Entre l'interdiction logique faite aux salariés d'utiliser leur outil de travail à des fins personnelles et les dispositions sur la protection de la vie privée qui interdisent à l'employeur d'espionner ses salariés, tout le monde est un peu perdu, au point que la jurisprudence sur ce sujet n'est pas toujours cohérente.

Risques induits par le salarié

L'usage d'un outil de travail par le salarié à des fins personnelles, les problèmes sur le principe et sur les pertes de productivité en découlant, ne concernent pas spécialement l'informatique (sauf peut-être s'il s'agit de membres de l'équipe informatique).
Toutefois, l'informatique est directement concernée par :

• les risques supplémentaires, importants, et surtout, inutiles (virus, hackers...) apportés par l'usage personnel d'Internet,
• la surcharge des réseaux par des utilisations personnelles consommatrices (radio sur Internet, téléchargements...),

et surtout...

• la présence sur les machines de l'entreprise de copies illicites (DivX, MP3, logiciels piratés...),
• l'utilisation des canaux de l'entreprise pour des actes répréhensibles (dénigrement, trafic, documents prohibés...).

L'entreprise étant pénalement responsable de ces deux derniers points, et financièrement responsable des deux points précédents, il est normal qu'elle cherche à s'en garantir.

Vie privée du salarié

A priori, les actes reprochés aux employeurs dans les jugements sont de deux ordres :

• espionner volontairement des salariés en prenant connaissance de documents notoirement privés,
• ne pas prévenir le salarié que des contrôles peuvent être effectués et dans quelles conditions.

Conservation des données personnelles

Il n'est pas possible de préciser les critères définissant quel type de données personnelles, l'entreprise est en droit de collecter et de stocker sur un salarié.
Notons toutefois deux principes importants à prendre en compte :

• principe de proportionnalité : Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives des restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché. Code du travail (art. L. 120-2, Loi du 31/12/1992).
• droit à l'oubli, l'entreprise doit détruire les données personnelles qui ne sont plus nécessaires à un traitement.
  Cette obligation de destruction inclue les copies, sauvegardes et archivages qui auraient pu être réalisés. Autant dire que dès la mise en place de systèmes et de procédures de copîe, sauvegarde ou archivage, il est nécessaire de prévoir leur épuration régulière.
  A défaut, les responsables s'exposent à des sanctions pénales (article 226-20 du Code pénal).

Boîtes à lettres nominatives

Il convient de supprimer la boîte à lettres nominative d'un salarié dès son départ de l'entreprise. L'expéditeur sera automatiquement averti que son correspondant n'est plus joignable.
Cette disposition évite de collecter des messages à caractère personnel sans que le destinataire soit en mesure de les effacer.