CEDH : la protection réaffirmée de la vie privée du salarié sur internet

On a craint à l’occasion d’une décision du 12 janvier 2016 (CEDH 12 janv. 2016, Barbulescu c. Roumanie, n° 61496/08, Dalloz actualité, 29 janv. 2016, obs. M. Peyronnet ; Dr. soc. 2017. 355, étude G. Raimondi ; Dalloz IP/IT 2016. 211, obs. P. Adam ; JCP 2016. 124, obs. D. Corrignan-Carsin) que la Cour européenne des droits de l’homme (CEDH) ait décidé de sacrifier la vie privée des salariés sur l’autel de l’intérêt des entreprises et que la porosité entre les sphères privées et professionnelles ne soit admise qu’en dehors du temps de travail, donnant ainsi tout loisir aux employeurs de vérifier sans aucune retenue qu’au travail, les salariés travaillent.

Dans cette affaire, un salarié roumain a été licencié par son employeur pour avoir utilisé l’ordinateur et le réseau internet de son entreprise à des fins personnelles pendant ses heures de travail, alors que le règlement intérieur prohibe une telle utilisation. L’employeur avait surveillé, à l’aide d’un logiciel espion, pendant huit jours, les communications du salarié sur un compte Yahoo Messenger ouvert à la demande de l’employeur afin de répondre aux demandes de renseignements des clients, ainsi que les conversations tenues via son compte Yahoo Messenger personnel. Les enregistrements produits durant les procédures devant les juridictions roumaines montraient que le salarié avait échangé des messages de nature strictement privée, voire intime, avec son frère et sa fiancée.

Alors que la chambre saisie de l’affaire avait estimé, le 12 janvier 2016, à 6 voix contre 1, que « rien n’indiquait que les autorités internes avaient failli à ménager un juste équilibre, dans les limites de leur marge d’appréciation, entre le droit du requérant au respect de sa vie privée protégé par l’article 8 et les intérêts de son employeur », la grande chambre vient de statuer, à notre grand soulagement, en sens inverse.

Elle estime en effet, après avoir rappelé que les discussions par messagerie instantanée entrent bien dans le champ de la correspondance et peuvent donc être protégées au titre de l’article 8 de la Convention européenne des droits de l’homme et qu’il s’agit en l’espèce de contrôler le respect par l’État roumain de ses obligations positives de garantir le respect (par l’employeur privé ici) de ce même article, que les « juridictions nationales ont manqué, d’une part, à vérifier, en particulier, si le requérant avait été préalablement averti par son employeur de la possibilité que ses communications sur Yahoo Messenger soient surveillées et, d’autre part, à tenir compte du fait qu’il n’avait été informé ni de la nature ni de l’étendue de la surveillance dont il avait fait l’objet, ainsi que du degré d’intrusion dans sa vie privée et sa correspondance. De surcroît, elles ont failli à déterminer, premièrement, quelles raisons concrètes avaient justifié la mise en place des mesures de surveillance, deuxièmement, si l’employeur aurait pu faire usage de mesures moins intrusives pour la vie privée et la correspondance du requérant et, troisièmement, si l’accès au contenu des communications avait été possible à son insu ».

La CEDH donne dans sa décision une grille d’évaluation – qu’il nous semble utile de communiquer – de la proportionnalité et de la justification des mesures de surveillance du salarié sur internet prises par l’employeur (§121) :

• i) L’employé a-t-il été informé de la possibilité que l’employeur prenne des mesures de surveillance de sa correspondance et de ses autres communications ainsi que de la mise en place de telles mesures ? Cet avertissement était-il clair quant à la nature de la surveillance et préalable à la mise en place de celle-ci ?
• ii) Quels ont été l’étendue de la surveillance opérée par l’employeur et le degré d’intrusion dans la vie privée de l’employé ? À cet égard, une distinction doit être faite entre la surveillance du flux des communications et celle de leur contenu. Il faut également prendre en compte les questions de savoir si la surveillance des communications a porté sur leur intégralité ou seulement sur une partie d’entre elles et si elle a ou non été limitée dans le temps ainsi que le nombre de personnes ayant eu accès à ses résultats (v., en ce sens, 5 oct. 2010, Köpke c. Allemagne, n° 420/07).
• iii) L’employeur a-t-il avancé des motifs légitimes pour justifier la surveillance de ces communications et l’accès à leur contenu même (v. § 38, 43 et 45 de la décision) ? La surveillance du contenu des communications étant par sa nature une méthode nettement plus invasive, elle requiert des justifications plus sérieuses.
• iv) Aurait-il été possible de mettre en place un système de surveillance reposant sur des moyens et des mesures moins intrusives que l’accès direct au contenu des communications de l’employé ?
• v) Quelles ont été les conséquences de la surveillance pour l’employé qui en a fait l’objet (v., mutatis mutandis, le critère similaire appliqué pour l’examen de la proportionnalité d’une ingérence dans l’exercice de la liberté d’expression protégée par l’article 10 de la Convention européenne dans CEDH, gr. ch., 7 févr. 2012, n° 39954/08, Axel Springer AG c. Allemagne, § 95, Constitutions 2012. 645, obs. D. de Bellescize ; RTD civ. 2012. 279, obs. J.-P. Marguénaud ) ? De quelle manière l’employeur a-t-il utilisé les résultats de la mesure de surveillance, notamment, ces résultats ont-ils été utilisés pour atteindre le but déclaré de la mesure (v., en ce sens, Köpke, décis. préc.) ?
• vi) L’employé s’est-il vu offrir des garanties adéquates, notamment lorsque les mesures de surveillance de l’employeur avaient un caractère intrusif ? Ces garanties doivent notamment permettre d’empêcher que l’employeur ait accès au contenu même des communications en cause sans que l’employé ait été préalablement averti d’une telle éventualité.

