Chats, e-mails, pages internet visionnées… Les banques enregistrent toutes les informations qui circulent sur leur réseau. Illégal lorsque cela ne concerne pas le domaine professionnel.
Partager:
«Désormais, je pars du principe que ma banque lit tous mes e-mails.» Eric*, en costume anthracite, est arrivé à cette conclusion après une affaire vieille de deux ans. A l’époque, ce jeune employé bancaire travaillait dans la succursale genevoise d’une banque étrangère. Un matin, son chef direct le convoque dans son bureau et l’interroge sur une opération probablement frauduleuse réalisée par un client une année auparavant. «J’effectue ce type d’opérations très fréquemment. Je ne peux pas me souvenir de tout. J’ai réfléchi quelques minutes et j’ai avoué très honnêtement que je ne savais plus. Le chef informatique de la banque a alors sorti l’impression d’un e-mail que j’avais rédigé un an auparavant. J’avais l’impression d’avoir en face de moi un commissaire de police qui venait de trouver la preuve pour me confondre.»
Pour assurer leur sécurité, les institutions bancaires enregistrent tout ce qui transite dans leur serveur, notamment les e-mails et les chats de leurs employés. Un sujet tabou. Tout juste les banques admettent-elles effectuer des vérifications sur l’emploi que font leurs salariés d’internet, dans les limites de la loi, sans vouloir préciser la nature desdits contrôles pour des raisons de sécurité.
Le premier de ces contrôles, utilisé notamment par Credit Suisse et BNP Paribas, est le scannage systématique des e-mails par mots clés. Concrètement lorsqu’un message entre ou sort de la banque, il est systématiquement analysé. S’il contient un mot interdit tel que «sexe», «viagra», «hot», «bombe» ou encore «terroriste», il est mis en quarantaine avant d’être analysé par le responsable informatique de l’entreprise.
Des procédés illicites
«Une amie m’a récemment envoyé un mail qui contenait, entre autres choses, la phrase: «Ce mec est une véritable bombe!», raconte Marie*, employée à Genève d’une grande banque suisse. Immédiatement, j’ai reçu un message d’alerte comme quoi un e-mail qui m’était destiné avait été mis en quarantaine. Pour le débloquer, il fallait appeler les responsables IT. Ce qui peut être gênant, puisqu’ils lisent tous les messages mis en quarantaine. Ces responsables sont néanmoins habitués à ce genre de couac et généralement cela ne va pas plus loin.»
Problème: «Les progiciels qui examinent les courriers électroniques reçus ou envoyés en fonction de termes prédéfinis et qui réagissent en conséquence (en les bloquant, en les effaçant, ou en envoyant une copie à l’administrateur système voire au supérieur hiérarchique de l’employé), sont illicites, selon le Préposé fédéral à la protection des données et de la transparence (PFPDT). Le risque de violation de la personnalité de l’individu est trop important. S’y ajoute le fait qu’il est interdit de passer au crible le contenu des messages privés annoncés comme tels.»
«La difficulté est bien de distinguer, lors des contrôles puis de l’archivage, ce qui appartient à la sphère privée de ce qui est du domaine professionnel, souligne Lisa White responsable des services de protection de données au sein du cabinet d’audit et de conseils Deloitte Suisse. Pour s’affranchir de ce problème, certaines banques font signer à leurs collaborateurs des directives qui précisent explicitement à leurs employés l’interdiction d’utiliser leur réseau à des fins privées et que les données sont archivées. Beaucoup d’autres ne préviennent pas leurs employés de l’archivage qui est fait de leurs données. Et dans ce cas, il peut y avoir un problème en cas de litige ultérieur.»
Une charte incomplète
Ainsi, la «Charte bureautique» d’une banque genevoise, dont nous nous sommes procuré une copie, explique très clairement aux salariés que «l’équipement bureautique mis à la disposition des utilisateurs sert aux besoins professionnels. Il sera essentiellement affecté à l’usage auquel il est destiné, à savoir le travail. […] Si l’envoi occasionnel de brefs messages non professionnels entre collègues peut être toléré […] chaque collaborateur doit être conscient que la sphère privée n’existe pas en cas d’utilisation de l’e-mail dans les bureaux de la banque. […] La banque peut procéder, à certaines conditions, au contrôle des messages reçus ou envoyés par courrier électronique interne ou externe qu’elle archive dans son système de sauvegarde. Des sanctions pourront être prises contre l’utilisateur qui utilise les réseaux de courrier électronique interne ou externe à des fins non admises par la présente Charte.»
Aussi explicite soit-elle, une telle charte n’autorise pas les banques à contrôler les messages privés, ni à les sauvegarder, et cela même s’ils sont émis ou reçus depuis la boîte professionnelle d’un salarié: «Le courrier privé sur le lieu de travail jouit d’une protection illimitée, explique le PFPDT. L’employeur n’a donc le droit ni d’ouvrir ni de traiter (c’est-à-dire sauvegarder, transmettre, scanner, etc.) un message électronique privé lorsque celui-ci est signalé ou reconnaissable comme tel.» En d’autres termes, inscrire la mention «Privé», «Confidentiel» ou «Personnel» dans l’objet d’un e-mail interdit tout regard de l’entreprise sur celui-ci. «En cas de doute, l’employé doit être consulté.»
En pratique, l’avocat Pierre Matile, directeur de Conseiller Juridique Entreprises à Neuchâtel, se montre plus mesuré que le PFPFT: «Il n’y a pas à ma connaissance de jurisprudence en la matière. Le poste de travail, comme son nom l’indique, est fait pour travailler. Si une entreprise fait signer un document à tous ses salariés interdisant les e-mails privés, il sera difficile pour un employé de se défendre au tribunal, même s’il s’agit de sa sphère privée. L’important est que le code des devoirs et des obligations soit clair entre les deux parties, dès le début.»
En ce qui concerne le domaine professionnel, «le Code des obligations suisse demande à ce que la correspondance, incluant les e-mails, soit conservée pendant dix ans par l’entreprise, explique Lisa White du cabinet Deloitte. Néanmoins, la loi fédérale sur les données estime que la durée de sauvegarde doit être proportionnée à l’intérêt du document. Une limitation assez floue, d’autant qu’il n’existe pas de jurisprudence en la matière.»
* Les prénoms ont été modifiés
_______
Une version de cet article est parue dans le magazine La Banque Suisse.