Les interventions de la CNIL
Le principe de protection de l’intimité de la vie privée du salarié sur son lieu
de travail n’est pas nouveau et a été affirmé à des nombreuses reprises, notamment
par la Cour européenne des Droits de l’Homme qui a fait application de l’article 8 de
la Convention européenne de sauvegarde des Droits de l’Homme et des libertés fondamentales (« Toute personne a droit au respect de sa vie privée et familiale, de son
domicile et de sa correspondance ») dans les domaines relevant de la vie professionnelle — affaire N. c/Allemagne du 23 novembre 1992 et H. C/Royaume-Uni du
27 mai 1997.
Ce principe est cependant d’une application plus délicate à l’heure des nouvelles technologies qui laissent des « traces ». En effet, le phénomène de convergence ne permet plus de distinguer nettement ce qui relèverait de la vie
professionnelle et ce qui ressortirait de l’intimité de la vie privée.
De manière générale, qu’il s’agisse d’assurer le bon fonctionnement du service informatique, la « sécurité numérique » de l’entreprise ou le confort de l’usager,
ces « traces » sont intrinsèquement liées à la mise à disposition d’une telle technologie. Aussi, n’est-ce pas leur existence mais leur traitement à des fins autres que techniques qui doit être proportionné au but recherché.
Compte tenu du caractère évolutif des techniques et de la jurisprudence qui
se dégage sur ces sujets, il convient de former les organisations et les utilisateurs sur
les mesures de sécurité, de consultation ou d’information à prendre. De nombreuses
entreprises ou administrations le font déjà.
Deux idées communément admises sont inexactes.
La première consiste à soutenir que l’ordinateur personnel mis à la disposition des utilisateurs sur leur lieu de travail serait, en tant que tel, protégé par la loi
« informatique et libertés » et relèverait de la vie privée du salarié. Il n’en est rien : un
ordinateur mis à la disposition d’un salarié ou d’un agent public dans le cadre de la
relation de travail est la propriété de l’entreprise ou de l’administration et ne peut
comporter que subsidiairement des informations relevant de l’intimité de la vie
privée.
Il peut être protégé par un mot de passe et un « login », mais cette mesure de
sécurité est destinée à éviter les utilisations malveillantes ou abusives par un tiers ;
elle n’a pas pour objet de transformer l’ordinateur de l’entreprise en un ordinateur à
usage privé.
La deuxième idée consiste à prétendre qu’une information préalable des personnels suffirait. De nombreuses entreprises ou administrations imaginent qu’une
information préalable des salariés suffirait à se prémunir de tout problème et à autoriser l’emploi de tous les modes de surveillance et de contrôle. Dans le souci de se
garantir contre tout aléa, elles peuvent quelquefois être tentées de déclarer à la CNIL
leur schéma de sécurité d’ensemble.
Une telle manière de procéder n’est pas suffisante dès lors que les finalités
seraient mal définies ou mal comprises. En outre, elle peut nourrir, à tort, le sentiment
des utilisateurs qu’ils se trouveraient sous un contrôle constant de l’organisation alors
que les mesures prises, dans bien des cas, se bornent à assurer la sécurité du système
e
CNIL 22 rapport d'activité 2001
57