La question de la protection de la vie privée du salarié au sein de l’entreprise est toujours très largement débattue en droit interne.
Elle conjugue en effet deux impératifs difficilement conciliables que sont d’un côté la sécurité de l’entreprise et de l’autre celui de faire respecter un droit à l’intimité dans un contexte professionnel.

(arrêt Barbulescu c/ Roumanie du 5 septembre 2017, requête n°61496/08).

Les juridictions mais également la Commission informatique et Libertés (CNIL) veillent constamment à ce que l’employeur respecte ce fragile équilibre en rappelant que toute mesure de surveillance à l’encontre d’un salarié doit être proportionnée et ne doit pas porter atteinte à ses droits fondamentaux.

Dans son très récent arrêt rendu le 5 septembre dernier, la CEDH a tenu à affirmer de nouveau un tel principe en renforçant le droit au respect de la vie privée du salarié dans le cadre de la surveillance de ses communications électroniques par l’employeur, exigeant, en l’espèce, que celui-ci obtienne son consentement avant toute consultation.

1. Les faits

Un salarié de nationalité roumaine exerçant en qualité d’ingénieur en charge des ventes entre 2004 et 2007, a été invité par son employeur à ouvrir un compte de messagerie afin de répondre directement aux demandes de la clientèle.

Dans le cadre de son activité, l’entreprise a distribué au mois de juillet 2007 à l’ensemble des salariés une note d’information indiquant qu’une employée avait été licencié pour des motifs disciplinaires à la suite d’une utilisation personnelle d’internet, du téléphone et du photocopieur.

Peu de temps après avoir été informé de cette situation, le salarié a été convoqué par son employeur lequel aurait été informé que des communications sur le compte de messagerie dudit salarié faisaient état de correspondances personnelles.

Réfutant dans un premier temps, le salarié a été confronté à la présentation de transcriptions, exposant entre le 5 et le 12 juillet 2007, 45 pages de messages échangés avec sa famille et sa compagne contenant des conversations privées.

Le 1er août 2007, l’employeur mit un terme au contrat de travail du salarié à raison d’une infraction au règlement intérieur de l’entreprise interdisant tout usage des moyens mis à disposition à des fins personnelles.

Le salarié a contesté son licenciement devant les juridictions roumaines aux motifs que son employeur avait porté atteinte à son droit à la correspondance ainsi qu’à sa vie privée en procédant à la consultation de ses communications.

Le Tribunal départemental de Bucarest le débouta néanmoins de ses demandes en jugeant que l’employeur était en droit de fixer des règles relatives à l’usage d’internet et que le salarié avait été informé du règlement intérieur de l’entreprise dès qu’une autre employée avait été licenciée pour des faits similaires auparavant.

Le salarié interjeta appel de cette décision sans succès puisque la cour confirma le jugement de première instance en jugeant que la conduite de l’employeur visant à informer ses salariés du caractère strictement professionnel de l’usage des ressources de l’entreprise, était, d’une part raisonnable et d’autre part que la surveillance des communications de l’appelant constituait le seul moyen de prouver une faute.

C’est dans ces conditions que le salarié a saisi la Cour européenne des droits de l’Homme le 15 décembre 2008 en soutenant que la décision de son employeur de mettre un terme à son contrat de travail à la suite d’une surveillance de ses communications électroniques et de la connaissance de leur contenu constituait une violation de sa vie privée et de son droit à la correspondance.

Par un arrêt du 12 janvier 2016, la CEDH a jugé que les juridictions internes avaient préservé un équilibre entre le droit au respect de la vie privée et à la correspondance du salarié telle que prévue à l’article 8 de la Convention européenne des droits de l’homme et les intérêts de l’entreprise.

La Cour estimait en tout état de cause que la surveillance des communications du salarié par l’employeur avait été raisonnable dans le cadre d’une procédure disciplinaire.

L’affaire a par la suite été renvoyée devant la Grande Chambre le 6 juin 2016, laquelle a clairement jugé que même si le salarié avait été informé des règles restrictives de son employeur, de telles instructions ne sauraient pour autant exclure l’exercice de son droit à la vie privée et à la confidentialité sur le lieu de travail.

Ainsi, et selon la Grande Chambre, l’employeur aurait dû avertir le salarié de l’étendue et de la nature de la surveillance qui a été pratiquée et de la possibilité pour celui-ci de pouvoir accéder au contenu de ses messages (i).

