieu de travail et où doit s'arrêter l'action de contrôle de l'employeur. Toute activité de l'employé effectuée sur son lieu de travail ou avec les outils mis à disposition par son employeur ne relève pas, en effet, de la sphère professionnelle.
Principes généraux
La Cour de cassation a, par son arrêt « Nikon » du 2 octobre 2001, étendu la notion de vie privée en l'appliquant à l'environnement professionnel par une décision de principe : « le salarié a droit, même au temps et au lieu de travail, au respect de l'intimité de sa vie privée », ce qui implique en particulier le droit au respect du secret des correspondances.
La CNIL, quant à elle, suivie par le législateur, a déclaré que l'employeur ne peut mettre en place un dispositif de contrôle sans avoir au préalable averti les employés susceptibles d'y être soumis . Ainsi, les enregistrements d'une caméra de vidéo-surveillance ne peuvent être utilisés comme moyen de preuve envers un salarié qui n'a pas été informé au préalable de l'existence de ce dispositif. Ce principe trouve à présent de nouvelles applications dans l'informatique : mise en réseau des machines, numérisation des contenus, stockage des informations sur des disques durs ou des bandes magnétiques de sauvegarde facilitent la mise en place de dispositifs de cyber-surveillance particulièrement puissants.
Un autre principe est celui de la discussion collective. L'employeur doit consulter le comité d'entreprise sur l'introduction de toute technique « permettant un contrôle de l'activité des salariés ».
En supplément, l'employeur est soumis à une obligation de proportionnalité : quand bien même il aurait respecté les obligations d'information préalable et de discussion avec le comité d'entreprise, il ne peut mettre en œuvre des dispositifs qui restreindraient de manière abusive le droit des employés au respect de leur vie privée, principe posé par l'article 9 du Code civil.
Utilisation d'Internet
Internet est devenu un outil de travail courant dans de nombreuses entreprises et organisations, au point que son interdiction pure et simple par l'employeur ne semble guère possible. La CNIL admet ainsi qu'« une interdiction générale et absolue de toute utilisation d'Internet à des fins autres que professionnelles ne paraît pas réaliste dans une société de l'information et de la communication, et semble disproportionnée au regard des textes applicables et de leur interprétation par la jurisprudence ». Or, la nature même d'Internet rend possible son utilisation à des fins personnelles et non professionnelles.
Cependant le 9 juillet 2008, la Cour de Cassation a rendu une solution selon laquelle toutes les connexions internet effectuées par un salarié depuis son poste et durant ses horaires de travail sont présumées avoir un caractère professionnel.
L'employeur peut fixer dans une charte les conditions et les limites d'une telle utilisation d'Internet. Il peut par exemple filtrer certains sites à condition d'avertir les employés et de consulter le comité d'entreprise. S'il met en place un dispositif permettant de collecter des données de connexion pour chaque poste, il doit déclarer ce traitement auprès de la CNIL, sauf si un correspondant informatique et libertés a été désigné.
L'utilisation d'Internet au bureau est vaste sujet, l'administrateur doit à la fois assurer la sécurité de son système d'information et à la fois respecter la confidentialité des personnes au nom du droit résiduaire de chaque employé. Comme il l'a été précisé plus haut, le DSI, RSSI ou administrateur doit respecter un certain nombre de lois, au risque de voir porter sa responsabilité pénale devant les tribunaux.
''''Dès que l'administrateur récolte d'une façon ou d'une autre des données à caractères personnels, il doit le faire dans le respect des 3 règles du code du travail précédemment évoquées :''''
- Principe de proportionnalité : Les données à caractère personnel ne peuvent être recueillies et traitées que pour un usage légitime et déterminé
- Principe de transparence : Aucune information concernant personnellement un salarié (…) ne peut être collectée par un dispositif qui n’a pas été porté préalablement à la connaissance du salarié
- Principe de discussion collective : Tout traitement informatique doit faire l’objet d’une information et consultation auprès du responsable du personnel et du comité d’entreprise.
