Dans l’affaire Bărbulescu c/ Roumanie, n° 61496/08 du 5 septembre 2017 (AJDA 2017. 1639 ), la grande chambre de la Cour européenne des droits de l’homme a rendu une décision appelée à faire date.
À l’heure où la frontière entre la vie privée et professionnelle ne cesse d’évoluer et donc d’interroger, la Cour européenne des droits de l’homme renforce la protection de la vie privée du salarié sur son lieu de travail en décidant que la surveillance par l’employeur des communications électroniques de celui-ci emportait violation du droit au respect de la vie privée et de la correspondance.
En l’occurrence, un ingénieur chargé des ventes, salarié d’une société roumaine avait utilisé internet à des fins personnelles et avait adressé des courriels à son frère et à sa fiancée depuis une messagerie Yahoo Messenger que son employeur lui avait demandé de créer afin de répondre aux questions des clients de la société.
Le règlement intérieur de l’entreprise prohibait l’usage par les salariés des ressources informatiques de l’employeur à des fins personnelles, sans toutefois mentionner la possibilité de ce dernier de contrôler les communications de ses salariés. Entre le 3 et le 13 juillet 2007, le requérant avait signé une note par laquelle l’employeur informait les salariés de la possibilité de vérifier et de surveiller le travail des employés.
Entre le 5 et le 13 juillet 2007, l’employeur avait enregistré en temps réel les communications de l’ingénieur roumain sur Yahoo Messenger. C’est à l’issue de ce contrôle que l’employeur avait décidé de convoquer son salarié afin qu’il s’explique sur l’utilisation des ressources de la société pendant les heures de travail. Ayant protesté du caractère professionnel de l’utilisation de Yahoo Messenger, le salarié avait reçu une nouvelle convocation à laquelle étaient jointes quarante-cinq pages reproduisant le contenu de la correspondance échangée par le salarié avec son frère et sa fiancée.
Licencié le 1er août 2007, l’ingénieur roumain a vainement contesté son licenciement devant les juridictions roumaines, puis a saisi la Cour européenne des droits de l’homme d’une requête tendant à faire reconnaître que son licenciement reposait sur une violation à son égard du droit au respect de la vie privée et de la correspondance.
Une première décision rendue par la quatrième section de la Cour a conclu à l’absence d’atteinte à la vie privée du salarié, ce qui a conduit le requérant à saisir la grande chambre sur le fondement de l’article 43 de la Convention et 73 du règlement (CEDH 12 janv. 2016, n° 61496/08, Bărbulescu c/ Roumanie, Dalloz actualité, 29 janv. 2016, obs. M. Peyronnet ; Dr. soc. 2017. 355, étude G. Raimondi ; Dalloz IP/IT 2016. 211, obs. P. Adam ; CCE avr. 2016. Comm. 37, obs. E. A. Caprioli ; JCP n° 5, 1er févr. 2016, n° 124, par D. Corrignan-Carsin).
Dans ses observations devant la grande chambre, le requérant a notamment argué de l’absence de politique d’utilisation d’internet au sein de la société ainsi que de l’absence d’avertissement sur la possibilité que ses communications soient surveillées ou lues (§§ 83 et 86).
Le gouvernement roumain, quant à lui, après avoir contesté l’applicabilité de l’article 8 à des communications dont le caractère privé n’avait pas expressément été déclaré par le salarié (§ 65), a estimé que la décision de l’employeur d’accéder au contenu des communications du salarié était nécessaire. Celui-ci était tenu de vérifier les arguments avancés par le requérant dans le cadre de la procédure disciplinaire et vérifier qu’il avait respecté le règlement intérieur (§ 102).
La Cour européenne des droits de l’homme devait ainsi déterminer si les juridictions roumaines avaient ménagé un juste équilibre entre le droit du salarié à la protection de sa vie privée et de sa correspondance et celui de l’employeur d’organiser et de superviser le travail de ses salariés.
La Cour relève à titre liminaire la spécificité du droit du travail régi par une relation contractuelle entre les parties, à qui il revient de « déterminer une partie importante du contenu de leurs relations » (§ 118). La Cour souligne également « l’absence de consensus européen » sur le droit des salariés au respect de leur vie privée et de leur correspondance sur le lieu de travail (§ 118). En conséquence, elle considère que les États contractants bénéficient d’une certaine latitude dans la détermination de ce cadre juridique (§ 119).