Mais surtout, et comme la CEDH aime à le rappeler, une telle mesure de surveillance doit nécessairement être soumise à un contrôle de proportionnalité de sorte que les juridictions roumaines auraient dû s’assurer que le but poursuivi par l’employeur n’aurait pas pu être atteint par des mesures moins intrusives (ii).

(i). L’absence d’avertissement de l’employeur au salarié sur la nature et la mise en œuvre des mesures de surveillance

Pour juger de l’atteinte à la vie privée du salarié, la Cour a considéré conformément aux normes « internationales et européennes » - à savoir le recueil de directives pratiques sur la protection des données personnelles des travailleurs du BIT et de la Recommandation CM / Rex (2015) 5 du Comité des Ministres aux États membres sur le traitement des données à caractère personnel dans le cadre de l’emploi, la charte des droits fondamentaux de l’Union Européenne (2007 : C-304/01) - , que l’avertissement de l’employeur n’avait pas été donné préalablement au commencement de l’activité de surveillance.

En effet, et quand bien même le requérant avait été informé du fait qu’une ancienne salariée avait été licenciée pour avoir utilisé internet à des fins personnelles, une telle information ne lui permettait aucunement de connaître à l’avance « de l’étendue et de la nature de la surveillance opérée  », ni même du fait que l’employeur pouvait avoir accès au contenu des communications personnelles qu’il échangeait.

Ainsi, et pour la Grande chambre de la Cour, l’atteinte à la vie privée et à la correspondance du salarié était constituée dès lors que celui-ci a, en l’absence de toute information, procédé à l’examen et à l’impression d’échanges personnels.

Cette atteinte est d’autant plus avérée que les raisons ayant conduit à cette surveillance ne sont pas justifiées selon la Cour.

(ii). Sur le caractère disproportionné de l’atteinte à la vie privée du salarié et à la correspondance du salarié

Dans le cadre du contrôle de proportionnalité qu’elle mène régulièrement, la Cour a également relevé qu’une telle surveillance n’était aucunement justifiée par « l’existence de raisons légitimes » dès lors qu’une atteinte aux systèmes informatiques de l’entreprise ou de sa mise en cause en cas d’activité illicite sur internet du fait de l’usage d’internet par le salarié n’ont été démontrées.

De surcroît, la Cour estime que les juridictions nationales n’ont pas recherché si l’employeur aurait pu avoir recours à des méthodes moins intrusives que l’accès au contenu des communications du salarié, ni même si la gravité de la mesure prise à son encontre à la suite de la consultation de ses courriels, à savoir son licenciement, était adaptée au comportement reproché.

Enfin, la Cour constate également que les juges nationaux n’ont pas établi à quel moment de la procédure disciplinaire l’employeur avait eu accès à ce contenu, de sorte qu’il n’était pas possible de s’assurer qu’au moment de la convocation celui-ci en avait eu connaissance et aurait donc pu entendre les justifications de son salarié.

C’est donc au regard de cette disproportion entre la mesure entreprise et la faute reprochée au salarié que la Cour Européenne a jugé que le droit au respect de la vie privée et de la correspondance du salarié n’avait pas été protégé « de manière adéquate » (Point 141).

2. Vers une obligation générale de l’employeur de recueillir le consentement du salarié avant toute consultation de données contenues sur un ordinateur de l’entreprise ?

Si la CEDH a jugé dans l’arrêt du 5 septembre 2017 que la consultation des communications par l’employeur portait atteinte à la vie privée et au droit à la correspondance du salarié, cela suffit-il à poser désormais les bases d’un droit « absolu » imposant à l’employeur d’informer préalablement son salarié avant tout accès aux données de son ordinateur ?

La Cour en se référant clairement aux normes « internationales et européennes » considère que l’employeur aurait dû avertir le salarié qu’une activité de surveillance et un accès au contenu de ses courriels allaient avoir lieu (Point 133).

En effet et à la lecture de cette décision, la CEDH semble définir les contours d’une obligation préalable d’information de l’employeur, lorsque celui-ci entend accéder aux données du salarié.

Il convient toutefois de tempérer une telle approche dès lors que l’appréciation faite par la CEDH dans cet arrêt résulte avant tout d’une casuistique puisque la Cour a jugé, au regard des faits de l’espèce, que l’employeur ne justifiait pas d’une information préalable du salarié alors même qu’il consultait des fichiers personnels.

