G.E.I.E Securex Corporate
Siège social: avenue de Tervueren 43, 1040 Bruxelles
Numéro d'entreprise: TVA BE 0877.510.104 - RPM Bruxelles

Vie privée

2. Le contrôle électronique des travailleurs

Lisez d'abord ceci …

La Belgique a déjà adopté des règles strictes en matière de protection de la vie privée auxquelles les employeurs étaient tenus de se conformer : le respect de la vie privée, reconnu par l’article 8, 1° de la CEDH1 et par l’article 22 de la Constitution, doit être garanti tout au long de l’exécution du contrat de travail et pas uniquement au moment du recrutement et du licenciement.

À ces dispositions, s’ajoute désormais le Règlement européen 2016/679 ("Règlement général sur la protection des données", ci-après RGPD), publié le 4 mai 20162. Ce règlement est directement applicable dans tout état membre de l’UE, et donc pas uniquement en Belgique, depuis le 25 mai 2018. Il régit également la relation de travail3.

Le contexte des relations de travail représente toutefois un domaine spécifique quant à l’application de la protection des données à caractère personnel. En effet, deux principes s’affrontent ici :

Bien que le RGPD vise à harmoniser la réglementation en matière de protection des données à caractère personnel au sein de l’Union européenne4, il prévoit toutefois une exception pour le domaine des relations de travail, en raison, précisément, des principes précités. Les états membres ou des conventions collectives de travail peuvent, par conséquent, imposer, au niveau sectoriel ou de l’entreprise, des règles spécifiques concernant le traitement des données à caractère personnel des travailleurs dans le cadre des relations de travail. Ces règles concernent, plus particulièrement, les conditions dans lesquelles les données à caractère personnel collectées dans le cadre des relations de travail peuvent être traitées aux fins :

Par souci de clarté, ce dossier consacré à la protection de la vie privée dans le cadre des relations de travail est découpé en 9 parties :

La deuxième partie est donc consacrée aux obligations de l’employeur lorsqu’il veut contrôler l’utilisation des outils électroniques par ses travailleurs pendant l’exécution de leur contrat de travail.

 


1 Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales.

2 Règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données : https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:3 2016R0679&from=EN.

3 Étant donné que, depuis le 25 mai 2018, tant l’employeur que le législateur belge sont tenus de respecter le RGPD, notre réglementation devra être remplacée par une loi-cadre.

4 Le Groupe de travail article 29, organe consultatif et de concertation européen indépendant, composé des autorités nationales de contrôle, a par exemple pour mission de promouvoir l’application uniforme de la législation européenne en matière de protection de la vie privée au sein des États membres, par le biais notamment de recommandations concernant l’interprétation de certaines obligations incombant au responsable du traitement.

Quel est le contexte ?

Actuellement, de plus en plus de travailleurs ont accès à l’internet et aux e-mails dans le cadre de l’exécution de leur travail. Ces deux moyens de communication électronique sont en effet devenus de véritables outils de travail[1].

Toutefois, ce phénomène peut entraîner certaines difficultés pour les employeurs :

Par ailleurs, il arrive que certains mails "compromettants" envoyés par un travailleur parviennent à la connaissance de l’employeur de l’une ou l’autre manière. Se pose alors la question de savoir si l’employeur peut ou non produire ces mails en justice pour justifier un licenciement. On peut citer, à titre d’exemples de tels mails : la divulgation d’informations confidentielles et/ ou sensibles ou encore des critiques à l’égard de collègues.

Le droit pour un employeur de restreindre l’accès aux moyens de communication dont ses travailleurs disposent a toujours été reconnu. Mais le contrôle des sites visités, au même titre que le contrôle des e-mails envoyés et reçus par un travailleur, est une mesure qui se révèle moins évidente à mettre en œuvre. La balance des intérêts entre la vie privée du travailleur et l’activité d’une entreprise n’est en effet pas simple à équilibrer.

 


[1] L’accès aux réseaux sociaux pose également des questions relatives à la vie privée du travailleur et à sa liberté d’expression. Nous y revenons dans la 9e partie de ce dossier "L’utilisation des réseaux sociaux par les travailleurs".

Quel est le cadre légal ?

Nous allons ci-dessous donner un bref aperçu des différentes lois et textes réglementaires belges relatifs au droit de contrôle que détient l’employeur sur l’utilisation des moyens de communication électronique faite par ses travailleurs.

Les lois du 30 juin 1994 et du 13 juin 2005

Une interdiction de principe

Par une loi du 30 juin 1994, le législateur a inséré dans le Code pénal une disposition posant le principe de l’interdiction d’enregistrement des communications et télécommunications.

L’article 314bis du Code Pénal interdit tout enregistrement de communications ou de télécommunications privées par une personne qui n’y participe pas, à moins d’avoir le consentement de tous les participants de la communication[1].

Par la suite, la loi du 13 juin 2005 relative aux communications électroniques a introduit une disposition similaire dans son article 124.

Cet article interdit notamment à quiconque de prendre connaissance de l’existence d’une information de toute nature[2] transmise par voie de communication électronique et qui ne lui est pas destinée personnellement, sauf s’il y est autorisé par toutes les personnes directement ou indirectement concernées.

Les exceptions à l’interdiction légale

Le principe d’interdiction de prendre connaissance des communications électroniques n’est toutefois pas applicable :

Concernant cette deuxième exception, une partie de la jurisprudence, estime que la loi relative aux contrats de travail, constitue une base légale suffisante à cet effet car elle contient des dispositions relatives au pouvoir d’autorité de l’employeur (articles 2, 3, 4 et 5) et au devoir de respect mutuel (articles 16 et 17).

Cette position est toutefois critiquée par la doctrine, qui pointe le caractère trop vague de ces deux dispositions pour qu’elles puissent constituer une exception valide à l’article 124 de la loi du 13 juin 2005.

La Loi Vie Privée du 8 décembre 1992

Cette loi vise la protection des personnes physiques à l’égard du traitement de leurs données à caractère personnel[4] (une telle donnée est par exemple un login, une adresse e-mail,…).

L’activité qui consiste à contrôler ou à prendre connaissance d’informations générées par les outils de communication électronique utilisés par le travailleur dans le cadre de la relation de travail suppose généralement un traitement de données à caractère personnel.

