Entreprise : le cadre juridique de l’administrateur réseau

Les administrateurs réseaux assurent le fonctionnement normal et la sécurité du système informatique de leur employeur. Dans l’exercice de cette mission, ils sont susceptibles d’avoir accès à des informations personnelles relatives aux utilisateurs (messageries, logs de connexion, etc.).

L’accès des administrateurs réseaux aux données enregistrées par les salariés dans le système d’information est justifié par le bon fonctionnement du dispositif, dès lors qu’aucun autre moyen moins intrusif ne peut être mis en place. Ils doivent ainsi s’abstenir de toute divulgation d’informations qu’ils auraient été amenés à connaître dans le cadre de l’exercice de leur mission. En particulier, celles relevant de la vie privée des employés ou couvertes par le secret des correspondances, dès lors qu’elles ne remettent pas en cause le fonctionnement technique ou la sécurité des applications, ou encore l’intérêt de l’employeur.

Cette obligation de confidentialité doit être rappelée dans leurs contrats de travail ainsi que dans la charte informatique de l’entreprise.

Dès lors que les contrôles qu’il a effectués font ressortir un risque pour le fonctionnement ou la sécurité du système informatique, ou une atteinte aux intérêts de l’employeur, l’administrateur réseau peut, dans un premier temps, avertir le salarié concerné du résultat des contrôles menés et lui proposer des solutions, afin d’éviter le renouvellement de ces incidents.

Ensuite, l’employeur devra être informé du non-respect par un salarié donné des directives résultant de la charte informatique, afin d’envisager, en application du règlement intérieur de l’entreprise, la prise de sanctions à son encontre.

Décisions

A cet effet, il est possible de recourir à une ordonnance autorisant un huissier de justice à accéder aux fichiers ou courriers électroniques litigieux. La Cour de Cassation s’est prononcée sur la question, dans un arrêt du 10 juin 2008 (Ch. Soc., pourvoi 06-19229), en rappelant que « le respect de la vie personnelle du salarié ne constitue pas en lui-même un obstacle à l’application de l’article 145 du Code de procédure civile, dès lors que le juge constate que les mesures qu’il ordonne procède d’un motif légitime et sont nécessaires à la protection des droits de la partie qui les a sollicitées ». En l’espèce, un simple soupçon d’acte de concurrence déloyale commis par le salarié semblait constituer un motif légitime au sens de l’article 145 du Code de procédure civile qui dispose que « s’il existe un motif légitime de conserver ou d’établir, avant tout procès, la preuve de fait dont pourrait dépendre la solution d’un litige, les mesures d’instruction légalement admissible peuvent être ordonnées à la demande de tout intéressé sur requête ou en référé ». Une solution similaire a été retenue par la Cour de Cassation, dans une décision du 23 mai 2007 ( Ch. Soc., pourvoi 05-17818).

Par ailleurs, il faut, en tout état de cause, appliquer les règles posées par la jurisprudence, relatives à l’ouverture de fichiers ou courriers électroniques identifiés comme personnels (CCass, Ch. Soc., 17 mai 2005, pourvoi 03-40017). Ainsi, la présence du salarié est exigée. Il doit, à tout le moins, avoir été dûment averti de la démarche mise en œuvre.

Ces règles peuvent toutefois être contournées en cas de risque ou événement particulier. A cet égard, il a été jugé que la découverte de photos érotiques dans le tiroir du bureau d’un salarié ne constituait pas un tel risque ou événement particulier.