L’employeur qui envisage de contrôler l’utilisation par ses salariés de l’outil informatique et plus particulièrement d’Internet, doit respecter le cadre légal relatif à la surveillance des salariés, déterminé au Luxembourg par certaines dispositions de la loi du 2 aout 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel (la Loi Données Personnelles) ainsi que par l’article L. 261-1 du Code du travail.
La Cour d’appel siégeant en matière de droit du travail, a, dans une récente décision du 12 novembre 2015, eu à se prononcer sur le contrôle effectué par l’employeur sur l’utilisation d’Internet par ses salariés. Avant d’analyser les solutions dégagées par la Cour dans son arrêt, il convient de rappeler les principes applicables au contrôle de l’utilisation d’Internet sur le lieu de travail.
Dans le cadre de l’exécution du contrat de travail, l’employeur, en tant que responsable de traitement de données (c'est-à-dire celui qui détermine les finalités et les moyens du traitement de données personnelles) est amené à traiter les données personnelles (toute information de quelque nature qu’elle soit, concernant une personne identifiée ou identifiable) relatives à ses salariés.
Parmi les traitements de données que l’employeur peut être amené à mettre en œuvre, ceux relatifs à la surveillance des salariés sont particulièrement encadrés par la loi.
La Loi Données personnelles définit la surveillance comme étant « toute activité qui, opérée au moyen d’instruments techniques, consiste en l’observation, la collecte ou l’enregistrement de manière non occasionnelle des données à caractère personnel d’une ou de plusieurs personnes, relatives à des comportements, des mouvements, des communications ou à l’utilisation d’appareils électroniques et informatisés ».
Le traitement de données à des fins de surveillance sur le lieu de travail est un traitement particulier de données soumis à autorisation préalable de la Commission nationale pour la protection des données (CNPD), conformément à l’article 14 de la Loi Données personnelles.
Les mesures de surveillance mises en place par l’employeur peuvent inclure de nombreux cas de figure, notamment : la vidéosurveillance, la surveillance du courrier électronique, l’enregistrement des conversations téléphoniques des salariés, le contrôle électronique des accès par les salariés, la surveillance électronique des horaires de travail, et donc également la surveillance de l’utilisation d’Internet.
L’article 11 de la Loi Données personnelles dispose que « le traitement à des fins de surveillance sur le lieu de travail ne peut être mis en œuvre par l’employeur, s’il est le responsable du traitement, que dans les conditions visées à l’article L. 261-1 du Code du Travail ». Ledit article L. 261-1 du Code du Travail prévoit que le traitement de données à des fins de surveillance sur le lieu de travail n’est possible que dans cinq cas précis, et en particulier pour les besoins de protection des biens de l’entreprise, cas d’ouverture qui peut être invoqué par les responsables de traitements pour justifier une surveillance de l’utilisation d’Internet par les salariés.
Il est admis par la CNPD1 (qui se réfère sur ce point aux travaux parlementaires effectués dans le cadre de l’adoption de la Loi Données personnelles2) que relèvent de la protection des biens de l’entreprise les moyens de surveillance destinés à assurer la sécurité et le bon fonctionnement technique des systèmes informatiques de l’entreprise, ainsi que la protection physique des installations de l’entreprise (par exemple la propagation de virus).
En outre, la CNPD considère que la protection des biens de l’entreprise inclut les biens incorporels comme les droits de propriété intellectuelle, les secrets d’affaires et de fabrication ainsi que les informations auxquelles est attaché un caractère de confidentialité.
L’article 4 de la Loi Données personnelles exige que le responsable du traitement s’assure que les données qu’il traite le sont loyalement et licitement. Cette exigence s’applique à tout type de traitement de données et donc également à la surveillance d’Internet mise en place par l’employeur. En particulier l’employeur doit s’assurer que les données sont : collectées pour des finalités déterminées, explicites et légitimes, exactes, adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées.
L’employeur devra en outre, avant leur mise en place, informer ses salariés des mesures de surveillances envisagées et de la manière dont ils sont autorisés à utiliser Internet à des fins professionnelles et privées (durée, interdiction de consultation de certains sites web, mesures de blocage).