En vertu de cette loi, un traitement de données à caractère personnel est uniquement autorisé moyennant le respect des principes suivants :

Par ailleurs, le traitement doit être mentionné dans le registre des données avant que le traitement ne débute (voyez la question "A quoi faut-il être attentif ?").

La convention collective de travail n° 81

Face à la disparité des différents textes législatifs, les partenaires sociaux se sont emparés de la question en 2002 et ont conclu au sein du Conseil National du Travail (CNT) une convention collective de travail n° 81[5], relative à la protection de la vie privée des travailleurs à l’égard du contrôle des données de communication électronique en réseau.

L’objectif visé par cette CCT n° 81 est de veiller à garantir le respect de la vie privée du travailleur lorsqu’une collecte de données de communication électronique en réseau est instaurée par l’employeur pour en faire le contrôle.

Cette CCT reprend notamment les trois principes de base de la législation relative à la protection de la vie privée, à savoir les principes de finalité, de proportionnalité et de transparence.

Avant d’analyser les grandes lignes de cette CCT, il faut rappeler que celle-ci ne règle pas tous les problèmes. Par exemple, la CCT n° 81 ne règle pas la question du contrôle éventuel du contenu des fichiers créés par le travailleur et stockés dans un ordinateur de l’entreprise, ni celle du contenu des e-mails envoyés et/ou reçus par le travailleur au moyen de l’ordinateur de l’entreprise.

En ce qui concerne ce dernier point (contrôle du contenu des e-mails), nous verrons néanmoins que certains juges appliquent tout de même les principes de la CCT n° 81 . Le respect des principes et de la procédure figurant dans la CCT n° 81 est donc vivement conseillé pour tout employeur qui souhaite pouvoir contrôler l’utilisation par ses travailleurs des outils électroniques mis à leur disposition.

 


[1] Cet article est seulement applicable au moment du transfert. Il n'est pas applicable lorsque des e-mails peuvent être trouvés via l'historique Internet et la copie d'un disque dur (Cour de Travail de Bruxelles, 4 Août 2016).

[2] La communication privée ainsi que la communication professionnelle.

[3] L'octroi du consentement est devenu, depuis le RGPD, beaucoup plus strict. Le consentement doit en effet être informé, sans équivoque, libre, spécifique et personnel. Une démarche active du travailleur informé est donc requise, comme l'apposition d'une signature, pour pouvoir parler de consentement valable.

[4] Voir partie I de notre dossier "Vie privée".

[5] Vous pouvez consulter le texte intégral de cette CCT sur le site du Conseil National du Travail.

Quelles sont les limites du contrôle imposées à l'employeur par la CCT n° 81 ?

La CCT n° 81 nous informe sur l'étendue du droit de contrôle de l'employeur dans le cadre de la relation de travail, en ce qui concerne les données de communication électroniques en réseau.

Ainsi, la possibilité est reconnue à l’employeur d’effectuer un contrôle, sur les données de communication électroniques en réseau à caractère personnel (pas leur contenu) pour une ou plusieurs finalités reconnues comme légitimes.

Nous allons passer en revue, point par point, les éléments à prendre en considération par l'employeur qui désire contrôler l’utilisation faite par son travailleur des outils électroniques mis à sa disposition.

Le contrôle doit avoir une finalité légitime

Un contrôle ne peut s'opérer que s'il se fait dans un but légitime. La CCT n° 81 énumère une série de finalités qui peuvent être considérées comme légitimes :

  • la prévention de faits illicites ou diffamatoires, de faits contraires aux bonnes mœurs ou susceptibles de porter atteinte à la dignité d’autrui (par exemple : des actes de piratage informatique, la consultation de site à caractère pornographique ou pédophile, etc…) ;
  • la protection des intérêts économiques, commerciaux et financiers de l’entreprise auxquels est attaché un caractère de confidentialité ainsi que la lutte contre les pratiques contraires (comme par exemple : de la publicité dénigrante, la violation de secrets d’affaires, etc…) ;
  • la sécurité et/ou le bon fonctionnement technique des systèmes informatiques en réseau de l’entreprise, en ce compris le contrôle des coûts y afférents, ainsi que la protection physique des installations de l’entreprise (par exemple : l’introduction d’un virus dans le système d’une entreprise) ;
  • le respect de bonne foi des principes et règles d’utilisation des technologies en réseau fixés dans l’entreprise.

L’employeur doit définir clairement et de manière explicite la ou les finalités du contrôle.

Le contrôle doit être proportionnel au but recherché

Si le contrôle entraîne une ingérence dans la vie privée du travailleur, cette ingérence doit être réduite à un minimum. Seules les données nécessaires au contrôle doivent être collectées.

Dans le cadre spécifique de la CCT n° 81, cela signifie que la collecte de données doit, en principe, rester globale et qu'une individualisation (c'est-à-dire, une identification d'un travailleur déterminé) n'est en principe pas permise.

Toutefois, la CCT permet, dans certains cas, à l'employeur qui détecte une anomalie de retracer directement, à partir des données globales dont il dispose, le travailleur qui est à l'origine de l'anomalie.  Nous examinerons cet aspect au point "Les règles relatives à l’individualisation".

Le contrôle doit être transparent

Pour que le contrôle puisse être qualifié de transparent, les travailleurs doivent être suffisamment informés par rapport à tous les aspects du contrôle.

Information collective

L’employeur doit tout d’abord procéder à une information collective des travailleurs, via le conseil d’entreprise (CE), ou à défaut le comité pour la prévention et la protection au travail (CPPT), ou à défaut, la délégation syndicale, ou à défaut, directement aux travailleurs.

L’information collective doit avoir lieu avant toute installation d’un quelconque système de contrôle. Elle doit porter sur :

  • la politique de contrôle ainsi que les prérogatives de l’employeur et du personnel de surveillance ;
  • la (ou les) finalité(s) poursuivie(s) ;
  • le fait que les données personnelles sont ou non conservées, le lieu et la durée de conservation ;
  • le caractère permanent du contrôle.
Information individuelle

Lors de l’installation du système de contrôle des données de communication électroniques en réseau, l’employeur doit procéder à une information individuelle.

