Actions sur le document

La CEDH restreint la surveillance par l’employeur des communications électroniques de ses salariés

K.Pratique | Chroniques juridiques du cabinet KGA Avocats - Stephane Bloch, Fabien Crosnier, 6/09/2017

Par un arrêt de Grande Chambre du 5 septembre 2017particulièrement didactique, la Cour européenne des droits de l’Homme a clarifié les conditions dans lesquelles l’employeur peut surveiller les communications électroniques de ses salariés pendant leur temps de travail. A l’heure des « Keyloggers » (enregistreurs de frappe) et divers logiciels espions, une remise en perspective s’impose.
1. Les faits
Un ressortissant roumain, ingénieur chargé des ventes, s’était créé un compte « Yahoo Messenger » à la demande de son employeur, pour répondre aux questions des clients grâce à ce service de « tchat » instantané qui permet de communiquer en temps réel avec son interlocuteur. L’employeur, qui avait enregistré et sauvegardé les messages échangés par son salarié grâce à cet outil, avait alors découvert que celui-ci avait échangé des messages à caractère personnel voire « intime » avec son frère et sa fiancée à partir de son compte Yahoo professionnel.

Mis en cause par l’entreprise qui lui reprochait d’avoir violé les dispositions énoncées dans le règlement intérieur et dans une note de service (dispositions dont le salarié, qui les avait d’ailleurs contresignés, avait été informé et qui prohibaient à peine de sanctions disciplinaires l’utilisation « des lignes d’internet […] ainsi que [d]es ordinateurs, [d]es photocopieurs, [d]es téléphones, [d]es téléscripteurs ou [d]es télécopieurs à des fins personnelles »), le salarié avait, dans un premier temps, nié les faits avant que l’employeur ne lui présente la transcription, sur 45 pages, des messages à caractère personnel échangés avec sa famille. Il avait alors été licencié, l’employeur lui reprochant l’utilisation de la messagerie professionnelle à des fins personnelles, ceci en violation dudit règlement intérieur et de la note de service.

Devant les juridictions roumaines, le salarié avait, en vain, contesté son licenciement et engagé des poursuites pénales pour violation du secret des correspondances. C’est en cet état que l’intéressé avait saisi la Cour européenne des droits de l’Homme (ci-après « CEDH » ou « la Cour ») d’un recours contre les autorités roumaines en leur reprochant de ne pas avoir assuré le respect de son droit au respect de la vie privée et de la correspondance.

Devant la Cour, le salarié soutenait qu’il n’avait jamais été informé du fait que ses communications étaient surveillées et que son licenciement reposait en conséquence sur une violation à son égard du droit au respect de la vie privée et de la correspondance protégé par l’article 8 de la Convention européenne de sauvegarde des libertés fondamentales et des droits de l’Homme (« CESDH » ou « la Convention ») qui prévoit :

« 1. Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance.

2. Il ne peut y avoir ingérence d’une autorité publique dans l’exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu’elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l’ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d’autrui. »

2. La décision
2.1 Par un précédent arrêt de chambre du 12 janvier 2016, la CEDH avait conclu à 6 voix contre 1 à l’absence de violation de l’article 8 de la Convention. Le salarié avait alors sollicité le renvoi de l’affaire en Grande Chambre comme l’y autorisaient les articles 43 et 44 de la Convention. C’est dans ce contexte que, par son arrêt du 5 septembre 2017, la Cour a, à 11 voix contre 6, conclu cette fois à la violation par les autorités roumaines des dispositions de l’article 8 de la Convention aux termes d’une argumentation particulièrement développée que nous exposons ci-après.

Tout d’abord, la CEDH a rappelé sa jurisprudence aux termes de laquelle le droit à la vie privée doit s’entendre au sens large, comme incluant le droit de mener une « vie privée sociale » ce qui comprend « la possibilité d’aller vers les autres afin de nouer et de développer des relations avec ses semblables » ce dont elle déduit que « les messages électroniques envoyés depuis le lieu de travail » tout comme « les éléments recueillis au moyen d’une surveillance de l’usage qu’une personne fait d’internet » et « l’envoi et la réception de messages […] depuis l’ordinateur de l’employeur » sont couverts par le droit au respect de la correspondance prévu par le même article 8.

