L’essentiel : L’accès des salariés aux bases de données nominatives, comme celles de l’assurance maladie, nécessite des dispositions spécifiques dans la charte informatique de l’entreprise pour protéger les données personnelles. Un salarié a été sanctionné pour avoir utilisé ces données à des fins personnelles, en recherchant l’adresse d’une collègue pour lui envoyer des fleurs, ce qui constitue un manquement aux obligations professionnelles. Le règlement intérieur stipule que les outils de communication doivent être réservés à un usage professionnel, et tout abus peut entraîner des sanctions disciplinaires et des poursuites pénales.

 En présence d’accès par le salarié à des bases de données nominatives (fichiers de l’assurance maladie), il est conseillé de stipuler à la charte informatique de l’entreprise, des dispositions spécifiques relatives au respect des données personnelles des administrés / clients.   

Détournement de données personnelles

En l’occurrence, un salarié a été sanctionné pour avoir utilisé à des fins personnelles (recherche de la nouvelle adresse d’une collègue afin de lui envoyer des fleurs dans le cadre d’un harcèlement affectif) son accès à la base de données de l’assurance maladie et cela en dehors de toute justification professionnelle.

Ces agissements constituent des manquements aux obligations professionnelles et contreviennent aux dispositions du règlement intérieur et de la charte régionale de bon usage des ressources informatiques de l’organisme employeur.

Portée du règlement intérieur de l’assurance maladie

Dans l’affaire soumise, le règlement intérieur de l’assurance maladie disposait que ‘l’utilisation des outils de communication mis à la disposition du personnel (téléphone, courrier, messagerie, Internet…) sont réservés à un usage professionnel, selon les règles d’utilisation prescrites. Ces moyens de communication doivent être utilisés dans le respect des dispositions de la charte régionale de bon usage des ressources informatiques (…);

L’utilisation des ressources informatiques ne doit pas donner lieu à des comportements ou pratiques nuisibles ou illégales. Les abus, dérives ou contraventions sont sanctionnés par la loi. Ils peuvent engager la responsabilité civile et pénale de l’utilisation, mais aussi de l’organisme.

Dans ces conditions, en cas de non-respect des prescriptions de la présente charte et d’agissements frauduleux ou fautifs, l’utilisateur pourra être tenu pour personnellement responsable, le fautif pourra se voir appliquer les sanctions disciplinaires appropriées et, le cas échéant, être poursuivi pénalement’, étant rappelé que l’article 2.1 prévoit en général que ‘sont à respecter les règles de droit relatives au respect de l’intimité de la vie privée d’autrui, à la protection du secret des correspondances et du secret professionnel, à la protection de la propriété intellectuelle et des droits de la personne résultant des fichiers ou des traitements informatiques’.

L’enquête administrative et la procédure disciplinaire menées par l’employeur ne reposaient pas sur les agissements d’ordre privé du salarié, mais sur le grief tenant à l’utilisation des ressources informatiques de l’Assurance maladie sans autorisation.

Q/R juridiques soulevées :

Quelles sont les recommandations concernant l’accès aux bases de données nominatives par les salariés ?

Il est conseillé d’inclure dans la charte informatique de l’entreprise des dispositions spécifiques qui traitent du respect des données personnelles des administrés ou clients lorsque les salariés ont accès à des bases de données nominatives, comme celles de l’assurance maladie. Cette précaution vise à protéger la vie privée des individus et à garantir que les données ne soient pas utilisées à des fins personnelles ou inappropriées. Les entreprises doivent donc établir des règles claires pour encadrer l’utilisation de ces informations sensibles, afin de prévenir tout abus et de respecter les obligations légales en matière de protection des données.

Quels types de sanctions peuvent être appliquées en cas de détournement de données personnelles ?

En cas de détournement de données personnelles, comme l’utilisation d’une base de données de l’assurance maladie à des fins personnelles, des sanctions peuvent être appliquées. Ces sanctions peuvent inclure des mesures disciplinaires internes, telles que des avertissements, des suspensions ou même un licenciement, selon la gravité des faits. De plus, l’individu fautif peut également faire face à des poursuites pénales, car de tels agissements constituent des violations des lois sur la protection des données et peuvent engager la responsabilité civile et pénale de l’utilisateur ainsi que de l’organisme employeur.

Quelles sont les obligations des salariés concernant l’utilisation des ressources informatiques ?

Les salariés sont tenus de respecter les règles d’utilisation des outils de communication et des ressources informatiques mises à leur disposition par leur employeur. Le règlement intérieur de l’assurance maladie stipule que ces outils doivent être utilisés exclusivement à des fins professionnelles, conformément aux règles établies dans la charte régionale de bon usage des ressources informatiques. Les comportements nuisibles ou illégaux, ainsi que les abus, sont strictement interdits et peuvent entraîner des sanctions. Les salariés doivent également respecter la vie privée d’autrui et les droits liés à la protection des données personnelles.

Comment se déroule une enquête administrative en cas de non-respect des règles ?

Lorsqu’il y a des soupçons de non-respect des règles d’utilisation des ressources informatiques, une enquête administrative peut être menée par l’employeur. Cette enquête vise à examiner les faits reprochés au salarié, en se concentrant sur l’utilisation des ressources informatiques sans autorisation, plutôt que sur des agissements d’ordre privé. Les résultats de cette enquête peuvent conduire à une procédure disciplinaire, qui peut aboutir à des sanctions en fonction de la gravité des manquements constatés. Il est essentiel que cette procédure soit menée de manière équitable et transparente, en respectant les droits du salarié concerné.