Title: Le systme dinformation de lentreprise et le droit du travail
1Le système dinformation de lentreprise et le
droit du travail
2Evolution des techniques du droit
- 1970-1980 développement des systèmes
macro-informatiques. Loi française de 1978 et
Convention n 108 du Conseil de lEurope de 1981. - Début des années 80 développement de la
micro-informatique. Directive européenne de 1995. - Fin des années 90 Internet et intégration des
outils informatiques en réseaux. Nécessités de
nouvelles régulations.
CONSEQUENCES UN DEPLACEMENT DES RISQUES DE LA
CONSTITUTION DE GRANDS FICHIERS VERS LA
PROBLEMATIQUE DE LA GESTION DES TRACES
3Plan
I.-
II.-
III.-
IV.-
4I.- Notions générales sur le système
dinformation de lentreprise
5I.- Notions générales sur le système
dinformation de lentreprise
- A) Quest-ce quun système dinformation
6- Un système dinformation est un ensemble
organisé de ressources matériel, logiciel,
personnel, données, procédures permettant
dacquérir, de traiter, de stocker, de
communiquer des informations (sous forme de
données, textes, images, sons, etc.) dans des
organisations .
Robert Reix, Systèmes dinformation et management
des organisations, Vuibert, coll. Gestion, 2e
éd., 1998, p. 75.
7I.- Notions générales sur le système
dinformation de lentreprise
- A) Quest-ce quun système dinformation
1) La structure du système
8Le système dinformation de lentreprise
(approche organisationnelle)
RESSOURCES
COLLECTER linformation
TRAVAIL DES SALARIES (spécialistes ou
utilisateurs)
TRAITER linformation
P O U R
MATERIEL (machines, supports, etc.)
STOCKER linformation
LOGICIELS PROCEDURES (programmes, méthodes)
DIFFUSER linformation
DONNEES (textes, images, sons, etc.)
9I.- Notions générales sur le système
dinformation de lentreprise
- A) Quest-ce quun système dinformation
2) La finalité du système
10Les principes qui gouvernent le droit de
linformatique
- L'informatique doit être au service de chaque
citoyen. - Elle ne doit porter atteinte ni à l'identité
humaine, ni aux droits de l'homme, ni à la vie
privée, ni aux libertés individuelles ou
publiques. - (Loi n78-17 du 6 janvier 1978, art. 1)
11Le S.I. de lentreprise a pour finalité celle que
lon reconnaît à lentreprise
- Au plan économique,
- le système dinformation doit favoriser
lexpansion de lentreprise
- Au plan social, le système dinformation
- ne doit pas porter une atteinte injustifiée aux
droits fondamentaux des salariés - doit contribuer aux développements des relations
individuelles et collectives de travail.
12I.- Notions générales sur le système
dinformation de lentreprise
- B) Les différentes informations traitées
13I.- Notions générales sur le système
dinformation de lentreprise
- B) Les différentes informations traitées
1) Les informations inhérentes au système
14Traçage inhérent au système dinformation
- Le traçage par logiciel de work-flow
- Le traçage par le logiciel de surveillance du
réseau - Le traçage par le logiciel de télémaintenance des
postes de travail. - Le traçage par le pare-feu de lentreprise.
- Le traçage par les proxys.
- Le traçage par la messagerie.
- Le traçage par le poste de lutilisateur.
15La responsabilité de linformaticien
- Il est responsable pénalement (pour le juge
pénal, lordre de lemployeur nest ni une
contrainte, ni un cas de force majeure).
- Il peut être responsable civilement le
préposé condamné pénalement pour avoir
intentionnellement commis, fût-ce sur lordre du
commettant, une infraction portant préjudice à un
tiers, engage sa responsabilité civile à légard
de celui-ci (Ass. pl. 14 déc. 2001, Cousin )
16I.- Notions générales sur le système
dinformation de lentreprise
- B) Les différentes informations traitées
2) Les informations non inhérentes au système
17Quelques traitements automatisés dinformations
nominatives concernant le salarié
Banque
Banque
Répertoire national d'identification des
personnes physiques
PAIE
Enregistrement du n de SS pour les opérations
concernant les déclarations, les calculs de
cotisations et de versements destinés aux
organismes de protection sociale, de retraite et
de prévoyance.