Ces précisions étant faites, la Cour a fait porter son contrôle sur la « mise en balance » par les juridictions roumaines des intérêts de toutes les parties concernées qu’il leur appartenait de concilier : le droit de l’employeur de contrôler l’activité en vue d’assurer le bon fonctionnement de l’entreprise d’un côté ; le droit au respect de la vie privée et de la communication de l’autre. Rappelons en effet qu’il résulte des termes mêmes de l’article 8 alinéa 2 de la Convention précédemment rappelé, que le droit au respect de la vie privée et de la correspondance n’est pas absolu et qu’il peut être limité dans une certaine mesure.

C’est ainsi qu’aux termes de ce qui s’apparente à un véritable « vade mecum » à destination des juges nationaux, la CEDH, dans son arrêt du 5 septembre 2017, a conditionné la mise en place et la mise en œuvre par l’employeur d’un dispositif de surveillance des communications du salarié au respect des principes de transparence, de finalité, de proportionnalité et de nécessité suivants :

- En premier lieu, le salarié doit être préalablement et clairement informé de la possibilité qu’a l’employeur de surveiller sa correspondance et ses autres communications ainsi que de l’étendue et de la nature de ces mesures de contrôle et de leur mise en place effective.

Pour la Cour, la respect par l’employeur de cette condition ne saurait se déduire ni du fait pour ce dernier d’avoir porté à la connaissance du salarié l’interdiction de détourner les ressources de l’entreprise à des fins personnelles ni du fait de l’avoir informé du licenciement d’un collègue de travail pour avoir utilisé « internet, [le] téléphone et [le] photocopieur à des fins privées ».

- En deuxième lieu, la surveillance doit être limitée dans l’espace et dans le temps, c’est-à-dire en fin de compte proportionnée.

A cet égard, la Cour précise qu’une distinction doit être faite entre la surveillance du flux des communications et celle de leur contenu, et qu’il importe de savoir si la surveillance des communications a porté sur leur intégralité ou seulement sur une partie d’entre elles et si elle a ou non été limitée dans le temps ainsi que le nombre de personnes ayant eu accès à ses résultats. Bien évidemment, cette appréciation est tributaire d’une inévitable casuistique et l’on attend avec intérêt les futures prises de position des juges nationaux et européens.

- En troisième lieu, la surveillance doit encore être justifiée par des motifs légitimes. Cette exigence de justification concerne non seulement la surveillance des communications mais aussi (le cas échéant) l’accès à leur contenu même (l’employeur devant dans ce dernier cas, selon la Cour, faire état de motifs plus sérieux que si la surveillance se borne aux seuls flux de communication sans se propager à leur teneur).

- En quatrième lieu, la surveillance doit être nécessaire à la satisfaction de l’objectif poursuivi. Cette condition s’apprécie avec davantage de rigueur lorsque l’employeur se réserve la possibilité de consulter le contenu même des communications. Dans ce dernier cas, il convient alors de se demander, en fonction des circonstances concrètes de l’espèce, s’il aurait « été possible de mettre en place un système de surveillance reposant sur des moyens et des mesures moins intrusifs que l’accès direct […] et en intégralité au contenu des communications de l’employé ».

- En cinquième lieu, il convient de prendre en compte « les conséquences de la surveillance » pour le salarié (c’est-à-dire, de toute évidence, le degré de proportionnalité de la sanction infligée au salarié aux griefs reprochés) et la façon dont l’employeur a « utilisé les résultats de la mesure de surveillance », notamment la question de savoir si ces résultats « ont été utilisés pour atteindre le but déclaré de la mesure ».

- En sixième lieu, le salarié doit bénéficier de « garanties adéquates » ce qui, pour la Cour, implique notamment l'obligation pour l'employeur d'avertir préalablement le salarié de la possibilité qu'il a de consulter le contenu même des communications avant de pouvoir y accéder.

- En septième lieu, la procédure disciplinaire éventuellement mise en œuvre doit être accordée avec le respect du principe du contradictoire et à ce titre le salarié doit se voir offrir la possibilité de présenter ses arguments.

