La bonne articulation du droit, de la norme et de l’innovation

Article mis en ligne le 30 décembre 2009

La loi du 12 mai 2009 consacre pour les employeurs la possibilité de remettre les bulletins de paie sous forme électronique. L’extrême concision du nouveau texte serait-elle de nature à différer la mise en œuvre de cette dématérialisation au sein des organisations ? Il n’en est rien dans la mesure où la norme NF Z42-013 fournit un cadre précis sur l’état de l’art en matière d’intégrité des documents électroniques. Par ailleurs, le coffre-fort électronique constitue une innovation de nature à favoriser la diffusion des nouveaux usages conciliant archivage électronique et protection des données personnelles.

Article inspiré par la conférence d’Alain Borghesi, PDG de Cecurity.com, et d’Eric Caprioli, avocat à la cour, lors du salon Demat Expo, le 1er décembre 2009. Les supports de présentation de cette conférence sont accessibles en cliquant ici.

***

La loi du 12 mai 2009 qui consacre pour les employeurs la possibilité de remettre les bulletins de paie sous une forme électronique présente à l’évidence des similitudes avec des textes règlementaires antérieurs traitant d’autres documents tels que la facture électronique ou les réponses aux appels d’offres. Elle introduit cependant des aspects inédits qui permettent de soutenir que nous sommes bien en présence d’une nouvelle étape pour ce qu’il est convenu d’appeler « la démat ». Par définition, le bulletin de salaire ne concerne pas uniquement l’employeur mais aussi le salarié. Il s’agit donc bien de s’engager dans une dématérialisation « B to C », avec des millions d’utilisateurs potentiels, distincte de la dématérialisation « B to C » mise en œuvre par exemple dans le cadre de la facture électronique fiscalement dématérialisée. Ainsi, ce nouveau chantier implique de prendre en compte des dispositions du droit du travail et du droit de la protection des données à caractère personnel en complément des classiques volets propres au droit de la preuve.

C’est d’ailleurs le Code du travail qui a été modifié au niveau de son article L.3243-2 qui prévoit désormais que « Avec l’accord du salarié concerné, cette remise [du bulletin de paie] peut-être effectuée sous forme électronique, dans des conditions de nature à garantir l’intégrité des données ».

 Faut-il se plaindre quand la loi est simple ?

Dans ce contexte, on peut se demander si l’extrême concision du nouveau texte n’est pas de nature à différer la mise en œuvre de cette dématérialisation au sein des organisations. Pour certains, le texte serait sujet à interprétation, et présenterait donc un risque juridique pour les organisations, en ne fournissant pas suffisamment de détails sur les solutions techniques ou les dispositions organisationnelles. Il semble possible de récuser cette vision.

En premier lieu, il est important de souligner que ce texte, en préparation depuis 2006, s’inscrivait pour les pouvoirs publics dans des objectifs plus globaux de simplification de la vie quotidienne et de réduction du poids des réglementations inutiles. Si la dématérialisation ne doit pas être en général un domaine donnant naissance à des « usines à gaz », c’est encore plus le cas pour le bulletin de salaire électronique. Le législateur voulait faire simple et il a, pour une fois, réussi à le faire. Il n’y a pas matière à se plaindre.

En second lieu, le cadre normatif et les innovations permettent pour l’essentiel de répondre aux deux exigences qui figurent dans la loi : l’intégrité des données et l’accord préalable du salarié.

 La norme NF Z 42-013 et l’intégrité

La norme NF Z 42-013 de mars 2009 relative à l’archivage électronique complète harmonieusement la loi en donnant une définition de l’intégrité et en précisant les moyens technologiques qui peuvent être utilisés. L’intégrité y est définie comme la « caractéristique d’une information qui n’a subi aucune destruction, altération ou modification intentionnelle ou accidentelle » et le « scellement numérique » y est présenté comme le « procédé permettant de garantir, l’intégrité d’un document par l’utilisation conjointe de fonctions de hachage, de signatures numériques et optionnellement d’horodatage ». Si l’on considère les seuls supports réinscriptibles « la garantie d’intégrité est assurée par des moyens cryptographiques caractérisés notamment par le calcul d’une empreinte, d’une contremarque de temps ou d’une signature électronique ». La loi ayant fixé un principe intemporel, la norme indique les moyens à mettre en œuvre pour respecter ce principe.

Reste à aborder la question de l’accord du salarié qui suppose que lui soit proposée une contrepartie motivante. C’est dans ce contexte qu’interviennent les débats autour du coffre-fort électronique du salarié.

 Le coffre-fort électronique au cœur du débat public

La mise en œuvre d’un coffre-fort électronique n’est pas une obligation de la loi du 12 mai 2009 mais dès le début, il a constitué un élément du débat public. Ainsi dans l’exposé des motifs de la loi on pouvait lire que « La sécurité de la conservation des bulletins de paie par les salariés sera assurée grâce à la mise en place du coffre-fort électronique ». Cette vision a été approfondie par les analyses de juristes spécialisés tels Eric Caprioli pour qui « L’employeur peut agir en qualité de mandataire du salarié ; il archivera dans un coffre-fort électronique les bulletins de paie du salarié pour le compte de ce dernier » (La dématérialisation des bulletins de paie, Cahier de droit de l’entreprise, juillet-août 2009). Isabelle Renard va même plus loin quand elle affirme : « Il faut donc mettre à disposition des particuliers des « coffres fort électroniques » susceptibles de garantir la pérennité des documents électroniques conservés. » (Le bulletin de paie dématérialisé est consacré par la loi, gestiondelapaie.com, 27 mai 2009).

La place prise par la question des coffres-forts électroniques dans les débats sur la dématérialisation des bulletins de paie est finalement assez logique car c’est une technologie – faisant l’objet depuis 2009 d’un référentiel de la Fédération Nationale des Tiers de Confiance – qui associe les dimensions archivage électronique à valeur probante et protection des données à caractère personnel. Il constitue en outre un service novateur qui peut motiver l’accord du salarié. Il représente enfin un moyen d’échange plus convaincant que la simple transmission par courrier électronique du bulletin de salaire dématérialisé. Cette dernière est susceptible de poser deux types de problèmes. Soit la transmission par mail s’effectue en clair et l’absence de confidentialité semble en contradiction avec l’article 34 de la loi Informatique et Libertés du 6 janvier 1978 modifiée. Soit elle s’effectue par un mail chiffré et la question de la gestion des clés de chiffrement, dont on ne peut penser qu’elle devrait être prise en compte par le salarié, se posera avec acuité pour les organisations.

Les textes règlementaires, les normes, l’état de l’art technologique et les travaux d’associations professionnelles telles que la FNTC permettent donc dès à présent de s’engager dans les projets de dématérialisation des bulletins de paie dont on peut supposer qu’ils correspondent aux attentes et aux pratiques des nouvelles génération de salariés. Ces chantiers, loin de se limiter à la seule prise en compte de contraintes, permettront aussi aux entreprises et organismes publics d’envisager de nouvelles opportunités dans des domaines tels que l’archivage électronique de l’ensemble des pièces administratives, le déploiement de la signature électronique ou encore la mise en œuvre de portails RH.

Arnaud Belleil