Toutefois, cette marge d’appréciation n’est pas sans limites et la Cour identifie deux principes clés, la proportionnalité et les garanties procédurales contre l’arbitraire, à partir desquels elle dessine un cadre juridique composé de six facteurs à prendre en considération (§ 121) :
l’information de l’employé : la Cour précise que l’avertissement doit être à la fois « clair quant à la nature de la surveillance et préalable à la mise en place de celle-ci » ;
l’étendue de la surveillance : il convient de distinguer la surveillance des flux et le contrôle du contenu des communications, la surveillance de l’intégralité des communications ou d’une partie de celles-ci. Il importe également de tenir compte de la durée de la surveillance et du nombre de personnes ayant eu accès aux résultats ;
les motifs légitimes de l’employeur justifiant la surveillance : si le contrôle du contenu n’est pas prohibé par la Cour, il doit reposer sur des « justifications plus sérieuses » ;
le caractère adapté de la surveillance au regard de la finalité : la Cour précise qu’une analyse au cas par cas doit permettre de déterminer le point de savoir si le but poursuivi par l’employeur pouvait être atteint sans accès direct et intégral au contenu des communications ;
les conséquences de la surveillance pour l’employé : la Cour indique qu’il faut prendre en considération la manière dont les résultats de la surveillance ont été utilisés à l’égard de l’employé ;
les garanties offertes à l’employé : la Cour précise que ces garanties doivent permettre d’empêcher que l’employeur n’ait accès au contenu même des communications sans avertissement préalable de l’employé d’une telle éventualité.
En l’occurrence, la Cour européenne des droits de l’homme a décidé que les autorités internes n’avaient pas protégé de manière adéquate le droit du requérant au respect de sa vie privée et de sa correspondance : « les juridictions nationales ont manqué, d’une part, à vérifier, en particulier, si le requérant avait été préalablement averti par son employeur de la possibilité que ses communications sur Yahoo Messenger soient surveillées et, d’autre part, à tenir compte du fait qu’il n’avait été informé ni de la nature ni de l’étendue de la surveillance dont il avait fait l’objet, ainsi que du degré d’intrusion dans sa vie privée et sa correspondance. De surcroît, elles ont failli à déterminer, premièrement, quelles raisons concrètes avaient justifié la mise en place des mesures de surveillance, deuxièmement, si l’employeur aurait pu faire usage de mesures moins intrusives pour la vie privée et la correspondance du requérant et, troisièmement, si l’accès au contenu des communications avait été possible à son insu » (§ 140).
Il est intéressant d’observer que les facteurs choisis par la Cour européenne ne sont pas nouveaux, mais s’inspirent des principes de la directive 95/46/CE du 24 octobre 1995, repris dans le règlement général sur la protection des données à caractère personnel (RGPD), qui décline les règles relatives aux traitements des données à caractère personnel : loyauté, transparence licéité de la collecte des données, minimisation des données, limitation des finalités, confidentialité des données, etc. (RGPD, art. 5).
Ce rapprochement n’est pas anodin. La Cour voit en effet la protection du droit à la vie privée à travers un prisme large, en considérant que toutes les communications du salarié sur son lieu de travail sont potentiellement des communications à caractère privé incluant des données à caractère personnel et donc couvertes, à ce titre, par l’article 8 de la Convention européenne des droits de l’homme.
Ce faisant, l’arrêt commenté renoue avec les arrêts Niemietz (CEDH 16 déc. 1992, n° 13710/88, Niemietz c/ Allemagne, AJDA 1993. 105, chron. J.-F. Flauss ; D. 1993. 386 , obs. J.-F. Renucci ; RFDA 1993. 963, chron. V. Berger, C. Giakoumopoulos, H. Labayle et F. Sudre ) et Copland (CEDH 3 juill. 2007, n° 62617/00, Copland c/ Royaume-Uni, not. § 41) qui retenaient une conception extensive du droit à la vie privée et dont le premier arrêt Bărbulescu s’était éloigné.
La présente décision renforce ainsi la protection des communications électroniques passées par un salarié sur son lieu de travail, depuis un outil mis à sa disposition par l’employeur et ce, sur le fondement classique et non contestable de la protection d’un droit fondamental, le droit à la protection de la vie privée et de la correspondance, consacré par l’article 8 de la Convention européenne des droits de l’homme.
Cette affirmation étant posée, on ne peut toutefois résister à revenir sur les faits. En l’occurrence, l’employeur a imprimé quarante-cinq pages de retranscription de correspondances échangées par le salarié avec deux membres de sa famille, qui sont le fruit d’une surveillance n’ayant a priori pas excédé neuf jours. Ces chiffres laissent songeur quant au temps consacré par le salarié à cette activité privée pendant le temps du travail et la perte de productivité corrélative.