C’est donc toujours à l’aune d’un contrôle de proportionnalité et en fonction du cas présenté que doit s’apprécier la solution dégagée par cet arrêt.

Ceci est d’autant plus vrai que la CEDH rappelle dans sa décision que « le choix des mesures propres à garantir l’observation de l’article 8 dans les rapports interindividuels relève en principe de la marge d’appréciation des États contractants. Il existe en effet différentes manières d’assurer le respect de la vie privée, et la nature de l’obligation de l’État dépend de l’aspect de la vie privée qui se trouve en cause (Söderman c. Suède [GC], no 5786/08, § 79, CEDH 2013) » (Point 113).

Ainsi, la Cour Européenne rappelle que le droit à la vie privée du salarié doit être respecté au sein de l’entreprise même si ce dernier peut être limité « dans la mesure du nécessaire » (Point 80).

C’est donc à l’employeur de veiller à ce que les mesures de surveillance qu’il entreprend ne portent pas atteinte aux droits du salarié.

A titre d’exemple, le droit français encadre strictement les modalités d’accès aux données du salarié par l’employeur.

La Cour de cassation a ainsi rappelé que « les dossiers et fichiers créées par un salarié grâce à l’outil informatique mis à sa disposition par son employeur pour l’exécution de son travail sont présumés, sauf si le salarié les identifie comme étant personnels, avoir un caractère professionnel de sorte que l’employeur ne peut y avoir accès hors sa présence  » (Cass.soc, 19 juin 2013, n°12-12.138).

Ainsi, et pour le cas où un fichier serait identifié comme personnel, l’employeur ne peut y accéder qu’en présence du salarié concerné ou après avoir informé ce dernier (Cass.soc, 17 mai 2005, n°03-40.017, 21 octobre 2009, n°07.43877).

La solution dégagée par la CEDH se rapproche donc de celle des juridictions internes dès lors qu’elles conditionnent toutes deux l’accès aux données personnelles du salarié à l’information préalable de celui-ci.

L’impératif pour la Cour Européenne est toutefois de s’assurer que les mesures entreprises par l’employeur pour assurer la protection des intérêts de l’entreprise ne viennent pas porter atteinte aux droits fondamentaux du salarié (Point 120) :
« Néanmoins, la latitude dont jouissent les États dans ce domaine ne saurait être illimitée. Les juridictions internes doivent s’assurer que la mise en place par un employeur de mesures de surveillance de la correspondance et des autres communications, quelles qu’en soient l’étendue et la durée, s’accompagne de garanties adéquates et suffisantes contre les abus ».

En l’espèce, la CEDH constatait d’ailleurs que « la cour d’appel n’a pas déterminé quel était concrètement dans la présente affaire le but pouvant justifier une surveillance aussi stricte », raison pour laquelle l’accès aux données personnelles du salarié lui paraissait inapproprié (point 135).

Un tel raisonnement est également transposable en droit français puisque la jurisprudence juge que l’employeur peut consulter les fichiers personnels du salarié s’il justifie d’un motif légitime, tel que la disparition de fichiers, et sur autorisation d’un juge dans le cadre des dispositions de l’article 145 du Code de procédure civile (Cass.soc, 10 juin 2008, n°06-19.229).

Pour autant, l’employeur ne pourra fonder un licenciement sur les données découvertes dans l’ordinateur du salarié dès lors que celles-ci ont été explicitement identifiées comme étant personnelles (Cass.soc, 2 octobre 2001, n°99-42.942).

D’un point de vue général, les juridictions françaises ne sont d’ailleurs pas les seules à assurer un équilibre entre le droit au respect de la vie privée du salarié et les impératifs de surveillance de l’entreprise.

La CNIL a récemment condamné une société ayant installé un dispositif de vidéosurveillance dès lors que celle-ci procédait à une collecte massive de données et qu’elle pouvait visualiser en temps réel et de manière permanente les faits et gestes de ses salariés sans assurer une sécurité des données personnelles accessibles (Délibération n°2017-009 du 15 juin 2017).

C’est donc dans une logique de proportionnalité et d’adéquation de la mesure avec le but poursuivi que les juridictions doivent juger d’une atteinte éventuelle au droit à la vie privée du salarié.

L’arrêt de la CEDH vient donc, par le biais de cette décision, affirmer de nouveau l’importance de respecter l’équilibre délicat entre vie privée du salarié et intérêts de l’entreprise.

Jonathan ELKAIM - Avocat au Barreau de Paris