Dernière mise à jour : 06.04.2007
Convention internationale des droits de l'enfant (Ajout : 06.04.2007)
Convention européenne des droits de l'Homme (Dernière mise à jour : 22.03.2003)
Code civil
Code pénal
Jugements du TCP du 02-11-200 et du TGI du 17-12-2001
Arrêt de la Cour de Cassation n°4164 du 02 octobre 2001 (Dernière mise à jour : 22.03.2003)
Avis de la CNIL sur l'usage privé sur le lieu de travail
Le cas des listes de diffusion
La confusion public/privé, personnel/professionnel
La confusion accès/usage
La LEN a-t-elle fait disparaître la notion de correspondance privée ?
|
Convention
internationale des droits de
l'enfant |
|
|
Convention de sauvegarde
des Droits de
l'Homme et des Libertés fondamentales telle
qu'amendée
par le Protocole n° 11 |
|
|
CODE CIVIL Article 9 |
| Chacun a
droit au respect de
sa vie privée. Les juges peuvent, sans préjudice de la réparation du dommage subi, prescrire toutes mesures, telles que séquestre, saisie et autres, propres à empêcher ou faire cesser une atteinte à l'intimité de la vie privée : ces mesures peuvent, s'il y a urgence, être ordonnées en référé. |
Cet article repose sur des lois dont certaines sont tellement anciennes que jusqu'à présent je n'ai pu en trouver le texte sur internet. Donc, en l'état, c'est trop vague pour pouvoir en tirer des faits précis. On va donc s'intéresser à des textes dont le domaine d'application est beaucoup plus restreint.
Les cabinets juridiques consultés sur cette
question sont
unanimes
à reconnaître que la notion même est
à
géométrie variable ce qui laisse toute
latitude aux juges pour définir dans chaque cas les contenus
et
limites de la
notion de vie privée et d'atteinte à cette
même vie
privée. Voici par exemple un
bref extrait pris chez les professionnels de la justice :
Concernant l'interception de données sur le
réseau de
l'école on peut
légitimement penser que l'interception des
différentes
communications telles
que les chats par exemple sont clairement
protégés par la
vie privée, ensuite
pour le reste l'interception du surf des internautes peut
être,
en fonction des
circonstances, être rattaché ou non à
la vie
privée.[Référence :
http://www.net-iris.fr/veille-juridique/doctrine/9065/interception-de-donnees-sur-le-reseau-une-ecole.php
]
En conclusion, ce serait une très grave erreur de
penser
qu'on peut prendre
plus de liberté avec la vie privée sur un
réseau
scolaire.
Les professionnels considèrent même que l'article
9 du
Code Civil permet de
combler les lacunes laissées par les textes sur le secret de
la
correspondance.
En conséquence les collègues qui pensent qu'ils
peuvent
surveiller n'importe
quoi sous prétexte que ce n'est pas de la correspondance se
mettent en très
sérieux danger.
Respect de la correspondance privée qu'elle soit électronique ou non..
|
CODE PENAL (Partie
Législative) Article
226-15 |
|
Le fait, commis de mauvaise foi, d'ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d'en prendre frauduleusement connaissance, est puni d'un an d'emprisonnement et de 45 000 euros d'amende. Est puni des mêmes peines le fait, commis de mauvaise foi, d'intercepter, de détourner, d'utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications ou de procéder à l'installation d'appareils conçus pour réaliser de telles interceptions. |
Attention pour nous, fonctionnaires de l'Education Nationale. Même chose avec une petite nuance : il n'est pas nécessaire de faire la preuve de la mauvaise foi. Quelle différence ? Eh bien du coup il beaucoup plus facile de se faire condamner car la partie adverse n'a pas besoin de faire la preuve de la mauvaise foi. Et puis on risque trois ans de prison au lieu d'un seul.
