En présence d’accès par le salarié à des bases de données nominatives (fichiers de l’assurance maladie), il est conseillé de stipuler à la charte informatique de l’entreprise, des dispositions spécifiques relatives au respect des données personnelles des administrés / clients.   

Détournement de données personnelles   

En l’occurrence, un salarié a été sanctionné pour avoir utilisé à des fins personnelles (recherche de la nouvelle adresse d’une collègue afin de lui envoyer des fleurs dans le cadre d’un harcèlement affectif) son accès à la base de données de l’assurance maladie et cela en dehors de toute justification professionnelle.

Ces agissements constituent des manquements aux obligations professionnelles et contreviennent aux dispositions du règlement intérieur et de la charte régionale de bon usage des ressources informatiques de l’organisme employeur.

Portée du règlement intérieur de l’assurance maladie

Dans l’affaire soumise, le règlement intérieur de l’assurance maladie disposait que ‘l’utilisation des outils de communication mis à la disposition du personnel (téléphone, courrier, messagerie, Internet…) sont réservés à un usage professionnel, selon les règles d’utilisation prescrites. Ces moyens de communication doivent être utilisés dans le respect des dispositions de la charte régionale de bon usage des ressources informatiques (…) ;

L’utilisation des ressources informatiques ne doit pas donner lieu à des comportements ou pratiques nuisibles ou illégales. Les abus, dérives ou contraventions sont sanctionnés par la loi. Ils peuvent engager la responsabilité civile et pénale de l’utilisation, mais aussi de l’organisme.

Dans ces conditions, en cas de non-respect des prescriptions de la présente charte et d’agissements frauduleux ou fautifs, l’utilisateur pourra être tenu pour personnellement responsable, le fautif pourra se voir appliquer les sanctions disciplinaires appropriées et, le cas échéant, être poursuivi pénalement’, étant rappelé que l’article 2.1 prévoit en général que ‘sont à respecter les règles de droit relatives au respect de l’intimité de la vie privée d’autrui, à la protection du secret des correspondances et du secret professionnel, à la protection de la propriété intellectuelle et des droits de la personne résultant des fichiers ou des traitements informatiques’.

L’enquête administrative et la procédure disciplinaire menées par l’employeur ne reposaient pas sur les agissements d’ordre privé du salarié, mais sur le grief tenant à l’utilisation des ressources informatiques de l’Assurance maladie sans autorisation.