MSN au travail : des messages qui relèvent du secret des correspondances, selon la Cour de cassation

MSN au travail : des messages qui relèvent du secret des correspondances, selon la Cour de cassation

Kikou

Avatar de l'auteur
Xavier Berne

Publié dans

Droit

12/11/2019 6 minutes
39

MSN au travail : des messages qui relèvent du secret des correspondances, selon la Cour de cassation

La Cour de cassation vient de donner gain de cause à une salariée, licenciée pour avoir divulgué des documents confidentiels par l’entremise du logiciel de messagerie instantanée MSN. Les juges ont considéré que ces échanges étaient protégés par le secret des correspondances, car distincts de la messagerie professionnelle de l'intéressée.

Bien que MSN ait désormais totalement disparu (au profit de Skype), l’arrêt rendu le 23 octobre dernier par la chambre sociale de la Cour de cassation pourrait se décliner à de nombreux autres programmes installés par des salariés sur leur poste de travail – WhatsApp, Messenger, etc.

L’affaire examinée par les magistrats remontait à 2006. Un petit retour en arrière s’impose...

Alors que sa secrétaire est en arrêt de travail, un employeur souhaite accéder à son ordinateur professionnel. Il lui demande tout d’abord son mot de passe, par téléphone. Ce que refuse l’intéressée. Après un courrier recommandé, la salariée finit cependant par céder.

Le patron accède ainsi au poste de travail de la secrétaire, et y découvre des « conversation[s] à tout rompre » avec une autre salariée de l’entreprise, tenues par l’entremise du logiciel MSN Messenger.

Licenciée pour vol de fichiers confidentiels

L’employeur constate surtout que la salariée a transmis à sa collègue des documents censés être confidentiels : attestations ASSEDIC, certificats de travail, journal des paies, soldes de tout compte, CV, etc. Un comportement constitutif, à ses yeux, d’une faute grave – synonyme d’un licenciement immédiat, sans préavis ni indemnité.

« Indépendamment des considérations personnelles dont vous pouviez faire état, ou des éléments personnels de votre vie privée, qui sont totalement étrangers au fonctionnement de l’entreprise et qui m’indiffèrent complètement », peut-on lire dans la lettre de licenciement, l’employeur se dit stupéfait que sa secrétaire ait pu transférer des documents issus de « mails privés adressés par [son] cabinet d’expertise comptable à titre strictement confidentiel ».

Après dix-sept années passées au sein de l’entreprise, la secrétaire est remerciée (de même que la collègue avec laquelle elle discutait sur MSN).

L’affaire s’est cependant poursuivie devant les tribunaux, où l’ex-salariée a fini par obtenir gain de cause, en septembre 2017.

Un compte de messagerie « à l’évidence » personnel

La cour d’appel de Paris a en effet estimé que le licenciement de la secrétaire était « abusif », dans la mesure où les conversations litigieuses se trouvaient protégées par le secret des correspondances, car relevant de la sphère privée.

Et pour cause. Les magistrats ont rappelé qu’il découlait de l’article 9 du Code civil (selon lequel « chacun a droit au respect de sa vie privée ») que « le salarié a droit, même au temps et au lieu de travail, au respect de l’intimité de sa vie privée » – ce qui concerne « en particulier le secret des correspondances ».

« L’employeur ne peut dès lors sans violation de cette liberté fondamentale prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail et ceci même au cas où l’employeur aurait interdit une utilisation non professionnelle de l’ordinateur », a souligné la cour d’appel.

Suite aux débats, il était apparu que l’employeur avait pu accéder aux messages et fichiers après s’être connecté à MSN « quand bien même il avait été informé préalablement du fait que l’ordinateur professionnel de l’intéressée contenait des données personnelles ».

« À l’évidence, un tel compte de messagerie est personnel et distinct de la messagerie professionnelle, sans qu’il soit besoin d’une mention « personnel » ou encore « conversation personnelle », ce que confirme l’affirmation dans la lettre de licenciement que le président de la SAS a trouvé dans cette messagerie « des éléments personnels de [la] vie privée [de la salariée], qui sont totalement étrangers au fonctionnement de l’entreprise » », a tranché la cour d’appel, pour qui l’employeur a dès lors « violé le secret des correspondances ».