Si l’employeur est présumé fournir à ses salariés l’accès à Internet pour une utilisation professionnelle, cela ne signifie pas pour autant que les salariés seraient exclus de toute protection.
La confidentialité des communications est garantie tant au niveau international par la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, qu’au niveau européen par deux directives, et au niveau national, notamment par l’article 4 de la loi du 30 mai 2005 relative aux dispositions spécifiques de protection de la personne à l’égard du traitement des données à caractère personnel dans le secteur des communications électroniques.
Selon cet article, tout fournisseur de services ou opérateur garantit la confidentialité des communications effectuées au moyen d’un réseau de communications public et de services de communications électroniques accessibles au public, ainsi que la confidentialité des données relatives au trafic y afférentes. Cette disposition implique que l’employeur est tenu de respecter le principe de confidentialité des communications de ses salariés, auquel il est soumis, ceci même pour une utilisation d’Internet dans un cadre professionnel.
Avant d’envisager de mettre en place des mesures de surveillance, l’employeur doit s’assurer qu’elles ne sont pas disproportionnées par rapport au but recherché. En effet, la CNPD3, sur ce point, précise que le principe de proportionnalité requiert que la méthode de surveillance soit pondérée en fonction des risques concrets que le responsable veut prévenir. Un contrôle général a priori de toutes les données de communication, ainsi qu’un enregistrement de toutes données quelconques dans un but de surveillance, est considéré comme disproportionné.
De plus, même en cas d’interdiction totale de l’utilisation des outils informatiques à titre privé, le responsable du traitement n’a en principe pas le doit de contrôler l’usage de manière continue. Un tel contrôle constitue une ingérence radicale et non proportionnée pour les collaborateurs.
La jurisprudence4 reconnait que les travailleurs doivent bénéficier également sur leur lieu de travail et pendant les heures de travail payées par l’employeur d’une sphère résiduelle de vie privée les protégeant contre une surveillance excessive de la part de l’employeur. Il est admis que le principe de proportionnalité exige que les mesures de contrôle se limitent à une surveillance ponctuelle et le respect d’une graduation dans l’intensification de la surveillance qui doit être justifié chaque fois par des indices et soupçons préalablement détectés.
Il n’est donc pas envisageable pour l’employeur, même en ayant obtenu une autorisation de la CNPD, de procéder à une surveillance généralisée de l’utilisation d’Internet par le salarié.
La Cour d’appel siégeant en matière de droit du travail5, a eu à se prononcer, sur le contrôle par l’employeur, de l’utilisation d’Internet par une salariée.
En l’occurrence, l’employeur a licencié la salariée notamment pour le motif tenant à « l’utilisation massive par la salariée d’un site de jeux communautaires sur internet, sans aucun rapport avec l’activité de l’entreprise » alors que le règlement intérieur de l’entreprise interdisait l’utilisation d’Internet à des fins autres que professionnelles.
La salariée a contesté d’une part la communication du règlement intérieur, et d’autre par la légalité du contrôle opéré.
La salariée a avancé que la surveillance de son poste de travail aurait été faite en violation de l’article L.261-1 du Code du travail dans la mesure où l’employeur n’avait pas obtenu l’autorisation de la CNPD alors que le fait de mettre un ordinateur sous un contrôle exclusif et régulier fait à distance et d’enregistrer des données de manière non occasionnelle serait non seulement attentatoire à la vie privée mais serait aussi à qualifier de surveillance.
La salariée à contesté avoir reçu communication du règlement intérieur, alors même qu’une clause de son contrat de travail prévoyait que « le fonctionnement interne de l’employeur est régi par règlement interne de travail à disposition de l’employée en version électronique, que cette dernière s’engage à respecter ».
La Cour d’appel a considéré qu’en signant son contrat de travail, la salariée « était censée avoir pris connaissance du règlement intérieur de son employeur et était également censée le respecter, à moins qu’elle n’ait pas été le consulter ‘online’6, et dans ce cas, elle est malvenue de se prévaloir de son ignorance du règlement intérieur pour expliquer son comportement ».