PERSONNEL
Retraite
Licenciement
Embauche
18I.- Notions générales sur le système
dinformation de lentreprise
- B) Les différentes informations traitées
3) Le régime juridique applicable aux
informations traitées
19(No Transcript)
20Règles générales en cas de traitement automatisé
dinformations nominatives
Ou acte réglementaire précédé dun avis
conforme de la C.N.I.L. (Art. 15) ou déclaration
simplifiée de conformité (Art. 17)
21Le gardien la C.N.I.L.
22Les travaux de la C.N.I.L. en matière de
cybersurveillance des salariés
23Quest-ce quun traitement automatisé
dinformations nominatives
- Sont réputées nominatives au sens de la
présente loi les informations qui permettent,
sous quelque forme que ce soit, directement ou
non, l'identification des personnes physiques
auxquelles elles s'appliquent, que le traitement
soit effectué par une personne physique ou par
une personne morale. (Art. 4).
- Est dénommé traitement automatisé
d'informations nominatives au sens de la présente
loi tout ensemble d'opérations réalisées par des
moyens automatiques, relatif à la collecte,
l'enregistrement, l'élaboration, la modification,
la conservation et la destruction d'informations
nominatives ainsi que tout ensemble d'opérations
de même nature se rapportant à l'exploitation de
fichiers ou bases de données et notamment les
interconnexions ou rapprochements, consultations
ou communications d'informations nominatives.
(Art. 5).
24Code du travail articles 26 et 29 de la loi du
31 décembre 1992
- Art. L 121-8
- Aucune information concernant personnellement
un salarié ou un candidat à un emploi ne peut
être collectée par un dispositif qui n'a pas été
porté préalablement à la connaissance du salarié
ou du candidat à un emploi
- Art. L 432-2-1, al. 2 3
- Le comité dentreprise est aussi informé
préalablement à leur introduction dans
lentreprise, sur les traitements automatisés de
gestion du personnel et sur toute modification de
ceux-ci. - Le comité d'entreprise est informé et consulté,
préalablement à la décision de mise en cause dans
lentreprise, sur les moyens ou les techniques
permettant un contrôle de lactivité des
salariés.
25Un curieux bémol
- le fait pour une banque de mettre en place un
système d'exploitation intégrant un mode de
traçage permettant d'identifier les consultants
des comptes, ne peut être assimilé ni à la
collecte d'une information personnelle au sens de
l'article L. 121-8 du Code du travail (Cass.
soc. 18 juill. 2000).
26Quest-ce qui, dans le système dinformation,
relève de la loi de 1978 et du Code du travail ?
Moyens automatiques de collecte dinformations
nominatives
Logiciels dexploitation de fichiers
Bases de données
Ex. dispositif de contrôle individuel destiné à
produire, poste par poste, un relevé des durées
de connexion ou des sites visités (C.N.I.L.,
Rapport 2002, p. 10)
Ex. autocommutateur (Délibérations de la C.N.I.L.
18/09/84 20/12/94)
Ex. personnel, paie (Délibérations de la C.N.I.L.
18/06/85, 02/03/93 18/01/02)
27Régime du traçage selon la C.N.I.L.
L'emploi doutils de mesure de la fréquence ou de
la taille des fichiers transmis en pièce jointe
au message électronique ou encore des outils
d'archivage des messages échangés doit être
porté à la connaissance des salariés ainsi que la
durée de conservation du message sauvegardé
. (Rapport 2002, p. 11).
28Régime du traçage selon la C.N.I.L.
Les fichiers de journalisation des connexions
destinés à identifier et enregistrer toutes les
connexions ou tentatives de connexion à un
système automatisé d'informations constituent une
mesure de sécurité n'ont pas pour vocation
première le contrôle des utilisateurs. Ces
fichiers de journalisation lorsqu'ils sont
associés à un traitement automatisé
d'informations nominatives n'ont pas, en tant que
tels, à faire l'objet des formalités préalables
auprès de la CNIL. Afin de garantir ou de
renforcer l'obligation de sécurité, ils doivent
être portés à la connaissance de la CNIL au titre
des mesures de sécurités entourant le
fonctionnement du traitement principal dont ils
sont le corollaire. (Rapport 2002, p. 11).
