Pour gérer vos consentements :

Surveillance électronique au travail : cette vie privée que l’employeur doit respecter

Les employeurs sont dans leur droit en surveillant les communications électroniques que les employés effectuent avec des ressources mises à leur disposition pour le travail… à condition de respecter certains principes garantissant le droit à la vie privée et au secret de la correspondance.

C’est, dans les grandes lignes, le sens d’un arrêt que la Cour européenne des droits de l’homme (CEDH) a rendu ce mardi 5 septembre 2017.

Pour saisir les tenants et aboutissants du dossier, il faut remonter au 15 décembre 2008, date à laquelle la CEDH avait été saisie d’une requête dirigée contre la Roumanie par un ressortissant de cet État (le dénommé Bogdan Mihai Bărbulescu, né en 1979, résidant à Bucarest, et que nous appellerons « B.B. »).

B.B.fut, du 1er août 2004 au 6 août 2007, employé d’une entreprise de droit privé basée à Cluj, comme ingénieur chargé des ventes.

À la demande de son employeur, il avait créé, pour répondre aux questions des clients, un compte de messagerie instantanée Yahoo Messenger, en plus du compte personnel qu’il possédait déjà sur ce même service.

Le règlement intérieur de l’entreprise interdisait l’usage de certaines ressources, en particulier « les ordinateurs, les photocopieurs, les téléphones, les téléscripteurs ou les télécopieurs » à des fins personnelles. Il ne comportait, en revanche, aucune mention relative à la possibilité, pour l’employeur, de surveiller les communications des employés. B.B. en avait pris connaissance et l’avait signé le 20 décembre 2006.

Le secret de la correspondance

Le 3 juillet 2007, le bureau de Bucarest, où travaillait B.B., avait distribué une note d’information à travers laquelle l’employeur se disait dans l’obligation de surveiller le travail des employés et se réservait le droit de prendre des mesures de sanction envers les personnes en faute. Avec pour exemple, une salariée licenciée entre autres à cause de l’utilisation qu’elle avait eue d’Internet à des fins privées.

B.B., également signataire de cette note d’information, avait été convoqué le 13 juillet 2007 par son employeur, qui lui avait annoncé avoir surveillé ses communications sur Yahoo Messenger et constaté un usage à des fins personnelles, avec un trafic Internet « supérieur à celui de ses collègues ».

L’intéressé ayant assuré n’avoir utilisé la messagerie qu’à des fins professionnelles, l’employeur lui avait envoyé 45 pages de transcriptions de communications effectuées notamment avec son frère et sa fiancée – dont certaines échangées via son compte Yahoo Messenger personnel.

B.B. avait alors informé son employeur qu’il l’estimait responsable d’une infraction pénale. En l’occurrence, la violation du secret des correspondances.

Son contrat de travail rompu le 1er août 2007, il avait porté le fer auprès du tribunal départemental de Bucarest, réclamant une réintégration dans l’entreprise ainsi que des dommages-intérêts. Motif : les communications par téléphone ou par e-mail qu’un employé effectue depuis son lieu de travail sont couvertes par les notions de « vie privée » et de « correspondance » que pose l’article 8 de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales.

Une question d’équilibre

Le 7 décembre 2007, le tribunal avait rejeté cette action, estimant qu’indépendamment de savoir si la surveillance des communications était licite du point de vue du droit pénal, elle n’entachait pas la validité de la procédure disciplinaire conduite par l’employeur.

La juridiction de première instance avait par ailleurs estimé que la vérification de la teneur des communications de B.B. s’imposait, celui-ci ayant clamé ne pas avoir utilisé Yahoo Messenger à des fins personnelles. Une pratique relevant, toujours selon le tribunal, du droit plus large de vérifier la manière dont les employés s’acquittent de leurs tâches professionnelles.

Le juge avait également constaté la transparence dont l’employeur avait fait preuve, non sans souligner que les vérifications incriminées pouvaient être rendues nécessaires par le risque qu’un employé n’endommage des systèmes informatiques ou ne se livre à des activités illicites engageant la responsabilité de l’entreprise.

B.B. avait contesté la décision devant la cour d’appel de Bucarest, argüant que la juridiction de premier ressort avoir « injustement fait prévaloir l’intérêt de l’employeur à disposer discrétionnairement du temps et des ressources de ses employés ».

L’appel avait été rejeté le 17 juin 2008, la Cour considérant que l’équilibre avait été respecté entre la nécessité de protéger la vie privée de l’employé et le droit pour l’employeur de superviser le fonctionnement de son entreprise. Référence était faite à la directive européenne 95/46/CE, qui établit des principes de nécessité, de finalité, de légitimité, de proportionnalité ou encore de sécurité.

Des lois et des principes

Que dit, en la matière, le droit roumain ? L’article 28 de la Constitution pose que « le secret des […] moyens légaux de communication est inviolable ».

L’article 195 du Code pénal établit que « quiconque, de manière illicite […], intercepte les conversations ou les communications téléphoniques d’un tiers […] est passible d’une peine d’emprisonnement de six mois à trois ans ».

