Un SMS trouvé sur un téléphone portable, prêté par une agence de Bouygues Telecom, et c'est un véritable imbroglio juridique qui s'est enclenché. Quelle leçon en tirer pour un responsable sécurité en entreprise ?

Ni le procureur d'Abbeville ni les gendarmes ni même le jeune abbevillois héros de l'histoire du SMS "menaçant" ne devaient s'attendre à ce que cette aventure fasse autant de gros titres...

Mais l'affaire est intéressante à plus d'un titre pour un responsable informatique ou sécurité en entreprise. Rappelons d'abord brièvement les faits tels qu'ils sont désormais connus. Un premier jeune homme est victime d'une panne de téléphone mobile. Il obtient de son opérateur un téléphone de prêt, y insère sa carte SIM et reçoit alors un SMS demandant une méthode pour faire dérailler un train.

Ce premier jeune homme n'efface pas le SMS mais n'y fait pas plus attention que cela. Puis il récupère son propre téléphone, réparé, et restitue donc le téléphone comportant le SMS en cause à son opérateur. Ce téléphone est prêté à un autre particulier qui découvre le SMS et dénonce les faits à la police.

En aucun cas, il n'y a donc eu surveillance de quoi que ce soit par l'opérateur de téléphone ou « écoute » des SMS.
En revanche, le SMS en question aurait pu être reçu sur un téléphone professionnel ou même concerner l'employeur (information sur l'activité commerciale, etc.).

De plus, au niveau juridique, il n'y a pas de différence entre un SMS et un e-mail et un cas similaire aurait pu se produire avec un smartphone contenant un e-mail professionnel ou un e-mail autant menaçant que le SMS en cause qui aurait pu parvenir sur un appareil mis à disposition pour des motifs professionnels.

Etienne Papin, avocat au cabinet Féral-Schuhl & Sainte Marie, nous éclaire sur les leçons juridiques à tirer de l'affaire.

1. Qui a la responsabilité de l'effacement des données sur un téléphone ou un ordinateur de prêt ?
2. Le prêteur peut-il voir sa responsabilité engagée pour avoir re-prêté un appareil contenant des données d'un autre client ?

Etienne Papin : Le cas est inédit mais, a priori, le prêteur n'a aucune responsabilité. En effet, c'est l'emprunteur qui a une obligation née du contrat de prêt de restituer l'objet dans l'état où il l'a obtenu. S'il ne le fait pas, c'est plutôt le prêteur qui peut se retourner contre lui si cela lui porte le moindre préjudice.

3. Si l'appareil ayant reçu le message « menaçant » avait été professionnel, la responsabilité de l'employeur aurait-elle pu être engagée ?
4. L'employeur a-t-il un devoir de surveillance des correspondances de ses salariés reçues ou expédiées à partir d'un appareil professionnel ?

Etienne Papin : L'employeur n'a aucune obligation de surveillance des correspondances de ses salariés et c'est même plutôt l'inverse. La cybersurveillance des salariés est sévèrement réglementée et aucune jurisprudence, comme aucune loi, n'oblige l'employeur à surveiller les salariés.

A l'inverse, il y a une obligation de prévenir les salariés de la surveillance opérée que l'employeur peut réaliser pour défendre ses propres intérêts, comme empêcher les pertes de temps et obliger ses salariés à travailler pour lui.

Ceci dit, la jurisprudence rappelle que l'employeur ne peut pas interdire tout usage privé des outils professionnels, notamment pour consulter des sites web ou recevoir des e-mails à des fins privées.

En revanche, même il n'y a aucune jurisprudence sur le sujet, si un employeur tombait « par hasard » sur un message « menaçant » (ou lié à un acte criminel quelconque) sur un appareil mis à disposition par lui, il aurait le devoir, si les faits sont plausibles, de dénoncer aux autorités les dits faits sinon il engagerait sa responsabilité civile et pénale.

Photo : D.R.

. Web-profils.com, la place de marché du conseil et de l'ingénierie