Un employeur a le droit d’espionner les communications de ses employés !
Les employés doivent redoubler de vigilance sur internet et même lors de leurs communications. En effet, les employeurs ont la possibilité de les espionner et cela a fait l’objet d’une décision de la Cour européenne des droits de l’Homme.
Un employeur a le droit de surveiller les communications internet de ses salariés pendant leur temps de travail. C’est la Cour européenne des droits de l’homme (CEDH) qui l’a jugé ainsi. Elle a débouté un salarié roumain licencié pour avoir « chatté » au travail sur des messageries Internet. Il n’est « pas abusif qu’un employeur souhaite vérifier que ses employés accomplissent leurs tâches professionnelles pendant les heures de travail », a estimé la Cour.
Le requérant, un jeune ingénieur roumain, s’estimait victime d’une atteinte à sa vie privée: il avait été licencié en août 2007, après que son employeur eut repéré qu’il utilisait un service de messagerie instantané pour dialoguer non pas seulement avec ses contacts professionnels, mais aussi avec son frère et sa fiancée.
La Cour européenne donne raison à l’employeur
Sur le Web, les internautes ont tendance à partager leur vie complète et quelques photos peuvent avoir des répercussions néfastes. Par exemple, un salarié en arrêt maladie qui postera une photo de lui en soirée ne devrait pas combler les attentes de son employeur. De plus, ce dernier a la capacité de renforcer la surveillance en piochant dans les communications électroniques. Aucune loi n’a été publiée, il s’agit d’une décision rendue par la Cour européenne des droits de l’Homme qui examinait une affaire.
Un employé se battait depuis 9 ans pour faire valoir ses droits
Les faits se sont produits en 2007 et la décision a été connue le 12 janvier 2016. À cette époque, l’État roumain se voyait projeté devant la justice à cause d’une plainte déposée par un employé à savoir Bodgan Mihai Barbulescu. Ce dernier mettait en cause son employeur qui était suspecté d’avoir surveillé ses communications. Par la même occasion, il se retournait contre l’État en spécifiant qu’il ne l’avait pas protégé.
Des communications personnelles via Yahoo Messenger
Il a été expliqué que les communications surveillées se déroulaient sur Yahoo Messenger. L’employeur aurait ainsi eu connaissance des messages entre le 5 et le 13 juillet 2007. Il avait ainsi pu en déduire que la connexion internet n’avait pas été utilisée uniquement dans le cadre de son emploi, car des communications étaient de l’ordre personnel. Cela a donc conduit à la clôture de son contrat, car le règlement intérieur n’avait pas été respecté. Finalement, après plusieurs années de combat, la Cour européenne a donné raison à l’employeur qui était en droit de le surveiller.
Le contrôle de l’utilisation d’internet et de la messagerie électronique
Le contrôle de l’utilisation d’internet
L’employeur peut fixer les conditions et limites de l’utilisation d’internet. Ces limites ne constituent pas, en soi, une atteinte à la vie privée des salariés.
Par exemple : L’employeur peut mettre en place des dispositifs de filtrage de sites non autorisés (sites à caractère pornographique, pédophile, d’incitation à la haine raciale, révisionnistes, etc.). Il peut également fixer des limites dictées par l’exigence de sécurité de l’organisme, telles que l’interdiction de télécharger des logiciels, l’interdiction de se connecter à un forum ou d’utiliser le « chat », l’interdiction d’accéder à une boîte aux lettres personnelle par internet compte tenu des risques de virus qu’un tel accès est susceptible de présenter, etc.
Nécessité d’informer les salariés
Les salariés doivent être informés des dispositifs mis en place et des modalités de contrôle de l’utilisation d’internet :
Le comité d’entreprise doit avoir été consulté et informé (article L2323-32 du code du travail);
Les salariés doivent être informés, notamment de la finalité du dispositif de contrôle et de la durée pendant laquelle les données de connexion sont conservées.Une durée de conservation de l’ordre de six mois est suffisante, dans la plupart des cas, pour dissuader tout usage abusif d’internet.
Si des procédures disciplinaires sont susceptibles d’être engagées sur la base de ces fichiers, les salariés doivent en être explicitement informés (par exemple au moyen d’une charte).
Comment déclarer ?
Lorsque l’entreprise ou l’administration met en place un dispositif de contrôle individuel des salariés destiné à produire un relevé des connexions ou des sites visités, poste par poste, le traitement ainsi mis en oeuvre doit être déclaré à la CNIL (déclaration normale) sauf si un correspondant informatique et libertés a été désigné, auquel cas aucune déclaration n’est nécessaire.
Par exemple : logiciel de contrôle de l’utilisation d’internet permettant d’analyser les données de connexion de chaque salarié ou de calculer le temps passé sur internet par un salarié déterminé.
