Par deux arrêts rendus les 5 septembre 2017 et 22 février 2018, la Cour européenne des droits de l’homme (CEDH) est venue apporter des précisions sur le droit à la vie privée du salarié face à la digitalisation des relations de travail.

Dans une première affaire, la CEDH s’est plus particulièrement penchée sur les conditions dans lesquelles un employeur peut contrôler la messagerie professionnelle d’un salarié.

Dans une seconde affaire opposant un salarié français à la SNCF, la CEDH a eu à se prononcer sur la question de l’accès par l’employeur aux fichiers informatiques contenus sur l’ordinateur professionnel du salarié.

Ces deux décisions sont l’occasion de faire un point sur l’utilisation personnelle que le salarié peut faire de ses outils professionnels.

La surveillance de la messagerie professionnelle du salarié : les apports de la CEDH

Dans cette affaire, un salarié roumain s’était créé à la demande de son employeur un compte de messagerie instantanée Yahoo Messenger afin de répondre aux questions des clients.

Constatant qu’il utilisait sa messagerie Yahoo Messenger à des fins personnelles, l’employeur a demandé des explications à ce salarié avec, à l’appui, une retranscription sur 45 pages de l’ensemble des messages échangés par l’intéressé avec son frère et sa fiancé depuis son compte de messagerie professionnelle.

Face à la gravité des faits, l’employeur procédait au licenciement de ce salarié pour avoir enfreint le règlement intérieur de la société qui interdisait toute utilisation personnelle des outils professionnels.

Ce dernier a immédiatement contesté son licenciement en alléguant une violation de sa vie privée et du secret des correspondances protégés par l’article 8 de la Convention européenne des droits de l’homme (CESDH).

Tant les juridictions nationales que la CEDH ont rejeté les demandes du salarié. L’affaire a alors été portée devant la Grande Chambre de la CEDH.

Réunie dans sa formation la plus solennelle, la CEDH a commencé par confirmer que l’article 8 de la CESDH s’appliquait bel et bien à la surveillance par l’employeur des communications électroniques du salarié.

En conséquence, les juges nationaux étaient tenus de trouver un équilibre entre le droit du salarié au respect de sa vie privée et le pouvoir de contrôle de l’employeur.

Afin d’y parvenir, les juridictions nationales auraient dû se poser une série de questions de nature à déceler tout abus. Faisant preuve d’une pédagogie tout à fait bienvenue, la CEDH précise ces questions :

• • le salarié a-t-il été préalablement et clairement informé par son employeur de la possible surveillance de ses communications, mais également de l’étendue et de la nature de ces contrôles ?

• • la surveillance est-elle proportionnée au but poursuivi ? Est-elle limitée dans le temps mais aussi quant aux types de communications concernées ? Qui a eu accès à ces communications ?

• • la surveillance est-elle fondée sur un motif légitime ? La Cour précise à cet égard que la surveillance du contenu des communications étant plus « invasive » que celles des flux, elle nécessite une justification plus sérieuse ;

• • la surveillance était-elle vraiment nécessaire ? Est-ce qu’un système moins intrusif aurait pu être mis en place ?

• • quelles ont été les conséquences de la surveillance pour le salarié ? Est-ce que les résultats de la surveillance ont permis d’atteindre le but poursuivi ?

• • est-ce que le salarié a bénéficié de garanties adéquates ? Cela renvoie notamment au droit dont dispose le salarié d’être informé préalablement à la consultation du contenu de ses communications.

A la lumière de ce qui précède, la CEDH a conclu à la violation de l’article 8 de la CESDH.

Les juridictions roumaines ont en effet insuffisamment protégé le droit du salarié au respect de sa vie privée dès lors qu’elle n’ont pas pris soin de vérifier que l’ensemble des conditions susvisées avaient été respectées.

Cette décision promet d’avoir d’importantes conséquences au niveau européen mais qu’en est-il de la France ?