La CCT n° 81 prévoit que cette information individuelle doit porter sur :

  • l’utilisation de l’outil mis à disposition des travailleurs pour l’exécution de leur travail, en ce compris les limites à l’utilisation fonctionnelle ;
  • les droits et devoirs des travailleurs et les interdictions éventuellement prévues dans l’utilisation des moyens de communication électronique en réseau de l’entreprise ;
  • les sanctions prévues au règlement de travail en cas de manquement.

Au niveau de l’information individuelle, la CCT ne prévoit pas de support spécifique. L’employeur peut donc réaliser cette information :

  • dans le cadre d’instructions générales ;
  • par mention dans le règlement de travail ;
  • par mention dans le contrat de travail individuel ;
  • ou par des consignes d’utilisation fournies à chaque utilisation de l’outil.

Compte tenu du RGPD, l'information individuelle doit aussi concerner :

  • la base légale pour le traitement de ces données ;
  • qui fait l'objet du contrôle ;
  • la mesure dans laquelle il y a un contrôle et les prérogatives de l'employeur et du personnel chargé de la surveillance ;
  • les données traitées ;
  • la nature des abus qui peuvent mener à un contrôle;
  • la durée des contrôles, le caractère permanent ou non du contrôle ;
  • les objectifs du contrôle ;
  • le fait que les données personnelles sont conservées, le lieu et la durée de conservation ;
  • et, si les données sont envoyées en dehors de l'Union européenne.

Les règles relatives à l’individualisation

Comme nous l’avons vu, le contrôle de l’employeur ne peut normalement s’effectuer que de façon globale et non individualisée[1].

Dans certains cas, l’employeur peut toutefois procéder à une individualisation de son contrôle.

Les règles prévues à cet effet dans la CCT n° 81 ne s’appliquent pas à l’objet et au contenu des données de communication électroniques dont le caractère professionnel n’est pas contesté par le travailleur. Elles s’appliquent exclusivement à l’individualisation des données de communication électroniques privées.

La CCT distingue deux types d’individualisation, l’individualisation directe et l’individualisation indirecte (avec une phase préalable d’information).

L’individualisation des données de communication électroniques en réseau doit également respecter les principes de finalité, de proportionnalité et de transparence.

Dans les catégories de finalité mentionnées ci-dessous, l’employeur peut procéder à une individualisation directement, dès qu’il constate une anomalie :

  • prévention de faits illicites ou diffamatoires, de faits contraires aux bonnes mœurs ou susceptibles de porter atteinte à la dignité d’autrui ;
  • protection des intérêts économiques, commerciaux et financiers de l’entreprise auxquels est attaché un caractère de confidentialité ainsi que la lutte contre les pratiques contraires ;
  • sécurité et/ou bon fonctionnement technique des systèmes informatiques en réseau de l’entreprise, en ce compris le contrôle des coûts y afférents, ainsi que la protection physique des installations de l’entreprise ;

Par contre, si le contrôle poursuit comme finalité le respect de bonne foi des principes et règles d’utilisation des technologies fixés dans l’entreprise (4e catégorie de finalité), l’individualisation doit être indirecte, c’est-à-dire précédée par une phase préalable d’information.

Cette information a pour objet de porter à la connaissance du travailleur l’existence de l’anomalie et de l’avertir d’une individualisation des données de communication électronique lorsqu’une nouvelle anomalie de même nature sera constatée.

En outre, l’employeur doit également inviter le travailleur concerné à un entretien, pour permettre à ce dernier de faire part à l’employeur de ses objections vis-à-vis de la décision ou de l’évaluation envisagée et de s’expliquer sur l’utilisation faite par lui des moyens de communication électronique mis à sa disposition.

 


[1] Voir ci-dessus : "Le contrôle doit être proportionnel au but recherché"

Obligation d’effectuer une analyse d’impact relative à la protection des données (DPIA) en cas de recours à la surveillance électronique des travailleurs

Vous trouverez de plus amples informations à ce sujet dans notre fiche 1 sur le traitement des données à caractère personnel dans le cadre de la gestion du personnel, et plus précisément sous la question "Quand l’employeur doit-il effectuer une analyse d’impact relative à la protection des données ?", sur le site de l’Autorité de protection des données ou dans la recommandation de l’Autorité de protection des données concernant cette analyse.

Il est recommandé d’effectuer une analyse d’impact relative à la protection des données ("Data protection impact assessment", ci-après DPIA) dès lors que la surveillance électronique des travailleurs répond au moins à trois des neuf critères identifiés par le Groupe de travail article 29 :

  • données concernant des personnes vulnérables, en l’occurrence les travailleurs ;
  • surveillance systématique ;
  • utilisation ou application innovante de nouvelles solutions technologiques ou organisationnelles ;

L’Autorité de protection des données considère par ailleurs qu’une DPIA est requise "lorsqu’il est question d’un traitement à grande échelle et/ou systématique de données de téléphonie, d’Internet ou d’autres données de communication, de métadonnées ou de données de localisation de personnes physiques ou permettant de mener à des personnes physiques (par exemple, le wifi-tracking ou le traitement de données de localisation de voyageurs dans les transports publics) lorsque le traitement n’est pas strictement nécessaire pour un service demandé par la personne concernée".

L’employeur effectuera une telle DPIA, qui est d’ailleurs également en partie incluse dans la procédure d’instauration du contrôle électronique, et décidera des mesures techniques appropriées à mettre en œuvre. Cette DPIA constitue un document justificatif destiné à prouver à l’Autorité de protection des données qu’une analyse des risques a bien été réalisée.

Une consultation préalable de l’Autorité de protection des données n’est obligatoire que lorsqu’un risque élevé pour la personne concernée subsiste malgré la mise en œuvre des mesures en question.

Que faut-il garder à l’esprit ?

Mention du traitement "contrôle électronique" dans le registre de données

L’employeur ne doit pas oublier de consigner le traitement dans le registre de données. Cette obligation remplace l’ancienne obligation de déclaration auprès de la Commission de la protection de la vie privée, prédécesseur de l’Autorité de protection des données.

