Luxuriant a posé quelques questions à Maître Denis Cantele au sujet de l’utilisation, à des fins privées par les salariés, des outils informatiques mis à leur disposition par leur employeur.

 

 

De manière générale, quelles sont les règles applicables à la surveillance des salariés par l’employeur ?

Si l’employeur souhaite mettre en place un système de surveillance, que ce soit via les outils informatiques (mails, Internet, centrale téléphonique, etc.), les outils plus techniques tels que les ouvertures de portes par badge ou encore via l’installation de caméras dans ses locaux, il doit préalablement obtenir l’autorisation de la Commission nationale pour la protection des données (CNPD). De plus, il est contraint d’informer ses employés d’un tel contrôle. Pour information, à compter du 25 mai 2018, date d’entrée en vigueur du règlement général sur la protection des données (le « Règlement ») ([1]), l’autorisation préalable de la CNPD ne devrait plus être requise pour l’employeur. Pour autant, ses obligations ne seront pas moindres, alors que le Règlement met à charge du responsable du traitement des données personnelles (donc de l’employeur) de nouvelles obligations et qu’il prévoit un renforcement des droits des individus (et donc des salariés).

L’employeur qui a mis en place un système de surveillance en respectant les obligations susvisées, peut-il consulter les courriels envoyés par ses salariés depuis leur poste de travail ?

Il existe une présomption selon laquelle tout message électronique, entrant ou sortant depuis un poste de travail mis à disposition par l’employeur, est considéré comme professionnel, donc en rapport direct avec la société. Toutefois, conformément à l’article 8 de la Convention de sauvegarde des Droits de l’Homme et des Libertés fondamentales, tout salarié a droit, même au bureau et durant son temps de travail, au respect de sa vie privée et de sa correspondance. La jurisprudence est d’ailleurs claire à ce sujet, le salarié a droit au secret de ses correspondances, même échangées depuis son poste de travail.

Comment se protéger à tous les coups ?

Il suffit d’indiquer dans l’objet du courriel « privé » ou « personnel ». L’employeur n’est ainsi pas en droit de l’ouvrir et ne pourra, par conséquent, pas s’en prévaloir pour justifier un licenciement. À noter que cette interdiction pour l’employeur d’ouvrir les messages identifiés comme privés par le salarié, s’applique même dans l’hypothèse où celui-ci aurait interdit une utilisation des outils informatiques à titre privé. Il faut cependant garder à l’esprit que le principe du secret des correspondances peut se voir levé dans le cadre d’une instruction pénale ou par une décision de justice. De même, si le salarié abuse des courriels identifiés comme « privés », l’employeur pourrait très bien, sans les ouvrir, s’en prévaloir pour démontrer que le salarié vaque, durant ses horaires de travail, à ses occupations privées plutôt que de prester sa mission.

Qu’en est-il alors des courriels non identifiés comme privés par le salarié ? L’employeur peut-il les consulter à sa guise ?

Non, l’employeur ne peut pas les consulter à sa guise sans aucune formalité à respecter. Dès que l’on se trouve dans le cadre d’une surveillance au sens de la loi du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel (la « Loi »), à savoir dans le cadre d’une surveillance non occasionnelle, l’employeur, pour consulter ces courriels, aura préalablement dû obtenir l’autorisation de la CNPD et avoir informé ses salariés des mesures de contrôle mises en œuvre.

Par ailleurs, cette dernière considère qu’un contrôle général et automatique de toutes les données de communication et par conséquent de l’utilisation de l’email est à considérer comme disproportionné et à exclure, même en cas d’interdiction par l’employeur. Le principe de proportionnalité exige que les mesures mises en place par l’employeur se limitent, dans un premier temps, à une surveillance ponctuelle et globale. Toute surveillance continue par l’employeur est donc à exclure, ce même en cas d’interdiction totale donnée par ce dernier à ses salariés d’utiliser les outils informatiques à titre privé. Durant cette première phase de contrôle, l’employeur peut seulement procéder à une surveillance globale des messages et obtenir des données relatives par exemple à la fréquence, au volume des courriels ainsi qu’à la taille et au format de leurs pièces jointes. Ces informations sont contrôlées sans identifier individuellement les salariés. Ce n’est que si cette surveillance globale l’a amené à détecter des indices et soupçons d’abus ou de comportements irréguliers qu’il pourra intensifier sa surveillance et passer à l’identification des salariés concernées et contrôler le contenu de leurs courriels professionnels.

