Droit au respect de la vie privée et droit des étrangers

Surveillance et vie privée des salariés: les apports de la CEDH au débat

CEDH, Grande Chambre, 5 septembre 2017, n°61496/08, Aff. Barbulescu c. Roumanie

Ces dernières années, le contentieux du travail a été à l’origine d’un dialogue remarqué entre le juge français et ses homologues communautaires et européens sur la question des libertés dans l’entreprise. Le port de signes religieux en constitue sans doute l’exemple le mieux documenté[1]. Une autre question, au centre de l’affaire rapportée ici, concerne l’équilibre à trouver entre « l’intérêt légitime » de l’employeur « à assurer le bon fonctionnement de l’entreprise », qui lui permet notamment « de vérifier que ses employés accomplissent leurs tâches professionnelles de manière adéquate et avec la célérité requise » et le respect de la vie privée et de la correspondance de ces mêmes employés[2].

Travaillant pour une société commerciale roumaine, Bogdan Mihai Barbulescu a exercé les fonctions d’ingénieur chargé des ventes, entre 2004 et 2007. À la suite d’une surveillance menée sur les communications émises depuis l’ordinateur de l’entreprise mis à sa disposition, l’employeur décida de le remercier, le 1er août 2007. La surveillance révéla, en effet, un usage personnel de cet équipement, lequel était prohibé par le règlement intérieur applicable. Après avoir exercé divers recours au niveau national, le requérant saisit la CEDH, le 15 décembre 2008, en invoquant la violation de son droit au respect de la vie privée et de la correspondance sur le fondement de l’article 8 de la convention[3]. La CEDH statuera à deux reprises sur cette affaire, en premier lieu par décision d’une chambre de la 4ème section de la Cour, le 12 janvier 2016, puis par décision de la Grande Chambre, le 5 septembre 2017.

Si cet arrêt a bénéficié d’une audience qui dépasse la simple sphère des publications scientifiques[4], il n’est pas certain qu’il vienne clore le débat sur la manière d’apprécier la protection du droit au respect de la vie privée et de la correspondance dans le cadre des relations de travail. Il apporte des éléments de clarification concernant les obligations qui pèsent sur l’Etat dans la manière dont il assure la protection de ces intérêts. Toutefois, le fait que cet arrêt renverse la position initialement adoptée par la Cour, en janvier 2016, témoigne de l’existence de controverses toujours actuelles sur le sujet[5]. De plus, la transformation des technologies employées et l’évolution de l’organisation même des rapports de travail (télétravail, plateforme…) devraient continuer à alimenter un contentieux important.

I. Les obligations positives de l’État en matière de respect de la vie privée et de la correspondance dans les relations de travail

La Cour constate, tout d’abord, dans la ligne de sa jurisprudence antérieure, en particulier les arrêts Copland et Halford c. Royaume-Uni[6], que l’article 8 de la Convention est applicable aux faits d’espèce, à savoir aux communications émanant de locaux professionnels. La Cour souligne ensuite que cette affaire doit être examinée au regard des obligations positives[7], qui engagent l’État en vertu de ce même article à assurer, dans le cadre des rapports interindividuels, le respect de la vie privée et de la correspondance. Celui-ci dispose, certes, d’une grande marge d’appréciation quant à la manière de mettre en œuvre cette protection[8], mais il lui appartient néanmoins, notamment par l’entremise des juridictions internes, de « s’assurer que la mise en place par un employeur de mesures de surveillance de la correspondance et des autres communications, quelles qu’en soient l’étendue et la durée, s’accompagne de garanties adéquates et suffisantes contre les abus »[9].

La Cour livre alors une liste de facteurs que les autorités nationales (tant législatives que juridictionnelles) devraient prendre en compte, sous la forme d’une série de questions, assortie d’éléments d’appréciation[10] : « i)  L’employé a-t-il été informé de la possibilité que l’employeur prenne des mesures de surveillance de sa correspondance et de ses autres communications ainsi que de la mise en place de telles mesures ? ii)  Quels ont été l’étendue de la surveillance opérée par l’employeur et le degré d’intrusion dans la vie privée de l’employé ? iii)  L’employeur a-t-il avancé des motifs légitimes pour justifier la surveillance de ces communications et l’accès à leur contenu même ? iv)  Aurait-il été possible de mettre en place un système de surveillance reposant sur des moyens et des mesures moins intrusifs que l’accès direct au contenu des communications de l’employé ? v)  Quelles ont été les conséquences de la surveillance pour l’employé qui en a fait l’objet ? vi)  L’employé s’est-il vu offrir des garanties adéquates, notamment lorsque les mesures de surveillance de l’employeur avaient un caractère intrusif ? »

On retrouve ici des éléments très classiques, conduisant à apprécier la légitimité du recours à la mesure de surveillance, la proportionnalité entre la mesure prise et l’atteinte au respect de la vie prive et de la correspondance, ainsi que des garanties minima apportées au salarié (information préalable, accès restreint aux informations tirées de la surveillance…). C’est au prisme de cette grille de lecture que la Cour procède ensuite à l’analyse de la situation de fait soumise à son examen.