Vous trouverez de plus amples informations à ce sujet dans notre fiche n° 1 sur le traitement des données à caractère personnel dans le cadre de la gestion du personnel, et plus précisément sous la question "L’employeur doit-il tenir un registre des activités de traitement ou registre de données pour le traitement de données à caractère personnel ?" ou sur le site de l’Autorité de protection des données.

L’employeur doit également garantir la confidentialité des informations traitées et permettre au travailleur concerné de consulter les données le concernant.

Quelles sont les sanctions ?

Ecartement des éléments de preuve par les Cours et Tribunaux

La principale sanction dans cette matière consiste en un refus par les tribunaux des éléments de preuve qui auraient été obtenus par l'employeur de façon non conforme aux prescrits de la CCT n° 81.

La Cour de Cassation a posé comme principe que des preuves récoltées irrégulièrement peuvent toutefois être déclarées recevables, pour autant que le juge tienne compte des éléments suivants[1] :

    • caractère purement formel de l'irrégularité ;
    • absence d'incidence du manquement dénoncé sur le droit ou la liberté protégée par la norme transgressée ;
    • circonstance que la gravité de l'infraction est sans commune mesure avec l'irrégularité ayant précédé ou accompagné sa constatation.

Concrètement, le juge sera amené à mettre en balance la gravité de l'infraction commise par le travailleur et l'atteinte au droit à sa vie privée par l'employeur.

Si par exemple le travailleur s'est rendu coupable de fraude ou de concurrence déloyale, le juge se montrera moins sévère vis-à-vis de l'employeur qui n'aurait pas respecté les prescrits de la CCT n° 81 que si le travailleur a simplement envoyé trop d'e-mails privés, auquel cas l'employeur devra impérativement avoir respecté les prescrits de la CCT n° 81 pour pouvoir produire ces e-mails en justice.

Sanctions pénales

La CCT n° 81 ne contient en elle-même aucune sanction frappant l'employeur qui violerait ses dispositions. Toutefois, l'article 189 du Code pénal social punit d'une sanction de niveau 1[2] l'employeur qui a commis une infraction à une CCT rendue obligatoire et qui n'est pas déjà sanctionnée par un autre article du Code pénal social. Il en résulte que toute violation d'une des dispositions de la CCT n° 81 est passible de sanctions pénales. Signalons toutefois que dans la pratique, les poursuites pénales sont assez rares.

Dommages et intérêts

Le travailleur pourrait réclamer des dommages et intérêts pour violation de son droit à la vie privée. Toutefois les montants qu'il pourrait ainsi obtenir seraient de type "dommage moral" et ne constitueraient pas une réelle protection pour le travailleur.



[1] Jurisprudence dite "Antigone", développée suite à l'arrêt de la Cour de Cassation du 14 octobre 2003.

[2] Pour plus d'information sur les sanctions reprises dans le Code pénal social, voir notre dossier "Code pénal social".

Que disent les Cours et Tribunaux ?

Cour du travail de Bruxelles, 9 septembre 2016

Dans cet arrêt, la Cour du travail de Bruxelles a estimé qu'un licenciement pour motif grave n'était pas valable parce que le contrôle, par l'employeur, du contenu des mails du travailleur constituait une violation de son droit à la vie privée. La preuve ainsi obtenue ne pouvait donc pas être utilisée en droit.

Dans l'affaire qui a été portée devant la Cour, le travailleur avait averti l'employeur de son incapacité de travail et lui avait demandé d'assurer le suivi de 2 rendez-vous. A cette fin, l'employeur a ouvert la messagerie du travailleur. Il y a trouvé des mails d'ordre privé, les a lus, et a utilisé leur contenu pour licencier le travailleur pour motif grave.

Le Cour du travail a estimé que ceci constituait une violation de la vie privée du travailleur (article 8 du Traité européen des Droits de l'Homme), étant donné que le travailleur pouvait raisonnablement espérer que l'employeur ne prendrait pas connaissance de ses mails privés, même si ceux-ci se trouvaient sur l'ordinateur professionnel du travailleur.

La Cour a aussi jugé que l'employeur ne pouvait pas utiliser en droit une preuve obtenue illégalement, parce que l'infraction de l'employeur n'était pas proportionnelle à ce que ce dernier a constaté lors de son contrôle. Bien que l'employeur a découvert les messages privés par hasard, cela ne lui octroyait pas le droit d'en vérifier le contenu sans obtenir l'accord des parties concernées, ni de profiter de l'occasion pour consulter la messagerie du travailleur en vue d'y trouver d'autres mails privés et de prendre connaissance de leur contenu.

CEDH, 5 septembre 2017, Bărbulescu c. Roumanie

Dans son arrêt du 5 septembre 2017, la Cour européenne des droits de l’homme (CEDH) estime que le contrôle des e-mails et de la messagerie instantanée d’un travailleur est une violation de la vie privée de ce dernier[1].

Les faits se déroulent en Roumanie où un employeur avait demandé à son travailleur de créer un compte Yahoo Messenger afin de répondre aux questions de ses clients.

Pour ce faire, l’employeur avait prévu dans un règlement intérieur que les ressources de l'entreprise (dont les ordinateurs) ne pouvaient être utilisés qu'à des fins professionnelles. L’employeur a ensuite procédé au contrôle de ce compte et ce contrôle a révélé que le travailleur a utilisé ses mails pour des questions privées, notamment avec sa fiancée et son frère. Le travailleur a, dans un premier temps, nié cette utilisation privée.

C’est pour ces faits que l’employeur a décidé de licencier le travailleur pour infraction au règlement intérieur de la société qui interdisait l’usage des ressources de celle-ci à des fins personnelles.

Le travailleur a contesté la décision de son employeur devant les tribunaux, en alléguant que cette décision était entachée de nullité car son droit à la correspondance avait été violé suite à la consultation de ses communications.

Après que le travailleur ait été débouté tant devant le tribunal que la cour nationale, la Cour européenne des droits de l’homme (CEDH) avait estimé que le fait qu’un employeur souhaite vérifier que ses employés accomplissent leurs tâches professionnelles pendant les heures de travail n'était pas abusif. Elle a par ailleurs relevé que l’employeur a accédé au compte de son travailleur en pensant qu’il contenait des communications de ce dernier avec ses clients.