Les magistrats ont ainsi jugé que ces – seuls – éléments ayant justifié le licenciement étaient irrecevables. Ce qui rendait celui-ci infondé. La société a de ce fait été condamnée à verser plus de 50 000 euros d’indemnités à son ex-salariée, dont 1 000 euros de dommages et intérêts pour atteinte à la correspondance privée.

Un renversement de la présomption du caractère professionnel ?

L’employeur s’est cependant pourvu en cassation, estimant que le raisonnement suivi par la cour d’appel de Paris « emportait renversement de la présomption de caractère professionnel des messages échangés à l’aide de l’outil informatique mis à disposition [du salarié] par l’employeur pour accomplir ses fonctions ».

De manière récurrente, la jurisprudence – y compris de la Cour de cassation – considère en effet que les messages ou fichiers présents sur l’ordinateur du salarié (ou même son téléphone) sont professionnels, et donc accessibles à l’employeur, à moins qu’ils n'aient préalablement été identifiés comme privés ou personnels.

La haute juridiction n’a toutefois rien trouvé à redire au jugement de la cour d’appel. « Ayant constaté que les messages électroniques litigieux, échangés au moyen d’une messagerie instantanée, provenaient d’une boîte à lettre électronique personnelle distincte de la messagerie professionnelle dont la salariée disposait pour les besoins de son activité, la cour d’appel en a exactement déduit qu’ils étaient couverts par le secret des correspondances », conclut la Cour de cassation (voir l'arrêt sur Légifrance).

L’affaire en restera donc là, tout du moins sur le plan des juridictions nationales. Son issue aurait pu être totalement différente si l’employeur avait licencié cette salariée pour usage abusif de son outil de travail, ou même si celle-ci avait envoyé ces fichiers depuis sa boîte mail professionnelle.

39

Écrit par Xavier Berne

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Licenciée pour vol de fichiers confidentiels

Un compte de messagerie « à l’évidence » personnel

Un renversement de la présomption du caractère professionnel ?

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (39)


Intéressant, merci pour cet article.


Du coup on peut déroger au secret des affaires, ou partager des données sensibles (RH dans ce cas) en taggant [PERSO] les mails que l’on partage ? Propre.


Non, il est interdit de transmettre des documents confidentiels, mais il est aussi interdit à l’employeur de regarder tes messages privés.

Si tu as obtenu une preuve illégalement, bah tu ne peux pas l’utiliser à charge contre quelqu’un…


Si le seul moyen (hors délation) de prouver un délit est interdit, ça reste bloquant . Je suis pour les lois qui protègent la vie privée et la sanction associée est méritée, mais de la à rendre caduque la preuve et qualifier le licenciement d’abusif, c’est absurde.


Preuve illégale, donc inutilisable, valable dans tout type de procès. Même si moralement c’est discutable dans ce cas.








Cronycs a écrit :



Non, il est interdit de transmettre des documents confidentiels, mais il est aussi interdit à l’employeur de regarder tes messages privés.

Si tu as obtenu une preuve illégalement, bah tu ne peux pas l’utiliser à charge contre quelqu’un…





C’est pour cela qu’il existe des logiciels de sécu (qui valent ce qu’ils valent…) pour éviter le transfert de fichiers confidentiels à l’insu de l’entreprise et des pare-feu (non pas OpenOffice.org :P) pour bloquer les messageries “non professionelles”…



Mettre en place des chartes informatiques (et les mettre à jour en fonction des usages) est aussi indispensable !



Heu non sauf erreur dans certains cas la preuve est recevable même si elle a été obtenue frauduleusement dans les affaires les plus graves, comme aux assises par exemple. Et bien heureusement…



EDIT: le droit pénal et la jurisprudence autorisent bel et bien des preuves déloyales:https://fr.m.wikipedia.org/wiki/Preuve_en_droit_p%C3%A9nal_fran%C3%A7ais








Cronycs a écrit :



Non, il est interdit de transmettre des documents confidentiels, mais il est aussi interdit à l’employeur de regarder tes messages privés.

