Les réseaux sociaux sont utilisées par les salariés des entreprises autant à des fins personnelles que professionnelles, autant durant leurs heures de travail que durant leurs loisirs. Dans tous ces cas, il existe des règles à respecter autant pour les salariés eux-mêmes que pour leurs employeurs. Frédéric Broud, Isabelle Vedrines et John Johnson, avocats du cabinet Racine, ont fait le point sur le sujet le 21 février 2013 lors d'une conférence.

Deux types de réseaux sociaux sont à considérer : les réseaux internes (réseaux Sociaux d'Entreprises ou RSE) et les réseaux publics (Facebook, Linkedin, Viadeo...). Lorsqu'une entreprise met en place un RSE, il lui incombe des obligations supplémentaires liées, simplement, à la création d'un traitement comportant des données (très) personnelles. Il s'agit essentiellement du respect des règles de la loi Informatique et Libertés. La CNIL a le pouvoir de bloquer voire de détruire un RSE non-conforme aux règles, sans préjudice des autres sanctions prévues par la loi (jusqu'à 300 000 euros d'amende et cinq ans de prison). Au delà, les règles vont globalement être les mêmes que pour les réseaux publics.

La cybersurveillance des salariés possible mais limitée

En particulier, toute solution ou mesure de cybersurveillance doit faire l'objet d'une information claire des salariés (et des instances représentatives) ainsi que, le cas échéant, d'une déclaration à la CNIL en cas de traitement nominatif associé. Les mesures prises ne doivent pas être excessives en regard des intérêts légitimes de l'employeur afin de ne pas porter atteinte aux droits et libertés des salariés.

Une mesure non-conforme serait inopposable au salarié pour justifier une sanction. De la même façon, le non-respect des procédures prévues par le Règlement Intérieur de l'entreprise, même en respectant la Loi, rendrait le constat d'une faute nul. Un arrêt de la Cour de Cassation du 26 juin 2012 l'a sèchement rappelé. Une entreprise avait prévu dans son règlement intérieur que la consultation des mails des salariés (sans la restriction légale aux seuls mails marqués comme privés) ne pouvait se faire qu'en la présence des salariés concernés. Or l'employeur avait consulté des mails a priori professionnels qui avaient justifié une sanction, mais en l'absence du salarié concerné. La sanction a donc été annulée. « Il faut respecter son propre règlement intérieur » rappelle Frédéric Broud.

L'incontournable charte informatique

Encore une fois, le recours à une charte de l'usage des outils informatiques de l'entreprise, annexée au Règlement Intérieur, semble indispensable. Isabelle Védrines a rappelé que la CNIL conseillait -sans que cela soit une obligation- que cette charte soit réalisée en concertation avec les représentants du personnel et soit l'occasion d'une sensibilisation aux bonnes pratiques.

L'employeur ne peut cependant pas interdire tout usage des outils professionnels à des fins personnelles comme l'a rappelé « l'arrêt fondateur » de 2001 dans une affaire opposant Nikon à l'un de ses salariés. A l'inverse, un excès est sanctionnable : un salarié a ainsi été licencié pour avoir envoyé des e-mails personnelsLa charte doit aussi, rappelle le cabinet Racine, inclure des dispositions sur la prise de parole publique. Qui a le droit de présenter une position de l'entreprise ? Par quel canal ? Il peut être pertinent, selon ces avocats, de distinguer des profils professionnels et des profils personnels.

Les salariés aussi ont des obligations

Les salariés ont donc également des obligations, que ce soit sur le lieu de travail avec les outils professionnels ou dans leur vie quotidienne. La première règle est une obligation générale de loyauté. Cela implique notamment, comme par n'importe quel canal de communication, de ne pas divulguer les informations confidentielles de son entreprise.
Le discours public, même en dehors des heures de travail, des salariés ne doit pas non plus atteindre à l'image de son employeur. Un statut Facebook accessible sans restriction est, par exemple, considéré comme une expression publique. Les conseils des Prud'hommes valident régulièrement des licenciements liés à des dénigrements publics d'entreprises ou de hiérarchies, voire d'insultes.

L'employeur peut sanctionner un salarié ne respectant pas ses obligations, même sans mention explicite dans le Règlement Intérieur. Ainsi, la Cour de Cassation a confirmé le licenciement d'un salarié ayant détourné l'usage de son PC professionnel pour y stocker des éléments pornographiques sans que cela soit expressément interdit dans le Règlement Intérieur. Il en est de même pour un usage abusif des réseaux sociaux.