L’arrêt de la CEDH 5 septembre 2017 Barbulescu c/ Roumanie : quelles conséquences ?

Décryptages
TAILLE DU TEXTE

blandine allixBlandine Allix revient sur l'arrêt de la CEDH du 5 septembre 2017 qui s'est prononcé sur l’utilisation des courriels privés dans l’entreprise.

La Cour européenne des droits de l’homme (CEDH) est rarement saisie de la délicate question de la surveillance par l’employeur des communications électroniques personnelles des salariés envoyées à l’aide d’un outil professionnel. Récemment, elle a eu l’occasion de se prononcer sur le sujet à deux reprises, saisie par un salarié roumain licencié pour avoir utilisé pendant son temps de travail, pour des échanges personnels, son compte de messagerie instantané professionnel créé à l’origine pour échanger avec des clients.

En l’espèce, l’employeur avait mis en place, sans que les salariés en aient été informés préalablement, un système de surveillance qui enregistrait et sauvegardait de manière instantanée les flux et les contenus des messages. Ce système lui a permis de licencier un salarié pour violation du règlement intérieur, lequel interdisait l’usage des outils professionnels à des fins personnelles. Le salarié considérait que cet enregistrement violait son droit au secret des correspondances. Interrogée sur la question de savoir si avait été méconnu l’article 8 de la Convention européenne des droits de l’homme qui protège le droit à la vie privée et les correspondances, la formation de chambre de la CEDH initialement saisie a répondu par la négative en janvier 2016, considérant qu’ « il n’est pas abusif qu’un employeur souhaite vérifier que ses salariés accomplissent leurs tâches professionnelles pendant les heures de travail » (CEDH Barbulescu v. Romania 12 janvier 2016, n°61496/08). Le requérant a alors saisi la Grande Chambre de la CEDH qui, par une décision du 5 septembre 2017 se substituant à celle de 2016, a statué en sens inverse, ce qui est relativement rare. Elle juge qu’il y a violation de l’article 8, considérant que les autorités roumaines n’ont pas protégé de manière adéquate le droit du requérant au respect de sa vie privée et de sa correspondance. La Grande Chambre liste sept critères permettant d’apprécier la légalité d’un tel système de surveillance : (i) information du salarié préalable et claire quant à la nature du système ; (ii) étendue de la surveillance opérée et degré d’intrusion dans la vie privée ; (iii) motifs légitimes justifiant la surveillance ; (iv) possibilité de mettre en place un système moins intrusif ; (v) conséquences de la surveillance pour le salarié qui en a fait l’objet ; (vi) garanties adéquates offertes au salarié ; (vii) accès du salarié à une voie de recours juridictionnelle.

Cet arrêt va-t-il bouleverser l’arsenal juridique français ?

Il convient à notre sens de distinguer deux types d’intervention : un véritable dispositif de surveillance individuelle de l’activité des salariés (par ex. enregistrement par un logiciel en temps réel des courriels et de leur contenu) ou une prise de connaissance ponctuelle par l’employeur d’un courriel figurant sur la messagerie professionnelle du salarié.

S’agissant du premier type d’intervention, les règles françaises répondent globalement aux exigences posées par l’arrêt de la CEDH. Concernant le 1er et le 6ème critère, notre droit exige, pour les systèmes de surveillance, non seulement une information préalable du salarié quant à la mise en place du système (article L.1222-4 du Code du travail), ses finalités, les destinataires des données et son droit d’accès au contenu (étant précisé que l’employeur ne peut prendre connaissance d’une correspondance identifiée comme personnelle), mais également une information/consultation des institutions représentatives du personnel (cf. notamment article L.2323-47 du même code) ainsi qu’une déclaration auprès de la Commission nationale de l’informatique et des libertés (CNIL). Concernant les trois critères suivants, le code du travail prévoit que « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché » (article L.1121-1). Pour le 5ème critère, les juges veillent à ce que l’employeur ait prononcé une sanction disciplinaire en adéquation avec le comportement fautif du salarié (article L.1332-2). Enfin, pour le dernier critère, le salarié estimant ses droits atteints peut saisir le juge.

S’agissant du second type d’intervention, la Cour de cassation est plus permissive et considère que « les courriels adressés et reçus par le salarié à l’aide de l’outil information mis à sa disposition par l’employeur pour les besoins de son travail sont présumés avoir un caractère professionnel, en sorte que l’employeur est en droit de les ouvrir hors la présence de l’intéressé » (Cass. soc., 16 mai 2013, n°12-11.866). Ce n’est que lorsque le salarié a spécifiquement indiqué que le courriel était privé qu’il doit l’informer préalablement de ce contrôle.

Toute la question est donc de savoir si le faisceau de critères posé par la Grande chambre doit s’appliquer à ce second type d’intervention et, le cas échéant, si la jurisprudence française évoluera.

La décision de la CEDH visant le « système de surveillance », une interprétation littérale de cet arrêt pourrait permettre d’en douter.

Nous devrions en avoir le cœur net prochainement. En effet, la CEDH est actuellement saisie d’une affaire impliquant la France concernant un simple contrôle ponctuel (la prise de connaissance par l’employeur de fichiers stockés par le salarié sur son ordinateur professionnel et renommés « d:/données personnelles »).

Blandine Allix, Avocat associé, Flichy Grangé Avocats