Vous êtes ici :
A quelles conditions un employeur peut-il mettre en place la surveillance des courriers électroniques de ses salariés ?

A quelles conditions un employeur peut-il mettre en place la surveillance des courriers électroniques de ses salariés ?

Publié le : 07/11/2017
La CEDH a jugé, dans ce deuxième arrêt, que la surveillance mise en place était contraire à l’article 8 de la Convention EDH en ce qu’elle a porté atteinte au secret des correspondances et de la vie privée des salariés car le requérant « n’a pas été informé à l’avance de l’étendue et de la nature de la surveillance opérée par son employeur ni de la possibilité que celui-ci ait accès au contenu même de ses messages. » 


L’arrêt du 5 septembre 2017 rendu par la Grande chambre de la CEDH concerne un salarié du secteur privé qui utilisait, sur son lieu de travail, un compte de messagerie électronique, à des fins personnelles, en violation du règlement intérieur de la société au sein de laquelle il travaillait.


Ce compte de messagerie instantanée avait été créée par le salarié à la demande de son employeur. Puis, lorsqu’il a été reproché au salarié d’utiliser ledit compte à des fins personnelles, en violation du RI, le salarié a nié les faits qui lui étaient reprochés et en réponse a accusé son employeur d’avoir violé le secret des correspondances.

Le salarié a été licencié et a contesté la validité de son licenciement tout d’abord devant les juridictions roumaines qui lui ont donné tort puis devant la Cour Européenne des Droits de l’Homme (« CEDH »).

La CEDH a jugé, dans ce deuxième arrêt, que la surveillance mise en place était contraire à l’article 8 de la Convention EDH en ce qu’elle a porté atteinte au secret des correspondances et de la vie privée des salariés car le requérant « n’a pas été informé à l’avance de l’étendue et de la nature de la surveillance opérée par son employeur ni de la possibilité que celui-ci ait accès au contenu même de ses messages. » 
 
En janvier 2016, la CEDH avait jugé, dans la même affaire, que la surveillance des communications électroniques d’un salarié mise en place par l’employeur ne portait pas atteinte à la vie privée du requérant (pas de violation de l’article 8 de la convention EDH).

Puis, dans l’arrêt commenté, en septembre 2017, la CEDH infirme sa précédente décision et juge que la mise en place par l’employeur du contrôle des communications électroniques de l’employé, dans les conditions soumises à son appréciation, est une violation de l’article 8 de la Convention EDH et que les juridictions nationales n’ont pas respecté l’obligation positive qui leur est faite de « prendre en compte le juste équilibre à ménager entre l’intérêt général et les intérêts de l’individu ».

La Cour juge ainsi que « les juridictions internes doivent s’assurer que la mise en place par un employeur de mesures de surveillance de la correspondance et des autres communications, quelles qu’en soient l’étendue et la durée, s’accompagne de garanties adéquates et suffisantes contre les abus ». 
 
Le contrôle de l’utilisation outils informatiques en ce compris la limitation de l’usage d’Internet par les salariés de l’entreprise, n’est pas remis en cause par l’arrêt de la CEDH et ne constitue pas en soi, une atteinte à la vie privée des salariés.

A titre d’exemple ce contrôle peut porter sur la mise en place de mesures visant à protéger la sécurité du système informatique, organisant le filtrage de certains sites, la mise en place de protection anti-virus, des limites aux téléchargements des salariés ou encore le contrôle de l’utilisation des messageries personnelles des salariés, sous réserve que des garanties adéquates et suffisantes contre les abus soient apportées par l’employeur dont les modalités sont ci-après présentées. 
 

L’employeur qui souhaite mettre en place un système lui permettant « de vérifier que ses employés accomplissent leurs tâches professionnelles de manière adéquate et avec la célérité requise », doit s’assurer que : 

1. Préalablement à la mise en œuvre du contrôle envisagé, le salarié a reçu une information portant sur la « possibilité d’un contrôle » et sur « la mise en place de mesures de surveillance de la correspondance ».

La CEDH ne donne pas de précision sur les formes que doit prendre cette information préalable, qui peuvent être spécifiques selon les pays et les entreprises.

Cette information peut être transmise au salarié au moment de la signature du contrat de travail ou à tout moment pendant son exécution, notamment par le biais d’une charte de gestion des données à caractère personnel. Dans l’arrêt commenté, le règlement intérieur de l’entreprise avait été signé par le salarié et une note d’information avant été transmise aux salariés informant d’une interdiction d’utiliser les ressources de l’entreprise à des fins personnelles. 
 

2. Outre son caractère préalable, l’information transmise au salarié doit préciser « l’étendue et la nature de la surveillance opérée par l’entreprise » et notamment la possibilité pour l’employeur d’accéder au contenu des communications. 

Ce point est fondamental et implique de distinguer le contrôle du flux des communications en général et la surveillance du contenu des communications des salariés. Ce dernier type de surveillance est très intrusif et peut constituer une ingérence à la vie privée des salariés. De même, il convient pour l’employeur de préciser si le contrôle est fait de manière aléatoire ou systématique et lorsqu’il concerne l’intégralité des communications envoyées et/ou reçues par le salarié. 
 
