Par Jean-Philippe Souyris et Erwan Jonchères

« Le progrès d’une civilisation tend essentiellement à limiter la vie privée des gens. » Isaac Asimov, dans Fondation Foudroyée (1983).

Bien que fondée, et tristement remise au goût du jour par de nombreuses expériences récentes, la réflexion du fondateur des trois lois de la robotique ne prenait pas en compte le pouvoir grandissant en Europe des velléités humanistes.

Instituée en 1959 par le Conseil de l’Europe, la Cour européenne des droits de l’Homme a pour mission de s’assurer du respect de la Convention européenne des droits de l’Homme par les 47 Etats signataires.

A une époque où le droit au respect de la vie privée tend à être sacrifié sur l’autel de la sécurité, la Cour européenne des droits de l’Homme est l’un des derniers champions de la protection des droits sociaux, comme nous le rappelle son arrêt du 5 septembre 2017 : Barbulescu c. Roumanie.

1 – Un heureux revirement de la CEDH

Le 12 janvier 2016, lors d’une première décision controversée, la quatrième section de la CEDH a surpris le milieu juridique européen par une approche restrictive de la protection de la vie privée dans le cadre du travail.

Un salarié roumain s’était fait licencier suite à l’installation par son employeur d’un logiciel espion sur son poste de travail. Le logiciel enregistrait toutes les activités du salarié sur l’ordinateur. C’est à cette occasion que l’employeur a remarqué que le salarié utilisait sa boite mail professionnelle pour envoyer des courriels personnels, à son frère et à sa fiancée. Certains d’entre eux comportaient des données sensibles, afférentes à l’état de santé et à la vie sexuelle du salarié.

Le salarié a poursuivi l’employeur au motif que celui-ci avait violé le secret de ses correspondances, infraction pénale en Roumanie.

Après épuisement des recours dans les juridictions internes, l’employé s’est tourné vers la CEDH afin que celle-ci détermine si l’Etat roumain, par le biais de son pouvoir judiciaire, avait respecté l’équilibre nécessaire entre le droit à la protection de la vie privée et les intérêts de l’employeur.

La quatrième section de la CEDH avait considéré qu’il n’est pas déraisonnable de vouloir vérifier que les employés effectuent leurs tâches professionnelles, que la surveillance était raisonnable et a retenu l’absence de violation de l’article 8 de la Convention européenne des droits de l’Homme.

L’employé a alors demandé le renvoi de cette décision auprès de la Grande Chambre de la CEDH. La demande a été accueillie car l’affaire présente, au moins par certains aspects, un caractère exceptionnel.

Le 5 septembre 2017, la Grande Chambre dans son arrêt statue en sens inverse et revient sur la décision du 12 janvier 2016. Il ressort de cette nouvelle décision qu’un employeur n’a pas le droit d’accéder aux communications privées d’un employé, faites au moyen d’un service de messagerie instantanée professionnelle ou non, sur son poste de travail, à moins de l’avoir clairement averti au préalable de la mise en place de la surveillance.

2 – Une solution partiellement préconisée par la France

Dans l’hexagone, de manière générale, les employés ont le droit au respect de leur vie privée comme au respect du secret des correspondances sur leur lieu de travail. Toutefois il ne s’agit pas de droits absolus. Ces derniers doivent être conciliés avec le pouvoir de supervision de l’employeur.

En ce qui concerne les emails envoyés depuis une boite mail professionnelle, ceux-ci peuvent être consultés par l’employeur tant que le contrôle est justifié par un intérêt légitime et qu’il est proportionné eu égard au respect de la vie privée de l’employé.

En effet, l’article L.1121-1 du Code du travail consacre un principe général de proportionnalité entre l’atteinte aux droits des personnes et la justification qui peut y être apportée : « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché. ».

Toutefois dans le cadre d’une telle surveillance, si l’employeur découvre des messages qui relèvent de la vie privée du salarié, ceux-ci ne pourront pas être utilisés contre lui dans le cadre d’une sanction, même s’ils n’ont pas préalablement été identifiés comme personnels par l’employé (Cass. Soc, 5 juillet 2011, 10-17.284).

