SURVEILLANCE DES COMMUNICATIONS INTERNET

SURVEILLANCE PAR L’EMPLOYEUR DES COMMUNICATIONS INTERNET DE SES SALARIES

 

Dans un arrêt du 12 janvier 2016, la Cour Européenne des Droits de l’Homme (CEDH) admet qu’un employeur puisse surveiller les mails envoyés par ses salariés pendant leur temps de travail depuis leur messagerie professionnelle, à condition que cette surveillance reste raisonnable.

(CDEH 12/01/2016, n°61496/08, affaire BARBULESCU ROUMANIE)

Les éléments ainsi recueillis pourront ainsi valablement être utilisés dans le cadre d’une procédure disciplinaire.

Cette décision, rendue à propos d’un salarié roumain, vient conforter la jurisprudence de la Cour de Cassation.

Dans cette affaire, l’employeur avait, pendant plus d’une semaine, surveillé l’ensemble des messages du compte « Yahoo Messenger » ouvert par le salarié, à l’origine afin de répondre aux demandes des clients. Or le salarié avait utilisé cette messagerie à des fins personnelles pendant les heures de travail, au mépris du règlement intérieur de l’entreprise. L’employeur avait prononcé un licenciement disciplinaire à son encontre. Pour contester cette décision, le salarié avait invoqué la violation du secret des correspondances, et la violation de l’article 8 de la Convention Européenne des droits de l’Homme devant la CEDH.

Sa requête a été rejetée, la CEDH estimant qu’ « il n’est pas abusif qu’un employeur souhaite vérifier que ses employés accomplissent leurs tâches professionnelles pendant les heures de travail. ». L’employeur s’était borné à établir un relevé des communications extraprofessionnelles, sans que le contenu des communications privées ou l’identité des destinataires ne soient dévoilés.

La CEDH en conclut que « les juridictions internes ont ménagé un juste équilibre entre le droit du requérant au respect de sa vie privée et de sa correspondance et les intérêts de son employeur ». Elle consacre le droit à la surveillance des communications internet des salariés, à condition que cette surveillance reste raisonnable. Un système de surveillance ne doit pas porter d’atteinte disproportionnée au droit au respect de la vie privée des salariés.

La jurisprudence de la Cour de Cassation est conforme à la position de la CEDH : elle considère que lorsque l’employeur met à la disposition du salarié une messagerie, à des fins professionnelles, il peut consulter librement, hors la présence du salarié, les courriels non identifiés comme personnels, puis se servir de leur contenu comme moyen de preuve d’un comportement fautif (Cass. Soc. 15 décembre 2010, n° 08-42486).

Tout ce qui n’est pas identifié comme « personnel » est réputé être professionnel de sorte que l’employeur peut y accéder librement.

La Cour de cassation considère qu’un message envoyé ou reçu depuis le poste de travail mis à disposition par l’employeur revêt un caractère professionnel, sauf s’il est identifié comme étant « personnel », dans l’objet du message par exemple (Cour de Cassation, 30 mai 2007).

Il appartient à l’employé d’identifier les messages qui sont personnels. À défaut d’une telle identification, les messages sont présumés être professionnels.

La nature personnelle d’un message peut figurer dans l’objet du message ou dans le nom du répertoire dans lequel il est stocké.

La CNIL recommande de porter à la connaissance des salariés (par exemple dans une charte) le principe retenu pour différencier les courriers électroniques professionnels et personnels (qualification par l’objet, création d’un répertoire spécifique dédié au contenu privé, etc.).

L’employeur est également libre de surveiller l’historique des connexions internet de ses salariés (Cass. Soc. 9 février 2010, n°08-45253).

En pratique, l’employeur peut fixer les conditions et limites de l’utilisation d’internet. Ces limites ne constituent pas, en soi, une atteinte à la vie privée des salariés.

Mais les salariés doivent être informés des dispositifs mis en place et des modalités de contrôle de l’utilisation d’internet. Ainsi, le cas échéant, le comité d’entreprise doit avoir été consulté et informé (article L2323-32 du code du travail) et les salariés doivent être informés individuellement, notamment de la finalité du dispositif de contrôle et de la durée pendant laquelle les données de connexion sont conservées. Une durée de conservation de l’ordre de six mois est suffisante, dans la plupart des cas, pour dissuader tout usage abusif d’internet.

Si des procédures disciplinaires sont susceptibles d’être engagées sur la base de ces fichiers, les salariés doivent en être explicitement informés (par exemple au moyen d’une Charte).

Enfin, si l’employeur met en place un dispositif de contrôle individuel des salariés destiné à produire un relevé des connexions ou des sites visités, poste par poste, le traitement ainsi mis en œuvre doit être déclaré à la CNIL (déclaration normale) sauf si un correspondant informatique et libertés a été désigné, auquel cas aucune déclaration n’est nécessaire.