Si tu as obtenu une preuve illégalement, bah tu ne peux pas l’utiliser à charge contre quelqu’un…





Moi j’aurais foutu l’employée au pénal en même temps que la procédure prud’hommes courrait.  Ainsi, chaque chose aurait été punie comme elle se devrait.



Mais on fait souvent les choses qu’à moitié en France…



En tout cas, ce jugement est bien stupide, surtout vu qu’Internet est quasiment incontrôlable en entreprise (et ce même si les admins font ce qu’ils peuvent..)



Ce qui m’étonne, c’est cette histoire d’historique “en ligne”.

Soit on parle d’un MSN que je n’ai pas connu, soit on parle de Messenger, qui avait surtout un historique sous forme de fichier local (de mémoire…)


Dans la présente actu, il ne s’agit pas de mails, mais de conversations, l’équivalent d’appels téléphoniques mais par écrit.

Il n’y a donc pas ici de notion de sujet de mail, mais plutôt une lecture de toute la conversation, un peu comme si on lisait tous tes emails perso parce que tu utilise ta boite mail depuis ton travail… dérangeant non?


Je prenais l’exemple du mail parce qu’il reste le plus “connu”. Après qu’on lise mes discussions persos est tout aussi dérangeant pour moi que mes infos RH puissent circuler partout sans que le/la responsable puisse en être inquiété. C’est surtout ça qui me gène dans toute cette histoire.








pv_le_worm a écrit :



Je prenais l’exemple du mail parce qu’il reste le plus “connu”. Après qu’on lise mes discussions persos est tout aussi dérangeant pour moi que mes infos RH puissent circuler partout sans que le/la responsable puisse en être inquiété. C’est surtout ça qui me gène dans toute cette histoire.





C ‘est ce qui me gène aussi. Je comprends bien les problèmes de procédure (d’autant qu’à partir du moment ou l’employeur a accès à l’ordi il peut fabriquer des “preuves”).

En attendant, pour protéger la vie privée on verse des indemnités à quelqu’un qui a divulgué des papelards sur d’autres employés… Ceux- ci peuvent-ils porter plainte?



Les commentaires sont un peu WTF.

Voilà un employeur (et son responsable RH) qui n’ont pas fait leur boulot correctement (un dossier pour licenciement ça se construit, entre autre avec des juristes).



Et vous remettez en cause la décision de la justice !?!




De manière récurrente, la jurisprudence – y compris de la Cour de

cassation – considère en effet que les messages ou fichiers présents sur

l’ordinateur du salarié (ou même son téléphone) sont professionnels, et donc accessibles à l’employeur, à moins qu’ils n’aient préalablement été identifiés comme privés ou personnels.





Donc dans cette affaire, la Cour de Cassation contredit l’avis de la Cour de Cassation ? <img data-src=" />



Sinon, les mots de passe dans les application sont faits pour ça… L’employée pouvait très bien donner son mot de passe de session, pour que donner un accès à son poste et permettre à son patron de faire fonctionner son service, sans pour autant donner accès à se sconversations privées.

Idem pour les connexions automatiques (qui ne servent donc à rien puisque le mot de passe n’est pas demandé à chaque connexion).


dans cette affaire, y a pas grand monde qui a fait son boulot correctement, à part les juges, en fait <img data-src=" />


non c’est ce qu’indique la suite : “Ayant constaté que les messages électroniques litigieux, échangés au moyen d’une messagerie instantanée, provenaient d’une boîte à lettre électronique personnelle distincte de la messagerie professionnelle dont la salariée disposait pour les besoins de son activité



Si la secrétaire avait envoyé les truc depuis sa boite pro, le jugement aurait probablement été différent








Tandhruil a écrit :



Les commentaires sont un peu WTF.

Voilà un employeur (et son responsable RH) qui n’ont pas fait leur boulot correctement (un dossier pour licenciement ça se construit, entre autre avec des juristes).



Et vous remettez en cause la décision de la justice !?!