Faut-il ainsi déduire de la décision commentée que la Cour laisse le champ libre au salarié pour user à des fins personnelles des outils informatiques mis à sa disposition ? La solution de l’arrêt tient en réalité beaucoup à deux faits propres à l’espèce : d’une part, l’absence d’information préalable et claire du salarié de l’existence de la surveillance et de sa nature – si cela avait été le cas, le salarié aurait été mis en mesure d’adapter son comportement – et, d’autre part, à l’accès par l’employeur au contenu même des communications, le caractère intrusif de cet acte étant patent.
Abstraction faite du défaut d’information du salarié qui aurait également été sanctionné, il demeure que si l’on avait appliqué la jurisprudence française à l’affaire, les juges français auraient vraisemblablement pu considérer que les emails, en l’absence de la mention « personnel », avaient un caractère professionnel, ce qui garantissait à l’employeur un accès licite à ceux-ci.
L’usage d’internet par les salariés sur le lieu de travail grâce aux outils mis à leur disposition par l’employeur a fait l’objet en France d’un contentieux abondant, marqué par l’arrêt Nikon, tout d’abord, qui consacre un droit à la vie privée et au secret des correspondances sur le lieu de travail et ce, même dans le cas où l’employeur aurait interdit l’usage non professionnel de l’outil informatique, dès lors que les messages ont été identifiés comme « personnels » (Soc. 2 oct. 2001, n° 99-42.942, D. 2001. 3148, et les obs. , note P.-Y. Gautier ; ibid. 3286, interview P. Langlois ; ibid. 2002. 2296, obs. C. Caron ; Dr. soc. 2001. 915, note J.-E. Ray ; ibid. 2002. 84, étude A. Mole ; RTD civ. 2002. 72, obs. J. Hauser ; JCP E 2001. 1918, note C. Puigelier ; JCP 2002. I. 102, note M. Bourrie-Quenillet et F. Rodhain).
La Cour de cassation a par la suite entériné à plusieurs reprises la distinction entre les messages identifiés comme « personnels » et ceux qui ne le sont pas, ces derniers étant alors présumés avoir un caractère professionnel : « les courriels adressés par le salarié à l’aide de l’outil informatique mis à sa disposition par l’employeur pour les besoins de son travail sont présumés avoir un caractère professionnel en sorte que l’employeur est en droit de les ouvrir hors la présence de l’intéressé, sauf si le salarié les identifie comme étant personnels » (Soc. 15 déc. 2010, n° 08-42.486. V. aussi, Soc. 2 févr. 2011, n° 09-72.313 et s’agissant de SMS, Com. 10 févr. 2015, n° 13-14.779, D. 2015. 959 , note J. Lasserre Capdeville ; ibid. 2016. 167, obs. J.-D. Bretzner et A. Aynès ; Just. & cass. 2017. 143, avis P. Mollard ; ibid. 153, avis R. Weissmann ; RDT 2015. 191, obs. P. Adam ; D. avocats 2015. 158, Observation F. Taquet ).
À la différence des juridictions françaises, la Cour européenne des droits de l’homme n’opère pas de distinction entre les emails qui porteraient une mention « personnel » et les autres.
Ainsi, à la lumière de la décision Bărbulescu, on assisterait à un renversement de la présomption qui consistait à considérer que tout email non marqué de la mention « personnel » revêtait un caractère professionnel. Toutes les communications, qu’elles soient déclarées personnelles ou non, doivent être passées au crible de la grille d’analyse posée par la Cour. En d’autres termes, toutes les communications entrent dans le champ de l’article 8 de la Convention européenne des droits de l’homme, contrairement à la position jurisprudentielle française qui considérait que seules les communications intitulées « personnel » bénéficiaient de cette protection.
À contre-courant de la position française, la solution repose sur l’analyse de six facteurs, invitant à examiner de manière approfondie les circonstances entourant la surveillance des salariés : les raisons, objectifs, moyens et effets de celle-ci. Si elle présente le mérite de favoriser une appréciation plus fine de chaque cas d’espèce, la Cour impose aussi à l’employeur qui met en œuvre un dispositif de surveillance, des exigences plus fortes, emportant des incidences concrètes.
À tout le moins, la décision implique pour les entreprises, d’une part, une relecture des règlements intérieurs et des chartes informatiques d’entreprise afin de vérifier la conformité de ces documents aux critères posés par la décision commentée et, d’autre part, la révision des procédures internes en matière d’accès aux communications électroniques des salariés.
Il s’agit donc d’un arrêt de principe qui aura un impact significatif sur les relations entre les salariés et leurs employeurs, susceptible même d’influer sur la capacité de ces derniers à mettre en place des dispositifs efficaces de lutte contre la fraude interne, la concurrence déloyale ou bien encore une politique de compliance efficiente. À notre sens, il y aura par conséquent, un avant et un après l’arrêt Bărbulescu c/ Roumanie.