0,00  (0)
fr

Connectez-vous avec votre adresse e-mail ou votre compte Facebook

OU

Vous n'avez pas encore de compte ?

Inscrivez-vous dès maintenant
> > > Protection de la vie privée au travail à l’ère du numérique

Protection de la vie privée au travail à l’ère du numérique

25 octobre 2017 Droit social

Protectiondelavieprivée-Articles-Legitech.lu

Tour d’horizon à l’occasion de l’arrêt Bărbulescu1)CEDH, Bărbulescu c. Roumanie, 5 sept. 2017, n° 61496/08, ID LEGIWORK 26108. de la Cour européenne des droits de l’homme.

Difficile d’imaginer notre travail sans accès à Internet et les différents modes de communication électronique. Mais alors qu’un employé peut se voir distrait par des courriels privés ou les dernières nouvelles traversant l’écran, l’employeur peut songer à recourir à des modalités de surveillance sophistiquées afin de pouvoir sanctionner les dérives de ses employés.

D’un point de vue juridique, cela exige de mettre en balance le droit au respect de la vie privée des employés et les intérêts légitimes de l’employeur. La prémisse est pourtant simple : les employés peuvent raisonnablement s’attendre à voir respecter leur vie privée sur le lieu de travail. C’est la Cour européenne des droits de l’homme (Cour EDH) qui l’a relevé, il y a vingt ans déjà, dans son arrêt Halford c. Royaume-Uni2)CEDH, Halford c. Royaume-Uni, 25 juin 1997, Recueil des arrêts et décisions 1997 III..

En ce qui concerne plus précisément l’utilisation des nouvelles technologies au travail, la Cour EDH s’y est intéressée pour la première fois dans l’affaire Copland c. Royaume-Uni3)CEDH, Copland c. Royaume-Uni, 3 avril 2007, n° 62617/00., concernant la surveillance d’un salarié britannique par son supérieur hiérarchique. Son téléphone, son courrier électronique et l’utilisation d’Internet étaient concernés. La Cour a jugé que l’employeur ne doit pas surveiller l’utilisation des moyens techniques qu’il met à la disposition du salarié si ce dernier n’a pas été averti de la possibilité d’un tel contrôle.

La messagerie instantanée

Dans l’affaire récente Bărbulescu c. Roumanie, l’employeur de M. Bărbulescu avait demandé à ce dernier de créer un compte sur Yahoo Messenger pour l’utiliser à des fins professionnelles. Ce compte a été surveillé par l’employeur pendant plus d’une semaine. Sur la base d’un transcrit, M. Bărbulescu a été licencié pour violation des règles internes sur l’utilisation à des fins privées de moyens techniques mis à la disposition des salariés. M. Bărbulescu s’est opposé à son licenciement en invoquant notamment la violation du secret de la correspondance. Ayant perdu devant les instances nationales, il a saisi la Cour EDH.

En 2016, une chambre de cette Cour avait conclu que les droits fondamentaux de M. Bărbulescu n’ont pas été violés4)CEDH, Copland c. Royaume-Uni, 3 avril 2007, n° 62617/00.. Dans son arrêt du 5 septembre dernier, la Grande Chambre a, non sans difficulté, corrigé cette appréciation.

Tout d’abord, la Cour relève que la proportionnalité et les garanties procédurales contre l’arbitraire sont des éléments essentiels du respect de la vie privée et de la correspondance des employés. Les autorités nationales doivent notamment tenir compte du moment et du degré d’information de l’employé quant aux mesures de surveillance prises ou pouvant être prises, de l’étendue de la surveillance opérée, du degré d’intrusion dans la vie privée de l’employé ou encore de la proportionnalité des mesures mises en place. Enfin, les autorités internes doivent veiller à ce que les employés concernés puissent bénéficier d’une voie de recours devant un organe juridictionnel ayant compétence pour statuer, du moins en substance, sur le respect de ces critères ainsi que sur la licéité des mesures contestées.

Selon la Grande Chambre, les juridictions roumaines ont correctement cerné les intérêts en jeu, en se référant explicitement au droit du requérant au respect de sa vie privée, ainsi qu’aux principes de droit applicables de nécessité, de finalité, de transparence, de légitimité, de proportionnalité et de sécurité énoncés dans la directive 95/46/CE5)Directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, J.O.U.E., L 281 du 23.11.1995..

Les juridictions roumaines ont toutefois manqué, d’une part, de vérifier si le requérant avait été préalablement averti par son employeur de la possibilité que ses communications sur Yahoo Messenger soient surveillées et, d’autre part, de tenir compte du fait qu’il n’avait été informé ni de la nature ni de l’étendue de la surveillance dont il avait fait l’objet. De surcroît, elles ont failli à déterminer, premièrement, les raisons concrètes justifiant l’utilisation des mesures de surveillance et deuxièmement, si le but recherché aurait pu être atteint par l’utilisation de mesures moins intrusives pour la vie privée et la correspondance du salarié. Enfin, troisièmement, elles n’ont pas examiné la gravité des conséquences pour le requérant, ni recherché à quel moment l’accès au contenu des communications avait été effectué.

