C’est une question qui hante les employeurs. Comment s’assurer que les données auxquelles ont accès les collaborateurs ne seront pas utilisées à d’autres fins? Une question qui se pose avec insistance dans les secteurs à haute technologie ou ceux à fort turnover comme l’offshoring. Normalement, «les employés sont tenus par une clause de secret professionnel dont la violation est passible de sanctions très lourdes», indique Abdelkader Azargui, associé au cabinet BDO Jiwar. D’ailleurs, ils n’ont le droit d’accéder qu’aux données liées à l’exercice de leur fonction. Et dans ce cas, l’employé est responsable des données qui sont sous son contrôle. Sa responsabilité peut être engagée en cas de négligence. Ainsi, une simple omission de fermer ses fichiers peut être fatale.
Dans le cas contraire, c’est-à-dire lorsqu’il y a préméditation, les informations extorquées peuvent être utilisées comme un moyen de chantage. Les exemples ne manquent pas. Le nombre d’affaires portées devant les tribunaux en témoigne, selon les professionnels. Dans le cas où l’employeur n’a rien à se reprocher et opte pour la voie légale pour contrer la tentative de chantage de son employé. Mais lorsque le patron a des choses à cacher, il succombe au chantage pour mettre fin à l’affaire avec de moindres dégâts.
Pour ne pas en arriver là, les chefs d’entreprises ont pris conscience de l’importance d’avoir un dispositif de sécurité éprouvé des systèmes d’information. Aujourd’hui, les outils ne manquent pas. «Il y a des logiciels, faciles à installer, qui permettent de mémoriser les touches du clavier », indique Hicham Lachgar, expert en informatique. Les risques sont énormes et difficiles à cerner. Ainsi, une société peut mettre en place un système pour sécuriser ses informations, mais un collaborateur peut facilement installer un logiciel lui permettant de récupérer les données, notamment les comptes, le mot de passe ou le RIB (bancaire). Là, la difficulté est double pour l’entreprise, relève Hicham Lachgar: d’abord il doit verrouiller le système de sécurité et puis qualifier l’infraction pour intervenir.
Mais, prévient-il, le système d’information n’est pas suffisant. Il y a une grande partie qui est technique. «L’organisation et la gestion de l’information sont très importantes. Car ce n’est pas la technique qui manque mais comment il est utilisé», poursuit-il. Certaines entreprises réduisent la sécurité à la disposition d’équipement, c’est une erreur, avertit Lachgar. Selon lui, c’est une affaire de gouvernance qui se décide au niveau du management.
Personnel ou professionnel ?
Les fichiers installés sur l’ordinateur de l’entreprise ont-ils un caractère professionnel. La jurisprudence française a tranché: sauf si le salarié les identifie comme étant personnels, les fichiers créés à l’aide de l’outil informatique mis à sa disposition par l’employeur sont présumés avoir un caractère professionnel.
La question n’a pas manqué de soulever un débat juridique. Ainsi, dans une affaire soumise à la cour d’appel d’Orléans, le responsable marketing d’une entreprise spécialisée dans le traitement de l’eau a été soupçonné par son employeur de préparer, en collusion avec une autre entreprise, la création d’une agence concurrente. L’employeur demande donc à un huissier de dresser un constat en recherchant des documents compromettants dans l’ordinateur professionnel du salarié, hors la présence de ce dernier. Ce faisant, l’huissier accède à un répertoire dont le nom est composé des initiales du prénom composé du salarié, répertoire lui-même divisé en deux sous-répertoires, le premier intitulé « personnel », le second portant le nom de la société concurrente. L’huissier n’ouvre que ce second répertoire et y découvre de nombreux documents démontrant le caractère bien fondé des soupçons de l’employeur.
Quelques jours plus tard, le salarié est mis à pied à titre conservatoire puis licencié pour faute lourde le 16 mars 2004. Il saisit la juridiction prud’homale.
Par un arrêt du 7 juin 2007, la Cour d’appel d’Orléans donne raison au salarié. Pour les juges du fond, le seul élément de preuve des motifs du licenciement est le constat d’huissier. Or, pour la cour d’appel, ce constat est illicite comme étant constitutif d’une violation de la vie privée du salarié.
Sous le visa de l’article 9 du Code civil et l’article 9 du Code de procédure civile, la décision, est cassée. La cour, dans son arrêt du 21 octobre 2009, va considérer que «les fichiers créés par le salarié à l’aide de l’outil informatique mis à sa disposition par l’employeur pour les besoins de son travail sont présumés avoir un caractère professionnel».
Avis d’expert
Concilier protection et liberté d’entreprendre
Le challenge que doivent relever les opérateurs de l’offshoring est surtout juridique: protéger les données personnelles de leurs clients. En attendant la mise en place de la Commission nationale de protection des données personnelles (CNDP), ils tentent tant bien que mal de gérer la situation. Angélique Berge, présidente de Total Call et vice-présidente de l’Association des centres d’appels (Acasiom), revient sur les enjeux de la protection des données personnelles.
– L’Economiste: La protection des données personnelles a-t-elle un impact sur l’investissement dans le secteur?
– Angélique Berge: Il est certain que les garanties juridiques peuvent aider les investisseurs européens, français notamment, à venir au Maroc en pleine confiance. Aujourd’hui, on a un certain nombre de conditions avec des zones dédiées à l’offshoring. Maintenant, si on arrive à fiabiliser tous les aspects liés à la protection du traitement de l’information, cela ne peut que favoriser l’arrivée de nouveaux investisseurs.
– Le volet juridique et institutionnel est-il suffisant pour relever ce challenge?
– C’est tout le travail des professionnels. La Commission nationale de la protection des données personnelles (CNDP) va jouer un rôle important, mais les professionnels du secteur peuvent aller plus loin en adoptant un code de déontologie par exemple. D’ailleurs, on a intérêt car ceci est un gage de confiance des donneurs d’ordre.
– Quels sont les défis auxquels sera confrontée cette commission?
– Sa tâche ne sera pas de tout repos. Elle devra gérer l’explosion intranet des déclarations lorsque cela deviendra une obligation légale. En France par exemple, 80% des entreprises partagent leurs données.
En 2008, la Commission nationale de l’information et des libertés (CNIL) a reçu 4.244 plaintes et 2.516 demandes de droit d’accès indirects. Elle a contrôlé 218 organismes et adressé 126 mises en demeure. Ce qui représente une énorme machine. La CNDP qui s’inspire du modèle de la CNIL aura donc du pain sur la planche. Mais il ne faut pas que son travail entrave la liberté d’entreprendre et d’investir. Car, en France, on déclare pratiquement tout. Cela va de la collecte de l’information pour les besoins de recrutement aux données relatives à la gestion de l’entreprise notamment le numéro de la CNSS, le RIB du salarié… Ce qui n’est pas facile à gérer pour les entreprises.
T. H.