Même si la justice ne peut pas se passer de règles claires et de procédures, elle ressemble plus à du “droit” qu’à de la justice. J’espère ne jamais avoir besoin d’y avoir recours, car au lieu de demander justice il faudra surtout que j’embauche pour 10 fois mon salaire annuel des professionnels du “droit”.



J’aimerais avoir confiance, mais quand on voit dans les affaires politiques les machins qui sautent pour des points de procédures trouvés grâce à la mobilisation de cabinets entiers, on y croit plus.



En l’occurrence, certes je suis ok avec la protection de la vie privée et la décision rendue, mais je ne vais pas me réjouir que quelqu’un puisse communiquer mes infos personnelles sans être inquiété, et que c’est la performance des juristes embauchés par mon employeur qui est seule garante de la “justice”.



Ou alors la loi est trop compliquée et faut trancher dans le gras.



C’est donc uniquement l’adresse e-mail utilisée à l’inscription à la messagerie instantanée qui permet de déterminer si elle est utilisée à des fins personnelles ou professionnelles ?



Je m’inscris sur Skype avec [email protected], c’est pro et mon employeur peut accéder à ce contenu,

Je m’inscris sur Skype avec [email protected], c’est perso et le contenu est interdit à mon boss ?








Jarodd a écrit :



C’est donc uniquement l’adresse e-mail utilisée à l’inscription à la messagerie instantanée qui permet de déterminer si elle est utilisée à des fins personnelles ou professionnelles ?



Je m’inscris sur Skype avec [email protected], c’est pro et mon employeur peut accéder à ce contenu,

Je m’inscris sur Skype avec [email protected], c’est perso et le contenu est interdit à mon boss ?





cela dépend si Skype est utilisé à titre professionnel chez masociete ou pas. Ce sont les différentes instances qui le définissent si ce n’est pas clair.

Celui en gmail.com est par contre purement perso (et l’utiliser à titre pro pose d’autres soucis. cf Clinton pendant leurs dernières élections <img data-src=" />)



Normalement, les logiciels et leur usage n’apparaissent pas au pif sur un SI¹ la/les direction/s ont leur mot à dire.



¹ cette assertion est variable en fonction de la taille et des moyens de l’entreprise, ainsi que de la permissivité de son service informatique, qui, dans une tpe ou une pme peut se résumer à un presta qui vient une fois tous les 36 du mois quand le SI pas pas tout simplement géré comme à la maison (un max de trucs en local, pas de sauvegarde fiable, pas de contrôle d’accès, etc…









WereWindle a écrit :



Normalement, les logiciels et leur usage n’apparaissent pas au pif sur un SI¹ la/les direction/s ont leur mot à dire.





Dans ma boite, on est récemment passé de Skype à Google Suite. Les nouveaux postes n’ont pas Skype installé, par contre il n’a pas été désinstallé des anciens. Je l’utilise avec des collègues avec qui j’ai pris cette habitude, et j’utilise Google Chat avec les derniers employés arrivés, qui n’ont pas Skype. Mais il n’y a pas eu de consigne officielle “maintenant on n’utilise que la suite Google et on arrête Skype”, en gros il est juste abandonné et celui qui a le choix entre les deux utilise l’outil qu’il veut. Le caractère pro est donc plutôt flou…

&nbsp;

Par contre, même dans le cas où ça serait considéré comme un outil pro, il ne sert qu’à discuter, je ne sais donc pas si on peut exiger mon mot de passe pour vérifier ce qui s’y échange (fichiers ou conversations). Et je ne pense pas que le SI ait les logs des échanges, j’imagine que tout doit être centralisé chez Microsoft uniquement.



En fait il y avait des moyens pour l’employeur d’obtenir ses preuves de façon légale, simplement, il ne les a pas du tout appliqué. Il pouvait par exemple déposer plainte et c’est la police, au cours de l’enquête, qui aurait pu avoir accès à sa messagerie personnelle.








Inny a écrit :



En fait il y avait des moyens pour l’employeur d’obtenir ses preuves de façon légale, simplement, il ne les a pas du tout appliqué. Il pouvait par exemple déposer plainte et c’est la police, au cours de l’enquête, qui aurait pu avoir accès à sa messagerie personnelle.





