Depuis le programme Hôpital Numérique et la publication de la Politique de Sécurité des Systèmes d’Information de l’Etat (PSSIE), tout établissement de santé public est désormais féru de sécurité et conscient de l’importance du droit en la matière. Naturellement, on ne peut que conseiller aux établissements privés de témoigner le même intérêt.

 

Et quel est l’un des premiers éléments de sécurité « organisationnelle » à mettre en place ? Une charte informatique, naturellement.

 

Aujourd’hui, il va peut-être falloir penser à revoir votre charte.

 

Classiquement, celle-ci contient certainement une clause relative à l’utilisation de la messagerie à titre personnel, laquelle précise évidemment que tout message n’étant pas estampillé « Personnel » est présumé professionnel.

 

Jusque là, tout va bien. Pourquoi la mettre à jour, donc ?

 

Parce que dans un arrêt du 10 février 2015, la Cour de Cassation a étendu le dispositif aux SMS envoyés par un salarié avec son téléphone professionnel. L’employeur peut en prendre connaissance librement s’ils ne sont pas estampillés « Personnel » :

 

« Mais attendu que les messages écrits (« short message service » ou SMS) envoyés ou reçus par le salarié au moyen du téléphone mis à sa disposition par l’employeur pour les besoins de son travail sont présumés avoir un caractère professionnel, en sorte que l’employeur est en droit de les consulter en dehors de la présence de l’intéressé, sauf s’ils sont identifiés comme étant personnels ; qu’il en résulte que la production en justice des messages n’ayant pas été identifiés comme étant personnels par le salarié ne constitue pas un procédé déloyal au sens des articles 9 du Code civil et 6, paragraphe 1, de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales rendant irrecevable ce mode de preuve ; qu’ayant retenu que les SMS à caractère non marqué « personnel » émis et reçus sur du matériel appartenant à la société Newedge étaient susceptibles de faire l’objet de recherches pour des motifs légitimes et que l’utilisation de tels messages par l’employeur ne pouvait être assimilée à l’enregistrement d’une communication téléphonique privée effectué à l’insu de l’auteur des propos invoqués, la cour d’appel, qui n’était pas tenue de procéder à la recherche inopérante invoquée à la deuxième branche, et abstraction faite des motifs surabondants critiqués par la première branche, a légalement justifié sa décision ; que le moyen n’est pas fondé ; »

 

Les observateurs attentifs relèveront qu’il s’agit d’une décision de la Cour de Cassation, et non du Conseil d’Etat, la plus haute autorité de l’ordre administratif, seul compétent en matière d’établissements de santé publics.

 

Certes. Néanmoins, il semble plus prudent de transposer la solution judiciaire dans la charte informatique des hôpitaux publics dès maintenant.

 

Inutile d’être l’établissement qui donnera son nom à la décision du Conseil d’Etat qui étendra la solution au secteur public, non ?