|
CODE PENAL (Partie
Législative) Article
432-9 |
| Le fait,
par une personne
dépositaire de l'autorité publique ou
chargée
d'une mission de service public, agissant dans
l'exercice ou
à l'occasion de l'exercice de ses fonctions ou de sa mission,
d'ordonner, de commettre ou de faciliter, hors les cas
prévus
par la loi, le détournement, la suppression ou l'ouverture
de
correspondances ou la révélation du contenu de
ces
correspondances, est puni de trois ans d'emprisonnement et de 45000
euros d'amende. Est puni des mêmes peines le fait, par une personne visée à l'alinéa précédent ou un agent d'un exploitant de réseau de télécommunications autorisé en vertu de l'article L. 33-1 du code des postes et télécommunications ou d'un fournisseur de services de télécommunications, agissant dans l'exercice de ses fonctions, d'ordonner, de commettre ou de faciliter, hors les cas prévus par la loi, l'interception ou le détournement des correspondances émises, transmises ou reçues par la voie des télécommunications, l'utilisation ou la divulgation de leur contenu. |
Pas bien compris la nuance ? Alors trois petits exemples.
| Exemple 1
Je rentre chez moi et par inadvertance j'ouvre le courrier de mon fils aîné. Eh oui je me suis laissé avoir Monsieur trucmuche c'est lui mais c'est moi aussi. J'ai pas fait gaffe au prénom et crac j'ai ouvert l'enveloppe avant de réaliser mon erreur. Si mon fils veut m'attaquer en justice, il va devoir faire la preuve que j'ai agi de mauvaise foi, c'est-à-dire en ayant parfaitement conscience que le courrier lui était destiné... pas facile facile... |
| Exemple 2
Un courrier du syndicat vous parvient ouvert dans votre casier de la salle des professeurs. La secrétaire vous dit qu'elle n'a pas fait exprès et l'a pris pour un courrier administratif. La seule chose que vous ayez à prouver c'est qu'elle a ouvert le courrier. La preuve de la mauvaise foi n'est pas à faire. Si elle l'a fait sur ordre alors celui qui a donné l'ordre tombe également sous le coup de l'article 432-9. |
| Exemple 3
Un mail du syndicat que vous pensiez connu de vous seul est bizarrement évoqué devant vous par votre chef d'établissement. Or vous savez qu'il ne peut pas accéder à votre répertoire de courrier. Vous enquêtez et vous apercevez qu'étrangement il a accès en lecture à votre répertoire de mail. Non seulement le chef d'établissement est condamnable mais aussi l'administrateur réseau même s'il n'a pas lui-même lu votre courrier car il a facilité l'ouverture de votre mail en donnant les droits d'accès nécessaires à votre chef d'établissement. |
Les articles 226-15 à 226-24 concernant les fichiers informatiques relevant de déclaration à la CNIL ne sont pas inintéressants en particulier pour nous, administrateurs réseau, l'article 226-17.
|
CODE PENAL (Partie
Législative) Article
226-17 |
| Le fait de procéder ou de faire procéder à un traitement automatisé d'informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations et notamment empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende. |
A noter quand même que la principale personne mise en cause ici est celle qui "procède ou fait procéder". A la place de nos supérieurs hiérarchiques, je me ferais du mouron.
Comme ce sont justement des arguments qui me sont souvent opposés, et que le jugement original complet est un document très volumineux, je vous invite à visiter ici quelques brefs extraits commentés.
Ce jugement, légèrement amoindri (puisque disparaît la qualification de détournement du délit) par le jugement de la cour d'appel un an plus tard (décembre 2001) est néanmoins confirmé quant à la qualification d'usage et de divulgation illicite. Voir ici l'article de http://www.adns-avocats.com/.
Cet arrêt qui casse un jugement de la cour d'appel spécifie que "le salarié a droit, même au temps et au lieu de travail, au respect de l'intimité de sa vie privée [...] et ceci même au cas où l'employeur aurait interdit une utilisation non professionnelle de l'ordinateur" (un extrait un peu plus important ici).
