Comment faire face à l'évolution des comportements qui conduisent parfois à la mise en cause de la responsabilité civile et pénale de l'entreprise et de son dirigeant ?

Cette problématique est souvent mésestimée et, pourtant, les entreprises subissent les conséquences d'un usage de plus en plus abusif des outils informatiques.

La récente condamnation de Lucent Technologies (Cour d'appel d'Aix en Provence - 13 mars 2006) du fait des agissements de l'un de ses salariés (création d'un site Web dénigrant la société Escota), en est la parfaite illustration.

En effet, la responsabilité de Lucent Technologies a été engagée, en sa qualité de commettant, à raison de l'autorisation donnée aux salariés d'accéder à Internet en dehors de leurs heures de travail et d'utiliser les équipements informatiques mis à leur disposition pour consulter d'autres sites que ceux présentant un intérêt en relation directe avec leur activité professionnelle.

L'évolution des technologies et des services disponibles sur Internet donne lieu à une évolution des abus pour lesquels la plupart des chartes existantes se révèlent souvent inadaptées, parfois inefficaces, voire dangereuses comme dans l'affaire "Lucent Technologies".

Cette évolution s'inscrit, en outre, dans un contexte complexe et en évolution qui tient à la fois des dernières décisions jurisprudentielles, des différentes positions de la CNIL, des nouveaux comportements dans l'entreprise.

Le développement de nouveaux usages et services sur l'Internet (blogs, messageries instantanées, communautés Web 2.0) n'est pas étranger à la recrudescence d'affaires ou de dossiers internes qui empoisonnent les directions juridiques, les directions des ressources humaines et les directions informatiques et inquiètent les directions générales, qui n'ont que très récemment pris conscience de cette menace.

Alors que les entreprises craignaient jusqu'ici essentiellement les fraudes et les attaques extérieures, les études les plus récentes confirment que la principale menace provient de l'intérieur de l'entreprise.

- 23 % des salariés consacrent plus d'une heure par jour à surfer à titre personnel,
- 72 % de ces salariés le font pendant leurs heures de travail effectif,
- 80 % des attaques ou malveillances informatiques proviennent de l'intérieur des entreprises.

Les entreprises disposent rarement des outils adéquats pour lutter efficacement contre cette menace dont la gestion ne relève plus désormais de la seule et simple considération technique mise à la charge de la direction informatique.

Directions juridiques, directions des ressources humaines et directions informatiques se retrouvent parfois, en dépit des chartes existantes, dans l'impossibilité de sanctionner des comportements abusifs et/ou d'éviter la mise en cause de la responsabilité de l'entreprise et de son dirigeant, comme dans l'affaire Lucent Technologies.

Les chartes uniformisées des groupes internationaux ont montré de nombreuses limites dans leur application. En effet, elles se sont révélées inadaptés, voir non conformes aux droits français.

Malheureusement, les récentes prises de conscience interviennent encore trop souvent à l'occasion d'un conflit ou d'un litige qui lui sert de révélateur. L'absence de mesures préventives prive les entreprises d'actions ou de recours efficaces.

Le manque de sensibilisation et de formation des salariés, l'obsolescence des chartes existantes, l'impossibilité d'opposer aux salariés des règles claires et précises et la difficulté à recueillir licitement des preuves, sont à l'origine de cette incapacité.

De plus en plus, les entreprises mettent en place des équipes internes aux compétences plurielles (informatique et sociale) pour étudier les moyens de lutte efficaces contre les dérives liées notamment à l'usage des blogs, des clés USB, de programmes malveillants, des accès distants aux systèmes d'information et aux téléchargements de fichiers et de logiciels informatiques.

Leurs réflexions aboutissent régulièrement à la nécessité de refondre les chartes existantes pour les adapter à l'évolution des comportements tout en intégrant la politique sociale et la culture de chaque entreprise et en sensibilisant les membres de chaque comité d'entreprise sur la nécessité de mieux protéger les intérêts de l'entreprise et des salariés.

Les dimensions informatique, sociale, de protection des données personnelles et de respect de la vie privée sont prises en compte puis confrontées à la réalité de ces nouveaux usages dans l'entreprise.

Il apparaît clairement que les entreprises doivent aujourd'hui (re)définir les règles d'usage des outils informatiques mis à la disposition de leurs salariés et ce dans le cadre de la mise en œuvre d'une politique d'information et de dissuasion.

Cette politique s'articule essentiellement autour :

- la mise en conformité réglementaire et la sécurisation juridique des différents traitements existants de données personnelles par les différentes directions de l'entreprise,
- la sécurisation juridique des contrats de travail, plus particulièrement pour les salariés "nomades",
- la mise en place ou la refonte d'une charte d'utilisation des systèmes d'information, et sa présentation devant le comité d'entreprise,
- la sensibilisation des salariés dans le cadre de sessions de formation adaptées à des groupes d'interlocuteurs différentes et à la culture de l'entreprise.

La mise en œuvre de cette politique nécessite de faire :

- l'audit des déclarations CNIL existantes et leur mise à jour éventuelle,
- la préparation des grandes lignes d'un projet de charte au travers de réunions de travail avec les directions concernées (direction des systèmes d'information, direction juridique, direction des ressources humaines),
- des arbitrages concernant les conditions et les limites d'utilisation des outils et ressources informatiques,
- le choix du mode d'opposabilité de la charte aux salariés,
- la définition d'un plan de communication, de sensibilisation et de formation à destination des salariés.

Les premiers retours d'expérience de la mise en œuvre de ce type de politique d'information et de dissuasion ont déjà démontré son efficacité et son impact positif sur le comportement des salariés, notamment en termes de responsabilisation et d'organisation des échanges et des accès aux informations stratégiques des entreprises concernées.

Ils confirment également que la plupart des entreprises n'étaient pas suffisamment préparées pour lutter contre les usages abusifs et gérer les risques liés à des comportements malveillants.