Ces conditions doivent s’apprécier en tenant compte des circonstances concrètes de la cause telles que celles-ci résultent notamment « de la situation spécifique » du salarié « et de son employeur » (par exemple, l’on pourra, de toute évidence, prêter une attention soutenue à l’activité de l’employeur ainsi qu’ à la nature des fonctions occupées par le salarié et notamment au point de savoir si ce dernier peut accéder ou non à des informations sensibles pour l’entreprise).

2.2 En l’espèce, pour la Cour, il n’était pas établi que le salarié ait été préalablement informé du fait même que ses conversations électroniques étaient surveillées, ni de « l’étendue » et de la « nature » de cette surveillance et de la possibilité pour l’employeur d’accéder à la « teneur » même de ces communications. Les juridictions roumaines n’avaient pas non plus pris la peine de vérifier concrètement le respect des autres conditions encadrant la possibilité pour l’employeur de surveiller la communication de son salarié.

La Cour en a déduit que les juridictions nationales, en statuant ainsi et en refusant de faire droit aux demandes du salarié en contestation de son licenciement, ont violé l’article 8 de la CESDH relatif au droit au respect de la vie privée et de la correspondance.


3. La portée de la décision en droit français
3.1 En France, les courriels adressés et reçus par le salarié à l'aide de l'outil informatique mis à sa disposition par l'employeur pour les besoins de son travail sont présumés avoir un caractère professionnel de sorte que l'employeur est en droit de les ouvrir hors la présence du salarié (sauf si ce dernier les identifie comme personnels, auquel cas l’employeur ne peut les consulter qu’en présence de l’intéressé ou celui-ci dûment appelé, ou encore en présence d’un risque ou d’un évènement particulier pour l’entreprise (1) ). Il en est de même des fichiers et dossiers stockés sur l’ordinateur professionnel et la jurisprudence a ultérieurement étendu cette « présomption de professionnalité » aux fichiers entreposés sur la clef usb connectée à l’ordinateur professionnel du salarié (2) ainsi qu’aux connexions internet établies par ce dernier grâce à l'outil informatique mis à sa disposition pour l'exécution de son travail.

Même en l’absence de l’intéressé, l’employeur peut donc :

- rechercher les connexions du salarié aux fins de les identifier, quand bien même les sites litigieux auraient été enregistrés par l’intéressé dans ses « favoris » (3) ,

- et, le cas échéant, le licencier lorsque l’usage d’internet à des fins personnelles pendant le temps de travail prend une proportion abusive (4) , ceci même si le règlement intérieur ou la charte informatique ne comportent aucune mise en garde sur le sujet (5) . Un tel comportement est en effet révélateur d’un détournement de temps de travail rémunéré. Toute la difficulté est alors de tracer la ligne de partage des eaux entre une utilisation normale (tolérée) et une utilisation abusive passible de sanctions.

3.2 Cela étant, indépendamment du respect des formalités prescrites par la loi Informatique et Libertés du 6 janvier 1978, lesquelles ont naturellement vocation à s’appliquer et dont la violation peut entraîner l’irrecevabilité de la preuve produite en justice (6) , la loi et le juge social soumettent les incursions patronales dans l’exercice par les salariés de leurs activités, et dans les messages qu’ils sont amenés à échanger pendant le temps de travail en particulier, au respect d’un certain formalisme protecteur.

Ainsi, tout dispositif de contrôle de l’activité des salariés est soumis à une double obligation de transparence :

- à la fois collective, les IRP devant être informées et consultées préalablement à la mise en œuvre d’un tel dispositif (7) , à peine de sanctions pénales (entrave) et civiles (suspension de la mise en œuvre du dispositif, dommages-intérêts, irrecevabilité de la preuve obtenue par le procédé incriminé)

- mais aussi individuelle. A ce titre, l’employeur ne peut mettre en œuvre un dispositif de contrôle de l’activité des salariés que s’il en a préalablement informé ce dernier (8) . A défaut, les preuves obtenues par un procédé clandestin sont irrecevables en justice par application de l’article 9 du Code de procédure civile selon lequel il incombe à chaque partie de prouver « conformément à la loi » les faits nécessaires au succès de sa prétention.

