2ème atelier, Réseau Social Interne et International, vecteur de richesses juridiques

Echanger et partager l’expérience d’Elise Bruillon, Direction Juridique, France Télécom-Orange sur le sujet suivant :

“Réseau Social Interne et International, vecteur de richesses juridiques”

 

 

« Quelles règles peuvent être appliquées par la direction juridique dans le cadre du déploiement d’un outil de Réseau Social Interne (RSI) dans une entreprise multinationale ?


Est-ce possible malgré de potentiels conflits de lois ?


Comment éviter la création d’un système complexe de recommendations juridiques fonction de tous les pays concernés ?


L’analyse juridique dans un environnement international est un facteur de réussite pour le déploiement d’un outil comme le RSI : il faut savoir identifier les obligations légales non adaptables comme les notions d’atteinte aux bonne mœurs et d’atteinte à l’ordre public, et collaborer à l’identification de mécanismes simples et efficaces pour réguler cette espace interne de liberté.

La clé de réussite reste dans la compréhension des postulats nationaux en terme de relations juridiques employeurs/employés. »

 

Compte rendu de l’atelier,

(Prise de notes faite par BNP Paribas)

Présentation par Élise Bruillon, juriste FR Télécom, département sécurité, direction juridique et protection des données personnelles (informatiques et libertés, droits des télécoms). Outils informatiques ie traçabilité, ie droit du travail et cybersurveillance et procédure disciplinaire.


Ecrire une charte dans une logique positive et accueillante, encourager l’expression responsable.
–        Quelle est la valeur juridique d’une charte ?
–        Comment fixer les règles du jeu dans  un contexte international et avec des filiales (règlements intérieurs, confidentialité etc.)
–        Gestion des risques : hiérarchiser.
–        A qui s’adresser en cas de problème.


1. Hypothèses de travail
(Slide 3)
Deux types de réseaux dans le cas français : bulle fermée (à gauche), espace ouvert (à droite).À gauche : outil cloisonné dans un espace privé.
L’absence d’obligation de travailler avec le réseau social offre plus de souplesse par rapport au droit du travail. Il faut alors élaborer un guide de bonnes pratiques. C’est chez Orange un système d’autorégulation basé sur la confiance a priori.A droite : outil hébergé et accessible depuis Internet. 
Les outils Internet devraient être évités et l’intranet préféré : plus souple, plus sûr, moins risqué pour la déperdition d’informations ou le piratage (ex. portail de la CIA dans les années 1980). Si l’usage est imposé aux salariés, des moyens de contrôles doivent être développés : contrôle, traçabilité, surveillance. La non-utilisation de l’outil pourrait être une faute. La disponibilité, l’intégrité, la sécurité et la traçabilité de l’outil devront être assurées. La formation est un point important (l’entreprise a une obligation d’adaptation des personnels tout au long de leur carrière, un licenciement est possible si la personne refuse sciemment la formation).

2. Corpus juridiques

a)  Les corpus juridiques à travers le monde

(Slide 4)

Cf. la carte du monde.
Régions de droit civiliste (réciprocité des obligations) en orange.
Violet : common law ; violet foncé est un peu plus civil pour les rapports entre particuliers.
Mongolie : coutumier.
Vert : charia, mais inégale. Par exemple l’Arabie Saoudite est plus avancée en B2B (dérivé de la common law, possibilité de transaction pénale), partie plus civiliste pour les rapports entre particuliers, charia pour l’ordre public, les mœurs et les infractions pénales.

b)  La définition des corpus juridiques chez Orange

(Slide 5)

Le champ des relations avec les salariés est défini en orange.
– Bonne mœurs : ce qui est insupportable en dehors de l’entreprise n’est pas non plus acceptable dans l’entreprise.
– Com électronique : l’inclusion de l’outil dans le réseau interne pose beaucoup moins de problèmes.
– Culture : culture d’entreprise.

En gris sont définis les champs de protection des données personnelles et de respect de la vie privée.

3. Risques enjeux

Cf. Norme 27 001 relative à la sécurité de l’information : l’outil va-t-il occasionner une perte d’information stratégique, d’intelligence économique ou de confidentialité.
– Dans un outil interne, c’est la perte de confidentialité entre structures qui peut poser problème, il faut donc régler finement les droits d’accès. Le réseau social interne ne pose pas en soi un problème de confidentialité, c’est avant tout la question de l’écriture qui demeure. C’est un problème que l’on trouve avant le réseau social (ex d’une entreprise du CAC 40 dont des notes importantes étaient lues pendant les trajets par des cadres et jetés dans une poubelle à l’entrée). C’est moins un problème d’aggravation que de révélation.
– Les risques de débordements (diffamation, propos injurieux, prosélytisme) ne sont pas à négliger. Le droit disciplinaire est le premier moyen de régulation (convocation, entretien, notification), Le rappel des règles de fonctionnement permet de canaliser les effets de débordements.