La Grande Chambre a révisé ce jugement et conclu, en date du 5 septembre 2017, qu’il est effectivement question de violation. Même si l’employeur est autorisé à contrôler si les travailleurs accomplissent leurs tâches de manière professionnelle et consciencieuse, ce type de contrôle peut constituer une violation du droit au respect de la vie privée.

Il est dès lors important, lors de l’évaluation d’une éventuelle atteinte au droit à la vie privée, de prendre en compte l’intérêt économique de l’employeur, d’une part, et le droit à la vie privée du travailleur, d’autre part. À cet égard, il convient d’examiner différents aspects :

  • Le travailleur a-t-il été informé préalablement de la possibilité qu’a son employeur de contrôler ses communications ?
  • Sur quoi porte précisément le contrôle, sur tous les e-mails ou sur certains d’entre eux seulement ?
  • L’employeur a-t-il une raison suffisamment sérieuse pour légitimer ses actes ?
  • Existait-il une manière moins intrusive d’atteindre le même objectif ?
  • Les conséquences pour le travailleur et le résultat du contrôle sont-ils proportionnés à l’objectif poursuivi par l’employeur ?
  • Le droit du travailleur a-t-il été suffisamment protégé par rapport au type de mesure ?

Un employeur peut toujours, sous certaines conditions, contrôler les e-mails ou licencier un travailleur s’il ne se conforme pas aux règles internes, mais il doit respecter un juste équilibre entre les intérêts en jeu et les principes de la protection de la vie privée.

Cour du travail de Liège (div. Namur), 17 novembre 2015

En matière de contrôle du contenu des fichiers, l’arrêt du 17 novembre 2015 de la Cour du travail de Liège (div. Namur) a jugé que bien que "La vie privée peut également englober la sphère professionnelle[2]. Il existe en effet une zone d’interaction entre l’individu et autrui qui, même dans un contexte public, peut relever de la "vie privée"[3].

La vie privée n’est cependant protégée que pour autant que la personne en cause ait pu nourrir l’espérance que son droit à la protection s’appliquait à la situation rencontrée et que cette espérance puisse être considérée comme raisonnable eu égard aux faits de la cause et à l’état des mentalités[4].

L’absence d’identification comme ayant un caractère privé de fichiers détenus par un travailleur est ainsi un des critères d’appréciation de cette attente raisonnable[5], de même que leur dépôt sur le disque dur d’un ordinateur professionnel plutôt qu’à usage privé, et mis à disposition par l’employeur qui en est le propriétaire[6] ou encore le caractère strictement professionnel, plutôt qu’intime ou personnel, des documents en cause".

Dans les faits de la cause, un travailleur a été licencié pour motif grave après que son employeur ait découvert qu’il exerçait une activité concurrente à celle de la société. Cette découverte a été faite suite à la demande de l’employeur à son travailleur d’ouvrir et d’imprimer des fichiers de nature exclusivement professionnelle et stockés, sans indication d’un caractère privatif, sur le disque dur des ordinateurs qui étaient la propriété de cet employeur et mis à la disposition du travailleur. Cette demande a été effectuée en présence d’un huissier de justice et le travailleur y a accédé sans émettre de réserve ni être soumis à une quelconque contrainte.

Cour du travail de Bruxelles, 4 août 2016

Les mails que l'employeur voulait utiliser à l'encontre de son travailleur ont été considérés par la Cour comme une preuve obtenue illégalement étant donné que les dispositions de la CCT n° 81 et de la loi du 13 juin 2005 relative aux communications électroniques sont applicables aux communications électroniques online. L'employeur avait eu accès à ces mails via l'historique du browser de l'ordinateur portable utilisé par le travailleur. Les documents trouvés sur le disque dur n'ont en revanche pas été considérés comme un moyen de preuve illégal parce qu'ils ont été" trouvés sur le disque dur d'un ordinateur ayant été mis à la disposition du travailleur par l'employeur.

La Cour du travail de Bruxelles a dû se prononcer, ici, sur une affaire dans laquelle le travailleur avait par ailleurs été licencié pour motif grave quand son employeur s'est rendu compte qu'il exerçait une activité concurrente dans une autre société. Après qu'un document suspect avait été trouvé sur l'imprimante, il a été demandé au travailleur, en présence d'un huissier de justice, de remettre l'ordinateur portable qui avait été mis à sa disposition par l'employeur afin que le disque dur de celui-ci puisse être copié.

Cour du travail de Bruxelles, 12 juin 2015

Dans son arrêt, la Cour du travail de Bruxelles effectue une distinction entre les moyens de preuve abusifs et les moyens de preuve obtenus de manière abusive. Tandis que les moyens de preuve abusifs devront toujours être écartés des débats, les moyens de preuve obtenu de manière abusive pourront se voir appliquer le test Antigone.

Il ressort dès lors de l’arrêt de la Cour du travail de Bruxelles que des courriers obtenus en violation de la vie privée, sont des moyens de preuve abusifs et ne peuvent être utilisés comme moyens de preuve.

Les faits de la cause concernent notamment l’utilisation au titre de moyen de preuve d’un e-mail expédié à l’adresse mail privée d’un travailleur. Vu les incertitudes qui entourent la façon dont ce mail a été mis à la disposition de l’employeur, la Cour refuse de le prendre en compte.

Cour du Travail de Bruxelles, 7 février 2013

Les faits soumis à la Cour concernaient un représentant du personnel au conseil d'entreprise licencié pour motif grave sur la base de plusieurs éléments : exercice d'une activité parallèle pendant les heures de travail, utilisation des outils informatiques et de son adresse mail professionnelle pour l'exercice de cette activité, violation du caractère confidentiel des informations reçues dans le cadre de sa mission de représentant au conseil d'entreprise. Pour prouver ces faits, l'employeur s'était basé sur une série de mails découverts par un collègue du représentant du personnel pendant l'absence de celui-ci pour cause de maladie.

En première instance, le tribunal du travail a estimé que ces mails ne pouvaient pas être utilisés comme preuve à l'appui du motif grave. La Cour a suivi ce raisonnement.

En effet, la Cour a jugé que l'employeur n'avait pas respecté le droit du travailleur au respect de sa vie privée. Elle est d'avis qu'il peut uniquement être tenu compte des mails que leur destinataire a permis de consulter (ce qui n'était pas le cas en l'espèce) ou découverts de manière tout à fait fortuite (ce qui n'était pas plus le cas, les mails n'ayant pas de caractère professionnel et ne pouvant être considérés comme urgents parce qu'ils étaient classés dans les 'sent items').