II. L’insuffisance de la protection caractérisée à travers le contrôle exercé par les juridictions nationales

La Cour va centrer son appréciation sur le contrôle exercé par les juridictions nationales. Ce point va être remarqué et discuté dans le cadre d’une opinion dissidente, qui va lui reprocher de n’avoir pas recherché si la protection n’avait pas été assurée, par les autorités roumaines, à travers d’autres moyens, notamment par le biais d’une protection pénale, de dispositions en matière de traitement des données personnelles, issues de la transposition d’une directive communautaire[11], et de plusieurs dispositions du Code civil permettant d’obtenir réparation du dommage subi.

La Cour constate tout d’abord que, si le Règlement intérieur applicable interdisait bien l’usage personnel de l’ordinateur mis à la disposition du requérant, celui-ci ne l’informait pas d’une éventuelle surveillance, de son étendue ou de sa nature. C’est par le biais d’une note d’information, rédigée peu avant les faits, que l’employeur a prévenu qu’il allait procéder à des contrôles et sanctionner les comportements fautifs. Seulement, il n’est pas possible d’établir précisément si le salarié a pris connaissance et a signé cette note avant que la surveillance ait débuté. Ensuite, la Cour constate que les juges nationaux n’ont pas vérifié à quel moment l’employeur avait eu connaissance du contenu des messages enregistrés, ce qui ne devrait pas intervenir sans que l’employé ait été préalablement averti d’une telle éventualité. La Cour relève, enfin, que le contrôle opéré par les juges nationaux s’est avéré insuffisant, à la fois concernant l’étendue de la surveillance opérée et le degré d’intrusion dans la vie privée du requérant – en l’espèce très prononcé[12] –, mais aussi concernant l’existence de raisons légitimes ayant conduit à la mise en place de ces mesures ou le possible recours à des méthodes moins intrusives. Sur la base de cette analyse, la Cour considère donc que les autorités nationales, ici les juridictions internes, n’ont pas protégé de manière adéquate le droit du requérant au respect de sa vie privée et de sa correspondance.

Dans cet arrêt, la CEDH positionne donc le juge interne comme un acteur central dans la mise en œuvre des obligations positives qui pèsent sur les autorités nationales, au sens où, même en l’absence de mesures normatives spécifiques, celui-ci peut, par le contrôle qu’il exerce, répondre aux exigences de l’article 8 de la convention en matière de droit au respect de la correspondance dans les relations de travail. Pour l’y aider, une sorte de guide est établi, destiné à donner à ce juge interne des orientations quant au raisonnement à tenir.

Le gouvernement français est intervenu pour rappeler sa conception de l’obligation positive en la matière[13]. Si celle-ci se concrétise à travers plusieurs dispositions tirées du droit civil, du droit pénal et du droit du travail, il faut souligner la contribution importante de la Chambre sociale de la Cour de cassation, depuis les célèbres arrêts Néocel[14] et Nikon[15]. Ces arrêts ont été le point de départ d’une construction jurisprudentielle qui s’est ensuite précisée, en tenant compte des évolutions technologiques qui ont transformé à la fois la manière de travailler et la manière de surveiller le travail[16]. La Chambre sociale a affirmé une obligation d’information préalable des salariés concernés par une mesure de surveillance, condition pour que l’employeur puisse valablement produire en justice les éléments de preuve ainsi obtenus[17]. A aussi été introduite la présomption du caractère professionnel des données stockées et transmises sur un équipement informatique mis à disposition par l’entreprise[18], de même qu’ont été clarifiées les conditions dans lesquelles les salariés pouvaient valablement donner un caractère personnel à ces données[19].