La surveillance de la messagerie professionnelle du salarié : où en est le droit français ?

Si certains pays d’Europe vont devoir se mettre en conformité avec l’arrêt rendu par la CEDH le 5 septembre 2017, le droit français ne devrait quant à lui pas être bouleversé.

Protecteur, le droit français prévoit que la mise en place d’un système de surveillance doit faire l’objet d’une information préalable des salariés et être soumis pour avis au comité social et économique.

Un tel système doit en outre satisfaire aux exigences de proportionnalité et de justification posées par l’article L.1121-1 du Code du travail.

La CNIL impose au surplus l’accomplissement préalable de formalités déclaratives, lesquelles seront très prochainement allégées par le règlement européen sur la protection des données (RGPD).
Enfin, la jurisprudence française garantit un strict équilibre entre les droits des salariés et le pouvoir de contrôle de l’employeur.

En effet, les juges français permettent à l’employeur de consulter librement, et donc en dehors de la présence du salarié, les seuls messages et fichiers non identifiés comme « personnel ».

Au contraire, les messages et fichiers présents sur l’ordinateur professionnel du salarié et revêtus de la mention « personnel » ne peuvent pas être consultés par l’employeur sans la présence du salarié.

La législation française est donc suffisamment protectrice des droits des salariés, ce que la CEDH a encore récemment confirmé dans son arrêt du 22 février 2018.

La consultation des fichiers stockés sur l’ordinateur professionnel du salarié : une position européenne en ligne avec la jurisprudence française

Dans cette seconde affaire, un agent de la SNCF a été radié de ses fonctions pour avoir stocké sur son ordinateur professionnel un grand nombre de fichiers à caractère pornographique ainsi que de fausses attestations.

Ce dernier a contesté sa radiation en faisant valoir que l’ensemble des fichiers litigieux revêtait un caractère strictement personnel dès lors qu’ils étaient stockés sur un disque dur renommé « D:/données personnelles« .

L’employeur n’aurait donc pas dû consulter ses fichiers en dehors de sa présence, ce que le salarié a tenté de faire valoir, en vain, devant la Cour de cassation.

Saisie de cette affaire, la CEDH a confirmé la position prise par la chambre sociale de la Cour de cassation et a considéré que l’employeur n’avait pas porté atteinte à la vie privée du salarié.

Reprenant l’argumentaire de la Cour de cassation, la CEDH a indiqué qu’un salarié ne pouvait pas décider d’intituler un disque dur professionnel « D:/données personnelles » et en utiliser l’intégralité à des fins personnelles.

La CEDH a en outre ajouté que la mention « données personnelles » pouvait parfaitement renvoyer à des données professionnelles traitées personnellement par le salarié. Il en est de même du fichier « rires » contenu dans le disque dur du salarié qui pouvait parfaitement concerner des échanges -ludiques – entre collègues.

La CEDH rappelle enfin que la charte informatique adoptée par la SNCF prévoyait expressément que les données à caractère « privé » devaient être identifiées comme telles (avec la mention « privé »), ce que le salarié n’avait point fait.

Pour toutes ces raisons, la CEDH conclut donc à la proportionnalité de la mesure de radiation de ce salarié qui a « massivement contrevenu » à la charte informatique de la SNCF, laquelle ne permettait qu’un usage limité des outils professionnels à des fins personnelles (au cas d’espèce, le salarié avait stocké sur son ordinateur professionnel près de 1562 fichiers, soit un volume de 787 mégaoctets).

Les employeurs doivent retenir de ces deux décisions que l’adoption d’une charte informatique recensant les bonnes pratiques et informant les salariés des éventuelles modalités de contrôle de leur activité devient incontournable à l’ère du digital.

La mise en œuvre des nouvelles obligations prévues par le RGPD pourrait être l’occasion idéale d’y procéder.

Article publié dans les Echos Executives le 13/06/2018