Hiérarchiser les actions juridiques

–        Avoir une approche globale.
–        Si l’outil est imposé, associer les instances représentatives.
–        Évaluer l’impact du changement dans les pratiques de travail. Les manquements au travail à cause de l’outil peuvent ils occasionnés une faute au sens BIT ?

Aux Etats-Unis, l’employeur est considéré comme le fournisseur d’accès, ie c’est à lui de surveiller les journaux de connections. Les services de sécurité voulaient savoir qui avaient également tenté d’accéder à des sites pédopornographiques (plus de deux fois). Ce sytème est interdit en France (loi de 1968 sur la délation).

(Slide 8)

Les contraintes légales et réglementaires s’appliquent si l’outil est sur Internet, en particulier les troubles à l’ordre public.
L’écriture d’une charte doit se baser  sur les grands principes faciles à décliner dans chaque pays. Les juristes locaux ne doivent pas avoir à réécrire les principes. Il est bon que les entités pays s’approprient les principes.

(Slide 9)

Charte d’usage ou conditions d’utilisations
Les règles sont plus contraignantes que les principes.

(Slide 11)

Les réseaux sociaux représentent un challenge pour les directions juridiques. Analyse macroscopiques et déclinaison locale en fonction du risque de chaque pays.
Lorsque l’outil est imposé, la majeure partie du travail repose sur la relation employeur – salarié. Faire confiance à l’autorégulation. Le réseau social interne est d’abord un outil destiné à une meilleure communication.

 

Commentaires

Merci

15Vendredi, 13 Mai 2011 13:55

Karine BOULLIER

Bravo pour cet exposé très clair et très opérationnel.
Merci aussi pour la richesse des débats qui s’en sont suivis.
Cordialement
Karine

idée d’un crawler pour repérer les mots illicites

14Vendredi, 13 Mai 2011 13:52

Pierre PREVEL

Sur cette question vous avez évoqué le cote abrasif / intrusif de l’outil
Pourriez vous préciser ?

Comment gérer secret de la correspondance et obligation de respecter la loi ?
-les échanges peuvent être vus par des tiers quand un chat ou un forum sont publics
– un chat / forum privé (fermé) exonère t-il l’employeur de l’obligation de surveiller les propos

Merci pour votre superbe intervention !!!!!
Pierre

vigilance sur les crawlers qui peuvent être assimilés à des outils de hacking

Vendredi, 20 Mai 2011 11:33

Elise BRUILLON

Merci, pour votre retour positif.
Il faut être prudent avec les crawlers qui peuvent être assimilés à des outils permettant de qualifier des infractions pénales notamment ils peuvent porter atteinte à l’intégrité d’un flux lorsqu’ils sont paramétrés de manière à “silhouetter “le paquet de données à inspecter. de manière très grossière j’illustrerai avec la différence entre “palper” et “fouiller”.
Je vous rappelle que tout usage des outils mis à disposition par l’entreprise à l’employé sont présumés être utilisés dans le cadre professionnel, ce pourquoi l’employeur peut avoir accès à toute correspondance émise et reçue par un employé sauf si l’objet mentionne le caractère personnel ou privé de ladite correspondance.
l’enteprise peut donc cybersurveiller dans la mesure où les outils utilisés ont été portés à la connaissance des IRP, des employés, font l’objet d’une déclaration (si absence de CIL) à la CNIL mais ces outils doivent être proportionnés au but recherché et à mon humble opinion utiliser un crawler pour un tel objectif serait comme écraser une mouche avec une grosse Bertha. Bien cordialement,

Merci !

13Vendredi, 13 Mai 2011 13:52

Caroline MAERTE

Merci pour cette intervention
J’ai pris plein de notes intéressantes.
RDV le 22 juin

Caroline

Merci

12Vendredi, 13 Mai 2011 13:48

Emmanuel SARRAUD

excellente intervention qui nous éclaire ! Nous sommes dans la phase de mise en place de notre RSE à GrDF, nous venons de gagner beaucoup de temps !
Bravo pour ces échanges !

Emmanuel

BCR “Bases” Customer Rules ?

11Vendredi, 13 Mai 2011 13:47

Pierre PREVEL

Elise, pourriez vous préciser cette notion ?
merci

BCR : binding corporate rules

Vendredi, 20 Mai 2011 11:35

Elise BRUILLON

Dans les groupes internationaux qui connaissent un éclatement dans des pays hors UE, il est parfois utile de disposer de grandes principes cadre pour encadrer le transfert de données personnelles.

