Les entreprises ont-elles une obligation légale de sensibiliser leurs salariés au bon usage des outils informatiques ?
La question mérite d’être posée tant les entreprises rechignent généralement à former leurs collaborateurs.
Dans la mesure où ils disposent tous ou presque d’un smartphone, d’un ordinateur ou d’une connexion internet, « ils doivent bien savoir comment ça marche ».
Mauvaise réponse … l’usage d’un matériel ou d’une connexion personnelle n’a évidemment rien à voir avec un usage professionnel.
En environnement personnel, des secrets de famille mais pas de secret des affaires, en environnement personnel, de jolies photos de son dernier plat préféré, mais pas de patrimoine immatériel de l’entreprise, en environnement personnel, il y a bien collecte de données personnelles, mais le RGPD ne s’applique pas !
En environnement personnel, je perds mon smartphone, je suis très énervé et j’en rachète un sur Backmarket … En environnement professionnel, la sanction peut aller jusqu’à 4% du CA d’une entreprise ou 20M€ … Ça fait cher le smartphone.
L’employeur a-t-il l’obligation légale de former ses collaborateurs ?
Une partie de la réponse se situe à l’article L.6321-1 du Code du travail :
“L’employeur assure l’adaptation des salariés à leur poste de travail. Il veille au maintien de leur capacité à occuper un emploi, au regard notamment de l’évolution des emplois, des technologies et des organisations.”
Il peut proposer des formations qui participent au développement des compétences, y compris numériques, ainsi qu’à la lutte contre l’illettrisme, notamment des actions d’évaluation et de formation permettant l’accès au socle de connaissances et de compétences défini par décret.
Les actions de formation mises en œuvre à ces fins sont prévues, le cas échéant, par le plan de développement des compétences mentionné au 1° de l’article L. 6312-1. Elles peuvent permettre d’obtenir une partie identifiée de certification professionnelle, classée au sein du répertoire national des certifications professionnelles et visant à l’acquisition d’un bloc de compétences ».
On voit bien ce qu’il y a derrière ce texte : imposer à l’employeur une montée en compétence de ses salariés. On est donc loin d’une formation stricto sensu à l’usage des outils numériques et à la sécurité des systèmes d’information. Mais l’on ne peut ignorer ce que dit le Code : « veille au maintien de leur capacité à occuper un emploi, au regard notamment de l’évolution des emplois, des technologies et des organisations ».
On peut donc penser que former les collaborateurs à l’usage des outils numériques, les former aux spécificités du télétravail ou encore leur apprendre les règles d’hygiène de base de la sécurité informatique de l’Anssi sont des obligations pour l’employeur.
Au cas particulier du télétravail, on rappellera les termes de l’article 3.1.6 de l’Accord national interprofessionnel du 26 novembre 2020 pour une mise en œuvre réussie du télétravail qui précise :
« (…) en outre, une formation appropriée, ciblée sur les équipements techniques à leur disposition et sur les caractéristiques de cette forme d’organisation du travail. Les responsables hiérarchiques et les collègues directs des salariés en télétravail doivent également pouvoir bénéficier d’une formation à cette forme de travail et à sa gestion. »
Sur le droit des données personnelles, même si le RGPD ne traite pas – et c’est bien dommage – de la formation des salariés de l’entreprise, on ne peut ignorer l’article 24 qui dispose que :
« Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire ».
Le responsable de traitement (c’est-à-dire l’entreprise) doit « mettre en œuvre les mesures organisationnelles appropriées » …
A n’en pas douter, la formation et la sensibilisation des salariés constituent une « mesure appropriée » au sens du RGPD.
Mais au-delà même d’une éventuelle obligation légale directe (Code du travail ou ANI) ou indirecte (RGPD), on ne peut que conseiller à une entreprise ou un acteur public de s’engager dans la voie d’une formation de ses collaborateurs à l’usage des outils numériques, aux mesures de sécurité et au droit des données personnelles et ce pour deux raisons : la prévention / la réaction.
La prévention d’abord. Former et sensibiliser ses collaborateurs apparaît comme un bon moyen de limiter les risques de fraudes. Il y a bien moins de fraudes au président, d’escroqueries au RIB ou encore de rançonwares dans les entreprises où le personnel a été sensibilisé.
La réaction ensuite. Difficile de reprocher et encore moins de sanctionner un salarié de l’entreprise pour ne pas avoir respecté tel ou tel type de règle s’il n’a pas été informé de cette règle. Certes aujourd’hui toutes les entreprises dignes de ce nom disposent d’une charte des systèmes d’information et de plus en plus d’un code de conduite en matière de données personnelles. Mais la rédaction de documents de référence s’avère souvent insuffisante et nombreux sont les cas, devant les Prud’hommes, où le collaborateur accusé de tel ou tel comportement fautif, reproche à son employeur un défaut de formation pratique.
Pour toutes ces bonnes raisons, la mise en œuvre de plan de formation apparaît nécessaire.
D’ailleurs dans le rapport d’information parlementaire : La cybersécurité des entreprises Prévenir et guérir : quels remèdes contre les cyber virus ?
On notera une proposition n°9 :
« Prévoir que les salariés doivent se voir proposer une formation professionnelle au numérique et à la cybersécurité. »
Là commence un autre chemin : le « Comment ».
Il faut déjà, me semble-t-il, faire la différence entre la « sensibilisation » qui peut être délivrée à tous les collaborateurs et la « formation » plus poussée qui ne peut viser que certains d’entre eux comme les administrateurs ou les développeurs.
Ensuite il faudra trouver les bons créneaux de formation en privilégiant des outils « user friendly » aux bonnes vielles conférences à la Papa… 😉

Eric Barbry
Avocat associé chez Racine Avocats
En charge de l’équipe IP IT & Data
https://www.racine.eu/