Voilà pourquoi, nonobstant la marge d’appréciation étendue dont l’État bénéficie, la Cour EDH estime que les juridictions roumaines n’ont pas protégé de manière adéquate le droit du requérant au respect de sa vie privée et de sa correspondance et, dès lors, n’ont pas ménagé un juste équilibre entre les intérêts en jeu.

Bien entendu, ce défi doit également être levé par les juridictions luxembourgeoises.

Le courrier électronique

Le droit luxembourgeois, conformément à l’article 2 (3) de la loi de 19826)Loi modifiée du 11 août 1982 concernant la protection de la vie privée, Mém. A, 86 du 12.10.1982., sanctionne pénalement le fait de porter atteinte à l’intimité de la vie privée d’autrui en ouvrant sans l’accord de la personne à laquelle il est adressé ou de celle dont il émane, un message expédié ou transmis sous pli fermé, ou, en prenant connaissance, par un appareil quelconque, du contenu d’un tel message ou en supprimant un tel message.

Toutefois, sur le lieu du travail, l’employeur est présumé être l’expéditeur et le destinataire des messages électroniques envoyés par le salarié ou à celui-ci. La jurisprudence luxembourgeoise admet une présomption simple selon laquelle un courriel envoyé ou réceptionné au travail est rattachable aux tâches liées au travail.

Cette présomption est cependant réfragable et peut-être renversée par la simple indication dans l’objet du courriel de la mention « privé », « personnel » ou « confidentiel ». L’employeur n’est alors pas autorisé à accéder aux courriels identifiés comme personnels sans l’autorisation du salarié. Pour cette raison, la CNPD7)Commission nationale pour la protection des données. recommande d’informer les salariés d’identifier clairement les courriels personnels.

Un arrêt marquant a été rendu à cet égard en 2015. Un salarié licencié avec dispense de travailler s’est vu refuser tout accès au lieu de travail, y compris aux e-mails professionnels. Cependant, sa boîte e-mail a été consultée par son employeur qui a notamment ouvert trois courriels. Le salarié a porté plainte devant les juridictions pénales.

Alors que le Tribunal d’arrondissement (TA) avait jugé8)TA, 20.03.2014, n° 905/2014. que l’action de l’employeur entrait dans le cadre de la nécessité d’assurer la continuité du travail du salarié licencié, la Cour d’appel9)CA, 28.04. 2015, n° 159/15. a décidé que l’employeur avait le droit d’ouvrir deux des trois courriels concernés, à savoir un premier sans intitulé et un deuxième intitulé « Privé – Drink Nouvel An ». Elle a jugé que le troisième courriel intitulé « Private confidential » ne devait pas être consulté. Toutefois, elle a rejeté la demande de réparation du préjudice moral, l’employé n’ayant pas réussi à l’établir.

L’utilisation d’Internet

La surveillance de l’utilisation d’Internet pendant les heures de travail est très délicate. Elle a fait l’objet d’une jurisprudence hétérogène.

En principe, la surveillance sur le lieu de travail nécessite une autorisation préalable de la CNPD. Une telle autorisation peut être délivrée uniquement si la surveillance poursuit des buts légitimes, à savoir ceux énumérés à l’article L.261-1 du Code du travail (CDT). Partant, une preuve justifiant le licenciement contesté, mais obtenue par le biais d’une surveillance non autorisée, et donc illégale, doit être écartée des débats par la juridiction saisie.

Dans une première affaire, une réceptionniste au service d’une société fut licenciée pour l’insuffisance professionnelle, ainsi que la violation des obligations contractuelles, par une utilisation massive d’un site de jeux en ligne.

Après une décision du tribunal du travail déclarant le licenciement abusif, l’employeur a obtenu gain de cause en appel10)CA, 12.11.2015, n° 41245; voir également Tribunal du Travail 01.04.2014, n° 952/2014.. Sur l’aspect de l’utilisation d’Internet pendant les heures de travail, la Cour d’appel a qualifié l’activité de l’employeur en l’espèce de surveillance occasionnelle qui, de ce fait, échappait au champ d’application de l’article 11 de la loi de 200211)Loi modifiée du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel, Mém. A, 91 du 13.08.2002 (Loi de 2002).. La preuve fournie par l’employeur était donc admissible, bien qu’obtenue sans autorisation, par la CNPD, de la surveillance des salariés.

Faire échapper pareille activité de l’employeur à la qualification de surveillance est néanmoins contestable. Premièrement, sous la Loi de 2002, toute utilisation de l’accès aux connections d’Internet qui n’est pas effectuée par le personnel assurant la gestion et la maintenance du système informatique et cela pour les besoins d’exécuter une tâche technique liée à la sécurité du système doit être qualifiée de surveillance.