29Régime du traçage selon la C.N.I.L.
En revanche, la mise en uvre d'un logiciel
d'analyse des différents journaux (applicatifs et
systèmes) permettant de collecter des
informations individuelles poste par poste
destiné à contrôler l'activité des utilisateurs,
doit être déclaré à la CNIL. Dans tous les cas de
figure, les utilisateurs doivent être informés de
la mise en place des systèmes de journalisation
et de la durée pendant laquelle les données de
connexion permettant d'identifier le poste ou
l'utilisateur s'étant connecté sont conservées ou
sauvegardés (Rapport 2002, p. 11).
30Débat autour de la distinction opérée par la
C.N.I.L.
- Sont soumis à la loi du 6 janvier 1978, les
dispositifs qui - permettent le traitement automatisé
dinformations nominatives - et
- ont pour objet de réaliser une surveillance de
lactivité de lutilisateur
- Sur quel fondement la C.N.I.L. ajoute-t-elle un
critère subjectif au critère objectif posé par la
loi? - Sur quels textes la C.N.I.L. fonde-t-elle
lobligation dinformer et de consulter les
institutions représentatives du personnel (Art. L
432-2-1, al. 3, C. trav. ?) et celle dinformer
les utilisateurs (Art. L 121-8 C. trav. ?). Mais
dans ce cas ne sagit-il pas dinformations
nominatives?
31De nouvelles armes pour lutter contre le
Léviathan informatique
32La réforme de la loi du 6/01/78
- Les raisons de la réforme
- En raison de lévolution technologique, des
millions de fichiers dentreprise échappent au
contrôle de la C.N.I.L. - Le droit français nest pas en conformité avec le
droit européen (Directive 95/46 du 24 octobre
1995). Ce dernier met sur un pied dégalité les
secteurs public et privé.
- Les objectifs de la réforme
- Extension au secteur privé de lexamen préalable
par lautorité de contrôle. - Extension des pouvoirs de la C.N.I.L. en matière
de contrôle a posteriori (pouvoirs
dinvestigations et dintervention). - Meilleure prise en compte des flux internationaux
en matière de données personnelles.
33La réforme de la loi du 6/01/78
Etat du projet de réforme (printemps 2002)
- Inspiration Rapport au Premier ministre établi
par la commission Braibant (1998). - Maintien de la loi du 6 janvier 1978 en raison de
son caractère symbolique. - Quel que soit le collecteur de données
personnelles, le principe est le régime de la
déclaration préalable et lexception le régime de
lautorisation préalable. - Renforcement des pouvoirs de la C.N.I.L. droit
de visite, pouvoir de prononcer des
avertissement, mises en demeure, injonctions et
sanctions pécuniaires. - Transferts de données hors de l'Union européenne
ne peuvent avoir lieu que si les Etats
non-membres assurent un niveau de protection
suffisant .
34Réforme du droit des télécommunications
- Larticle L 32-3-1 du Code des Postes et
Télécommunications prévoit que les opérateurs
de télécommunications sont tenus d'effacer ou
de rendre anonyme toute donnée relative à une
communication dès que celle-ci est achevée, sous
réserve des dispositions des II, III et IV.
Cependant, ces dernières autorisent la
conservations des données techniques pour les
besoins de - la recherche, de la constatation et de la
poursuite des infractions pénales - la facturation et du paiement des prestations de
télécommunications et ce jusqu'à la fin de la
période au cours de laquelle la facture peut être
également contestée ou des poursuites engagées
pour en obtenir le paiement - la commercialisation des services de
télécommunications de lopération, à condition
que lusager y consente.
- Le projet de loi sur la société de linformation
(LSI) - Principe deffacement les opérateurs de
télécommunications doivent effacer ou rendre
anonymes, dès que la communication est terminée,
toute donnée technique relative à cette
communication. Mais il y a des exceptions
facturation et paiement (prescription dun an)
recherche des infractions pénales.
35I.- Notions générales sur le système
dinformation de lentreprise
- C) La conservation des informations traitées
36La notion darchive
- les archives sont l'ensemble des documents,
quels que soient leur date, leur forme et leur
support matériel, produits ou reçus par toute
personne physique ou morale, et par tout service
ou organisme public ou privé, dans l'exercice de
leur activité (loi n 79-18 du 3 janvier 1979,
art. 1, al. 1).
