Une vue du bâtiment de la Cour européenne des droits de l’homme à Strasbourg,

conçu par l’architecte Richard Rogers.

En quelques années, le développement des moyens électroniques, non seulement dans les entreprises, mais aussi dans la vie quotidienne des citoyens, a connu une évolution exponentielle. Ce qui a posé un grand nombre de questions juridiques quant à l’utilisation de ces instruments, le cadre législatif n’arrivant à suivre cette évolution qu’avec un très sérieux retard. Dans l’enseignement, les établissements, souvent faute de moyens suffisants, ont subi plus qu’anticipé l’arrivée des ordinateurs, des téléphones portables ou des réseaux sociaux.

Un arrêt récent de la Cour européenne des droits de l’homme éclaire d’un jour nouveau la délicate question de l’usage des ordinateurs dans les entreprises durant le temps de travail. On pourrait à première vue penser qu’il ne concerne guère le domaine de l’éducation. Songeons pourtant aux enseignants qui utilisent du matériel informatique durant leurs cours (ou un appareil disponible en salle des professeurs, par exemple), mais surtout aux membres du personnel pour qui cet usage est permanent : secrétaires de direction, éducateurs économes, commis dactylo ou personnes chargées de tâches de secrétariat.

Les faits

Monsieur B. est employé du 1^er août 2004 au 6 août 2007 au bureau de Bucarest d’une société commerciale roumaine de droit privé comme ingénieur chargé des ventes. À la demande de son employeur, il crée, pour répondre aux questions des clients, un compte de messagerie instantanée Yahoo Messenger (service de messagerie en ligne offrant une transmission de texte en temps réel sur Internet). Il a déjà un autre compte Yahoo Messenger personnel.

Le règlement intérieur de l’entreprise interdit l’usage à titre privé par les employés des ressources de l’employeur en ces termes : « Il est strictement interdit de troubler l’ordre et la discipline dans les locaux de l’entreprise, et en particulier (…) d’utiliser les ordinateurs, les photocopieurs, les téléphones, les téléscripteurs ou les télécopieurs à des fins personnelles ». Ce règlement ne comporte par ailleurs aucune mention relative à la possibilité pour l’employeur de surveiller les communications de ses employés. Monsieur B. est informé de ce règlement intérieur et, après avoir pris connaissance de son contenu, le signe.

Le 3 juillet 2007, la société distribue à tous les employés une note d’information dans laquelle il est notamment précisé : « Le temps passé dans l’entreprise doit être du temps de qualité pour tout le monde ! Venez au travail pour vous occuper des problèmes de l’entreprise, des problèmes professionnels, et pas de problèmes privés ! Ne passez pas votre temps à occuper les lignes d’Internet, le téléphone ou le télécopieur avec des questions qui ne concernent ni le travail ni vos tâches (…) L’employeur se voit dans l’obligation de vérifier et de surveiller le travail des employés et de prendre des mesures de sanction envers les personnes en faute ! Lisez attentivement la convention collective, le règlement interne de l’entreprise, le descriptif de votre poste et le contrat de travail que vous avez signé ! » Monsieur B. prend également connaissance de cette note et la signe.

Du 5 au 13 juillet 2007, l’employeur enregistre en temps réel les communications de Monsieur B. sur Yahoo Messenger puis le convoque en l’informant que celles-ci avaient été surveillées et qu’un certain nombre d’éléments indiquaient qu’il avait utilisé Internet à des fins personnelles, contrairement au règlement intérieur. À ce stade, on ne lui indique pas si la surveillance de ses communications a également visé leur contenu.

Monsieur B. répond immédiatement par écrit qu’il n’avait utilisé Yahoo Messenger qu’à des fins professionnelles. Le même jour, l’employeur le convoque une seconde fois en précisant : « Expliquez pourquoi toute la correspondance que vous avez échangée entre le 5 et le 12 juillet 2007 en utilisant l’identifiant du site Internet de [la société] poursuit des buts privés, comme le démontrent les 45 pages ci-jointes. » Ces pages sont la transcription de communications que le requérant avait eues avec son frère et sa fiancée pendant la période où il avait été surveillé ; ces communications portaient sur des questions privées et certaines avaient un caractère intime. La transcription comporte également cinq messages que Monsieur B. avait échangés avec sa fiancée depuis son compte Yahoo Messenger personnel.