La Cour en a conclu que la preuve du motif grave avait été obtenue de manière illicite. Elle est donc irrecevable.

Cet arrêt est intéressant au regard de la jurisprudence récente de la Cour de Cassation[7], qui a jugé dans plusieurs affaires que la preuve obtenue de manière illicite pouvait être prise en compte pour autant qu'il n'y ait pas de violation d'une formalité prescrite à peine de nullité ou du droit à un procès équitable.

La Cour du Travail de Bruxelles n'a pas voulu appliquer cette jurisprudence en matière de droit du travail.

Cour du Travail de Bruxelles, 28 mars 2012

Les faits soumis à la Cour concernaient une employée qui avait été licenciée pour motif grave, suite à la découverte "fortuite" par son employeur (dans la boîte mail professionnelle de l’intéressée) d’e-mails privés contenant des propos racistes et injurieux envers des collègues et supérieurs.

Dans cette affaire, la Cour a estimé que la preuve recueillie (consistant dans la production des e-mails injurieux) était illicite. En effet selon la Cour, la découverte de ces e-mails par l’employeur avait été tout à fait fortuite et la consultation de ces e-mails n’avait été commandée par aucun soupçon ni autre motif sérieux. Pour la Cour, les e-mails étaient identifiables tant en ce qui concernait l’expéditeur que le destinataire et le responsable qui avait consulté ceux-ci devait manifestement savoir que ceux-ci ne lui étaient pas destinés. Par conséquent, il s’agissait d’une intrusion inacceptable dans la vie privée de l’employée, hors de proportion avec la gravité des faits reprochés.

Cour du Travail de Liège, 22 octobre 2010

La Cour du travail de Liège a donné raison à l’employeur qui avait licencié un travailleur pour motif grave parce que ce dernier (responsable de la sécurité dans un aéroport) passait son temps à regarder la télévision sur les moniteurs de surveillance (son outil de travail) et à jouer à des jeux sur ordinateur. La Cour a en effet estimé qu’un tel comportement aurait pu mettre en péril la poursuite de l’activité de l’entreprise.

Cour du Travail de Bruxelles, 13 novembre 2009

Il s’agit ici d’un contrôle exercé par un employeur sur le contenu des sms envoyés par un de ses travailleurs. Il n’y a pas encore beaucoup de jurisprudence à cet égard mais les décisions les plus récentes vont dans le même sens que celles qui concernent le contrôle des données électroniques.

Dans son arrêt du 13 novembre 2009, la Cour a ainsi décidé que le droit à la protection de la vie privée n’était pas un droit absolu et qu’en l’espèce, la gravité des injures justifiait que l’employeur puisse contrôler le contenu des sms envoyés par son travailleur.

Cour du travail d’Anvers, 9 septembre 2008

La Cour d’appel d’Anvers a donné gain de cause à l’employeur qui avait licencié son travailleur pour faute grave parce que celui-ci avait utilisé abusivement le net à des fins privées pendant les heures de travail.

Dans son arrêt, la Cour a considéré que le contrôle opéré par l'employeur était proportionnel et que celui-ci était en droit de retracer le travailleur à l'origine des anomalies étant donné les circonstances suivantes:

  • lors du contrôle anonyme opéré dans un premier temps par l'employeur, celui-ci a constaté qu'un travailleur avait eu un usage particulièrement bas du nouveau firewall installé. Il n'était pas déraisonnable pour lui de procéder à l'individualisation de ce travailleur ;
  • lorsqu'il a constaté que le travailleur concerné occupait un poste dans le cadre duquel il devait normalement régulièrement avoir accès à internet (il s'agissait en effet du manager ICT), il était normal que, soupçonnant des abus, l'employeur poursuive ses recherches ;
  • dans le cadre de celles-ci, l'employeur a découvert que le travailleur s'était connecté à internet via un ancien "firewall" moins sécurisé. Le bon fonctionnement du réseau informatique était par conséquent menacé ;
  • le règlement interne de l'entreprise, qui disposait qu'un usage internet à des fins privées était interdit pendant les heures de travail, avait été bafoué. En effet, le travailleur avait pendant deux jours surfé sur le net à des fins presqu'exclusivement privées, "chatté" et envoyé des mails privés.

A l'objection que l'employeur n'était pas en droit, dans le cadre de son contrôle individualisé, de consulter le contenu des données collectées relatives au travailleur licencié, la Cour a répondu qu'il n'était en pratique pas possible, dans le cadre d'un contrôle individualisé, de ne pas avoir accès à ce contenu.

Etant donné les diverses circonstances de la cause, notamment l'usage abusif que le travailleur avait fait de l'internet et du mail pendant les heures de travail[8] et la circonstance qu'il avait voulu se soustraire à un éventuel contrôle en accédant au net via l'ancien "firewall", la Cour a estimé que la confiance de l'employeur était définitivement rompue par la faute du travailleur.  Elle a donc accepté le licenciement pour motif grave.

Cour du travail de Bruxelles, 28 novembre 2006

Au cours d’un contrôle de routine du serveur de l’employeur, des images à caractère érotique ou pornographique, composant des sites Internet complets ont été découvertes dans le fichier d’un travailleur (A). Ce dernier était l’auteur des sites Internet en question.

Suite à cette découverte, un autre travailleur (B) a explicitement reconnu être personnellement impliqué dans l’activité d’un site en particulier, en association avec son collègue (A). L’employeur a par ailleurs découvert que ce travailleur B était le contact administratif et technique pour le site. L’employeur en déduit que le travailleur B exerce, contre rémunération, une activité qui consiste au moins à administrer et à gérer techniquement un site Internet dont l’objet est l’offre de « services » de prostitution.

Sur base de ces faits, le travailleur B a été licencié pour motif grave.

