Communications électroniques des salariés : quels critères de surveillance raisonnables ?

La possibilité pour l’employeur de surveiller et contrôler l’activité de son personnel, notamment dans le cadre des communications électroniques, constitue une question d’autant plus sensible qu’elle nécessite de trouver le juste équilibre entre d’une part, la protection des intérêts légitimes de l’entreprise, et d’une part, la préservation des droits et libertés fondamentales de la personne.

Dans une importante décision du 5 septembre 2017 (Barbulescu c. Roumanie, n° 61496/08), la Cour Européenne des Droits de l’Homme apporte un éclairage essentiel sur la marge de manœuvre dont disposent en la matière les autorités nationales soumises à la CEDH, et donc au final les entreprises.

On peut résumer les choses ainsi : surveiller n’est pas espionner ; seule la surveillance raisonnable des communications est admise.

1°) L’affaire : un accès total au contenu de la messagerie professionnelle, jugé excessif  au regard de la vie privée

Tout d’abord, l’affaire mérite d’être recontextuée, pour comprendre notamment les incidences possibles en France. Les faits concernent la Roumanie : un ingénieur a été licencié pour un motif tiré de l’utilisation à des fins personnelles d’un compte de messagerie instantanée (Yahoo Messenger) qu’il avait ouvert à la demande de son employeur pour répondre aux demandes de clients.

Il lui était reproché d’avoir utilisé son outil de travail pour communiquer avec ses proches via internet, en violation du règlement intérieur de l’entreprise de l’entreprise qui interdisait strictement aux employés d’utiliser les ordinateurs et les ressources de l’entreprise à des fins personnelles.

Pour étayer la preuve d’une faute professionnelle, l’employeur avait enregistré en temps réel les communications, et pris connaissance non seulement de l’existence de messages intimes échangés avec son frère et sa fiancée, mais également de leur contenu, dont il avait imprimé une retranscription exhaustive sur une période de 8 jours.

Au terme d’une longue procédure judiciaire, le salarié obtient finalement la reconnaissance par la Grande chambre de la Cour européenne des droits de l’homme d’une violation par les juridictions roumaines de l’article 8 de la CEDH relative au droit à la protection de la vie privée et familiale, du domicile et de la correspondance.

2°) Conséquences de la décision pour les entreprises en matière de sécurité informatique et de lutte contre la fraude

Cette décision de Grande chambre est importante.

D’une part, parce qu’il s’agit de la première décision de la Cour européenne relative à la question de la surveillance des communications électroniques dans une entreprise de droit privé. C’est également un revirement par rapport à sa précédente décision du 12 janvier 2016 dans la même affaire.

D’autre part, au regard des critères qu’elle pose pour apprécier si une mesure de surveillance des communications est proportionnée au but poursuivi et offre des garanties adéquates contre l’arbitraire.
De manière préliminaire, il faut préciser que la possibilité pour l’employeur d’organiser une surveillance des communications du personnel, et de prononcer une sanction disciplinaire en cas d’utilisation interdite des ressources de l’entreprise, est bien réaffirmée.

Une fois dit cela, l’arrêt postule que l’employeur ne peut au travers de consignes ou d’instructions (type règlement intérieur), réduire à néant l’exercice de la vie privée sur le lieu de travail. Cela rejoint la jurisprudence française, qui considère depuis 2001 : « Vu l'article 8 de la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, l'article 9 du Code civil, l'article 9 du nouveau Code de procédure civile et l'article L. 120-2 du Code du travail ; Attendu que le salarié a droit, même au temps et au lieu de travail, au respect de l'intimité de sa vie privée ; que celle-ci implique en particulier le secret des correspondances ; que l'employeur ne peut dès lors sans violation de cette liberté fondamentale prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail et ceci même au cas où l'employeur aurait interdit une utilisation non professionnelle de l'ordinateur » (Cass. Soc. 2 octobre 21001, n° 42942).

L’arrêt de la Cour européenne retient ici une conception très large de la notion de « vie privée » et de « correspondance », appliquée à la sphère professionnelle.

En particulier, elle n’exige à aucun moment que des correspondances soient identifiées par le travailleur comme ayant un caractère « personnel » pour relever du droit à la protection de la vie privée et des correspondances. Cela constitue un net point de divergence avec la jurisprudence française, qui considère que « les courriers adressés par le salarié à l'aide de l'outil informatique mis à sa disposition par l'employeur pour les besoins de son travail sont présumés avoir un caractère professionnel en sorte que l'employeur est en droit de les ouvrir hors la présence de l'intéressé, sauf si le salarié les identifie comme étant personnels » (Cass. Soc. 15 décembre 2010, n° 42486).