La jurisprudence de la Cour de cassation n’est pas fondamentalement bouleversée par cette décision de la CEDH. En effet, depuis un arrêt de 2001, la Cour de cassation considère que « l’employeur ne peut, sans violer la liberté fondamentale du respect de l’intimité de la vie privée du salarié, prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail, et ceci même au cas où l’utilisation non professionnelle de l’ordinateur aurait été interdite » (Cass. Soc. 2 octobre 2001, n° 99-42942)

La Cour de cassation va dorénavant être amenée à prendre en compte, dans son évaluation de la proportionnalité entre droit au respect de la vie privée et l’atteinte à celui-ci par l’employeur, la grille d’évaluation proposée par la Grande Chambre de la Cour européenne des droits de l’Homme.

3 – La surveillance des courriels en entreprise : la feuille de route de la CEDH

Un employeur ne peut pas interdire totalement l’incursion de la sphère privée sur l’espace de travail. La question reste celle l’appréciation de la proportionnalité entre cette incursion et le besoin de surveillance de l’employeur. La CEDH, dans le cadre de l’affaire Barbulescu c. Roumanie a été amenée à définir les critères précis permettant d’apprécier les conditions dans lesquelles cette surveillance des communications de l’employé peut avoir lieu.

Notons que ces dispositions correspondent aux préconisations de la CNIL relatives au contrôle de l’utilisation d’internet et de la messagerie. L’utilisation sur le lieu de travail de ces outils informatiques à des fins autres que professionnelles, bien que généralement tolérée, doit rester raisonnable et ne doit pas affecter la sécurité des réseaux ou la productivité de l’entreprise.

Adoptant une position pédagogique, la CEDH livre dans cet arrêt une forme de feuille de route donnant aux employeurs les clés pour paramétrer une surveillance proportionnée de ses salariés, et fixer les limites à ne pas dépasser :

1. L’employé doit être informé de la possibilité pour l’employeur de prendre des mesures de surveillance de sa correspondance et de ses autres communications, ainsi que de la mise en place de telles mesures. L’avertissement doit en principe être clair quant à la nature de la surveillance et préalable à la mise en place de celle-ci.
2. L’étendue de la surveillance opérée par l’employeur et le degré d’intrusion dans la vie privée de l’employé doivent être déterminés. À cet égard, une distinction doit être faite entre la surveillance du flux des communication et celle de leur contenu. Il faut également savoir si la surveillance des communications a porté sur leur intégralité ou seulement sur une partie d’entre elles et si elle a ou non été limitée dans le temps ainsi que le nombre de personnes ayant eu accès à ses résultats. Il en va de même des limites spatiales de la surveillance.
3. L’employeur doit avancer des motifs légitimes pour justifier la surveillance de ces communications et l’accès à leur contenu. Les justifications doivent être sérieuses.
4. Il est nécessaire de mettre en place un système de surveillance reposant sur des moyens et des mesures les moins intrusifs possibles. Les juges apprécieront ces mesures en fonction des circonstances particulières de chaque espèce.
5. Les conséquences de la surveillance, en particulier la manière dont les résultats ont été utilisés par l’employeurs et surtout leur adéquation avec le but déclaré de la mesure seront analysés.
6. L’employé doit bénéficier de garanties adéquates, lorsque les mesures de surveillance de l’employeur ont un caractère intrusif. Ces garanties doivent notamment permettre d’empêcher que l’employeur n’ait accès au contenu même des communications en cause sans que l’employé n’ait été préalablement averti d’une telle éventualité.

Afin de répondre aux objectifs de cette feuille de route, en particulier en matière d’information de l’employé, il est primordial de mettre en place des chartes « utilisateur système informatique » et « administrateur système informatique ».

Elles ont pour objet de définir les conditions générales d’utilisation des ressources informatiques et des moyens de communication utilisés par les employés à des fins professionnelles.

Ces documents devront être intelligibles pour les salariés. Véritable code de bonne conduite qui définit les responsabilités de chacun, la charte utilisateur devra le cas échéant être soumise à validation par les institutions représentatives du personnel.

A ce titre, la CNIL recommande de porter à la connaissance des salariés dans une charte, le principe retenu pour différencier les e-mails professionnels des e-mails personnels (qualification par l’objet, création d’un répertoire spécifique dédié au contenu privé, etc.)[1].

A noter que si un dispositif de contrôle individuel de la messagerie est mis en place, il doit être déclaré à la CNIL (déclaration normale), sauf en cas de désignation d’un correspondant informatique et libertés.

Pour être accompagné dans vos démarches liées à la protection des données de vos employés ou pour tout renseignement complémentaire, n’hésitez pas à contacter le cabinet HAAS Avocats ici

[1] https://www.cnil.fr/fr/le-controle-de-lutilisation-dinternet-et-de-la-messagerie-electronique