L'avis de la CNIL dans les conclusions de son rapport relatif à la cybersurveillance sur les lieux de travail ne peut qu'entériner ce qui découle de l'arrêt évoqué ci-dessus.
|
"L'utilisation de la messagerie électronique
professionnelle pour envoyer ou recevoir, dans des |
Les listes de diffusion sont un cas plus épineux. Exemple de cas soumis sur le site http://www.murielle-cahen.com/page2310.asp :
|
Question : Réponse : |
On peut imaginer sans peine que la nature de la liste (en particulier inscription ouverte/fermée, nature des liens entre les membre de la liste) sera examinée avec soin. Il ne serait peut-être pas idiot de préciser dans le descriptif d'une liste si elle est d'ordre privé ou non. Là encore j'attire l'attention sur le fait que privé s'oppose à public et non pas à "usage professionnel" qui, lui, est s'opposé à "usage personnel". Cette distinction me paraît d'autant plus importante qu'il me semble qu'elle crée des obligations déontologiques supplémentaires au propriétaire de la liste comme de ne pas inscrire un nouveau membre sans en aviser les membres actuels, par exemple.
Même les analyses par des juristes compétents font parfois la confusion entre personnel/professionnel et privé/public (ou plutôt "non privé" car tout ce qui n'est pas privé n'est pas forcément public, données d'entreprise par exemple).
| "Les messages envoyés de l’extérieur et dont l’objet laisse présager une nature privée, ne pourront pas être lus par l’employeur sans que celui-ci ne commette le délit d’atteinte au secret des correspondances. Inversement, on peut imaginer que chaque salarié inscrive dans l’objet s’il s’agit d’un message privé ou professionnel." |
Or privé ne s'oppose pas à professionnel.
Exemples : un courrier entre le médecin scolaire
et
l'infirmière, au sujet d'un élève, n'a
pas
à être ouvert par la hiérarchie. Un
courrier
professionnel entre deux enseignants n'a pas à
être ouvert
par le chef d'établissement.
Ces courriers sont professionnels et pourtant strictement
privés, qu'ils soient
postaux ou électroniques. En tant que telle toute
consultation
par un tiers dans un cadre non prévu par la loi (et ce cadre
est
très restrictif ; voir plus haut) est
illégale.
Dans les deux cas, l'ouverture par l'employeur tombe au mieux sous le
coup de l'article 226-15
du code pénal, au pire de l'article 432-9 du même
code.
On retrouve la même erreur d'opposition dans la FAQ du forum de l'internet :
| "En ce qui concerne le contrôle des courriers émis ou reçus par le salarié, l’employeur peut prendre connaissance des courriers professionnels mais en application du secret des correspondances, il ne peut lire un mél identifié comme personnel. De la même manière, les fichiers identifiés comme personnels ne peuvent être ouverts." |
Extrait de la FAQ du forum de l'internet :
| "Cependant, bien qu’ayant accès à l’ensemble des données de l’entreprise dans l’exercice de leurs fonctions, les administrateurs de réseaux ne sont pas libres de leur usage." |
A cet instant de la phrase le lecteur peut déjà avoir des doutes sur ce qu'il doit comprendre... Voici la suite :
| "Ainsi, ils ne peuvent divulguer le contenu d’un courrier personnel d’un salarié, y compris à la demande de l’employeur, au risque d’engager leur responsabilité pénale sur le fondement de l’article 226-15 du code pénal ; cet article condamne le fait d’ouvrir ou de prendre connaissance de mauvaise foi des correspondances destinées à autrui." |
Et là le doute du lecteur s'installe et ceci à cause du mot "divulguer". Si on lui interdit de divulguer ça peut vouloir dire qu'il a pu prendre connaissance alors que ceci est contredit dans la phrase suivante, à juste titre d'ailleurs. Alors il est bien important de comprendre exactement la portée du jugement du 17 décembre 2001 et de ne pas le lire de travers. Voici un extrait précis de ce jugement :
|
"au cas d'espèce, aucun artifice ni stratagème ne peut être retenu. Il est dans la fonction des administrateurs de réseaux d'assurer le fonctionnement normal de ceux-ci ainsi que leur sécurité ce qui entraîne, entre autre, qu'ils aient accès aux messageries et à leur contenu, ne serait-ce que pour les débloquer ou éviter des démarches hostiles. Ils ont donc un accès courant au réseau sans avoir besoin d'une quelconque manoeuvre" |
L'ambiguïté vient de "accès aux messageries et à leur contenu". Précisons qu'il pesait à l'époque une grave inquiétude sécuritaire sur le réseau du laboratoire pour comprendre la suite :