37Larchivage électronique
Combinaison des règles de la loi du 6 janvier
1978, de la loi du 3 janvier 1979 et du droit de
la preuve
- I.- Conserver les documents en fonction des
délais planchers et du principe de finalité
Proxy
Cache
PAIE
Journal
COMPTABILITE
Courriel
PERSONNEL
Six mois (C.N.I.L., Rapport 2002, p. 17)
Par ex., le temps de la procédure dembauche pour
les candidats non retenus.
Par ex., 5 ans (art. L 143-3, al. 4, C. trav.).
Par ex., 10 ans (art. L 133-22 C. com.).
Pare-feu
38Larchivage électronique
La preuve informatique en matière disciplinaire
Début de téléchargements de MP3
Découverte de faute
Poursuites
Sanction
1/2/01
2/5/01
9/5/01
17/5/01
17/5/04
Durand
Durand
Durand
Casier disciplinaire
39Larchivage électronique
- II.- Assurer la traçabilité des données archivées
Comptabilité
Personnel
En cas de contestation, lemployeur doit pouvoir
fournir les sources du logiciel
dauthentification.
PAIE
40Larchivage électronique
- III.- Assurer la sécurité des données archivées
Comptabilité
Personnel
Toute personne ordonnant ou effectuant un
traitement d'informations nominatives s'engage de
ce fait, vis-à-vis des personnes concernées, à
prendre toutes précautions utiles afin de
préserver la sécurité des informations
(Art. 29, L. 6 janvier 1978)
PAIE
41II.- Lorganisation du système dinformation par
lemployeur
42II.- Lorganisation du système dinformation par
lemployeur
A) Les fondements de lappropriation par
lemployeur du système dinformation de
lentreprise
43Les fondements de lappropriation du système
dinformation par lemployeur
- Lemployeur peut invoquer
- Son droit de propriété
- Des droits contractuels
- La prévention de la responsabilité civile et
pénale
44II.- Lorganisation du système dinformation par
lemployeur
B) La réglementation du système dinformation de
lentreprise par lemployeur
45La nécessité dune charte dusage des ressources
informatiques (CURI)
- Nécessité pour la bonne gestion de lentreprise
(par exemple, cas du salarié qui envoie à des
milliers de collègues un courriel concernant un
véhicule mal garé !). - Nécessité pour ladaptation des rapports
collectifs de travail à la Société de
linformation.
- Dans ton PC, des supports non autorisés, tu
nintroduiras pas. - De logiciels piratés, tu ne téléchargeras pas.
- Ton mot de passe, tu ne donneras pas.
- De fichiers nominatifs, tu ne créeras pas.
- Des virus, vers et chevaux de Troie, tu te
protégeras.
46La CURI (version hard)
INTERDICTIONS
- De sites non autorisés, tu ne consulteras pas.
- De courriels privés, tu tabstiendras.
- Avec ton PC, tu ne joueras pas.
-
47Position de la C.N.I.L.
- Une interdiction générale et absolue de toute
utilisation dInternet à des fins autres que
professionnelles ne paraît pas réaliste dans une
société de l'information et de la communication.
Un usage raisonnable, non susceptible d'amoindrir
les conditions d'accès professionnel au réseau ne
mettant pas en cause la productivité paraît
généralement et socialement admis par la plupart
des entreprises ou administrations.
L'utilisation de la messagerie électronique
professionnelle pour envoyer ou recevoir, dans
des proportions raisonnables, un message à
caractère personnel correspond à un usage
généralement et socialement admis. - (Rapport 2002, p. 10 et 11).
48La CURI (version soft)
- Intranet pour le comité dentreprise.
- Intranet pour les délégués du personnel.
- Intranet pour le C.H.S.C.T.
- Intranet pour les syndicats.
-
- Favoriser le travail collaboratif.
- Favoriser la mobilité interne.
- Améliorer la qualité.
- Formations à distance pour le personnel.
- Autorisation dun usage modéré du courriel privé
et du surf.
CYBERDIALOGUE
49Quid des interdictions que contient la CURI ?
