TikTok et autres applications récréatives : un employeur peut-il interdire à ses salariés l’accès aux réseaux sociaux ?

À l’instar des autorités européennes, le souci croissant des employeurs de protéger leurs données les conduisent à s’interroger sur leur pouvoir de contrôle de l’utilisation des réseaux sociaux par leurs salariés.

Après la Commission européenne, le Parlement européen a demandé à ses fonctionnaires et salariés de supprimer le réseau social chinois TikTok de leur téléphone professionnel dans un souci de protection des données.

Cette décision vient peu de temps après que le président Joe Biden a ratifié début janvier une loi qui interdit le téléchargement et l’utilisation de TikTok sur les appareils des fonctionnaires de l’État fédéral américain.

En France, un employeur peut-il interdire à ses salariés l’utilisation des réseaux sociaux ?

Principes régissant l’utilisation des réseaux sociaux en France

Le Code du travail ne prévoit pas de dispositions particulières sur l’utilisation des réseaux ou d’internet dans l’entreprise.

La commission nationale de l’informatique et des libertés (CNIL) est venue pallier le silence des textes en apportant un certain nombre de précisions. Ainsi, en 2004, dans un rapport relatif à la cybersurveillance sur les lieux de travail (mars 2004), la CNIL indiquait qu’« une interdiction générale et absolue de toute utilisation d’internet à des fins autres que professionnelles ne paraît pas réaliste dans une société de l’information et de la communication, et semble de plus disproportionnée au regard des textes applicables et de leur interprétation par la jurisprudence. Un usage raisonnable, non susceptible d’amoindrir les conditions d’accès professionnel au réseau ne mettant pas en cause la productivité est généralement et socialement admis par la plupart des entreprises ou administrations ».

La jurisprudence est également venue encadrer l’utilisation d’internet et des réseaux sociaux.

S’agissant de restreindre la liberté des salariés, les juges se sont donc fondés sur l’article L. 1121-1 du Code du travail qui prévoit que : « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché ».

La jurisprudence a ainsi apporté les précisions suivantes :

• sur l’utilisation d’internet :les salariés bénéficient « même au temps et au lieu de travail, au respect de l’intimité de sa vie privée »1. Toutefois, les salariés peuvent être sanctionnés en raison du contenu des sites consultés2 ou de la fréquence de leur connexion à des sites internet3. Tel est le cas d’un salarié ayant abusivement usé de la connexion internet de l’entreprise, à des fins non professionnelles, en y passant une durée totale d’environ 41 heures pendant 1 mois, et cela pendant des durées très longues (10 fois plus d’1 heure, 4 fois plus de 2 heures) ;

• sur l’utilisation des réseaux sociaux :la jurisprudence s’est essentiellement prononcée dans le cadre de l’utilisation de Facebook et de la liberté d’expression. Elle s’est ainsi fondée sur les paramétrages des comptes personnels des salariés afin de déterminer si les propos tenus relevaient ou non de la sphère privée des salariés. La Cour de cassation a considéré qu’un groupe fermé composé de 14 personnes agréées par la salariée ne constituait pas un espace public et les propos tenus par la salariée ne pouvaient, dès lors, revêtir un caractère injurieux et calomnieux4. En revanche, un compte privé Facebook comptant plus de 200 « amis » professionnels incluant notamment des personnes travaillant dans des entreprises concurrentes constituait un espace public.

•  

Toutefois, la problématique soulevée par la décision de la Commission européenne et du Parlement européen d’interdire le réseau social chinois diffère. Elle ne concerne pas le contenu consulté, sa fréquence ou le contenu publié mais les dangers liés au fonctionnement de la plateforme.

Régulation de l’utilisation des réseaux sociaux au nom de l’impératif de protection des données

Si la décision de la Commission européenne et du Parlement européen d’interdire à ses fonctionnaires ou salariés une application au motif de protéger les données peut surprendre, le souci de la protection des systèmes informatiques n’est pas nouveau.

En effet, compte tenu de l’augmentation exponentielle du nombre de salariés amenés à utiliser les nouvelles technologies de l’information et de la communication (NTIC), cette nouvelle problématique de protection des données a rapidement émergé. Ce mouvement s’est encore accéléré ces dernières années, avec la mise en place massive du télétravail, à la suite de la crise épidémique de la Covid-19.