| "La préoccupation de la sécurité du réseau justifiait que les administrateurs de systèmes et de réseaux fassent usage de leurs positions et des possibilités techniques dont ils disposaient pour mener les investigations et prendre les mesures que cette sécurité imposait – de la même façon que la poste doit réagir à un colis ou une lettre suspecte." |
Mais attention toute action doit être proportionnée au but poursuivi. En particulier, pour reprendre l'exemple de la poste ci-dessus, la poste n'a pas le droit d'ouvrir n'importe quelle lettre sous prétexte qu'elle pourrait être piégée. Donc voici la suite :
| "Par
contre,
la divulgation du
contenu des messages, et notamment du dernier qui concernait le conflit
latent dont le laboratoire était le cadre, ne relevait pas
de ces
objectifs. En outre, il convient de relever que le laboratoire s'était donné à lui-même la règle déontologique de ne pas lire le contenu du courrier électronique, sauf mise en cause de la sécurité du système, ce qui n'était pas, ou plus, le cas début 1997." |
Pour bien comprendre le "proportionné au but poursuivi", lequel est à l'unique appréciation du juge, s'appuyant généralement sur la jurisprudence quand elle existe, voici un exemple :
Si un administrateur de messagerie doit débloquer tout un système de messagerie à cause d'un gros message dans une seule boîte, il n'a pas le droit de le lire pour savoir si c'est un message important ou pas car il a les moyens informatiques de résoudre le problème en évitant cette lecture, par exemple en demandant l'autorisation au propriétaire de supprimer le message ou en lui demandant de le retirer du serveur lui-même ou en le déplaçant momentanément vers un autre endroit du disque.
Ce dernier cas est justement évoqué dans le jugement du 02 novembre 2000 :
| "Celle-ci [la sécurité du réseau - NDW], enfin, n'était pas davantage en question lorsque ... avait été amené à débloquer le système du laboratoire, aux alentours du 23 janvier 1997, puisque le seul déplacement de certains fichiers avait permis, selon son propre aveu, le retour au fonctionnement du réseau sans qu'il soit nécessaire d'intervenir sur les messageries des étudiants et que le prévenu pouvait, d'ailleurs, assurer la surveillance du volume et de la destination du courrier de la partie civile par le seul contrôle du répertoire de la messagerie, sans y pénétrer." |
Cette fois c'est clair. On peut techniquement contrôler un certain nombre d'éléments concernant le courrier sans pénétrer le contenu des messages et par conséquent les arguments invoqués par la défense sont tombés. C'est bien là qu'intervient la notion de proportionné au but poursuivi.
Connaissant mon intérêt pour le respect
de la vie
privée (et en particulier le secret des correspondances
privées, fussent-elles situées sur un
réseau
d'établissement), d'aucuns m'ont fait savoir l'an
passé
que la LEN (Loi pour la confiance en l'économie
numérique) ne faisant pas référence
dans sa
définition du courrier électronique à
la notion de
correspondance privée, les termes en lesquels j'avais
défendu mes positions n'étaient
peut-être plus
viables.
J'ai soutenu alors que l'absence d'une précision
n'équivaut pas à la précision
du contraire.
Je découvre aujourd'hui avec joie (et un an de retard) que
le
Conseil Constitutionnel est venu à mon secours le 10 juin
2004 :
http://www.conseil-constitutionnel.fr/decision/2004/2004496/2004496dc.htm
... tout-à-fait en passant et au sujet d'un recours qui
n'avait
pas la correspondance privée pour objet (mais la
responsabilité des hébergeurs et le droit de
réponse).
En effet, l'attendu numéro 3 de cette décision du
Conseil
Constitutionnel remet à sa juste place la disposition
portant
définition du courrier électronique dans la LEN:
| "3. Considérant que cette disposition se borne à définir un procédé technique ; qu'elle ne saurait affecter le régime juridique de la correspondance privée ; qu'en cas de contestation sur le caractère privé d'un courrier électronique, il appartiendra à l'autorité juridictionnelle compétente de se prononcer sur sa qualification ;" |
ce qui restitue sans contestation possible toute sa
compétence
au juge et au régime jurisprudentiel en vigueur
établi,
entre autres, par la décision du 2 décembre 2001
de la
cour de cassation dans l'affaire Nikon vs F.Oxxxxx. En
résumé, pour les non spécialistes :
c'est toujours
le tribunal qui, en fonction de critères classiques (non
liés forcément au support
électronique)
distinguant la correspondance privée de la communication
publique décidera si un courrier électronique
relève de l'une ou l'autre catégorie.