- Par exemple, linterdiction faite aux salariés de
laisser leur mail professionnel dans des forums
de discussion. - Il sagit de discipline, donc de dispositions qui
entrent dans le périmètre du règlement intérieur
(Art. L 122-34 C. trav.).
50Quid des informations que contient la CURI ?
- Par exemple le rappel de droits - tel larticle L
121-8 du Code du travail - ou dobligations des
salariés comme par exemple, larticle L 122-4
du Code de la propriété intellectuelle Toute
représentation ou reproduction intégrale ou
partielle faite sans le consentement de l'auteur
ou de ses ayants droit ou ayants cause est
illicite. Il en est de même pour la traduction,
l'adaptation ou la transformation, l'arrangement
ou la reproduction par un art ou un procédé
quelconque . - Ces informations, semble-t-il, nont pas leur
place dans le règlement intérieur car les points
sur lesquels le règlement intérieur informe les
salariés sont limitatifs (droit de la défense,
abus dautorité en matière sexuelle, interdiction
de toute pratique en matière de harcèlement
moral).
51Quid des recommandations que contient la CURI
?
- Par exemple, chaque salarié est invité à veiller,
lors de lutilisation du système dinformation, à
préserver limage commerciale de lentreprise. - Règle de déontologie? (CE 11 juin 1999, Chicard
c/Ligue française de l'enseignement et de
l'éducation permanente).
52La nature juridique de la CURI
Si source unilatérale
Si source bilatérale
D E O N T O.
R E G. I N.
NATURE ?
Accord dentreprise ? Accord atypique? Contrat de
travail ?
53Le régime juridique de la CURI, charte
déontologique
Au plan collectif Information et consultation du
comité dentreprise (art. L 432-1, al. 1, C.
trav.). Délai dexamen suffisant et réponse
motivée du chef dentreprise (Art. L 431-5, al.
2, C. trav.).
Au plan individuel Information des salariés
(principe de loyauté art. 1134, al. 3, C. civ.,
art. L 121-8 C. trav.).
Régime ?
54Lutilisation du pouvoir disciplinaire en raison
de lusage (abusif ?)
- du téléphone,
- du minitel,
- de la messagerie
- ou du netsurf
55Lutilisation de laction en responsabilité
contre un (ancien) salarié
- Responsabilité civile (TGI Lyon, 9 mai 2001, Sté
Stage France c/ Duarte). - Responsabilité pénale (CA Paris, 12e ch. B, 18
déc. 2001 TGI Lyon, 20 févr. 2001, Procureur de
la République près le TGI de Lyon c/ Combe ).
56Cons. prudh. Paris 1er février 2000
Règlement intérieur Interdiction de faire
adresser de la correspondance privée à son
adresse professionnelle
Albertine, je vous aime !
57III.- Le salarié, utilisateur du système
dinformation de lentreprise
58III.- Le salarié, utilisateur du système
dinformation de lentreprise
A) Les usages et tentations du système
dinformation
59Le SI ? Certainement un outil de travail !
T R A V A I L L E R
T R A V A I L L E R
L O B L I G A T I O N
!
!
?
60Le SI ? Exclusivement un outil de travail ?
Les tentations
61III.- Le salarié, utilisateur du système
dinformation de lentreprise
B) La protection des salarié
1) La protection par la loi du 6 janvier 1978
62La défense du salarié
- La réglementation du traitement automatisé des
informations nominatives - La protection de la vie privée
- Les garde-fous du Code du travail
- Le bouclier pénal
63Règles générales en cas de traitement automatisé
dinformations nominatives
Ou acte réglementaire précédé dun avis
conforme de la C.N.I.L. (Art. 15) ou déclaration
simplifiée de conformité (Art. 17)
64Irrecevabilité de la preuve produite par
lemployeur en raison de labsence
- de déclaration du dispositif (CA Paris, 7 mars
1997 CA Paris, 18e ch., 22 juin 2001). - de finalité du traitement (CA Paris 31 mai 1995
Liaisons soc. du 16 juin 1995). - de fiabilité du dispositif (CA Aix-en-Provence, 4
janv. 1994).
65III.- Le salarié, utilisateur du système
dinformation de lentreprise
B) La protection du salarié
2) La protection de la vie privée
66Arrêt Nikon
Perso !
irrecevabilité de la preuve devant le juge civil
!