Dans ces conditions, dans l’affaire jugée par la CEDH, dès lors que l’employeur n’avait pas informé préalablement le salarié du fait que ses conversations électroniques étaient enregistrées et conservées, l’on peut penser que le licenciement aurait pareillement été déclaré sans cause réelle et sérieuse si les juridictions françaises avaient eu à connaître des mêmes faits (9) .

Il n’en reste pas moins que l’arrêt du 5 septembre 2017 est riche d’enseignements par l’énumération qu’il comporte, au-delà de la seule obligation d’information, des autres conditions ci-dessus exposées auxquelles l’employeur peut tracer les communications électroniques des salariés et qui s’imposent dorénavant en droit interne. Rappelons en effet que les juges français sont constitutionnellement tenus d’appliquer directement les dispositions de la Convention européenne des droits de l’Homme, telles qu’éclairées par la jurisprudence de la CEDH (10) .

Plus que jamais, la question de savoir si l’employeur peut régulièrement surveiller les communications électroniques de ses salariés est donc tributaire d’une appréciation hautement casuistique invitant de plus fort à recourir à un conseil spécialisé.

1. Cass. soc. 17 mai 2005 n° 03-40.017
2. Cass. soc. 12 février 2013, n° 11-28.649
3. Cass. soc. 9 juillet 2008 n° 06-45800 ; Cass. soc. 9 février 2010 n° 08-45.253
4. Cass. soc. 18 mars 2009 n° 07-44.247 (utilisation d’internet à des fins personnelles à raison de 41 heures en un mois) ; Cass. soc. 16 mai 2007 n° 05-43.455 (stockage sur l'ordinateur professionnel d'un nombre important de fichiers pornographiques représentant 509 292 989 octets) ; Cass. soc. 26 février 2013, n° 11-27.372 (connexions à des sites de voyage ou de tourisme, de comparaison de prix, de marques de prêt à porter, de sorties et évènements régionaux et à des réseaux sociaux ainsi qu'à un site de magasine féminin, à concurrence de 10.000 connexions en l'espace de près de 3 semaines) ; CA RENNES, 20 novembre 2013, n° 12/03567, aff. Reynald V. c/ Société SLCE SAS (connexions par un salarié à raison de 20 % de son temps de présence à des sites tels que Facebook, Banque personnelle, Picasa, Le Bon Coin, Voyages, et à raison de la moitié du temps sur des sites en rapport avec les 4X4)
5. Cass. soc. 16 mai 2007 préc., n° 05-43.455. Cela étant, il est bien sûr fortement recommandé de clarifier les devoirs des salariés en matière d’utilisation des ressources numériques mises à leur disposition dans le règlement intérieur ou encore dans une note de service ou dans une charte informatique adoptés conformément à la procédure idoine.
6. Cass. soc. 8 octobre 2014 n° 13-14991 (jugeant sans cause réelle et sérieuse le licenciement d’une salariée à laquelle il était reproché d’avoir reçu et envoyé plus de 1200 courriels personnels en deux mois, aux motifs que le dispositif de contrôle individuel de l'importance et des flux des messageries électroniques dont l’employeur s’était servi avait été déclaré tardivement à la CNIL)
7. Art. L.2323-47 al. 3 C. Trav. : « Le comité d'entreprise est informé et consulté, préalablement à la décision de mise en oeuvre dans l'entreprise, sur les moyens ou les techniques permettant un contrôle de l'activité des salariés. »
8. Art. L.1222-4 C. Trav. : « Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n'a pas été porté préalablement à sa connaissance ») ; Cass. soc. 22 mai 1995 n° 93-44078, incriminant un système de filature mis en place à l’insu du salarié
9. Il convient toutefois de faire état d’un arrêt (non publié) de la Cour de Cassation du 18 juillet 2000, dans lequel celle-ci a, curieusement, retenu que la mise en place par la preuve obtenue par l’exploitation d’un système clandestin d'espionnage électronique (il s’agissait ici d’un dispositif mis en place par une banque pour « tracer » les consultants de comptes bancaires, et dont l’employeur s’était servi pour licencier un salarié auquel il était reproché d’avoir consulté des comptes par pure curiosité personnelle) n’était pas un mode de preuve illicite (Cass. soc. 18 juillet 2000 n° 98-43485)
10. Art. 55 de la Constitution



Retrouvez l'article original ici...

Vous pouvez aussi voir...