CEDH et messagerie perso : beaucoup de bruit… pour rien ? (tribune)

La Rédaction,

La Cour Européenne des Droits de l’Homme n’a rien trouvé à redire, le 12 janvier 2016, dans une décision où l’employeur avait licencié un salarié sur la base de ses messages instantanés. Un buzz qui monte… pour rien ou presque, d’après l’avocat François Coupez.

La Cour européenne des droits de l’homme (CEDH), dans un arrêt du 12 janvier 2016 rendu dans sa formation dite « de chambre »[1], s’est penchée sur la surveillance de l’utilisation de la messagerie instantanée d’un employé par son employeur en Roumanie, et sur le licenciement qui s’en est suivi. Pour elle, l’affaire est entendue, la surveillance était raisonnable, il n’y a pas de violation de l’article 8 (droit au respect de la vie privée et familiale, du domicile et de la correspondance).

Or l’utilisation en question concernait des messages Yahoo Messenger privés, notamment des échanges du salarié en question avec son frère et sa fiancée et portant sur des questions personnelles telles que sa santé et sa vie sexuelle. Il n’en fallait pas plus pour que certains médias en déduisent que la CEDH acceptait l’absence de toute confidentialité des messages privés des salariés au travail (l’entreprise « peut alors lire toute la correspondance des salariés, même ceux avec la mention ‘personnel’ et peut prendre des sanctions » pouvait-on par exemple entendre le 13 janvier 2016 au 19.45 sur M6).

Est-ce vraiment ce que la présente décision énonce ? Pas véritablement. Si elle est intéressante du fait du positionnement de la juridiction internationale sur la question de la cyberprotection de l’employeur face au droit au respect de la vie privée et familiale du salarié, elle ne fait qu’énoncer des principes que suit déjà la Cour de cassation en France depuis… plus de dix ans. A condition bien évidemment de lire la décision en détail.

Un compte Yahoo Messenger dédié aux… clients

En réalité, dans cette affaire, le salarié utilisait un compte Yahoo Messenger (donc une messagerie instantanée) ouvert à la demande de l’employeur pour répondre aux demandes des clients de l’entreprise. Il est donc facile d’imaginer pourquoi, dans le cadre de ce compte ad hoc, toute utilisation privée était interdite par le règlement intérieur. En l’occurrence, le règlement intérieur formulait une règle d’interdiction beaucoup plus large, incluant « les ordinateurs, les photocopieurs, les téléphones et fax pour des besoins personnels ».

Or le salarié utilisa ce compte Yahoo Messenger à titre personnel, pendant ses heures de travail, notamment en juillet 2007. Pour le prouver, l’employeur fit état devant les juridictions roumaines de 45 pages de retranscription d’échanges que le salarié avait eu avec son frère et sa fiancée. Le compte étant apparemment filtré et enregistré et ce schéma de communication (mêmes interlocuteurs non-clients avec de longs flux d’échange) pouvant légitimement attirer l’attention de l’employeur, celui-ci lui indiqua qu’un contrôle avait été effectué en application du règlement intérieur et qu’il semblait que l’utilisation du compte avait été personnelle, contrevenant aux règles internes.

L’employeur a donc décidé de licencier son salarié pour avoir utilisé des outils mis à sa disposition en violation des règles édictées dans le règlement intérieur de l’entreprise. Il avait d’ailleurs déjà fait de même, peu avant, avec un autre salarié pour les mêmes raisons.

Notons que, si l’affaire s’était déroulée en France, la jurisprudence n’aurait permis à l’employeur d’auditer le contenu des flux privés du salarié « qu’en cas de risque ou d’événement particulier » (cf. notamment les décisions du 17 mai 2005 ou encore du 17 juin 2009 de la chambre sociale de la Cour de cassation). Des raisons de sécurité informatique ou de risque de fuite d’information confidentielle auraient alors pu caractériser ce risque particulier et légitimer l’audit, comme dans les faits de la décision du 17 juin 2009 précitée.

Le salarié s’enfonce…

Mais que fit notre salarié dans cette affaire ? Répondant à son employeur qui l’interrogeait sur la nature de son utilisation du compte Yahoo Messenger, il écrivit qu’il n’avait utilisé ce service qu’à des fins professionnelles.

Les juges roumains, comme les juges français s’ils avaient été saisis d’un cas comparable, ont donc considéré que, le salarié déclarant ces échanges professionnels, l’employeur pouvait légitimement en vérifier la teneur.

Il convient de noter à ce titre que le salarié, licencié à la suite de ce contrôle, ne l’a pas été en raison de ce que révélaient les 45 pages de retranscription le concernant (état de santé, etc.), mais simplement parce que ces retranscriptions prouvaient indubitablement l’usage privé qui était interdit par le règlement intérieur.