Toujours le 13 juillet, Monsieur B. informe par écrit son employeur qu’il l’estime responsable d’une violation du secret de la correspondance.

Le 1^er août 2007, l’employeur met fin au contrat de travail du requérant.

Monsieur B. conteste la décision de licenciement devant le tribunal départemental de Bucarest. Il soutient que la décision de licenciement est illégale et qu’en surveillant ses communications et en accédant à leur contenu, son employeur a enfreint la loi pénale. Le 7 décembre 2007, le tribunal départemental rejette l’action de Monsieur B. et confirme la décision de licenciement. Il estime que, dès lors que l’employé a affirmé dans le cadre de l’enquête disciplinaire ne pas avoir utilisé Yahoo Messenger à des fins personnelles, la vérification de la teneur des communications était le seul moyen pour l’employeur de vérifier la validité de ses arguments.

Il rappelle que « l’accès à Internet sur le lieu de travail est avant tout un outil mis à la disposition de l’employé par l’employeur à des fins d’utilisation professionnelle et il est incontestable que l’employeur, en vertu de son droit de contrôler les activités de ses employés, a pour prérogative de contrôler l’usage personnel fait d’Internet. Ces vérifications de la part de l’employeur sont notamment rendues nécessaires par le risque que, par l’usage qu’ils font d’Internet, les employés n’endommagent les systèmes informatiques de l’entreprise, ne se livrent à des activités illicites dans l’espace virtuel engageant la responsabilité de l’entreprise, ou ne révèlent des secrets industriels de l’entreprise ».

Monsieur B. conteste ce jugement devant la Cour d’appel de Bucarest qui rejette ce recours par un arrêt du 17 juin 2008.

Entre-temps, il dépose une plainte pénale contre les représentants légaux de la société pour violation du secret de la correspondance. Le 9 mai 2012, la direction des enquêtes sur la criminalité organisée et le terrorisme du parquet près la Haute Cour de cassation et de justice roumaine rend une décision de non‑lieu, au motif que l’entreprise était la propriétaire du système informatique et de la connexion Internet et qu’elle pouvait dès lors contrôler le trafic Internet de ses employés et utiliser les informations stockées sur le serveur. Compte tenu de l’interdiction d’utiliser à des fins personnelles les systèmes informatiques, la surveillance était, à son avis, prévisible.

Monsieur B. n’utilise pas la possibilité légale de contester la décision du parquet devant les juridictions roumaines, mais introduit le 15 décembre 2008 auprès de la Cour européenne des droits de l’homme une requête dirigée contre la Roumanie sur base de la Convention européenne de sauvegarde des droits de l’homme. Il soutient que la décision de son employeur de mettre fin à son contrat de travail repose sur une violation du droit au respect de la vie privée et de la correspondance garanti par l’article 8 de la Convention et que les juridictions internes roumaines ont manqué à leur obligation de protéger ce droit. Cet article précise : « Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance. Il ne peut y avoir ingérence d’une autorité publique dans l’exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu’elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l’ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d’autrui ».

Le 12 janvier 2016, la Cour européenne conclut à la non-violation de l’article 8 de la Convention. Monsieur B. demande alors le renvoi de l’affaire devant la Grande Chambre de la Cour européenne qui en est l’instance d’appel et dont l’audience a lieu à Strasbourg le 30 novembre 2016.

L’arrêt de la Grande Chambre de la Cour européenne

Dans sa requête, Monsieur B. attaque à nouveau non plus son employeur, mais l’État roumain dont les juridictions ont manqué à leur obligation de protéger la vie privée conformément à l’article 8 de la Convention européenne des droits de l’homme.

Dans son long arrêt très détaillé [1], la Grande Chambre examine successivement les dispositions légales en la matière dans le droit interne roumain, dans le droit international, dans les normes des Nations unies et dans celles du Conseil de l’Europe. Elle est « d’avis qu’il ressort clairement du dossier que le requérant avait bien été informé de l’interdiction d’utiliser Internet à des fins personnelles posée par le règlement intérieur de son employeur. Toutefois, il n’est pas aussi clair qu’il ait été informé que ses communications étaient surveillées avant que l’activité de surveillance ne soit mise en place […] Quoi qu’il en soit, il n’apparaît pas que le requérant ait été informé à l’avance de l’étendue et de la nature de la surveillance opérée par son employeur ni de la possibilité que celui-ci ait accès à la teneur même de ses communications ».