Lorsque l’entreprise ou l’administration met en place un dispositif qui ne permet pas de contrôler individuellement l’activité des salariés, ce dispositif peut faire l’objet d’une déclaration de conformité en référence à la norme simplifiée n° 46 (gestion des personnels des organismes publics et privés).
Par exemple : logiciel permettant seulement de réaliser des statistiques sur l’utilisation d’internet au niveau de l’ensemble des salariés de l’entreprise ou au niveau d’un service déterminé.
Le contrôle de l’utilisation de la messagerie
Des exigences de sécurité, de prévention ou de contrôle de l’encombrement du réseau peuvent conduire les entreprises ou les administrations à mettre en place des outils de contrôle de la messagerie.
Par exemple : outils de mesure de la fréquence, de la taille, des messages électroniques ; outils d’analyse des pièces jointes (détection des virus, filtres « anti-spam » destinés à réduire les messages non-sollicités, etc.).
Nécessité d’informer les salariés
Les dispositifs de contrôle de la messagerie doivent faire l’objet d’une consultation du comité d’entreprise ou, dans la fonction publique, du comité technique paritaire ou de toute instance équivalente et d’une information individuelle des salariés.
Ils doivent notamment être informés, de la finalité du dispositif et de la durée pendant laquelle les données de connexion sont conservées ou sauvegardées.
En cas d’archivage automatique des messages électroniques, ils doivent en outre être informés des modalités de l’archivage, de la durée de conservation des messages, et des modalités d’exercice de leur droit d’accès.
Comment déclarer ?
La messagerie professionnelle doit faire l’objet d’une déclaration de conformité en référence à la norme n° 46 (gestion des personnels des organismes publics et privés). Si un dispositif de contrôle individuel de la messagerie est mis en place, il doit être déclaré à la CNIL (déclaration normale), sauf désignation d’un correspondant informatique et libertés.
Par exemple : logiciel d’analyse du contenu des messages électroniques entrant ou sortants destinés au contrôle de l’activité des salariés.
L’accès au poste informatique ou à la messagerie
L’employeur doit respecter le secret des correspondances privées une communication électronique émise ou reçue par un employé peut avoir le caractère d’une correspondance privée. La violation du secret des correspondances est une infraction pénalement sanctionnée par les articles L.226-15 (pour le secteur privé) et L.432-9 (pour le secteur public) du Code pénal.
La Cour de cassation a affirmé, dans un arrêt du 2 octobre 2001 (arrêt « Nikon »), qu’un employeur ne saurait prendre connaissance de messages personnels d’un employé sans porter atteinte à la vie privée de celui-ci (article 9 du code civil) et au principe du secret des correspondances (article 226-15 du code pénal), quand bien même une utilisation à des fins privées aurait été proscrite par l’employeur.
Pour autant, le principe du secret des correspondances connaît des limites dans la sphère professionnelle. Il peut également être levé dans le cadre d’une instruction pénale ou par une décision de justice.
Tout ce qui n’est pas identifié comme « personnel » est réputé être professionnel de sorte que l’employeur peut y accéder librement.
La Cour de cassation considère qu’un message envoyé ou reçu depuis le poste de travail mis à disposition par l’employeur revêt un caractère professionnel, sauf s’il est identifié comme étant « personnel », dans l’objet du message par exemple (Cour de cassation, 30 mai 2007).
Il appartient à l’employé d’identifier les messages qui sont personnels. À défaut d’une telle identification, les messages sont présumés être professionnels.
La nature personnelle d’un message peut figurer dans l’objet du message ou dans le nom du répertoire dans lequel il est stocké.
La CNIL recommande de porter à la connaissance des salariés (par exemple dans une charte) le principe retenu pour différencier les courriers électroniques professionnels et personnels (qualification par l’objet, création d’un répertoire spécifique dédié au contenu privé, etc.).
Le cas des fichiers et des répertoires créés par un employé
Il a été jugé que les fichiers créés par un salarié grâce à l’outil informatique mis à sa disposition pour l’exécution de son travail sont présumés, sauf si le salarié les identifie comme étant personnels, avoir un caractère professionnel (Cour de cassation, 18 octobre 2006).
Tout fichier qui n’est pas identifié comme « personnel » est réputé être professionnel de sorte que l’employeur peut y accéder hors la présence du salarié.
Source CNIL : Le contrôle de l’utilisation d’internet et de la messagerie électronique
- La Cour européenne donne raison à l’employeur
- Un employé se battait depuis 9 ans pour faire valoir ses droits
- Des communications personnelles via Yahoo Messenger
- Le contrôle de l’utilisation d’internet et de la messagerie électronique
- Le contrôle de l’utilisation d’internet
- Nécessité d’informer les salariés
- Comment déclarer ?
- Le contrôle de l’utilisation de la messagerie
- L’accès au poste informatique ou à la messagerie
- Il appartient à l’employé d’identifier les messages qui sont personnels. À défaut d’une telle identification, les messages sont présumés être professionnels.
- Le cas des fichiers et des répertoires créés par un employé