Afin de pallier ces nouvelles difficultés, les entreprises ont élaboré des chartes informatiques destinées à encadrer l’usage du réseau informatique de l’entreprise, dans lesquelles sont exposées l’ensemble des obligations imposées aux salariés afin de veiller à la sécurité des données de l’entreprise. Au sein de ces chartes, diverses obligations sont faites aux salariés au rang desquelles se trouvait déjà l’interdiction de téléchargements de logiciels non autorisés par l’employeur afin de préserver l’intégrité des systèmes informatiques.

En 2004, la CNIL identifiait déjà différents moyens de veiller à la protection des données de l’entreprise dans son rapport relatif à la cybersurveillance sur les lieux de travail (mars 2004) :

• lors de l’utilisation professionnelle des NTIC :« À ce titre, la mise en place de dispositifs de filtrage de sites non autorisés, associés au pare-feu (sites diffusant des produits à caractère pornographiques, pédophiles, incitation à la haine raciale, révisionnistes, etc.) peut constituer une mesure de prévention dont il y a lieu d’informer les salariés ou agents publics » ;

• ou lors de l’utilisation des NTIC à des fins personnelles :« De même, la possibilité pour les salariés ou agents publics de se connecter à internet à des fins autres que professionnelles peut s’accompagner de prescriptions légitimes dictées par l’exigence de sécurité de l’organisme, telles que l’interdiction de télécharger des logiciels, l’interdiction de se connecter à un forum ou d’utiliser le “chat”, l’interdiction d’accéder à une boîte aux lettres personnelle par internet compte tenu des risques de virus qu’un tel accès est susceptible de présenter ».

En l’espèce, l’interdiction des autorités européennes se fonde non pas sur la sécurité du système informatique mais sur la nécessité de préserver l’intégrité des données.

En effet, Tiktok est une plateforme dont le fonctionnement implique que les données collectées via l’application soient transférées en dehors du territoire européen vers des pays dont la législation n’assure pas forcément un niveau de protection des données équivalent.

Dans le cadre de la mise à jour de sa politique de confidentialité pour l’Espace économique européen, TikTok a indiqué à cet égard : « Nous stockons actuellement les données des utilisateurs européens aux États-Unis et à Singapour. Sous réserve d’un besoin avéré pour effectuer leur travail, d’une série de contrôles de sécurité et de protocoles d’approbation robustes, et par le biais de méthodes reconnues dans le cadre du Règlement Général sur la protection des données (RGPD), nous autorisons certains employés de notre groupe situés au Brésil, au Canada, en Chine, en Israël, au Japon, en Malaisie, aux Philippines, à Singapour, en Corée du Sud et aux États-Unis à accéder, à distance, aux données des utilisateurs de TikTok. Nos contrôles de sécurité sont supervisés par nos équipes de sécurité et comprennent des contrôles d’accès au système, le chiffrement et la sécurité du réseau »6.

Ces déclarations ne sont pas de nature à rassurer les autorités internationales et françaises. L’application fait d’ailleurs, depuis le 13 mars, l’objet d’une d’enquête par une commission sénatoriale qui a pour objectif de faire la lumière sur la stratégie d’influence de la plateforme et l’exploitation des données personnelles de ses utilisateurs.

Le non-respect de la réglementation relative à la protection des données et les risques de cyberespionnage sont des motifs de nature à justifier l’interdiction de l’utilisation de TikTok sur les appareils mis à la disposition de salariés par leur employeur. Cette interdiction pourrait s’appliquer à toute autre application collectant des données dont le traitement ne serait pas conforme au RGPD.

En revanche, l’interdiction faite aux salariés de télécharger ces mêmes applications sur des appareils personnels serait, en l’état des textes et de la jurisprudence, difficilement justifiable.

À défaut de pouvoir interdire l’utilisation de l’application, les employeurs devront alerter leurs salariés sur les dangers de l’utilisation de ce type d’applications sur leurs appareils personnels.

Par Kelly Domingues et Myrtille Lapuelle