[Tribune] Licenciement : les salariés peuvent-ils encore être sanctionnés pour l'envoi de mails privés ?

Le 5 septembre dernier, la Grande chambre de la Cour européenne des droits de l'Homme (CEDH) a rendu une décision contraire à celle prise précédemment dans la même affaire par une formation de chambre de la CEDH sur le pouvoir de l'employeur en matière de surveillance des communications électroniques individuelles. Un salarié roumain a été licencié en 2007 pour avoir utilisé pendant ses heures de travail, pour des échanges personnels, son compte de messagerie instantané Yahoo Messenger professionnel.

Un faisceau de critères pour apprécier la légalité de la surveillance

S'appuyant sur son règlement intérieur qui interdisait tout usage personnel des outils professionnels, l'employeur l'avait sanctionné après avoir découvert l'existence de communications personnelles grâce à un système de surveillance qui enregistrait et sauvegardait de manière instantanée les flux et les contenus des messages et qui avait été mis en place sans que les salariés n'en aient été informés préalablement.

Jugeant qu'il y avait eu violation de l'article 8 de la Convention européenne des droits de l'homme qui protège le droit à la vie privée et les correspondances, la Grande chambre édicte dans son arrêt un faisceau de critères permettant d'apprécier la légalité d'un système de surveillance : information du salarié préalable et claire quant à la nature du système ; étendue de la surveillance opérée et degré d'intrusion dans la vie privée ; motifs légitimes justifiant la surveillance ; possibilité de mettre en place un système moins intrusif ; conséquences de la surveillance pour le salarié qui en a fait l'objet ; garanties adéquates offertes au salarié ; accès du salarié à une voie de recours juridictionnelle.

Quel impact sur le droit du travail français ?

L'impact de cette décision sur les pratiques des chefs d'entreprise français devrait rester marginal, à condition toutefois qu'elles soient conformes aux exigences posées par le droit positif national. Pour rappel, la mise en place d'un système de surveillance individuelle suppose le respect d'un certain nombre de garanties visant à protéger le droit à la vie privée et le secret des correspondances des salariés.

Ces garanties sont principalement les suivantes : information individuelle des salariés préalable à la mise en place du système (article L.1222-4 du Code du travail) concernant sa finalité, les destinataires des données, leur durée de conservation et le droit d'accès au contenu ; information/consultation préalable des institutions représentatives du personnel (cf. notamment article L.2323-47 du Code du travail) ; déclaration préalable auprès de la CNIL ; interdiction de prendre connaissance des documents/courriels identifiés par le salarié comme étant personnels. Par ailleurs, la surveillance doit être justifiée par des motifs légitimes (par exemple suspicion de fuite de données confidentielles) et sa mise en oeuvre proportionnée à l'objectif poursuivi, c'est-à-dire limitée à ce qui est strictement nécessaire.

Plus globalement, s'agissant des règles d'utilisation des outils numériques à mettre en place par le chef d'entreprise, il est clair que se contenter d'interdire tout usage personnel de ces outils dans un règlement intérieur risque d'être non seulement inopposable aux salariés puisqu'une utilisation raisonnable est tolérée, mais également totalement insuffisant.

Une tendance européenne à la protection de la vie privée au travail

En effet, la tendance prise par le droit européen est manifestement celle d'un renforcement de la protection du droit au respect de la vie privée au travail et des données personnelles. On le voit avec cette décision de la Grande chambre de la CEDH qui a, ce qui est rare, pris le contre-pied de sa formation de chambre, en énonçant notamment que "les instructions d'un employeur ne peuvent pas réduire à néant l'exercice de la vie privée sociale sur le lieu de travail".

On le voit également avec le règlement général européen sur la protection des données (RGDP) qui entrera en vigueur le 25 mai 2018. Aussi, plutôt qu'une simple interdiction d'un usage personnel des outils, c'est l'adoption d'un véritable dispositif de protection des données personnelles et l'établissement d'une charte circonstanciée réglementant l'utilisation des systèmes d'information de l'entreprise et posant des règles transparentes sur les modalités de contrôle de l'activité numérique des salariés qui constituent les mesures les plus efficaces pour sécuriser au mieux le chef d'entreprise.