Arret Entreprise Martin

10Vendredi, 13 Mai 2011 13:46

Pierre PREVEL

Elise,
Vous avez evoque plusieurs fois cet arret
Ou peut t-on se le procurer ?
Merci

Entreprise Martin 2008

Vendredi, 20 Mai 2011 11:36

Elise BRUILLON

le point de vigilance est que cet arrêt permet de rechercher dans les traces informatiques les moyens de qualifier/détecter une faute du salarié alors qu’auparavant nous recherchions dans les traces les moyens de prouver ladite faute.
http://www.legalis.net/spip.php?page=jurisprudence-decision&id_article=2390

question de Vincent BERTHELOT

9Vendredi, 13 Mai 2011 13:38

Zi

Même si l outil n est pas impose le salarie qui l utilise volontairement peut commettre des débordements que l employeur peut légitimement vouloir sanctionner : dans ce cas il faut que le recours a la discipline dans le cadre du réseau social soit prévu au Reglmt Intérieur . aussi il me semble que l ajustement du RI et le passage aux instances est toujours obligatoire, que l usage soit obligatoire ou facultatif

opposabilité de la charte et RI

Vendredi, 20 Mai 2011 11:40

Elise BRUILLON

oui votre raisonnement est juste, mon propos était d’expliquer pourquoi dans notre entreprise nous ne l’avions pas fait : nos procédures internes et nos documents comprennent déjà ces risques. Nous n’avions pas besoin de modifier et de présenter en info/consult à nos IRP.

Questions Réseau Social Interne et International, vecteur de richesses juridiques

8Vendredi, 13 Mai 2011 13:24

Maryse CARMES

Le caractère d’un RSI auto-organisé, non soumis à obligation d’usage, peut – il être vraiment suffire à établir une “zone franche” non indexable au droit du travail ? cf votre sly 3.
En effet, n’y a-t il pas ici ici une problématique d’évaluation des contraintes (leur absence) qui peuvent être informelles mais établies en actes; les ressources et moyens utilisés sont de facto des outils de l’entreprise qui reterritorialisent , ….
Merci
Maryse

RSI est un outil mis à disposition par l’employeur

Vendredi, 20 Mai 2011 11:42

Elise BRUILLON

donc pas de zone franche mais une étude pour déterminer si l’entreprise a besoin de faire modifier son RI et devoir présenter le projet aux IRP.

Merci

Lundi, 16 Mai 2011 19:37

Maryse CARMES

Merci encore pour cette présentation et ces échanges très riches.
Maryse

dispositif disciplinaire spécifique au RSE ?

7Vendredi, 13 Mai 2011 13:10

Emmanuel SARRAUD

Est-ce que l’on peut créer un dispositif disciplinaire spécifique au réseau 2.0 (ex : suspension d’habilitation…) ?

oui à la créativité en droit du travail

Vendredi, 20 Mai 2011 11:43

Elise BRUILLON

une entreprise peut très bien dans son RI prendre des mesures de sanction spécifique à un outil : bien s’assurer que le RI comprenne toutes les mesures de sanction et que l’entreprise a bien suivi la procédure de modification (PV CE + LRAR à l’inspecteur du travail)

Question de Vincent BERTHELOT

6Vendredi, 13 Mai 2011 12:52

Zi

L’extranet est il consideré comme un réseau interne?

extranet : accès réseau public et traitement réseau interne

Vendredi, 20 Mai 2011 11:45

Elise BRUILLON

un extranet sera soumis à la réglementation communications électroniques pour l’accès à savoir journaliser pendant douze mois la personne qui s’est connectée ensuite si l’extranet ne génére pas de flux sur Internet vous n’etes plus soumis aux contraintes réglementaires du secteur.

Solution cloud computin considérée comme interne ou pas ?

5Vendredi, 13 Mai 2011 12:48

Emmanuel SARRAUD

La solution cloud computing permettant d’accéder au RSE via un identifiant entreprise et mot de passe entreprise, mais via internet est il considéré comme interne ou comme disponible sur internet ?

Merci pour la réponse

Emmanuel

VPN et cloud

Vendredi, 20 Mai 2011 11:47

Elise BRUILLON

il faut demander à votre prestataire de cloud si les flux véhiculés depuis votre entreprise se font au moyen de technologie comme un VPN et si le cloud est hébergé sur un réseau interne. SI oui, vous être hors scope de la réglementation communications électroniques.

Lien entre charte d’utilisation et réglement intérieur

4Vendredi, 13 Mai 2011 12:43

Emmanuel SARRAUD

Avez vous fait un lien entre la charte d’utilisation et votre réglement intérieur ?