Cette ligne de partage entre messages « personnels » et ceux présumés à caractère professionnel pourrait évoluer, d’autant que dans l’affaire soumise à la Cour, la messagerie instantanée n’offrait aucune solution technique permettant au salarié d’intégrer une telle mention dans ses messages.

Dans un contexte de technologies fortement évolutif, la portée de cette décision est toutefois beaucoup plus générale, et non liée à un outil de communication en particulier.

Les autorités et juridictions nationales, y compris françaises, devront ainsi veiller à respecter le cadre d’analyse suivant :

1.  L’obligation d’information préalable : l’employé a-t-il été informé de la possibilité que l’employeur prenne des mesures de surveillance de sa correspondance et de ses autres communications ainsi que de la mise en place de telles mesures ? L’avertissement doit en principe être clair quant à la nature de la surveillance et préalable à la mise en place de celle-ci.
   
   
2. La portée de la surveillance : quels ont été l’étendue de la surveillance opérée par l’employeur et le degré d’intrusion dans la vie privée de l’employé ? Une distinction doit être faite entre la surveillance du flux des communications et celle de leur contenu. Cette étendue s’apprécie également au regard du point de savoir si la surveillance des communications a porté sur leur intégralité ou seulement sur une partie d’entre elles ; si elle a ou non été limitée dans le temps ; du nombre de personnes ayant eu accès à ses résultats et des limites spatiales de la surveillance.
   
   
3. Le principe de justification : l’employeur a-t-il avancé des motifs légitimes pour justifier la surveillance de ces communications et l’accès à leur contenu même ? Selon une approche graduée, la surveillance du contenu des communications est jugée plus invasive ; elle n’est pas en soi interdite, mais requiert alors des justifications plus sérieuses.
   
   
4. Le principe de limitation : aurait-il été possible de mettre en place un système de surveillance reposant sur des moyens et des mesures moins intrusifs que l’accès direct au contenu des communications de l’employé ? En matière de risque, cela rappelle le principe ALARA (as low as reasonably achievable). C’est une question de casuistique où le point de savoir si le but poursuivi pouvait être atteint sans que l’employeur n’ait besoin d’accéder directement et en intégralité au contenu des communications de l’employé sera apprécié en fonction des circonstances.
   
   
5. Le principe de proportionnalité : il faut ici s’interroger sur les conséquences de la surveillance pour l’employé, la manière selon laquelle l’employeur a utilisé les résultats pour atteindre la finalité déclarée, le caractère adéquat des garanties offertes notamment lorsque les mesures de surveillance avaient un caractère intrusif (cela rejoint le droit à l’information : ces garanties doivent notamment permettre d’empêcher que l’employeur n’ait accès au contenu même des communications en cause sans que l’employé n’ait été préalablement averti d’une telle éventualité).

Ces principes recoupent ceux applicables en droit national français qu’il s’agisse du Code du travail ou de la loi « informatique et libertés », et mis en œuvre par la jurisprudence (qui se montre ainsi protectrice du salarié lorsqu’il s’agit d’utiliser des preuves tirées de sa vie privée, par exemple en matière disciplinaire).

On assiste ici à une exigence d’information pas simplement formelle, mais surtout qualitative, pour assurer l’effectivité du droit à la vie privée. L’atteinte portée doit être prévisible à l’avance pour le salarié, afin que celui-ci puisse adopter le comportement adéquat au regard des attentes de l’employeur (l’arrêt rappelle notamment l’exigence de transparence et de confiance mutuelle).

Le respect de ces conditions cumulatives est indispensable pour que la surveillance soit jugée raisonnable et compatible avec la protection de l’article 8 de la CEDH.

Partant de là, les entreprises doivent s’interroger et passer en revue leur politique de régulation de l’usage des communications non professionnelles (électroniques ou autres) par leurs employés sur leur lieu de travail.

Le cas échéant, une procédure de modification du règlement intérieur ou de la charte informatique méritera d’être mise en œuvre pour assurer la conformité du dispositif avec ce cahier des charges, et éviter ainsi la remise en cause a posteriori de mesures disciplinaires prises sur leur fondement.