Deuxièmement, il est surprenant que la Cour d’appel ait pu qualifier d’ « occasionnel » un contrôle relevant que la salariée licenciée « a utilisé au mois de mars 2012 le site ‘kapilhospital.com’ à raison de 51,4% de son temps de travail, soit en a fait un usage massif, plus précisément entre 9 heures et 15 heures 59 ».

Troisièmement, même si la CNPD autorise la surveillance, en principe, elle exige que l’employeur procède au préalable à une surveillance globale et non personnelle, avant  de surveiller un salarié en particulier. Ainsi, en premier lieu, la surveillance des salariés doit être effectuée à partir d’indicateurs généraux, inhérents à l’ordinateur et permettant d’établir la date, la fréquence et le volume d’utilisation d’Internet. Uniquement en cas d’indices d’une utilisation d’Internet préjudiciable pour l’entreprise une surveillance individualisée est possible.

La Cour d’appel a cependant limité la portée de l’article 11 de la Loi de 2002 et, partant, celle de l’article L. 261-1 CDT. Il n’y a pas eu cassation dans cette affaire. S’il peut donc s’agir d’un arrêt d’exception, rendu sur base de faits très spécifiques, il convient de saluer l’arrêt du 4 juillet 2016 de la Cour d’appel12)CA, 04.07.2016, n° 41114,., confirmant l’arrêt du Tribunal du travail qui a constaté le caractère abusif d’un licenciement avec effet immédiat dans l’hypothèse où l’employeur a notamment produit des captures d’écran effectuées à distance pour prouver l’utilisation non-autorisée d’Internet.

En l’espèce, pendant une période de dix jours, six captures d’écran d’ordinateur de l’employée en cause ont été prises par après-midi. La Cour d’appel a qualifié cette activité de traitement de données à caractère personnel au sens de la Loi de 2002. En outre, elle a relevé qu’il s’agit d’un traitement de données à caractère personnel à des fins de surveillance effectué par le biais d’un usage de moyens techniques pour détecter, notamment, des mouvements, des images, des écrits ou l’état d’une personne. Puisque cette surveillance n’entrait dans aucun des cas d’ouverture prévus par l’article L. 261-1 CDT, la Cour d’appel a confirmé la décision du Tribunal d’écarter ces preuves, car obtenues par voie illégale.

Perspectives

Il importe de savoir que l’encadrement normatif de la surveillance changera profondément. En effet, avec l’applicabilité, à partir du 25 mai 2018, du règlement général sur la protection des données13)Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, J.O.U.E., L119/1 du 04.05.2016., disparaîtra d’une part l’obligation générale de notification, telle que nous la connaissons aujourd’hui. D’autre part, l’autorisation préalable d’une mesure de surveillance ne sera plus nécessaire, à moins que le législateur luxembourgeois mette en place des mesures spécifiques à cet égard. Pour l’instant le projet de loi déposé dernièrement14)Voir le projet de loi 7184, déposé le 12.09.2017. ne prévoit pas une telle prérogative pour la CNPD. En tout cas, la suppression de ces obligations d’ordre administratif est assortie d’un renforcement des droits des personnes concernées, ce qui implique la mise en œuvre de procédures internes permettant leur sauvegarde. Les questions de la surveillance au travail restent donc d’actualité.

Legimag n°19 – octobre 2017 – Avis d’expert.

Références   [ + ]

1. CEDH, Bărbulescu c. Roumanie, 5 sept. 2017, n° 61496/08, ID LEGIWORK 26108.
2. CEDH, Halford c. Royaume-Uni, 25 juin 1997, Recueil des arrêts et décisions 1997 III.
3, 4. CEDH, Copland c. Royaume-Uni, 3 avril 2007, n° 62617/00.
5. Directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, J.O.U.E., L 281 du 23.11.1995.
6. Loi modifiée du 11 août 1982 concernant la protection de la vie privée, Mém. A, 86 du 12.10.1982.
7. Commission nationale pour la protection des données.
8. TA, 20.03.2014, n° 905/2014.
9. CA, 28.04. 2015, n° 159/15.
10. CA, 12.11.2015, n° 41245; voir également Tribunal du Travail 01.04.2014, n° 952/2014.
11. Loi modifiée du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel, Mém. A, 91 du 13.08.2002 (Loi de 2002).
12. CA, 04.07.2016, n° 41114,.
13. Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, J.O.U.E., L119/1 du 04.05.2016.
14. Voir le projet de loi 7184, déposé le 12.09.2017.

Laisser un commentaire

Vous devez être connecté pour ajouter un commentaire.

contribuer-aux-articles

Découvrez Casteganro TV

Partagez sur les réseaux sociaux


Recommander cette page à un ami

Annuler

Ajouter un favoris

Vous devez être membre pour ajouter un contenu à vos favoris.

Déjà membre ? Connectez-vous :

Pas encore inscrit ?

Créez votre compte