Le Tribunal du travail a, par jugement du 24 octobre 2005, débouté le travailleur B. Il a entre autres écarté les moyens et arguments du travailleur B relatifs à la prétendue violation de la vie privée et au caractère illicite de la preuve des faits litigieux. Il a, à ce propos, considéré qu'il n'y avait pas eu ingérence dans la vie privée du travailleur dès lors que l'employeur a pris connaissance de manière tout à fait fortuite, au cours d'un contrôle de routine parfaitement justifié, de la présence de fichiers suspects et d'un très grand nombre de photos stockées.

La Cour du travail de Bruxelles a considéré qu'il n'apparaît pas que le travailleur puisse se prévaloir du fait que le système de sauvegarde a été institué à l'insu du personnel de l’entreprise.

Il est en effet institué afin, d'une part de pouvoir conserver en lieu sûr les données et fichiers, à caractère professionnel, de chaque employé, dans l'hypothèse où l'ordinateur portable serait endommagé, rendu inutilisable ou volé et, d'autre part, de pouvoir utiliser ces données professionnelles en cas d'absence ou de départ de l'employé de la société.

En ce qui concerne les circonstances dans lesquelles l’employeur a eu accès aux données litigieuses, pour la Cour du travail de Bruxelles, c'est bien de manière tout à fait fortuite que l’employeur a été amené à prendre connaissance de fichiers qui se trouvaient sur l'ordinateur portable en question.

Dans les faits de la cause, la Cour écarte par ailleurs l’application des articles 314 bis du Code pénal et 109 ter D de la loi du 19 mars 1991, ainsi que celle de la CCT n° 81. Pour la Cour, cette dernière ne s'applique en effet pas lorsque l'employeur a pris connaissance de façon involontaire, de données, et particulièrement lorsque ces données sont présumées avoir un caractère professionnel.

Cour du travail de Bruxelles, 3 mai 2006

Dans une autre affaire qui lui fut soumise, la Cour du travail de Bruxelles a également décidé qu'était illégale la preuve d'un prétendu motif grave (un acte de concurrence déloyale) obtenue par la production d’e- mails et de documents à caractère personnel stockés par le travailleur sur l'ordinateur mis à sa disposition par la société. La Cour argumenta sa décision par le fait que l'employeur avait procédé à l'examen de l'ordinateur à l'insu du travailleur et qu'il n'avait pas précisé les circonstances et le but du "contrôle de routine " auquel il avait procédé. La Cour a estimé que les aveux obtenus par la production de pièces illicites ne pouvaient par ailleurs pas non plus être retenus.

Cour du travail de Bruxelles, 8 avril 2003

Un employé qui avait passé plus de 70 heures à surfer sur des sites internet n’ayant aucun lien avec son activité professionnelle (sites boursiers, de tourisme, gastronomiques) et ce, dans un laps de temps de 17 jours, a été licencié pour motif grave, vu son absentéisme virtuel d’environ 4 heures par jour.

Saisie de la question, la Cour du travail a estimé que le licenciement pour motif grave n’était pas fondé.

En effet, selon la Cour, attribuer à une personne en particulier la consultation de certains sites n’est autorisé que si le travailleur a été correctement averti de la possibilité de contrôle de son comportement internet et pourvu que les exigences de pertinence et de proportionnalité soient respectées. Cette condition n’ayant, en l’espèce, pas été respectée, les données récoltées ne pouvaient être utilisées afin de justifier le motif grave du licenciement.

Conclusion

En conclusion, bien que la jurisprudence soit relativement disparate sur cette question délicate du contrôle par l’employeur de l’utilisation par ses travailleurs des outils électroniques mis à leur disposition, on constate que la plupart du temps, les juges vérifient le respect par l’employeur des principes repris dans la CCT n° 81 avant de décider si l’employeur est en droit d’invoquer en justice tel ou tel mail de son travailleur.

Par ailleurs, les juges font souvent une mise en balance entre la gravité des faits commis par le travailleur et l’irrégularité commise par l’employeur.

Enfin, même si l’on considère les arrêts de la Cour du travail de Bruxelles du 7 février 2013 et du 12 juin 2015, une preuve illégalement obtenue n’est plus nécessairement écartée.

 


[1] Non-violation de l’article 8 (droit au respect de la vie privée et familiale, du domicile et de la correspondance) de la Convention européenne des droits de l’homme.

[2] Cr.E.D.H., 16 décembre 1992, Niemletz, § 29, R.T.D.H., 1993n p. 467 et obs. P. Lambert et F. Rigaux.

[3] Cr.E.D.H, 25 septembre 2001, P.G. et J.H., § 56.

[4] Cr.E.D.H., 25 juin 1997, Halford, § 45 ; Cr.E.D.H., 26 juillet 2007, Peev, § 39 ; Cr.E.D.H., 3 avril 2007, Copland, § 42 ; Cr.E.D.H., 17 juillet 2003, Perry, §§ 37 à 42 ; Cr.E.D.H., 25 septembre 2001, P.G. et J.H., § 57 ; Cr.E.D.H., 24 septembre 2009, Von Hannover, § 51 ; Voy. Aussi, Cass., 9 septembre 2008, n°P.08.0276.N, juridat, avec les concl. De l’av. gén. Timperman ; F. Kéfer et S. Cornélis, «L’arrêt Copland ou l’espérance légitime du travailleur quant au caractère privé de ses communications», R.T.D.H., 2009, p. 770 ; F. Raepsaet, «Les attentes raisonnables en matière de vie privée», J.T.T., 2011, p. 145.

[5] Voy. les arrêts de la Cour de cassation de France cités par R. Robert et K. Rosier, op. cit., p. 344.

[6] C. trav. Liège (sect. Namur), 11 janvier 2007, R.G. : 8.038/2006, juridat : «Sauf s’il s’agit de courrier privé, ce qui n’est pas le cas en espèce, un document personnel, tel qu’un tableau des revenus et des charges du ménage, enregistré sur le disque dur de l’ordinateur de l’appelante peut par contre être produit par l’employeur qui en prend connaissance sur l’ordinateur mis à disposition de l’employée. La production d’un tel document ne viole pas le droit au respect de la vie privée. En l’enregistrant sur le disque dur de l’ordinateur appartenant à l’entreprise, l’intimée a pris le risque de le voir porter à la connaissance de toute personne appelée à se servir de cet ordinateur qui ne lui appartient pas.» ; C. trav. Liège, 20 septembre 2010, R.G. : 2007/AL/39.907 : «La société appelante n’a nullement enfreint ce respect en prenant connaissance, au départ du disque dur d’un ordinateur lui appartenant, de documents consultables sans code d’accès, qui n’étaient signalés d’aucune manière comme personnels aux deux intéressées. Ces documents peuvent en outre être produits puisque leur contenu ne relevait pas de leur vie privée, familiale et extra-professionnelle, c’est-à- dire entièrement étrangère à leur contrat de travail, présentant au contraire un lien avec l’exécution des obligations nées de ce contrat».