Dans l’arrêt commenté, l’employeur n’avait pas informé le salarié de la nature et de l’étendue du contrôle. Les documents remis au salarié faisaient interdiction d’utiliser les ressources de l’entreprise à des fins personnelles sans préciser que l’employeur avait mis en place un contrôle permettant d’avoir accès à l’intégralité du contenu des communications électroniques du salarié.

Au cas précis, le contrôle était particulièrement intrusif puisque l’employeur procédait à des enregistrements en temps réel et avait procédé à l’impression de l’intégralité des communications passées par le salarié pendant la période de la surveillance, sans que ce dernier n’en ait été avisé. 
 
Si l’information était préalable c’est bien le défaut d’information sur l’étendue et la nature du contrôle qui constitue une ingérence à l’article 8 de la Convention EDH. 
 

3. Pour être considéré comme ne portant pas atteinte à la vie privée des salariés le contrôle doit être justifié par des motifs légitimes dont peut se prévaloir l’employeur.

Il va sans dire que la mise en place d’un dispositif de surveillance du système informatique de l’entreprise par la détection des virus et le contrôle du flux n’est pas comparable à la prise de connaissance de l’intégralité des emails en temps réel. Ainsi, la surveillance du contenu des communications nécessite une justification plus sérieuse. 
 
Ce point est particulièrement intéressant puisque la CEDH juge que les juridictions roumaines ont failli à déterminer les raisons concrètes qui ont justifié la mise en place de mesures de surveillance et si l’employeur aurait pu faire usage de mesures moins intrusives.
 

4. Connaissance prise des motifs légitimes de l’employeur, la Cour peut vérifier que pour atteindre ce but l’employeur avait ou non la possibilité de mettre en place un contrôle moins invasif, moins intrusif.

Ex : si le même but peut être atteint sans accéder au contenu des communications, alors le contrôle ainsi mis en place peut violer l’article 8 de la Convention EDH. Dans l’arrêt commenté, ce point n’a pas été analysé par les juridictions internes et constitue une violation de l’obligation des états de vérifier l’intérêt de toutes les parties. 
 

5. Enfin, il est nécessaire de procéder à l’analyse de l’utilisation des résultats afin d’atteindre le but déclaré par l’employeur.

Quelles sont les conséquences pour les salariés (protection du SI, mesures disciplinaires, de quel type ?) 
 
En l’occurrence, les résultats du contrôle ont été utilisés pour prononcer la mesure disciplinaire la plus grave contre le requérant, son licenciement. 
 
 
En conclusion du rappel des exigences de la CEDH qui ne sont pas réellement nouvelles mais dont la portée n’est pas aisée à déterminer, il convient de rappeler que les faits d’espèce de cet arrêt sont particuliers.

En effet, était en cause la création d’un compte de messagerie électronique personnelle Yahoo Messenger, créée à la demande de l’employeur et non d’une messagerie électronique purement professionnelle. Or, aucune précision sur l’incidence que peut avoir la qualification de la messagerie électronique n’est apportée par la CEDH. 
 
En outre, en droit français par exemple, il est communément admis qu’il relève du pouvoir disciplinaire de l’employeur de prendre connaissance des emails « professionnels » adressés à ses salariés sur une messagerie professionnelle, à l’exception des messages expressément identifiés comme étant « personnels ».

Dans cet arrêt, force est de constater que (i) la CEDH n’opère pas de distinction entre un compte de messagerie personnelle ou professionnelle, ni sur les conditions d’ouverture dudit compte et que (ii) la CEDH ne distingue pas entre les emails professionnels ou personnels. 
 
Faut-il pour autant en déduire une évolution de la jurisprudence française ?

Il est vraisemblablement trop tôt pour se prononcer. Néanmoins et dans l’attente, nous ne pouvons que recommander aux entreprises de vérifier et le cas échéant de mettre à jour les chartes de gestion des données à caractère personnel. Il convient en effet de s’assurer que ces chartes précisent la possibilité et/ou la mise en place ainsi que l’étendue et la nature de la surveillance de la messagerie électronique pour être conformes aux exigences de la CEDH. 
 
Par ailleurs, il convient également de s’interroger sur le point de savoir si les exigences de la CEDH sont applicables uniquement à l’installation d’un système de surveillance ou si elles s’appliquent également en cas d’une intervention ponctuelle de l’employeur qui serait amené à connaître des emails de ses employés.

Ces dernières situations sont très courantes dans l’organisation du bon fonctionnement de l’entreprise et peuvent concerner par exemple l’ouverture du courrier électronique d’un salarié lorsque ce dernier est absent (par ex. maladie ou vacances) ou la bonne gestion des dossiers qui ne peut être garantie autrement (par ex. via les fonctions de déviation automatique).

En droit social, la jurisprudence devra sans doute se positionner sur le sujet.

En droit des données à caractère personnel, la réponse n’est pas nouvelle et résulte de l’analyse des finalités du traitement des données à caractère personnel consacré par l’article 5 du RGPD. 


Cet article n'engage que son auteur.

Crédit photo : © ra2 studio - Fotolia.com
 

Auteur

CHAVANE DE DALMASSY Juliette
Avocat Collaborateur
CORNET, VINCENT, SEGUREL PARIS
PARIS (75)
Voir l'auteur Contacter l'auteur Tous les articles de l'auteur

Historique

<< < 1 2 3 4 5 6 7 ... > >>