Télécharger article

Notes de bas de page

  • V. Cass. Ass. Plén., 25 juin 2014, n°13-28.369, notes P. Adam, RDT, 2014-607 et C. Wolmark, Dr. Ouv., 2014-836 ; CEDH, 26 novembre 2015, n°64846/11, Ebrahimian c. France, note L. Willocx, RDT, 2016-345 ; CJUE, 14 mars 2017, Aff. C-157/15, G4S Secure Solutions, et Aff. C-188/15, Bougnaoui et ADDH, note Ph. Dorssemont, RDCTSS, 2017/2-96 (avec l’arrêt récent de la Chambre sociale française, du 22 novembre 2017, n°13-19.855) ; ainsi que le dossier de la RDCTSS, « Convictions religieuses sur le lieu de travail : Variations nationales sur un principe de protection » (Ph. Auvergnon, dir), 2016/2 ; les analyses d’E. Dockès, Dr. Soc. 2013-388 ; de Ch. Willman, Lexbase, Hebdo ed. sociale, n°673, 20 octobre 2016 ; de Y. Pagnerre, Dr. Soc., 2016-880 ; de P. Adam et al., RDT, 2016-532.
  • Para. 127 (sous réserve d’autres indications, les notes renvoient à l’arrêt de la CEDH qui fait l’objet de cette note).
  • La « Convention » désigne ici la Convention de sauvegarde des droits de l’homme et des libertés fondamentales.
  • Voy., par exemple, le titre maladroit de l’article publié par Le Point.fr, le 5 septembre 2017 : « La CEDH condamne une entreprise qui avait surveillé la messagerie d’un salarié ».
  • Qui se manifestent aussi à travers l’opinion dissidente exprimée par plusieurs juges.
  • V. CEDH, Halford c. RU, 27 juin 1997 et CEDH, Copland c. RU, 2 avril 2007.
  • Par opposition aux obligations négatives, qui ont pour objet de prémunir les individus contre des ingérences arbitraires des pouvoirs publics. Sur ce point, voy. C. Gauthier, S. Platon et D. Szymczak, Droit européen des droits de l’Homme, Paris, Sirey, 2017, p. 85 et s. et le commentaire de F. Sudre de l’arrêt de la CEDH, Airey c. Irlande, 9 octobre 1979, in Les grands arrêts de la Cour européenne des Droits de l’Homme, Paris, PUF, 2011, p. 18 et s.
  • Para. 116 à 120. L’adoption de mesures normatives (civile, pénale ou sociale) ne semble pas être considérée comme obligatoire au regard de la marge d’appréciation laissée aux États : « À la lumière de ces considérations, la Cour estime que les États contractants doivent se voir accorder une marge d’appréciation étendue pour évaluer la nécessité d’adopter un cadre juridique régissant les conditions dans lesquelles un employeur peut adopter une politique encadrant les communications non professionnelles, électroniques ou autres, de ses employés sur leur lieu de travail. »
  • Para. 120.
  • Para. 121.
  • Directive 95/46/CE du 24 octobre 1995.
  • Enregistrement de l’intégralité des communications passées par le requérant entre le 5 et le 13 juillet 2007, à la fois sur son compte Yahoo Messenger professionnel, mais aussi de certains échanges réalisés sur son compte Yahoo Messenger personnel.
  • Para. 105.
  • V. Cass. soc., 20 novembre 1991, n°88-43.120 ; Voy. aussi l’article L. 1222-4 du Code du travail et le récent arrêt du CE, 18 novembre 2015, n°371196, Sté PS Consulting, note E. Wolton, RJS, 2016-117.
  • V. Cass. soc., 2 octobre 2001, n°99-42.942.
  • Voy. les écrits de J.-E. Ray en la matière, principalement publiés dans la revue Droit social (2015-561, par exemple).
  • Voy., par exemple, Cass. soc., 7 juin 2006, n°04-43866 et Cass. soc., 2 février 2011, n°10-14263. Cette obligation d’information préalable peut se doubler d’une obligation de déclaration préalable à la CNIL : Cass. soc. 6 avril 2004, n°01-45227 et Cass. soc. 14 janvier 2014, n°12-16.218, ainsi qu’E. Wolton, RJS, 2015-159.
  • V. Cass. com., 10 février 2015, n°13-14.779, note P. Adam, RDT 2015-191 (SMS depuis un téléphone professionnel). Même lorsqu’il s’agit d’une clé USB personnelle connectée à cet ordinateur : Cass. soc. 12 février 2013, n°11-28.649.
  • V. Cass. soc., 19 juin 2013n ° 12-12.138 et Cass. soc., 26 janvier 2016, n°14-15.360 (ouverture des courriels personnels).