En l’espèce, le règlement intérieur précisait que « l’utilisation / accès Internet est limité exclusivement aux sites revêtant un caractère professionnel en relation directe avec la fonction de l’utilisateur » et que « une liste des sites visités les plus utilisés par les utilisateurs est tenue à jour en interne et pourra être consultée et diffusée à tout moment en interne en cas de besoin ».
La Cour d’appel a sur ce point décidé que la salariée était « malvenue de prétendre avoir ignoré la limitation de l’utilisation des sites Internet et qu’elle pouvait être soumise à un contrôle de le part de son employeur en utilisant internet sur son lieu de travail ».
La Cour d’appel rappelle ici une obligation élémentaire du salarié, à savoir que ce dernier doit, pour être payé, consacrer son temps de travail à travailler, que cette obligation soit ou non précisée dans un règlement intérieur.
La Cour d’appel va analyser si les documents apportés par l’employeur pour établir que la salariée utilisait Internet à des fins privées, ont été obtenus de manière licite ou au contraire en violation des dispositions applicables relatives à la surveillance des salariés.
Il est en effet admis que l’illicéité d’un moyen de preuve doit entraîner son rejet des débats, et que les informations collectées par un système de traitement automatisé de données personnelles sans avoir procédé aux formalités de notification et / ou d’autorisation préalables constituent un moyen illicite7.
En premier lieu la Cour d’appel rappelle le principe selon lequel, même dans le cadre professionnel, le salarié à droit au respect de sa vie privée, principe qui vient limiter l’étendue des pouvoirs de surveillance de l’employeur sur l’activité de ses salariés : « Si en vertu de son pouvoir de gestion et de direction, l’employeur peut surveiller l’activité de ses salariés, tous les modes de preuve ne sont pas admissibles et notamment l’intimité de la vie privée limite les marges de manœuvres du chef d’entreprise.
Il est en effet de principe que le salarié à droit, même au temps et lieu de travail, au respect de sa vie privée qui implique en particulier le secret de la correspondance dont font partie les courriers électroniques reçus et envoyés par lui grâce à un outil informatique mis à sa disposition pour son travail et ce même au cas où l’employeur aurait interdit une utilisation non professionnelle de l’ordinateur ».
La Cour d’appel pose dans un second temps la limite de ce principe en précisant que seuls les « fichiers personnels des salariés » devaient être écartés du contrôle de l’employeur.
Elle fait ensuite le raisonnement suivant : « Il en suit, d’une part, que pour constituer une preuve illicite, le document versé aux juridictions du travail pour preuve des agissements fautifs du salarié doit porter sur des données à caractère personnel et privé du salarié, dans lequel cas l’ingérence commise par l’employeur dans la sphère privée du salarié est illégitime et disproportionnée, d’autre part, qu’il n’est pas permis à un employeur de mettre le poste de travail du salarié, à savoir toutes les applications de son ordinateur, y compris sa messagerie, sous un contrôle exclusif et régulier.
En effet, le fait d’enregistrer ces données de manière non occasionnelle et d’en déterminer le comportement du salarié est à qualifier de surveillance au sens de l’article 2 de la loi modifiée du 1er août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel.
Or en l’espèce, dans la mesure où l’employeur n’a pas procédé à un contrôle des données à caractère personnel de B, il n’ a en effet à aucun moment contrôlé le courrier électronique personnel et privé de sa salariée effectué sur son site de travail et plus particulièrement contrôlé sa correspondance, ses emails personnels, ni enregistré toutes ses données de façon régulière et non occasionnelle, mais il s’est contenté d’effectuer un contrôle ponctuel en conformité avec le règlement intérieur de la société des sites les plus visités par sa salariée, que l’article L.261-1 du code du travail ne trouve pas à s’appliquer. »
La Cour d’appel constate que c’est en effectuant cette vérification ponctuelle que l’employeur s’est rendu compte que la salarié consultait massivement un site web de jeux communautaires, et en conclut que l’employeur ne s’est pas procuré des preuves de façon illégale et que le contrôle effectué par l’employeur était tout à fait légal. La Cour en a déduit que l’employeur était autorisé pour ce seul motif à la licencier avec préavis. Cette position interpelle alors qu’elle semble être en contradiction avec certains principes découlant de la Loi Données personnelles.