De telles précautions devraient permettre de limiter l’utilisation des logiciels espions au sein des entreprises. Ce qui est heureux car de tels logiciels permettent l’accès à des informations personnelles mais également confidentielles du salarié qui vont bien au-delà du simple respect de la vie privée et constitueraient – entre de mauvaises mains – des failles de sécurité importantes : identifiants et mots de passe de comptes bancaires, d’organismes de sécurité sociale, des impôts, des e-mails personnels, etc. Il serait donc logique que le recours à de tels logiciels ne puisse se faire pour contrôler le travail d’un salarié en l’absence de préjudice pour l’entreprise.

La CEDH renoue donc avec ses décisions antérieures à l’occasion desquelles elle avait pu considérer que « les appels téléphoniques émanant de locaux professionnels sont a priori compris dans les notions de "vie privée" et de "correspondance" au sens de l’article 8, § 1. Il s’ensuit logiquement que les messages électroniques envoyés depuis le lieu de travail doivent jouir de la même protection au titre de l’article 8, tout comme les éléments recueillis au moyen d’une surveillance de l’usage qu’une personne fait de l’internet » (v. CEDH 3 avr. 2007, Copland c. Royaume-Uni, § 41, JCP 2007. I. 182, n° 7, obs. F. Sudre ; RTDH 2009. 779 s., obs. F. Kefer et S. Cornelis), et qu’en l’absence d’avertissement que ses appels risquaient d’être surveillés, la requérante pouvait raisonnablement croire au caractère privé des appels passés depuis son téléphone professionnel (v. CEDH 25 juin 1997, Halford c. Royaume-Uni, § 45, Rec. CEDH p. 1997-III). Il en va de même pour ses messages électroniques et ses connexions à des sites internet (Copland, préc. § 42).

Quoi qu’il en soit, la jurisprudence de la chambre sociale de la Cour de cassation ne devrait pas être bouleversée par cette décision. Elle qui considère depuis 2001 que « l’employeur ne peut, sans violer la liberté fondamentale du respect de l’intimité de la vie privée du salarié, prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail, et ceci même au cas où l’utilisation non professionnelle de l’ordinateur aurait été interdite » (Soc. 2 oct. 2001, n° 99-42.942, D. 2001. 3148, et les obs. , note P.-Y. Gautier ; ibid. 3286, interview P. Langlois ; ibid. 2002. 2296, obs. C. Caron ; Dr. soc. 2001. 915, note J.-E. Ray ; ibid. 2002. 84, étude A. Mole ; RTD civ. 2002. 72, obs. J. Hauser ; JCP E 2001. 1918, note Puigelier ; RJS 2001. 948, n° 1394 ; CSB 2001. A. 40, obs. Jez ; JS Lamy 2001, n° 88-2 ; Sem. soc. Lamy 2001, n° 1045, p. 6, concl. Kehrig). Mais elle le sera peut-être davantage lorsque la CEDH statuera sur la requête pendante introduite contre l’État français (Liberty c. France) concernant l’accès par l’employeur, sans information préalable et en l’absence du salarié, aux dossiers qui se trouvaient sur l’ordinateur professionnel du salarié dans le disque dur par défaut qui avait été renommé par le salarié « D://Données personnelles ».

Alors que les cinq ordonnances du gouvernement Philippe s’apprêtent à souffler sur les salariés français un vent de précarité, il est rassurant de voir que la Cour européenne des droits de l’homme n’a pas mis un coup d’arrêt au « mouvement actuel qui fait de la Convention des droits de l’homme l’instrument privilégié de la promotion des droits sociaux » (B. Ancel, Big Brother au bureau : impératif sécuritaire ou crépuscule du droit à la vie privée ?, RDT 2017. 219 ; M. Benlolo-Carabot, Les droits sociaux dans l’ordre juridique de l’Union européenne, Rev. dr. homme 1. 2012).