Les employeurs sont dans leur droit en surveillant les communications électroniques que les salariés émettent ou reçoivent avec du matériel mis à leur disposition pour le travail.
C’est en ce sens qu’il faut interpréter la décision rendue ce mardi 12 janvier 2016 par la Cour européenne des droits de l’homme (CEDH), par six votes contre un après une délibération du 1er décembre 2015.
Pour saisir les subtilités du dossier et le champ d’application d’un tel jugement, il faut remonter au 15 décembre 2008.
Le dénommé Bogdan Mihai Bărbulescu (que nous appellerons « B.B. »), citoyen roumain né en 1979 à Bucarest, déposait, auprès de la CEDH, une plainte contre l’État roumain, accusé de ne pas avoir su protéger son droit au respect de la vie privée.
Entré en fonction le 1er août 2004 en tant qu’ingénieur avant-vente dans une société commercialisant des systèmes de chauffage, B.B. avait été licencié trois ans plus tard.
Son employeur avait pris cette décision après avoir surveillé, entre le 5 et le 13 juillet 2007, les communications effectuées via un compte Yahoo Messenger qu’il avait créé à la demande de l’entreprise pour interagir avec les clients.
Conclusion de l’employeur à la lecture des transcriptions : B.B. a utilisé la connexion Internet à des fins personnelles, au mépris du règlement intérieur.
En réponse, l’intéressé maintient que ses communications étaient exclusivement d’ordre professionnel. Les 45 pages qui lui sont présentées prouvent le contraire : y figurent notamment des conversations avec son frère et sa fiancée.
Le 1er août 2007, l’employeur met fin au contrat de B.B., mettant en avant le point du règlement intérieur selon lequel « on n’utilise pas les équipements de la société (ordinateurs, photocopieuses, téléphones, fax…) à des fins personnelles ».
Dénonçant une atteinte à sa vie privée au regard de la Constitution roumaine, B.B. se pourvoit en justice, devant la cour régionale de Bucarest. Celle-ci rejette sa plainte le 7 décembre 2007, au motif que l’employeur a respecté la procédure de licenciement inscrite au code du travail… et que B.B. a « clairement été informé du règlement intérieur », d’autant plus qu’un autre salarié avait été, peu de temps avant les faits, remercié pour les mêmes raisons.
La cour régionale de Bucarest a surtout estimé que l’employeur n’avait d’autre choix que d’accéder aux communications de B.B. sur Yahoo Messenger, puisque celui-ci assurait ne s’en être servi qu’à des fins professionnelles.
Plus globalement, la justice a considéré que cette pratique relevait, pour l’employeur, non seulement du droit à veiller à la bonne exécution des tâches par le personnel, mais aussi de la sécurité, que ce soit au niveau du système d’information ou des actifs business.
B.B. avait fait appel de ce jugement, assurant que ses communications électroniques étaient également protégées par l’article 8 de la Convention européenne pour la protection des droits de l’homme et des libertés fondamentales. Tout en déplorant que la cour régionale de Bucarest ne lui avait pas permis de solliciter des témoins.
Cet appel a été rejeté le 17 juin 2008, sur la base de la directive européenne 95/46/EC du 24 octobre 1995 : la conduite de l’employeur a été « raisonnable » en regard des risques potentiellement encourus.
Qu’en est-il de la loi en Roumanie ? La Constitution garantit un droit à la protection « de la vie intime, privée et familiale » (article 26) ainsi que « de la correspondance privée » (article 28).
À l’époque des faits, le code du travail attestait que les employeurs pouvaient « surveiller la manière dont les salariés [accomplissaient] leurs tâches », à condition de garantir la confidentialité des données personnelles traitées dans ce cadre.
Et qu’en est-il à l’échelle communautaire ? La directive 95/46/EC sur la protection des individus à l’égard du traitement de leurs données stipule que les lois transposées dans les pays membres de l’UE « ont pour but de protéger le droit à la vie privée tel que reconnu dans l’article 8 de la Convention ».
L’article 29 de cette même directive porte création d’un organisme indépendant à valeur consultative : le Data Protection Working Party. C’est lui qui a contribué à établir la notion de « réponse proportionnée » accordée à l’employeur, à condition que la surveillance des communications soit « juste », « nécessaire » et « transparente ».
Pour l’État roumain, l’article 8 de la Convention n’est pas applicable au cas de B.B., qui ne pouvait invoquer une violation de sa privée alors qu’il assurait avoir utilisé Yahoo Messenger uniquement pour son travail.
Les représentants du gouvernement ont également fait remarquer que plusieurs États membres du Conseil de l’Europe demandaient à vérifier la nature (privée ou non) des communications pour lesquelles un citoyen cherchait la protection sous le couvert dudit article 8 (et d’évoquer le cas de la Cour de Cassation en France).
Devant la CEDH, B.B. a expliqué avoir utilisé Yahoo Messenger, car les autres moyens de communication comme le téléphone mobile « étaient très chers ». Il a par ailleurs dénoncé le fait que son employeur avait accédé, en parallèle, à son compte personnel sur Yahoo Messenger… et qu’il avait communiqué des transcriptions à d’autres employés.
B.B. affirme également avoir considéré que Yahoo Messenger était « par nature » fait pour un usage personnel… et donc que ses conversations relèveraient du domaine privé.
Du côté du gouvernement de Roumanie, on a souligné l’absence de consensus, dans l’Union européenne, sur l’utilisation d’Internet au travail. Et rappelé que les cours du pays ne s’étaient pas – au même titre d’ailleurs que l’employeur – intéressées au contenu des conversations ; elles les auraient seulement consultées « en surface » pour prouver leur caractère personnel.
Un argument retenu par la CEDH, qui estime que la surveillance opérée sur B.B. était « proportionnelle » et « limitée ». Sans compter que l’intéressé n’a pas su justifier pourquoi il avait utilisé Yahoo Messenger à des fins professionnelles…
Crédit photo : Nakophotography – Shutterstock.com
Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…
Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…