La Cour d’appel considère que l’employeur n’a pas procédé à un contrôle des données à caractère personnel de la salariée, mais seulement un contrôle ponctuel des sites web visités.
Cela revient à considérer que les sites web visités par la salariée (son historique de navigation) ne constituent pas des données personnelles, et que seuls les « emails personnels » de la salariée ou « ses données » entreraient dans cette catégorie.
Or comme le rappelle la CNPD8, « en ce qui concerne la surveillance des sites Internet consultés par la personne concernée, les données faisant l’objet du traitement sont des données de trafic et de journalisation (adresses des sites consultés). Ces données constituent des données à caractère personnel à partir du moment où l’employeur est en mesure d’établir un lien entre les adresses des sites consultés et un collaborateur particulier ».
En effet la définition légale des données personnelles précise clairement que des données qui concernent une personne identifiée ou identifiable sont à considérer comme des données personnelles. Il ne fait dès lors aucun doute que l’historique de navigation sur le poste de travail d’un salarié constitue bien des données personnelles qui tombent dans le champ d’application de la Loi Données personnelles.
En outre, la Cour d’appel considère qu’il n’y a pas eu de mesure de surveillance au sens de la loi parce que l’employeur n’a pas enregistré toutes les données de la salariée de façon régulière et non occasionnelle et n’a effectué qu’un contrôle « ponctuel » des sites web plus visités par la salariée, conformément au règlement intérieur.
Cette position peut laisser penser qu’il n’y a que le contrôle continu de l’outil informatique du salarié qui devrait être considéré comme une mesure de surveillance et que des mesures ponctuelles visant à contrôler l’utilisation d’Internet seraient hors du champ d’application de la loi.
Or, l’employeur n’a sauf exception légale, pas le droit de contrôler l’utilisation d’Internet de manière continue.
La position de la CNPD est la suivante : « La surveillance doit toujours être graduée » (…) ; l'employeur doit d'abord procéder à une surveillance ponctuelle pendant laquelle les salariés ne sont pas identifiés. Si des indices et soupçons sont détectés, alors l'employeur peut intensifier sa surveillance et faire des analyses individualisées où les salariés sont identifiés. Il ne peut pas surveiller individuellement un salarié sans avoir, au préalable, procéder à une surveillance globale et non personnelle. Ainsi, il peut faire dresser une liste d'adresses de sites consultés de façon globale sur une certaine période, sans identifier les auteurs des consultations. S'il a des indices sur une utilisation d'Internet préjudiciable pour l'entreprise en repérant une durée anormalement élevée de consultation d'internet ou la mention d'adresses de sites suspects, il pourra alors prendre les mesures de contrôle appropriées et passer, alors, dans un second stade à une surveillance individualisée. »
La surveillance graduée qui implique une surveillance ponctuelle permettant dans un premier temps de détecter des comportements anormaux, comme cela semble être le cas en l’espèce, est un processus qui est à qualifier de surveillance au sens de la Loi Données personnelles et qui vise à se conformer aux principes de licéité et de proportionnalité des traitements de données. Un tel traitement de données implique de surcroît pour l’employeur d’avoir procédé aux formalités obligatoires auprès de la CNPD, en l’occurrence d’avoir obtenu l’autorisation de surveiller l’outil informatique des salariés.
En conclusion, si sur le fond, il semble que les motifs invoqués par l’employeur pour licencier la salariée étaient réels et sérieux et de nature à justifier le licenciement, on peut émettre des doutes sur la licéité des preuves obtenues par l’employeur au vu de la réglementation applicable et de la position de la CNPD en matière de protection des données personnelles.
Par conséquent, on peut noter que si la Cour avait considéré que le traitement de données mis en œuvre par l’employeur constituait bien une mesure de surveillance impliquant les données personnelles de la salariée, elle n’aurait pu que constater que l’employeur, qui n’avait par obtenu d’autorisation de surveillance, a obtenu la preuve du comportement de la salariée de manière illicite, en étant l’auteur d’une infraction pénale.
En effet, la mise en œuvre d’un traitement de données personnelles sans procéder aux formalités préalables est passible, selon la Loi Données personnelles, d’une peine d’emprisonnement de huit jours à un an et d’une amende de 251 à 125 000 euros.