Eric Barbry – La charte d’utilisation des systèmes d’information, la charte administrateurs, le livret et le guide juridique ont les quatre piliers que permettent de responsabiliser les salariés quant à l’usage des systèmes d’information et, le cas échéant, de sanctionner les comportements illicites ou inappropriés. Si ce socle est un préalable indispensable à toute opération de contrôle, il n’a pas pour objectif ni pour vocation de déterminer, en pratique, les conditions matérielles et opérationnelles d’un contrôle sur le poste informatique (fichier et/ou messagerie) d’un salarié.

Or, l’opération de contrôle est une opération risquée sur le plan juridique. Toute erreur dans l’opérationnel de contrôle peut aboutir au mieux à ce que les preuves ainsi obtenues ne soient pas opposables au salarié, au pire que l’opération se retourne contre l’employeur et que celui-ci soit sanctionné, par exemple pour la violation des secrets de correspondanciers.

De fait, en plus des documents socles susvisés, il est indispensable de déterminer en amont, le processus opérationnel que l’opérateur en charge du contrôle devra suivre scrupuleusement pour éviter, autant que faire ce peu, que la responsabilité de l’entreprise en soit engagée. Le guide des opérations de contrôle est donc, comme son nom l’indique, un mode opératoire qui comporte notamment les items suivants :

– personnes habilités,
– déclenchement,
– opérations d’accès,
– opérations de contrôle,
– Analyse des logs,
– Copie sur poste, etc.

En plus du « Guide des opérations de contrôle », il est important de disposer :

– d’un modèle de convocation du salarié lorsque la loi prescrit que sa convocation soit requise ;
– d’un modèle de procès-verbal de contrôle de nature à garder la trace exacte de l’opération de contrôle ;
– d’un modèle de rapport d’analyse de nature à dresser rapport des éléments identifiés dans le cadre de l’analyse réalisée sur un poste informatique ou tout autre environnement numérique.