Quand l’entreprise met à la disposition de ses salariés un équipement et une connexion Internet, se pose la question de savoir dans quelles limites ils peuvent les utiliser du point de vue sécurité.

À quelles conditions le salarié peut-il utiliser la connexion Internet de l’entreprise ?

Il n’y a pas de législation spécifique dédiée à cette question : ni droit ni interdiction générale quant à l’utilisation à titre personnel de la connexion Internet de l’entreprise.

La jurisprudence fixe la ligne de démarcation entre les actions permises au salarié et celles pouvant avoir un caractère fautif l’exposant à des sanctions : une utilisation à des fins personnelles est tolérée si elle est raisonnable, ne dégénère pas en abus et ne met pas en danger la sécurité du réseau informatique de l’entreprise.

Les tribunaux ont jugé qu’il y avait abus constitutif d’une faute grave justifiant le licenciement le fait, pour un salarié, de se connecter en de multiples occasions à des réseaux sociaux ou à des sites extraprofessionnels de voyages et de tourisme, de comparateurs de prix, etc.

L’employeur a-t-il un droit de regard sur l’usage d’Internet de ses salariés ?

Les connexion Internet établies par le salarié durant son temps de travail sont présumées avoir un caractère professionnel, l’employeur peut les contrôler, même en l’absence du salarié, sans que ce dernier puisse s’y opposer. Le salarié ne peut pas non plus s’opposer à l’ouverture des courriels (e-mails) transmis à l’aide de la messagerie électronique mise à sa disposition par son employeur.

Toutefois, par respect pour le droit à la vie privée du salarié, les prérogatives de l’employeur sont limitées dans certains cas :

• les courriels envoyés ou reçus par le salarié sur sa messagerie personnelle via l’équipement de l’employeur sont privés et couverts par le secret de la correspondance ;
• il n’a pas d’accès non plus aux fichiers créés identifiés par le salarié comme étant personnels.

Le salarié ne peut pas identifier comme personnel la totalité de son disque dur. Il ne peut pas non plus crypter, pour le rendre inaccessible à l’employeur, le disque dur de l’équipement professionnel mis à sa disposition. De même, il ne peut pas revendiquer comme personnel, et donc inaccessible à l’employeur, la liste des favoris, les sites auxquels il se connecte le plus souvent.

Qu’est-ce qu’une cyberattaque ?

Les attaques contre leur système informatique constituent aujourd’hui un risque majeur auquel sont confrontées les entreprises.

Une cyberattaque est une atteinte à des systèmes informatiques dans un but malveillant. Il peut s’agir d’attaque par :

• rançongiciel (« ransomware » en anglais). Un programme ou un logiciel malveillant prend en otage les données stockées sur un ordinateur ou sur un système complet plus large : l’entreprise ou l’organisme attaqué n’a plus accès à son système informatique. Pour en retrouver l’usage, les pirates exigent le paiement d’une rançon en échange de la remise de la clé de déchiffrement des données encryptées ;
• malware (virus informatiques, cheval de Troie, etc.). Il s’agit de programmes indésirables introduits dans le système informatique d’une entreprise destinés à paralyser le fonctionnement du système, à voler des données ou à détruire des fichiers.

Comment se prémunir contre les cyberattaques ?

L’employeur est responsable de la sécurité des données personnelles stockées sur ses équipements, qu’ils soient internes ou externes. Il encourt des sanctions financières en cas de cyberattaques et de vols de données, si elles ont été facilitées par l’absence d’un système protecteur de cybersécurité.

L’employeur peut mettre en place un filtrage et interdire aux salariés les connexions à destination de certains types de sites, ainsi qu’aux réseaux sociaux. Il peut interdire, par exemple, l’accès à des sites de jeux ou à des sites réputés dangereux.

Cette interdiction et ce filtrage peuvent figurer dans le règlement intérieur ou dans une charte informatique de l’entreprise.

Le salarié qui se connecte aux sites prohibés malgré cette interdiction commet une faute qui l’expose à des sanctions. L’employeur dont le système informatique a été attaqué parce que le salarié s’est sciemment connecté à un site prohibé peut envisager de mettre en cause sa responsabilité civile.

BON À SAVOIR : Le salarié qui travaille à domicile peut utiliser un équipement et une connexion Internet appartenant à l’employeur ou bien ses équipements personnels. Le télétravailleur a les mêmes obligations que les salariés en présentiel. L’employeur doit l’informer des restrictions à l’utilisation des équipements informatiques ou des services de communication électronique mis à sa disposition, ainsi que des sanctions encourues en cas de non-respect.

C. travail : Art. L. 2312-38.