Elle détermine les sept critères permettant d’apprécier la légalité d’un tel système de surveillance :

– information du salarié préalable et claire quant à la nature du système ;

– étendue de la surveillance opérée et degré d’intrusion dans la vie privée ;

– motifs légitimes justifiant la surveillance ;

– possibilité de mettre en place un système moins intrusif ;

– conséquences de la surveillance pour le salarié qui en a fait l’objet ;

– garanties adéquates offertes au salarié ;

– accès du salarié à une possibilité de recours en justice.

La Cour ajoute que les instructions d’un employeur ne peuvent pas réduire à néant l’exercice de la vie privée sociale sur le lieu de travail et que la décision répond aux préoccupations des citoyens « à l’heure où tout le monde est connecté et où la séparation entre vie privée et professionnelle devient de plus en plus ténue. »

La Cour estime donc que les autorités internes n’ont pas protégé de manière adéquate le droit du requérant au respect de sa vie privée et de sa correspondance et que, dès lors, elles n’ont pas ménagé un juste équilibre entre les intérêts en jeu. Partant, il y a eu violation de l’article 8 de la Convention européenne.

Si elle donne raison à Monsieur B., elle ne lui accorde cependant pas d’indemnisation, car « le constat de violation constitue en soi une satisfaction équitable suffisante pour le préjudice moral subi par M. B. »

Conclusion

La question du contrôle de l’utilisation par les travailleurs du matériel informatique mis à leur disposition par l’employeur est délicate. En Belgique, pour clarifier la manière dont ce contrôle peut être effectué, les organisations représentatives des employeurs et des travailleurs ont conclu la « Convention collective de travail n°81 du 26 avril 2002 relative à la protection de la vie privée des travailleurs à l’égard du contrôle des données de communication électroniques en réseau » qui dispose, entre autres, dans son article 3 :

« Les organisations signataires affirment les principes suivants :

– Les travailleurs reconnaissent le principe selon lequel l’employeur dispose d’un droit de contrôle sur l’outil de travail et sur l’utilisation de cet outil par le travailleur dans le cadre de l’exécution de ses obligations contractuelles, y compris lorsque cette utilisation relève de la sphère privée, compte tenu des modalités d’application prévues par la présente convention ;

– Les employeurs respectent le droit des travailleurs à la protection de leur vie privée dans le cadre de la relation de travail et des droits et obligations que celle-ci implique pour chacune des parties. »

Et dans son article 7 : « L’employeur qui souhaite installer un système de contrôle des données de communication électroniques en réseau, informe le conseil d’entreprise sur tous les aspects du contrôle visés à l’article 9, § 1^er de la présente convention. […] À défaut de conseil d’entreprise, cette information est fournie au comité pour la prévention et la protection au travail ou, à défaut, à la délégation syndicale ou, à défaut, aux travailleurs ».

Cet arrêt de la Cour européenne établit une jurisprudence intéressante et fixe plus précisément les limites du contrôle de l’utilisation par les membres du personnel du matériel informatique. Vérifier la nature de cette utilisation est légitime, mais pour autant que les travailleurs aient été préalablement avertis de la possibilité de ce contrôle, que celui-ci soit proportionnel au but poursuivi, que des possibilités de recours soient prévues et que les organisations syndicales aient été consultées. Le rôle de nos représentants dans les conseils d’entreprise, à défaut dans les comités pour la prévention et la protection au travail ou la délégation syndicale, est donc essentiel pour que l’on ne confonde pas contrôle légitime et intrusion excessive dans la vie privée [2].

MAGISTER

[1] Arrêt de la Cour européenne des droits de l’homme de Strasbourg (Grande chambre) du 5 septembre 2017.

[2] Source de ce texte : CSC-Educ, mensuel de le CSC-Enseignement, n°115, janvier 2018.