L’article 40 du Code du travail dit que l’employeur a le droit de « contrôler la façon [dont les employés] accomplissent leurs tâches professionnelles » et qu’il lui incombe, dans ce cadre de « garantir la confidentialité des données à caractère personnel des employés ».

Du côté du Bureau international du travail, on a élaboré, en 1997, un recueil de directives pratiques sur la protection des données personnelles des travailleurs.

Ledit recueil établit que les employés devraient être informés à l’avance des raisons d’une surveillance de leurs communications, des périodes concernées, des méthodes et techniques utilisées, ainsi que des données collectées.

Le 18 décembre 2013, l’Assemblée générale des Nations unies a adopté une résolution sur le droit à la vie privée à l’ère du numérique. Les États y sont invités à respecter et à protéger le droit à la vie privée, notamment dans le contexte de la communication numérique.

On retrouve les principes de nécessité, de finalité, de transparence, etc. dans la Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel.

Idem dans une recommandation que le Comité des ministres a adressée en date du 1er avril 2015 aux États membres. Il y est préconisé, concernant l’utilisation d’Internet par les employés, de mettre en place des filtres pour empêcher certaines opérations. Et d’effectuer les contrôles de données à caractère personnel de manière graduée, « en utilisant des données anonymes ou, en quelque sorte, agrégées ».

Privé…

En vertu de l’article 29 de la directive européenne 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, un groupe de travail sur la protection des données a été constitué.

Cet organe consultatif avait rendu, en septembre 2001, un avis sur le traitement des données à caractère personnel dans le contexte professionnel. Il y affirme que la surveillance des employés devrait être « une réponse proportionnée de l’employeur aux risques qu’il encourt de porter atteinte à la vie privée légitime et autres intérêts des salariés ».

En mai 2002, ce même groupe de travail avait établi un document de travail selon lequel l’intérêt de l’employeur ne justifie pas à lui seul l’intrusion dans la vie privée du salarié. Et qu’une surveillance des e-mails « ne saurait être considérée comme nécessaire que dans des circonstances exceptionnelles » ; par exemple, obtenir la confirmation ou la preuve d’une activité pénale.

Que résulte-t-il du droit comparé ? L’ensemble des États membres reconnaissent de manière générale le droit au respect de la vie privée et au secret de la correspondance, mais seuls l’Autriche, la Finlande, le Luxembourg, le Portugal, le Royaume-Uni et la Slovaquie encadrent la question de l’exercice de la vie privée sur le lieu de travail de manière explicite.

Trente-quatre États membres du Conseil de l’Europe exigent que l’employé soit averti préalablement à toute surveillance. Cet avertissement doit être adressé directement à la personne visée en Autriche, en Estonie, en Finlande, en Grèce, en Lituanie, au Luxembourg, en Macédoine, en Norvège, en Pologne et en Slovaquie.

En Allemagne, en Autriche, au Danemark, en Finlande, en France, en Grèce, en Italie, au Portugal et en Suède, les employeurs peuvent surveiller les courriers électroniques marqués par les employés comme « privés », sans toutefois pouvoir accéder à leur contenu. Ce n’est pas le cas au Luxembourg, y compris pour les correspondances « qui sont de toute évidence privées ».

… ou professionnel ?

Première saisie de la requête par laquelle B.B. affirmait que les juridictions roumaines avaient manqué à leur obligation de protéger ses droits, la quatrième section de la CEDH avait conclu, le 12 janvier 2016, à la non-violation de l’article 8 de la Convention.

La Cour avait considéré que lesdites juridictions ne s’étaient pas appuyées, dans leurs décisions, sur le contenu des communications du requérant ; et que la surveillance opérée par l’employeur avait été limitée à l’usage de Yahoo Messenger.

Le 12 avril 2016, B.B. avait demandé le renvoi de l’affaire devant la Grande Chambre de la CEDH, qui avait accueilli la requête le 6 juin 2016.

Une audience s’est déroulée le 30 novembre 2016 à Strasbourg, au Palais des droits de l’homme, avec une première question posée : les faits dont B.B. se plaint relèvent-ils du champ d’application de l’article 8 de la Convention ?

Le gouvernement roumain répond par la négative. Il considère tout particulièrement que les communications envoyées par un employé avec des moyens techniques mis à disposition par son employeur doivent être considérés comme ayant un caractère professionnel, à moins que l’employé ne déclare expressément leur caractère privé.

Yahoo Messenger n’offre pas cette possibilité, mais B.B. a eu, selon les représentants de l’État roumain, l’occasion, lors de la première phase de sa procédure disciplinaire, de déclarer que ses communications étaient privées. Or, il a choisi de dire qu’elles étaient professionnelles.

Le devoir de l’État

Le gouvernement estime en outre que l’article 8 de la Convention n’est pas applicable du fait que ne figure, dans le dossier, aucun élément permettant d’affirmer que la transcription des communications de B.B ait été dévoilée à ses collègues de travail (il aurait lui-même produit la transcription devant les juridictions internes, sans demander que l’accès aux documents soit restreint).