Porté plainte pour quoi? Il a eu connaissance de ses méfaits en regardant ce qu’il n’aurait pas dû regarder



Oui, c’était dans le cas où il avait déjà des soupçons. Mais il aurait tout à fait pu avoir ces soupçons si son responsable réseau était à moitié compétent et surveillait ce qui transite dans ses tubes.


oui, la conduite (ou juste l’accompagnement) du changement, c’est souvent le parent pauvre dans ce genre de décision <img data-src=" />



Je préjuge que toi et tes collègues avez un profil un minimum technique et que les décisionnaires se sont juste dit “bah c’est un peu pareil, ils devraient pas être perdus” sans prendre en compte les aspects non techniques (comprendre hors utilisation bête et méchante de l’outil)


Mouais le fichier des salaires de tout le monde, je l’ai vu tourner dans toutes les entreprises où je suis passé, et sinon il reste la machine à café pour avoir les informations qui finissent toujours par être public à un moment ou un autre <img data-src=" />



Les patrons doivent se rappeler qu’ils travaillent avec des humains, et pas des machines <img data-src=" />








bilbonsacquet a écrit :



C’est pour cela qu’il existe des logiciels de sécu (qui valent ce qu’ils valent…) pour éviter le transfert de fichiers confidentiels à l’insu de l’entreprise et des pare-feu (non pas OpenOffice.org :P) pour bloquer les messageries “non professionelles”…



Mettre en place des chartes informatiques (et les mettre à jour en fonction des usages) est aussi indispensable !







Tu peux expliciter ton point concernant openoffice.org stp ?



ref à Christine Albanel devant l’Assemblée pendant les discussions sur HADOPI qui présentait OpenOffice comme un pare-feu pour se prémunir d’une utilisation usurpée de sa ligne internet (et donc soutenir que l’IP permettait à coup sûr d’identifier un contrevenant)



C’est devenu une espèce de boutade ici ^^








Paul Muad’Dib a écrit :



Tu peux expliciter ton point concernant openoffice.org stp ?





Cherche OpenOffice.org & Albanel sur le net…









Inny a écrit :



si son responsable réseau était à moitié compétent et surveillait ce qui transite dans ses tubes.





Chose justement interdite dans le cas de conversations privées <img data-src=" />









pv_le_worm a écrit :



Chose justement interdite dans le cas de conversations privées <img data-src=" />





Pas si c’est automatisé.

Un proxy qui fait de l’interception couplé à un outil de marquage de la donnée fait le boulot. C’est plutôt cher par contre, et il faut avoir marqué ses données. C’est sur ce dernier point qu’on rigole bien.



Ce qui m’étonne, c’est qu’elle ait communiqué son mot de passe à son patron. Dans ma boîte c’est une faute professionnelle.








letter a écrit :



Pas si c’est automatisé.

Un proxy qui fait de l’interception couplé à un outil de marquage de la donnée fait le boulot. C’est plutôt cher par contre, et il faut avoir marqué ses données. C’est sur ce dernier point qu’on rigole bien.





Strictement interdit de faire de l’inspection sur certains type de donnée, par exemple tout ce qui touche à la banque / Santé / Gouvernement.



Avec ce genre de jurisprudence, tu n’as qu’à récupérer plein de document confidentiels, tout mettre sur ton “coffre fort en ligne” de ta banque et tu es pénard, personne ne pourra jamais t’inculper.



Et oui : c’est envoyé depuis un compte perso sur un canal dont il est interdit de faire de l’inspection (banque) et si la preuve est récupérée, elle est illicite car l’inspection est interdite <img data-src=" />

Ne reste que la police pour demander à la banque de fournir les preuves, mais ça veut dire que tu savais déjà qu’il y a eu exfiltration, donc que tu as déjà obtenu des preuves illégalement (et que le dépôt de plainte n’est que pour te couvrir car ta preuve est illicite).



Prochain examen de philo : Vous avez 4h.