[7] Voyez par exemple les arrêts du 2 mars 2005 (surveillance pas caméra) et du 10 mars 2008 (chômage). La Cour du travail de Bruxelles (dans un arrêt du 15 juin 2006) et Cour du travail de Liège (dans un arrêt du 6 mars 2007) sont néanmoins restées prudentes et n'ont pas suivi ce raisonnement.

[8] Le travailleur n'a pas consulté de sites contraires aux "bonnes mœurs" mais l'usage privé qu'il a fait de l'internet pendant les heures de travail était manifestement abusif.

Une recommandation de l'Autorité de Protection des données

Face aux difficultés d’interprétation de la législation et de la jurisprudence actuelle en la matière, l'Autorité de Protection des données (ci-après : APD), ancienne Commission pour la protection de la vie privée, a émis le 2 mai 2012 une recommandation.

Dans cette recommandation, l'APD analyse tout d’abord l’état de la législation et de la jurisprudence actuelles, pour ensuite suggérer aux employeurs quelques bonnes pratiques, qui doivent leur permettre d’exercer un certain contrôle des moyens de communication électronique, tout en respectant la vie privée de leurs travailleurs.

Cette recommandation n’est pas contraignante. Elle pourra toutefois servir de ligne directrice aux Cours et Tribunaux appelés à se prononcer sur des dossiers de cyber-surveillance.

A titre de recommandation générale de base, l'APD conseille à l’employeur d’élaborer au maximum des règles préventives ainsi que des procédures préventives (par exemple pour le classement de courriers électroniques privés/professionnels, de documents, de fichiers) afin d’éviter que l’employeur ne doive accéder à des informations personnelles des travailleurs.

Dans sa liste de bonnes pratiques, l'APD recommande par ailleurs :

  • d’informer correctement les travailleurs à propos des règles applicables dans l’entreprise ;
  • d’exclure des activités certaines opérations dangereuses (blocage de sites "dangereux", …)
  • de ne pas prendre de décision importante à l’encontre du travailleur sur la seule base des informations collectées lors d’un contrôle ;
  • ou encore de prévoir des règles de fonctionnement en cas d’absence du travailleur ou lorsqu’un travailleur quitte l’entreprise.

La liste complète de toutes les bonnes pratiques suggérées par l'APD peut être consultée dans sa recommandation, publiée sur son site internet[1].

L'APD a également établi une brochure pratique reprenant des questions récurrentes en matière de cyber-surveillance.

Il est possible de télécharger cette brochure via le site de l'Autorité de Protection des données.

 


[1] Recommandation 08/2012 du 2 mai 2012. Vous pouvez la consulter sur le site de l'Autorité de Protection des Données.

Le règlement internet, un must

Au vu de la jurisprudence rappelée ci-dessus ainsi que de la recommandation de l'Autorité de Protection des données, nous ne pouvons que recommander à tout employeur qui souhaite pouvoir contrôler l’utilisation par ses travailleurs des outils électroniques mis à leur disposition de suivre les principes et la procédure prescrits par la CCT n° 81.

Pour ce faire, l’établissement d’un "règlement internet" est un must.

Securex a rédigé un modèle de "règlement internet" qui reprend tous les aspects mentionnés par la CCT n° 81. Ce modèle peut être obtenu en prenant contact avec votre Legal Advisor. Ce modèle est également disponible sur notre e-Shop : shop.securex.be.

Suivez la check-list

Les étapes à suivre

Pour pouvoir contrôler en toute légalité l’utilisation par les travailleurs des outils électroniques sur le lieu de travail, nous conseillons de suivre les étapes suivantes :

  • établissement d’un règlement internet / d’une social media policy ;
  • modification des documents pertinents (contrat de travail, règlement de travail, circulaires, annexes) ;
  • information auprès du personnel sur le contenu du règlement internet et sur le traitement de leurs données personnelles ;
  • information auprès des personnes appelées à exercer le contrôle ;
  • aménagements spéciaux des accès aux outils en cas d’absence ou de départ d’un employé ;
  • mention de sanctions appropriées dans le règlement de travail.

Le règlement internet doit-il faire partie du règlement de travail ?

Le règlement internet peut (ceci n’est donc pas obligatoire) faire partie intégrante du règlement de travail et, à ce titre, figurer parmi les annexes de celui-ci.

Ceci offre plusieurs avantages, notamment :

  • permettre à l’employeur de sanctionner l’usage du courrier électronique et de l’internet contraire aux directives déterminées au sein de l’entreprise par l’application des sanctions disciplinaires énoncées dans le règlement de travail. Ces sanctions ne peuvent en effet trouver à s’appliquer qu’aux manquements expressément prévus dans le règlement de travail ;
  • ne pas multiplier les règlements existant au sein de l’entreprise en centralisant toutes les directives à l’attention des travailleurs dans un seul document.

Il ne faut toutefois pas oublier, lorsque l’on modifie le règlement de travail, de suivre la procédure telle que prévue par la loi du 8 avril 1965 sur les règlements de travail[1].

On peut également choisir d’annexer le règlement internet au contrat de travail de chaque travailleur individuellement ou, tout simplement, le considérer comme un document applicable à tous les travailleurs de l’entreprise, mais ne faisant pas partie du règlement de travail. Dans ce cas, il est à tout le moins conseillé de faire figurer l’usage abusif de l’internet et du courrier électronique dans la liste des motifs graves du règlement de travail.

 


[1] Vous en trouverez le détail dans le vade-mecum qui accompagne le règlement de travail Securex.

Quelles sont les principales références légales ?

  • Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
  • Convention collective de travail n° 81, relative à la protection de la vie privée des travailleurs à l’égard du contrôle des données de communication électronique en réseau