L'administrateur doit également respecter la loi informatique et liberté : Cette loi prévoit que le traitement des données à caractères personnels doit être "non discriminatoire", "confidentiel" et sous la responsabilité du responsable du traitement qui doit déclarer tous types de données qu'il traite.
La loi sur la conservation des logs La nouvelle loi pour la lutte contre le terrorisme de Sarkozy précise que les entreprises doivent conserver les logs durant 1 an. C'est le cas de jurisprudence de la BNP Paribas, qui a été condamnée pour ne pas avoir été capable de fournir les logs demandés par réquisition judiciaire.
La charte Internet est une autre problématique... Elle est obligatoire lorsque le service informatique collecte des données à caractère personnel. (c'est-à-dire à peu près tout le temps aujourd'hui!). Elle a pour objectif de fixer les règles liées à l'utilisation de l'ensemble des ressources informatiques et doit obligatoirement autoriser un usage personnel de ces ressources sous peine d'être caduque. Un livre blanc a été publié sur tous ces sujets et recommandé par "Le monde informatique du 9 mars 2007" : [1]
La messagerie électronique
Selon la CNIL, « l'utilisation de la messagerie électronique pour envoyer ou recevoir, dans des proportions raisonnables, un message à caractère personnel correspond à un usage généralement et socialement admis ». La distinction entre message privé et message professionnel est importante, car l'employeur a la possibilité de prendre connaissance d'un message professionnel reçu par un employé, alors qu'il se rend coupable de violation du secret des correspondances s'il prend connaissance du contenu d'un message privé. Afin de faciliter la détection du caractère privé ou professionnel du message, on considère en général qu'il revêt un caractère professionnel, « sauf indication manifeste dans l'objet du message ou dans le nom du répertoire où il pourrait avoir été archivé par son destinataire ».
Les fichiers informatiques
Les fichiers informatiques constitués par un employé sur son lieu de travail sont présumés avoir un caractère professionnel depuis une décision de la Cour de cassation du 18 octobre 2006. L'employeur pourra donc y accéder librement, sauf si le salarié a clairement identifié ces fichiers comme personnels. Une manière simple de caractériser des fichiers comme privés est de les regrouper dans un répertoire dont le nom est « privé ». En ce cas, l'employeur ne pourra avoir accès à ces fichiers, sauf « en cas de risque ou évènement particulier », qu'en la présence de l'employé ou après l'avoir convoqué à cette fin. L'accord de l'employé n'est donc pas nécessaire, mais la « fouille » ne peut se faire sans qu'il soit informé.
Responsabilité de l'employeur du fait des activités de ses salariés sur Internet
Dans certains cas, l'employeur peut être responsable du fait des activités de ses employés sur Internet. D'après un arrêt de la cour d'appel d'Aix-en-Provence du 13 mars 2006, l'employeur est responsable de la faute commise par un salarié ayant créé un site personnel illicite en utilisant l'accès à Internet fourni par son entreprise. En l'occurrence, un salarié, que sa société avait autorisé dans une certaine mesure à utiliser Internet depuis son poste de travail, avait créé un site Internet dénigrant une autre entreprise. La responsabilité de l'employeur n'exclut pas la responsabilité du salarié lui-même (condamné en l'occurrence pour contrefaçon). L'employeur peut limiter sa responsabilité si il a mis en œuvre les moyens nécessaires pour éviter qu'une infraction se passe à l'intèrieur de sa société. Le premier rempart est bien entendu la charte Internet (pour en savoir plus le site Olfeo fait le point dessus : [2]), mais avec le cas de jurisprudence de Lucent Technologie où la société avait établi une Charte Internet dans les règles en autorisant une consultation "raisonnable" (recommandation de la CNIL) des sites Internet non professionnels. Pourtant Lucent s’est vu condamnée comme complice du salarié car elle n’avait pas mis en œuvre des moyens suffisants pour éviter les pratiques de son salarié, notamment à cause de cette « fenêtre » d’utilisation personnelle pourtant obligatoire. Les moyens nécessaires pour éviter de telle infraction residerai-t-elle dans la mise en place d'un outil de filtrage d'url ? En tout cas la CNIL, le recommande.