Jarodd a écrit :



Donc dans cette affaire, la Cour de Cassation contredit l’avis de la Cour de Cassation ? <img data-src=" />







Elle introduit une nuance, en disant “là, même si c’était pas indiqué “PERSO” en toutes lettres, le patron pouvait pas ignorer que c’était du perso”, a priori si je comprends bien parce que la boîte utilisait pas MSN à des fins professionnelles donc par définition MSN c’était nécessairement du perso, ou parce que l’historique correspondait à un compte MSN distinct du compte pro, c’est pas dit clairement.



Genre si t’as installé WoW sur ton poste de travail et que tu as dit des horreurs sur ta boîte sur le chat WoW, le patron peut pas ignorer que c’est du perso (sauf si tu bosses dans la presse JV ou chez Blizzard bien-sûr <img data-src=" />). Pareil si ton patron accède à ta boîte mail [email protected], il saura que c’est du perso. Par contre sur ton compte [email protected] là ouais faut que ce soit marqué PERSO pour te prévaloir du caractère personnel de l’e-mail qu’a lu ton patron.



c’est beau quand meme d’avoir le culot de poursuivre son employeur après avoir divulguer des infos confidentielles.


J’ai du mal à croire qu’on ne puisse inspecter ce genre de communication perso.



Les communications que tu cites passent par des canaux dédiés. Dans la banque, les chats avec les clients sont tracé, les documents confidentiels sont envoyé depuis des serveurs ou la messagerie pro des conseillers/consultants. J’imagine que dans le médical et le gouvernemental c’est pareil. Et tous ces canaux ont leur proxy dédié.



La messagerie perso passe par un proxy “surf” qui ne devrait voir transiter aucune info confidentielle, et du coup, aucune interdiction à l’interception.&nbsp;Et typiquement, les documents qui transitent vers le coffre fort en ligne, tu les chope quand ils sortent grace au marquage. Idem pour quand ils sont posé sur une clé USB.

Quand tout est bien fait dans une boite parano, riche et équipée, la seule solution qu’il reste de mémoire c’est de faire une capture d’écran avec son téléphone. Et parfois ce dernier est interdit.


Il peut par contre détecter qu’il y a des conversations privées, en violation du règlement intérieur et de la charte, c’est suffisant pour que l’employé commence à avoir des problèmes.








letter a écrit :



J’imagine que dans le médical et le gouvernemental c’est pareil. Et tous ces canaux ont leur proxy dédié.





Non!

Tant que l’on ne donnes pas d’adresse électronique professionnelle à tous médecins dès qu’il a son diplôme, ils utiliseront du gmail/hotmail/orange& Co

Pour le gouvernement, je crois qu’un député avait posé une question écrite lors de la précédente législature à ce sujet. Je pense qu’il n’y a eu de réponse sur l’usage de hotmail et gmail dans l’administration.

Je crois que des fuites (Bluetouff??) montre ntque ces fournisseurs de mail sont utilisés dans l’administration française.

Le cas d’Hilary Clinton peut être aussi cité.



En France, pour le médical, il y a la messagerie sécurisé de santé mais je trouve cela bien timide.



Du coup quel rapport avec le fait que ce ne soit pas possible ou interdit?



Que les médecins, ou les administrations aient la flemme de le faire, tant pis pour eux. Si leurs employés envoient de la donné sensible c’est de leur responsabilité. Mais si on veut sécuriser ses données, c’est possible. C’est juste cher.


C’est pas très cher non. Le code est quasiment gratuit aujourd’hui. Les processeurs ont des modules de chiffrement avec implémentation en dur d’AES SHA…



Ce qui en revanche coûte une blinde c’est d’avoir le type en or qui va chercher la merde jusqu’à la trouver (genre managment engine, firmware corrompu, bios alacon etc) et de lui ouvrir les portes afin qu’il participe à la collectivité plutôt qu’à la criminalité numérique (par dépit le plus souvent).



Ne pas croire que la fiabilité coûte, c’était peut-être vrai il y a 25 ans mais aujourd’hui c’est plus simple qu’envoyer un Recommandé avec AR bien que psychologiquement contraignant, certes. <img data-src=" />