Chronique juri-geek

Chronique juri-geek

Cybersurveillance au travail : l’employeur peut-il épier l’utilisation d’Internet et des réseaux sociaux par ses salariés ?

3D Social Media Keyboard. Animated Heaven / Flickr

La Cour européenne des droits de l’homme (CEDH) vient d’interdire à un employeur de prendre connaissance des mails privés de son salarié et d’utiliser leur contenu dans le cadre d’une procédure disciplinaire (arrêt). La mise en place de mesures de surveillance des communications électroniques des salariés doit en effet respecter plusieurs conditions pour être licite.

Cette protection de la vie privée existe-t-elle pour l’activité du salarié sur les réseaux sociaux ?

Surveiller l’activité numérique privée du salarié

Les conditions d’une surveillance de l’usage d’une messagerie instantanée au travail à des fins personnelles

Un salarié roumain, M. Barbulescu, avait créé un compte de messagerie instantanée Yahoo Messenger à la demande de son employeur. Le règlement intérieur (lu et signé par le salarié) interdisait son usage à des fins personnelles. La direction a ensuite émis une note d’information indiquant qu’elle pourrait effectuer une surveillance des communications des employés et prendre des sanctions en cas de faute. Juste après avoir signé ce document, le salarié fut convoqué : l’employeur lui montra 45 pages de transcription de communications très privées faites en violation de l’interdiction. Le salarié accusa alors son employeur de violation du secret des correspondances, une infraction pénale en Roumanie. Il fut licencié deux semaines plus tard.

C’est dans ce contexte que M. Barbulescu fut amené à contester son licenciement devant la CEDH au motif d’une violation du droit au respect de la vie privée et de la correspondance (art. 8 de la Convention européenne des droits de l’homme). En effet, les conditions de la surveillance des communications électroniques des salariés ne sont pas prévues par le droit roumain. Initialement, dans son arrêt de chambre de 2016, la CEDH avait considéré raisonnable une telle surveillance.

Mais la Grande Chambre vient de statuer différemment et indique qu’elle n’est possible que si elle s’accompagne de mesures adéquates contre l’arbitraire (§121 de l’arrêt), ce qui n’était pas le cas en l’espèce.

Les critères

Les constatations de la Cour imposent ainsi des limites à une telle surveillance : les États doivent veiller à ce que ces mesures restent proportionnelles et assorties de garanties procédurales. Les critères que les autorités nationales doivent appliquer sont les suivants :

  • informer clairement les salariés de la nature de la surveillance avant de la mettre en place ;

  • distinguer flux et contenu des communications : plus la méthode de surveillance du contenu est invasive, plus elle doit être sérieusement justifiée (toutes les communications sont-elles surveillées ou une partie seulement ? la surveillance est-elle limitée dans le temps ? Tous les salariés sont-ils concernés ou seulement certains ? quelles sont les personnes ayant accès aux résultats ?) ;

  • privilégier la méthode la moins intrusive plutôt que l’accès direct au contenu ;

  • clarifier les conséquences pour le salarié concerné et l’utilisation faite des résultats de l’opération de surveillance par l’employeur (adéquation avec le but annoncé par la mesure en cause) ;

  • garantir au salarié la protection de ses communications électroniques tant qu’il n’a pas été préalablement informé d’une telle intrusion (interdiction de l’accès à son insu).

C’est donc à la fois l’existence, la nature, l’étendue de la surveillance et le degré d’intrusion généré qui servent de point d’équilibre entre le droit au respect de la vie privée et les intérêts de l’employeur.

En France, la CNIL impose déjà des contraintes dans ce domaine, mais cette décision de la CEDH permet surtout aux États de mettre leurs systèmes en conformité de sorte à éviter des violations similaires à celle de la Roumanie ou du Royaume-Uni en 2007 : la surveillance des communications doit être proportionnelle au but poursuivi par l’employeur et des garanties contre l’arbitraire doivent protéger les salariés.

Ainsi, il ne suffit pas d’obtenir le consentement des salariés à la cybersurveillance, encore faut-il qu’elle soit nécessaire aux objectifs poursuivis par l’employeur. Cette décision s’articule parfaitement avec les exigences du règlement général sur la protection des données à caractère personnel qui entrera en vigueur au printemps 2018, notamment l’obligation de conduire une étude d’impact sur la vie privée.

Elle semble aussi ajouter une protection supérieure à celle offerte par les juridictions françaises : même quand les communications des employés ne sont pas marquées comme « privées », l’employeur ne peut ouvrir leurs mails sauf s’il les a informés préalablement qu’un tel monitoring peut être opéré. Cet arrêt impose donc une obligation d’information préalable très forte sur les entreprises.