Et donc pour reprendre les termes consacrés, un courrier est
notamment déclaré correspondance
privée "lorsque
le message est
exclusivement destiné à une ou plusieurs
personnes,
physiques ou morales, déterminées ou
individualisées".
Notez bien l'importance de l'expression
"déterminées ou
individualisées" elle est capitale
! Il n'y a pas de redondance ou de pléonasme dans un texte
législatif. En effet :
- le "ou" indique clairement qu'il n'est pas
nécessaire de
voir figurer les adresses individuelles
des destinataires
- le "déterminées", couplée
à la
remarque ci-dessus, fait entrer dans le champ d'application certaines
listes de diffusion fermées au public, à
inscription non
libre, et dont l'ensemble des abonnés est
"déterminé".
Attention aux envois multiples. L'élément
"destinataire public"
étant absorbant
vis
à vis de l'opération "envoyer un mail", celui-ci
prendrait évidemment la précédence,
à juste
titre, dans la décision d'un juge.
Tout le monde admet que les contrôles statistiques et anonymes sont licites. Le cas devient épineux dès lors qu'on met en relation un poste de travail ou une personne avec l'URL d'un site consulté. Extrait d'analyse sur http://www.juriscom.net :
|
"Enfin, s’agissant des techniques de contrôle : en matière de navigation sur le Web, seul un contrôle des temps de connexion par poste, sans identification des sites consultés pourra être réalisé en principe". |
Cette interprétation me paraît satisfaisante et j'attire l'attention sur l'énorme différence qu'il y a entre journaliser et contrôler. La loi nous oblige à journaliser afin de répondre aux obligations légales de répondre aux requêtes de justice en cas de procédure. Cela ne donne en aucun cas le droit de consulter le détail de ces journaux de sa propre initiative car cela relève alors de la violation de la vie privée.
Je me réjouis de constater, a posteriori, que c'est également l'avis de la CNIL dans son rapport sur la cybersurveillance des salariés ainsi que l'interprétation que l'on peut donner aux nouveaux articles du code des postes et télécommunications (Loi 2001-1062 du 15 novembre 2001).
On croit parfois que les élèves parce qu'ils sont souvent mineurs ou, pire, parce que ce sont des élèves, ont moins de droits que les personnels qui les encadrent. C'est sans doute vrai dans certains domaines, c'est parfois l'inverse dans d'autres (lois sur la protection des mineurs). En ce qui concerne la collecte d'informations personnelles, c'est totalement faux.
La loi de 1978 ne prévoit aucune disposition spécifique pour les mineurs. En conséquence de quoi la CNIL a émis un certain nombre de recommandations.
Rappelons par ailleurs quelques principes fondamentaux dans la
collecte de
données à caractère
personnel :
La notion de données à caractère personnel recouvre toutes les informations concernant une personne identifiée ou identifiable (voir Directive 95/46/CE).
|
Directive 95/46/CE du Parlement
européen et
du Conseil du 24 octobre 1995 relative à la protection des
personnes physiques à l'égard du traitement des
données à caractère personnel et
à la libre
circulation de ces données |
|
Pour bien comprendre les subtilités de la
législation,
deux exemples.
Donc l'élève comme l'enseignant, doit être informé de ce qui est collecté le concernant et de la façon dont cela est traité et protégé des accès illicites. Il peut à tout moment demander si l'on traite des données personnelles à son sujet lesquelles et comment. Le refus de répondre à ce type de requête est passible d'une amende de 5e classe (soit jusqu'à 1500 euros, voire jusqu'à 3000 euros en cas de récidive).
La CNIL met ici clairement à l'index la conservation nominatives des sites consultés au même titre que des messages envoyés.
| Enfin,
sous l'influence sans
doute des entreprises américaines, les employeurs soumettent
individuellement aux salariés des
engagements écrits équivalant à une
abdication
complète de leurs droits.