Les autorités nationales auraient ensuite utilisé cette transcription comme élément de preuve à la demande du requérant, et parce que les autorités pénales avaient déjà conclu à la licéité de la surveillance litigieuse des communications. Quant à la note d’information signée par B.B., elle aurait comporté des indications suffisantes pour ôter à ses communications tout caractère privé.

B.B. pense justement qu’ayant créé lui-même le compte Yahoo Messenger en question et étant seul à en connaître le mot de passe, il pouvait raisonnablement croire au caractère privé de ses conversations.

Considérant, au regard de la jurisprudence, que les communications émanant de locaux professionnels peuvent se trouver comprises dans les notions de « vie privée » et de « correspondance », la CEDH a déclaré applicable l’article 8 de la Convention. Elle s’est alors penchée sur la question d’une éventuelle violation par l’État roumain.

« Court et inoffensif »

Pour B.B., l’élément déterminant réside dans le fait qu’il n’avait pas été averti de la possibilité que ses communications soient surveillées. Il affirme, tout du moins, ne pas avoir donné son accord à cette fin et avoir été mis sous surveillance avant qu’on lui donne l’occasion de préciser si ses communications étaient privées ou professionnelles.

Autre réclamation de sa part : faire la différence entre une utilisation ayant pour but un profit matériel et « une simple conversation courte et inoffensive ». L’employeur ne lui aurait d’ailleurs par reproché d’avoir causé un préjudice à l’entreprise.

Version opposée chez le gouvernement roumain, qui note que B.B. n’a pas contesté la décision de première instance selon laquelle il avait été informé que son employeur surveillait l’usage fait d’Internet.

Plus globalement, l’État affirme que ses juridictions internes auraient différemment mis en balance le droit pour l’employeur d’organiser et de superviser le travail dans son entreprise et celui du respect à la vie privée de B.B. si ce dernier avait précisé que ses communications étaient privées.

Tiers intervenant, la France a fait valoir un jugement de sa Cour de cassation selon lequel les données traitées, adressées et reçues par la voie d’un matériel électronique professionnel sont présumées avoir un caractère professionnel, sauf si l’employé les désigne, de manière claire et précise, comme personnelles.

Examen non approfondi

Considérant devoir analyser le grief sous l’angle des obligations positives de l’État, la CEDH a reconnu la nécessité d’accorder une marge d’appréciation étendue pour évaluer la nécessité d’adopter un cadre juridique régissant les conditions dans lesquelles un employeur peut adopter une politique encadrant les communications non professionnelles de ses employés sur leur lieu de travail.

Ces mesures doivent cependant, déclare la CEDH, s’accompagner de garanties adéquates et suffisantes contre les abus. Ainsi les autorités nationales devraient-elles examiner le degré d’intrusion dans la vie privée d’un employé, la légitimité des motifs de surveillance ou encore la possibilité de recourir à des mesures moins intrusives.

Or, la Cour relève que l’étendue de la surveillance opérée et le degré d’intrusion dans la vie privée du requérant n’ont été examinés ni par le tribunal départemental, ni par la Cour d’appel, « alors qu’il apparaît que l’employeur a enregistré en temps réel l’intégralité des communications » passées par B.B. durant la période de surveillance.

Les juridictions nationales n’auraient par ailleurs pas suffisamment vérifié la présence de raisons légitimes justifiant la mise en place d’une surveillance. Ni étudié de manière adéquate si le but poursuivi par l’employeur aurait pu être atteint par des méthodes moins intrusives que l’accès au contenu même des communications de B.B.

La CEDH estime aussi, entre autres, que la Cour d’appel a établi un constat « formel et théorique », sans raisons concrètes. Elle n’a donc pas protégé de manière adéquate le droit de B.B. au respect de sa vie privée et de sa correspondance.

Conclusion : il y a eu violation de l’article 8 de la Convention. Pour autant, B.B. n’obtient ni les 59 976,12 euros réclamait au titre des salaires auxquels il aurait eu droit s’il n’avait pas été licencié, ni les 200 000 euros demandés pour le préjudice moral.

Recent Posts

Low-code : comment choisir une plate-forme

L'approche low code (LCAP) prend de l'ampleur pour accompagner les projets de transformation numérIque. Pas…

1 jour ago

Salesforce et le MFA : comment ça marche ?

A compter du 1er février 2022, Salesforce déploie l'authentification multifacteur qui sera une nouvelle obligation…

6 jours ago

Microsoft Teams : du compte pro au compte perso

Microsoft généralise une première passerelle entre les comptes personnels et les comptes d'entreprise de Teams.…

6 jours ago

Android-Windows : Google veut aller plus loin

Google déploie son programme « Better together » à Windows pour accélérer la continuité avec…

1 semaine ago

Microsoft Pluton : ça change quoi pour la sécurité des PC ?

Expérimenté sur la console Xbox One, le sous-système de sécurité Pluton va se déployer sur…

2 semaines ago

Teams : comment fonctionne la fonction « chiffrement »

Microsoft vient d'officialiser la disponibilité générale du chiffrement sur Teams pour renforcer la sécurité des…

4 semaines ago