L’intérêt de cette décision est de nous indiquer que la CEDH ne voit rien à redire à cette argumentation.

CEDH et Cour de cassation sur la même ligne

Pour la CEDH, la cause est rapidement entendue :

  • Elle ne trouve pas abusif qu’un employeur souhaite vérifier que ses employés accomplissent leurs tâches professionnelles pendant les heures de travail. Rappelons que c’est un principe dégagé depuis longtemps par la chambre sociale de la Cour de cassation française (notamment à l’occasion d’un arrêt du 14 mars 2000 concernant des enregistrements téléphoniques dans une société de bourse) ;
  • Elle semble noter qu’il n’y a pas d’impossibilité pour un Etat membre de la CEDH de restreindre toute possibilité d’usage privé des moyens informatiques professionnels ;
  • Et elle relève que l’employeur a accédé au compte du salarié en pensant légitimement qu’il contenait des communications de celui-ci avec ses clients d’autant que c’était ce qu’avait indiqué par écrit son salarié.
  • Surtout, elle note que la question de cet accès à ces échanges privés a été débattue devant les tribunaux roumains et que ce n’est pas la révélation des informations contenues dans les retranscriptions qui ont conduit à un licenciement, mais uniquement le fait qu’elles étaient manifestement privées et que cet usage privé était strictement interdit par le règlement intérieur.

Les questions qui laissent le lecteur sur sa faim

On notera cependant deux aspects peu développés par la décision, qui posent question :

– La connaissance par le salarié de cette règle d’interdiction d’usage privé était discutée en pratique, mais pas par la CEDH qui ne fait que noter ce point sans en tirer de conséquence. Dans l’opinion dissidente publiée avec la décision, le magistrat de la CEDH Pinto de Albuquerque le critique avec virulence ;

– Le fait que le contenu de 5 messages tirés du compte Yahoo Messenger cette fois-ci personnel du salarié ait également été fournis à l’appui de son licenciement. Le raisonnement validé par la CEDH (le fait que le salarié reconnaisse échanger des contenus professionnels sur son autre compte) n’explique pas à lui tout seul que l’audit par l’employeur du flux émanant du compte privé soit possible. Etait-il d’ailleurs seulement utile pour l’employeur de faire état du contenu des messages envoyés depuis le compte privé du salarié, à partir du moment où des logs prouvant cette utilisation objectivement privée de la connexion Internet auraient pu suffire ? Cela ne portait-il pas atteinte à la notion de proportionnalité du contrôle que met en avant la CEDH ? La Cour n’en tire pourtant aucune conséquence.

Précision de la rédaction et traçabilité des actes

Les règles de droit du travail en matière d’encadrement et de surveillance de l’utilisation des moyens numériques mis à disposition par l’employeur peuvent s’avérer différentes selon les pays, mêmes membres de la Convention européenne des droits de l’homme. Mais on retiendra surtout de cette décision, paradoxalement, certaines réflexions de l’opinion dissidente du juge Pinto de Albuquerque jointes à la décision, qui mériteraient une nouvelle chronique à elles seules et qui pointent la nécessité d’une preuve de la prise de connaissance des règles par le salarié, de la description claire et précise des règles posées, des traces collectées et des contrôles mis en œuvre par l’employeur (cf. l’importance de la rédaction d’une charte claire et précise).

En conséquence, ce qu’il y a sans doute de plus intéressant dans cette décision de la CEDH, c’est ce qu’elle ne dit pas explicitement !

Par François Coupez, Avocat à la Cour, Associé du cabinet ATIPIC Avocat et titulaire du certificat de spécialisation en droit des nouvelles technologies. L’auteur tient particulièrement à remercier Me Aurore Bonavia pour ses apports lors de la rédaction cet article.

[1] Comme le précise la CEDH, « cet arrêt de chambre nest pas définitif. Dans un délai de trois mois à compter de la date de son prononcé, toute partie peut demander le renvoi de laffaire devant la Grande Chambre de la Cour. En pareil cas, un collège de cinq juges détermine si laffaire mérite plus ample examen. Si tel est le cas, la Grande Chambre se saisira de laffaire et rendra un arrêt définitif. Si la demande de renvoi est rejetée, larrêt de chambre deviendra définitif à la date de ce rejet. »

A lire aussi, les précédentes tribunes de F. Coupez :

Administrateur système : n’est pas lanceur d’alerte qui veut !

Fin du Safe Harbor : quel avenir pour les flux de données vers les États-Unis ?

Protection des données personnelles : une loi de plus en plus instrumentalisée

Protection des données personnelles et Big Data : inconciliables, vraiment ?

Crédit photo : chainarong06 / Shutterstock