aujourd’hui Internet est utilisé dans 90% des entreprises en France et si c’est un formidable outil de veille et de réactivité, son évolution vers le web 2.0 laisse une porte ouverte vers des dérives qui peuvent mettre en péril la bonne marche de l’entreprise. En effet, l’entreprise elle-même ainsi que ses dirigeants sont responsables des actes illicites de ses salariés sur Internet. (Article 121-2 du code pénal).

La problématique de la régularisation d’Internet au bureau, n’est pas évidente à mettre en place et les responsabilités sont souvent partagées DSI, RH, dirigeant syndicat (…). Souvent la première mesure est la mise en place d’une Charte Internet.

Qu’est ce qu’une Charte Internet ?

Une charte Internet est un document qui définit des règles concernant tous les usages liés au web : la navigation Internet, le courrier électronique, l’Intranet, les équipements nomades et plus généralement l’ensemble des ressources informatiques. Elle permet d’instaurer un climat de confiance au sein de l’entreprise. aujourd’hui elle est généralement associée au règlement intérieur.

Quel est le caractère obligatoire de la Charte Internet ?

La charte Internet n’est obligatoire que dans un cas : lorsque l’entreprise utilise une solution qui permet de collecter des données à caractère personnel comme le filtrage d’url. A partir du moment où la DSI peut savoir qui fait quoi où et à quel moment dans le but d’assurer la sécurité de son système d’information, une charte Internet doit être mis en place et porté à la connaissance des salariés. La mise en place d’une charte Internet doit obligatoirement faire l’objet d’une déclaration à la CNIL.

Une Charte Internet a pour objectif d’informer et d’expliquer les enjeux de sécurité lié à l’utilisation d’Internet. Mais celle-ci doit respecter plusieurs contraintes juridiques.

Elle doit respecter les quatre principes du code du travail

– Principe de proportionnalité : L’outil mis en place pour collecter des données à caractère personnel ne doit pas collecter des données non proportionnelles à un but clairement établi. (Article L 120-2 du code du travail)

– Principe de transparence : Les salariés doivent être clairement informé que la DSI peut accéder à des données à caractère personnel ainsi que des objectifs poursuivis. (Article L 121-8 du code du travail)

– Principe de discussion collective : Tout traitement de données à caractère personnel doit faire l’objet d’une information et consultation auprès du responsable et du comité d’entreprise. (Article L 432-2)

– Informer l’inspection du travail : Si la charte Internet est attachée au règlement intérieur, elle doit être soumise à l’inspection du travail (article L122-36)

Elle doit respecter la loi informatique et liberté

En aucun cas, la Charte Internet ne doit permettre de collecter des données à caractère personnel faisant apparaître, directement ou indirectement quelque forme de discrimination que se soit : racial, religieuse, politique …

La charte Internet permet-elle réellement de protéger pénalement les entreprises ?

Pour être valide la charte Internet doit obligatoirement autoriser le surf personnel  » dans les limites du raisonnable  » au nom de la liberté résiduelle de chacun des salariés. (CNIL) Si cette liberté personnelle n’est pas autorisée, la charte Internet est caduque. Il est donc obligatoire de laisser une porte ouverte sur le surf perso au bureau … Or c’est bien cette fenêtre ouverte sur le surf personnel au bureau qui peut engager la responsabilité pénale de l’entreprise par un de ses salariés volontairement ou involontairement.

Il y a d’ailleurs un cas concret, le cas Lucent Technologies, illustrant cette faille de la charte Internet. La société avait établi une Charte Internet dans les règles en autorisant une consultation raisonnable des sites Internet non professionnels. Pourtant Lucent s’est vu condamnée comme complice du salarié car elle n’avait pas mis en oeuvre des moyens suffisants pour éviter les pratiques de son salarié, notamment à cause de cette  » fenêtre  » d’utilisation personnelle pourtant obligatoire.

Le 11 juin 2003 : Le TGI de Marseille condamne la société Lucent Technologies

Le TGI de Marseille a condamné la société Lucent Technologies pour l’utilisation détournée d’Internet par un de ses collaborateurs. En effet ce dernier avait réalisé sur son lieu de travail un site Internet dénigrant une société concurrente. La libre consultation des sites Internet non professionnels était autorisée dans les limites du  » raisonnable  » dans la Charte Internet de l’entreprise.

Suite au jugement du 11 juin 2003, Lucent Technologies fait appel le 13 mars 2006, la cour d’appel d’Aix en Provence maintient la culpabilité de l’entreprise quant à l’agissement illicite d’un de ses salariés même si les pratiques illégales ont été commises à son insu dans la mesure où Lucent Technologies n’avait pas mis en place les moyens nécessaires pour éviter ce type de comportement.

La Charte Internet : Un rempart insuffisant pour protéger les entreprises du risque pénal !

La Charte Internet est effectivement un premier rempart pour se prémunir des actes malveillants de ses salariés, mais se révèle être un outil insuffisant pour se prémunir du risque pénal. Pour compléter la Charte Internet, la CNIL reconnaît aux entreprises le droit de mettre en place des outils de contrôle de l’accès à Internet et le recommande pour répondre à des exigences de productivité et de sécurité. Il est préférable de filtrer les accès inappropriés en amont, c’est-à-dire avant que le flux n’arrive sur le poste utilisateur.