Les droits des salariés

Le management doit intégrer les droits fondamentaux des salariés à la politique interne de l’entreprise

Tant que l’utilisation d’Internet à des fins personnelles n’affecte ni la productivité, ni la sécurité des réseaux, elle est tolérée par les tribunaux français. Le contrôle de l’utilisation d’Internet et de la messagerie par l’employeur peut avoir pour but d’assurer la sécurité des réseaux (détection de virus, cheval de Troie) ou de filtrer les sites pour limiter les risques d’abus d’une utilisation trop personnelle (messagerie privée, achats, discussions sur les réseaux sociaux). L’objectif de sécurité des systèmes d’information est d’ailleurs devenu plus prégnant depuis la vague de cyberattaques (WannaCry, Petya…).

Le règlement intérieur, la charte informatique, ou un code de conduite encadrent l’utilisation de dispositifs de contrôle de l’activité des salariés tels que l’utilisation d’Internet et de la messagerie, mais aussi la vidéosurveillance, la cybersurveillance, les applications biométriques et la géolocalisation. Dans l’entreprise c’est le correspondant informatique et libertés (CIL) qui est chargé d’intégrer la problématique de la protection des données à caractère personnel ainsi collectées par les outils mis à disposition par l’employeur. Tout détournement du principe des finalités est passible de sanctions pénales (art.226-1 et 226-16 du code pénal). Par exemple, la mise en place d’un GPS ne peut avoir pour objet de contrôler les déplacements d’un salarié protégé, les informations conservées par le logiciel de réservation de billets de transport ne peuvent être utilisées par l’employeur pour contrôler l’activité de ses salariés.

Déclaration, proportionnalité, conservation

Les droits des salariés et candidats à un emploi doivent être respectés. Il s’agit du droit à l’information sur la collecte et le traitement de leurs données, les destinataires de ces données, mais aussi l’accès et la rectification, ainsi que leur droit d’opposition (pour des motifs légitimes) à l’enregistrement de leurs données.

Le code du travail ajoute que les dispositifs mis en place dans l’intérêt légitime de l’entreprise doivent rester proportionnés aux droits et libertés des personnes (art.L1121-1). C’est le cas pour la biométrie sur le lieu de travail : elle est subordonnée à un impératif de sécurité et à l’absence de solutions alternatives moins intrusives.

La durée précise de conservation de ces données doit aussi être indiquée en fonction de la finalité de chaque ficher. Et enfin, l’employeur, qui devient ainsi un responsable de traitement au sens de la loi « Informatique et Libertés », doit prendre les mesures nécessaires pour garantir la confidentialité des données et éviter leur divulgation à des tiers non autorisés.

Si un logiciel d’analyse du contenu des messages électroniques entrants ou sortants est mis en place, il doit être déclaré à la CNIL (sauf si l’entreprise a un CIL).

Et les posts des salariés sur les réseaux sociaux publics ?

L’entreprise ne peut naturellement pas surveiller ses salariés en collectant systématiquement leurs données sur les réseaux sociaux sans commettre d’atteinte au droit au respect de la vie privée (art. 9 du code civil). Une telle surveillance peut toutefois être prévue par la politique RH interne de l’entreprise ou le contrat de travail du salarié : attention ici encore, la surveillance doit être légitime et proportionnée.

De plus en plus, l’entreprise cherche ainsi à protéger son e-réputation ; elle peut accéder au journal des connexions du salarié puis consulter les pages publiques de ses profils sur les réseaux sociaux. Le règlement intérieur peut limiter l’utilisation des réseaux sociaux sur le lieu de travail voire même l’interdire. En effet, les réseaux sociaux sont le point de rencontre et d’échange entre l’entreprise et ses clients, prospects ou influenceurs.

Image de marque, réputation et informations stratégiques sont des points de vigilance essentiels pour l’entreprise. Elle pourra ainsi sensibiliser ses salariés à leur devoir de réserve et au degré de confidentialité de certaines missions, qu’elles soient liées à leurs fonctions ou à l’entreprise.

En revanche, le salarié garde toute sa liberté d’expression en dehors du lieu et du temps de travail. La jurisprudence prend en compte les paramétrages d’un compte Facebook pour déterminer si les éléments diffusés ressortent de la vie privée ou professionnelle d’un salarié. Ainsi, la Cour de cassation avait estimé en 2013 que des propos diffusés par une salariée sur son compte Facebook « accessibles aux personnes agréées par la salariée, en nombre très restreint », relevaient de sa vie privée.

Quant à votre Tweet line, elle reste un espace public, même si vous avez fermé votre compte pour le réserver à vos followers. Une solution peut être de paramétrer une suppression automatique dans un délai court. Mais la protection sera désuète sur ce média ou le Retweet se fait en un éclair ! Si votre collègue retweete votre tweet désobligeant vis-à-vis de votre l’employeur, il se retrouvera coupable des mêmes faits. Un tweetos averti en vaut deux !