Emmanuel

expérience Orange

Vendredi, 20 Mai 2011 11:48

Elise BRUILLON

Nous n’avons pas eu besoin de le faire car déjà compris dans notre référentiel interne. historiquement nous avions mis à disposition des forums et chat’ qui nous permis d’améliorer nos procédures internes…

Questions d’Agnes Chatellier, Juriste BNP Paribas

3Jeudi, 12 Mai 2011 15:01

Sophie DELMAS

Ma question principale : comment encadrez-vous la protection des données au plan international ?
Plus précisément avez-vous fait des formalités spécifiques auprès de la CNIL en France et des autres autorités de protection des données en Europe et dans le monde pour déclarer ce type d’activités au sein des réseaux sociaux et notamment les transferts internationaux de données ?
En effet ces outils sont internationaux et des données personnelles sont susceptibles de circuler ou être accessibles d’un pays à l’autre, avez-vous envisagé ce problème en terme de protection des données et vie privée.

Autres questions : lorsque les collaborateurs donnent des informations extra professionnelles sur eux mêmes, comment gèrez-vous ces données qui n’ont rien à voir avec l’activité professionnelle ? Avez-vous émis des réserves spéciales ?
Comment avez-vous pris en compte le risque de communication du CV à grande échelle ainsi que les descriptifs de ses compétences ? avez-vous envisagé le risque de discrimination que cela peut entraîner si les personnes se comparent et se rendent compte qu’à diplôme égal, elles n’ont pas le même salaire, ni les mêmes responsabilités ?

Merci ….

Pour la nomination d’un CIL en entreprise qui facilite la vie de la DJ !

Vendredi, 20 Mai 2011 11:56

Elise BRUILLON

Avec la nomination d’un CIL (tenir un registre de traitement de données personnelles) et l’élaboration d’une pollitique spécifique, nous avons réduit drastiquement notre risque protection des données personnelles. Pour rappel tout transfert dans l’UE est autorisé et en-dehors de l’UE il “suffit” d’y insérer les dispositions contractuelles édictées par la CE.
En matière de protection de données personnelles et en matière RH, la CNIL a une doctrine très assouplie nous dispensant de déclaration pour la gestion de la rémunération ou pour nous permettre de disposer de déclarations simplifiées pour certains traitements.
Nous avons inséré des dispositions spéciales dans notre charte en matière de données personnelles et sensibles et notre modération a posteriori permet de retirer tout contenu hors scope. En interne, l’outil ne permet pas de disposer d’information sur la rémunération : quant aux responsabiliés à situation égale, je dois avouer que tout le monde est manager chez nous :).

Recommandations du G 29 aux RS externes >>> application à l’interne ?

2Mercredi, 11 Mai 2011 16:25

Pierre PREVEL

bonjour Elise
en 2009, le G29 a publié des recommandations aux RS type facebook
voir ici http://www.cnil.fr/la-cnil/nos-defis/innovation-et-expertise/actualite-expertise/article/le-g29-precise-les-regles-applicables-aux-reseaux-sociaux/
a votre avis, ces principes peuvent ils être appliqués à des RS internes (sauf le pseudo a mon avis)
y a t-il eu a votre connaissance des travaux dans ce sens ?
merci
très cordialement
Pierre

RAS

Vendredi, 20 Mai 2011 11:58

Elise BRUILLON

pour le moment le scope de ces travaux est plutôt les fournisseurs externes comme les grands sur le sujet.

Réseau Social Interne et International, vecteur de richesses juridiques”

1Mercredi, 11 Mai 2011 15:16

Pierre PREVEL

Bonjour Elise,
Superbe sujet !
Quatre questions complémentaires :
– y a t-il des pays dans lesquels les règles sont plus contraignantes (j’ai entendu parler de l’Espagne, la Suisse, les USA …)
– ou en est la coopération européenne des CNIL (ou équivalents nationaux) ?
– comment gérer la problématique des transferts de données hors UE ?
– peut on considérer qu’un Réseau Social Interne constitue une interconnexion au sens de la CNIL ? que dis la CNIL sur ce sujet ?
merci
Pierre

les principes sont communs : l’application est personnalisée

Vendredi, 20 Mai 2011 12:03

Elise BRUILLON

en Espagne, la agencia de protecion de datos est très sévère mais a dû récemment assouplir sa position car elle mettait en difficulté la compétitivité des entreprises espagnoles aves une interprétation restrictive des directives. La suisse ne faisant pas aprtie de l’UE a tendance à s’inspirer des directives européennes en tirer la substantifique moëlle. quant aux USA, il ne faut pas oublier qu’ils n’ont qu’un Safe Harbor mais sont obligés de notifier certaines failles de sécurité dans le traitement de données personnelles et supportent les conséquences des class actions.
Hors de l’UE insérer systématiquement les clauses de la CE et bien différencier le data collector du data processor.
je pense que la CNIL considérera le RSI comme une interconnexion surtout si vous vous appuyez sur un AD pour le contrôle d’accès. il s’agit d’une interprétation pour le moment elle ne s’est pas prononcée.