Ainsi, certaines des chartes dont la CNIL a eu
à
connaître prévoient que l'ensemble des
données de ... Cependant, les salariés demeurent encore
largement
ignorants des possibilités de traçage, |
Voilà un point qui intéressera particulièrement les administrateurs réseau, surtout dans le système éducatifs où cette charge de travail s'appuie aujourd'hui à plus de 90% sur le bénévolat.
Il n'y a pas aujourd'hui de texte spécifique sur ce sujet. Mais on peut revenir à l’article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales et à l'article 9 du Code Civil, cité en en-tête de cette page ainsi qu'aux textes d'applications qui en découlent. De ces textes il ressort les choses suivantes :
|
CODE DU TRAVAIL
(Partie
Législative) Article L220-1 |
| Tout
salarié bénéficie d'un repos quotidien
d'une
durée minimale de onze heures consécutives. Une convention ou un accord collectif étendu peut déroger aux dispositions de l'alinéa précédent, dans des conditions fixées par décret, notamment pour des activités caractérisées par la nécessité d'assurer une continuité du service ou par des périodes d'intervention fractionnées. Ce décret prévoit également les conditions dans lesquelles il peut être dérogé aux dispositions du premier alinéa à défaut de convention ou d'accord collectif étendu, et en cas de travaux urgents en raison d'un accident ou d'une menace d'accident ou de surcroît exceptionnel d'activité. Nota : Loi 98-461 1998-06-13 art. 7 : les dispositions du présent article s'appliquent aux salariés autres que les personnels roulants ou navigants du secteur des transports. |
|
CODE DU TRAVAIL
(Partie
Législative) Article L221-2 |
| Il est interdit d'occuper plus de six jours par semaine un même salarié. |
|
CODE DU TRAVAIL
(Partie
Législative) Article L221-4 |
| Le repos
hebdomadaire doit
avoir une durée minimale de vingt-quatre heures
consécutives auxquelles s'ajoutent les heures
consécutives de repos quotidien prévu
à l'article
L. 220-1. Les jeunes travailleurs de moins de dix-huit ans ainsi que les jeunes de moins de dix-huit ans qui accomplissent des stages d'initiation ou d'application en milieu professionnel dans le cadre d'un enseignement alterné ou d'un cursus scolaire bénéficient de deux jours de repos consécutifs. Lorsque les caractéristiques particulières de l'activité le justifient, une convention ou un accord collectif étendu peut définir les conditions dans lesquelles il peut être dérogé aux dispositions du précédent alinéa pour les jeunes libérés de l'obligation scolaire, sous réserve qu'ils bénéficient d'une période minimale de repos de trente-six heures consécutives. A défaut d'accord, un décret en Conseil d'Etat définit les conditions dans lesquelles cette dérogation peut être accordée par l'inspecteur du travail. |
| Arrêt
n° 2498 du 10 juillet 2002 Cour de cassation - Chambre
sociale (Extrait) |
|
Attendu que pour rejeter la demande du [...] tendant à voir interdire à l'employeur de porter atteinte au droit au repos hebdomadaire, la cour d'appel énonce qu'il ne peut être soutenu que les salariés en situation d'astreinte à l'issue de leur journée de travail et jusqu'au lendemain matin, lors de la reprise de leur travail, ainsi que le samedi et le dimanche, effectuent un travail effectif et qu'elle en conclut, par voie de conséquence, qu'ils n'effectuent pas, contrairement aux dispositions légales, un travail effectif durant sept jours ; Attendu, cependant, que les périodes d'astreintes si elles ne constituent pas un temps de travail effectif durant les périodes où le salarié n'est pas tenu d'intervenir au service de l'employeur, ne peuvent être considérées comme un temps de repos, lequel suppose que le salarié soit totalement dispensé directement ou indirectement, sauf cas exceptionnels, d'accomplir pour son employeur une prestation de travail même si elle n'est qu'éventuelle ou occasionnelle ; qu'il en résulte qu'un salarié ne bénéficie pas de son repos hebdomadaire lorsqu'il est d'astreinte ; qu'en statuant comme elle l'a fait la cour d'appel a violé les textes susvisés ; |
|
|
Dernière mise à jour : 06.04.2007 |
|
|---|