Pouvez-vous nous donner un exemple de cas concret ?

Dans une affaire, un employeur avait, pour justifier un licenciement, produit un nombre important de courriels non identifiés par le salarié comme « privés » ou « personnels » et donc réputés professionnels. Le tribunal du travail a estimé que le fait d’enregistrer ces données de manière non occasionnelle et d’en déterminer le comportement du salarié était à qualifier de surveillance au sens de la Loi, de sorte que l’employeur aurait dû obtenir l’autorisation préalable de la CNPD et avoir informé le salarié des mesures de contrôle mises en œuvre. L’employeur n’ayant en l’espèce pas préalablement obtenu cette autorisation, le tribunal a écarté les courriels litigieux des débats.

Outre les correspondances électroniques, un employé peut-il traîner impunément sur Internet ?

Un salarié a, bien entendu, durant son temps de travail, une obligation d’accomplir un travail au bénéfice de son employeur ainsi qu’une obligation de loyauté à l’égard de ce dernier. Il ne saurait donc passer son temps à surfer sur la Toile. Dans la majorité des cas, ne serait-ce que pour des besoins professionnels, les employeurs mettent à disposition de leurs salariés un accès Web. Certains employeurs interdisent à leurs salariés l’usage d’Internet à des fins privées, de sorte qu’un salarié qui surferait sur Internet à de telles fins se constituerait d’office en faute. D’autres, ne prévoient pas de dispositions spécifiques à ce sujet. Toutefois, le salarié ne saurait faire un usage abusif d’Internet à des fins privées sous peine également de se constituer en faute.

La question ensuite, comme pour les courriels électroniques, est de savoir dans quelle mesure et à l’aide de quels moyens, un employeur pourrait se constituer la preuve d’un usage (prohibé ou abusif) d’Internet à des fins privées. Sur ce point, les principes et règles sont identiques à ceux applicables aux correspondances électroniques, à savoir que si l’on se trouve dans le cadre d’une surveillance au sens de la Loi, l’employeur doit obtenir l’autorisation préalable de la CNPD, avoir informé le salarié des mesures de contrôle et appliquer le principe de proportionnalité.

Si vous aviez un conseil à donner aux salariés ?

Utilisez vos Smartphones pour tout ce qui est privé et raisonnablement bien sûr (sourire). Votre employeur pourrait, en effet, très bien être en mesure de prouver, notamment par voie de témoignage, que vous passez vos journées scotchées sur votre téléphone plutôt que d’effectuer votre travail.

Et aux employeurs ?

Analysez dans quelle mesure, sous quelles formes et conditions, vous pouvez mettre en place une surveillance des outils informatiques mis à la disposition de vos salariés. Vous éviterez ainsi, dans le cadre d’une affaire de licenciement, que les pièces apportées pour prouver les fautes de vos salariés soient écartées des débats pour avoir été obtenues de manière illicite. De manière globale, soyez le plus transparent possible vis-à-vis de vos salariés. Enfin, préparez-vous à l’entrée en vigueur, le 25 mai 2018, du Règlement, qui d’ailleurs, s’appliquera tant au traitement des données à caractère personnel de vos salariés, que de toute autre personne physique.

 

 

Cantele Denis

Avocat à la Cour (L1)

4 Grand-Rue

L-1660 Luxembourg

 

Tél : +352 26 26 26 34

 

[1] Règlement UE 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données