67III.- Le salarié, utilisateur du système
dinformation de lentreprise
B) La protection du salarié
3) Les garde-fous du Code du travail
68- Exigence de finalité et proportionnalité (art. L
120-2). - Exigence de discussion (art. L 432-2).
- Exigence de loyauté (art. L 121-8).
69III.- Le salarié, utilisateur du système
dinformation de lentreprise
B) La protection du salarié
4) La protection du secret des correspondances et
contre les interceptions
70- violation du secret des correspondances commise
par un particulier (art. 226-15, al. 1, du C.
pén.). - violation du secret des correspondances commise
par une personne exerçant une fonction publique
(art. 432-9, al. 1, C. pén.) - interception des correspondances émises par voie
de télécommunications par un particulier (art.
226-15, al. 2, C. pén.) ou par une personne
exerçant une fonction publique (art. 432-9, al.
2, C. pén. Trib. corr. Paris, 17e ch., 2 nov.
2000, Virieux et autres et CA Paris, 11e ch.,
sec. A, 17 déc. 2001).
71IV.- Une ébauche de solutions apportées au
conflit dintérêts
72Des pistes ?
- Pour assurer les droits de lemployeur
- La présomption du caractère professionnel du
courriel - Le recours au juge (ordonnance sur requête)
- Pour protéger la vie privée du salarié
- La double boîte aux lettres
- Le compteur pour le surf
- Les cyberpauses
- Le vestiaire électronique ?
- Solutions de compromis
- Le délégué aux données
- Le bilan annuel Informatique
et libertés
73Tri des courriels en fonction de lobjet
Présomption du caractère professionnel du
courriel arrivant
Courriel personnel
Ouverture par lemployeur
74Double boîte aux lettres dentreprise
martin_at_entreprise.fr
perso.martin_at_entreprise.fr
75Hubert dErceville, Le-mail durcit les relations
sociales dans lentreprise 01 Informatique n
1692 du 20 septembre 2002, p. 31
7601 Informatique n 1712 du 21 février 2003, p. 36.
77Pour le surf
Le compteur ?
78De la pause
à la
Cyberpause
Inconvénient ?
Moment Encombrement
79Pour le stockage
Lemployeur ne peut procéder à louverture de
larmoire individuelle dun salarié que dans les
cas et aux conditions prévues par le règlement
intérieur et en présence de lintéressé ou
celui-ci prévenu dès lors, cest à tort que
pour dire que le licenciement du salarié reposait
sur une faute grave, larrêt retient quil
résulte des attestations produites que des
canettes de bière ont été trouvées dans larmoire
du salarié en effet, en statuant ainsi, sans
rechercher quelles étaient les dispositions du
règlement intérieur alors que la fouille,
effectuée hors la présence de lintéressé,
nétait justifiée par aucun risque ou événement
particulier, la cour dappel a violé les textes
précités (Cass. soc. 11 déc. 2002, Ratajczak c./
Bianchi).
80Recours au juge Première étape informer
lemployeur
- Ladministrateur réseau communique à lemployeur
les indices accumulés grâce à un contrôle
statistique ou un filtrage par mots clés.
81Recours au juge Seconde étape solliciter une
ordonnance sur requête (Art. 493 et 495 C. proc.
civ.).
- Le recours au juge de la part de lemployeur se
fonde sur lavertissement donné par
ladministrateur réseau et la révélation
dindices graves.
82Recours au juge Troisième étape autorisation
de surveiller le salarié
- Question que le juge doit se poser les faits
sont-ils suffisamment graves et préjudiciables à
lentreprise pour justifier la surveillance
systématique et ciblée de messages électroniques
par lemployeur afin quil puisse prendre toute
disposition de nature à mettre un terme au
trouble causé ?
83Commissaire (ou délégué ?) aux données
- Qui ? Salarié de lentreprise ou profession
libérale? - Statut? Salarié protégé? Recours, rémunération si
profession libérale? - Missions veiller à l'application de la loi,
procéder à l'"examen préalable" des traitements
qui y sont soumis, et d'assurer la publicité des
traitements.
Cf. C.N.I.L. Rapport 2002, p. 13
84Bilan annuel Informatique et libertés