Conciliation entre vie privée et monde professionnel : une utopie ?
22 October 2017 /
Dans une époque de plus en plus numérique, où la séparation entre la vie privée et la vie professionnelle est de moins en moins claire, dans quelle mesure l’employeur peut-il contrôler l’activité numérique de ses employés au bureau ? La jurisprudence récente de la CJUE et de la CEDH fixent les limites de ces pratiques, mais n’excluent pas une ingérence éventuelle des employeurs dans la vie privée et les données personnelles de leurs employés.
La protection des données à caractère personnel dans le cadre européen
La législation européenne ne pouvait pas laisser sans réglementation et protection notre « vie numérique ». Le cadre juridique européen offre tant une protection générale par les articles 7 et 8 de la CDFUE et l’article 8 de la ConvEDH qu’une protection spécifique concernant le traitement et la libre circulation de ces données d’après le Règlement 2016/679 de l’UE. Ce dernier sera applicable à partir du 25 mai 2018 et garantit une protection contre la détention des données des individus par les entreprises. En particulier, ce Règlement prévoit, d’une part, que les individus doivent donner leur consentement avant tout traitement de leurs données et, d’autre part, que les citoyens jouissent d’un droit à la rectification et l’effacement des données ainsi que le droit à l’oubli. A ces garanties s’ajoute également le droit aux recours collectifs.
En ce qui concerne le traitement des données à caractère personnel par les entreprises, la CJUE et la CEDH ont rendu un certain nombre d’arrêts ces dernières années. Selon la jurisprudence établie, le traitement de ces données exige l’information préalable des individus, et la possibilité d’exercer le droit à la défense y compris un contrôle juridictionnel. D’après la CEDH, l’interception des télécommunications et des courriers au niveau professionnel est contraire à l’article 8 de la ConvEDH et l’article 7 de la CDFUE, sauf si elle s’effectue dans le cadre d’une investigation prévue par la loi aux fins d’une procédure pénale. En général, le traitement des données à caractère personnel est acceptable seulement quand il y a un but légitime, par exemple des raisons d’intérêt public. (CJUE Google Spain et Google)
La jurisprudence comme limite à l’ingérence des employeurs?
La CEDH avec l’arrêt Barbulescu s’est prononcée récemment sur la surveillance électronique des salariés à l’heure du tout connecté. Plus précisément, en 2007 un salarié roumain a été licencié à cause de la surveillance de ses communications électroniques par son employeur et la détection de l’utilisation de la messagerie professionnelle à des fins personnelles, contrairement au règlement intérieur de la société. M. Barbulescu, après avoir saisi les juridictions roumaines qui considéraient cette surveillance raisonnable considérant celle-ci comme le seul moyen de constater l’infraction disciplinaire, il a saisi la CEDH invoquant l’article 8 de la ConvEDH qui garantit le respect de la vie privée et de la correspondance.
La CEDH, en premier lieu, a confirmé ce droit de l’employeur de surveiller l’utilisation d’internet par ses salariés dans le cadre d’une procédure disciplinaire. Selon la Cour, l’usage d’internet est mis à la disposition des employés seulement à des fins professionnelles. La surveillance permet donc la protection contre le piratage des données, les virus et les utilisations interdites. Enfin, la Cour souligne également que la décision des juridictions roumaines repose strictement sur l’usage par le requérant de la messagerie à des fins personnelles, et non pas sur le contenu lui-même de ces communications. Par conséquence, sa vie privée a été respectée ainsi que l’article 8 de la ConvEDH.
Pourtant, le requérant a demandé le renvoi de l’affaire à la Grande Chambre. Cette fois, la Cour adopte un jugement différent, constatant que la surveillance est contraire à l’article 8 de la ConvEDH. En particulier, la vie privée est garantie par l’article 8 d’un sens assez large qui peut inclure aussi bien les communications que la correspondance émanant des locaux professionnels. Néanmoins, si l’article 8 est d’application dans ce cas, le respect de la vie privée peut être limitée dans la mesure du nécessaire au niveau professionnel afin de trouver un juste équilibre entre l’intérêt de l’employeur et celui de l’employé.
La Cour constate que très peu d’états disposent d’une législation sur le respect de la vie privée des salariés par l’employeur. Or, un cadre normatif assurant la réglementation de la surveillance de communications des salariés par quelques garanties serait indispensable afin d’empêcher les pratiques arbitraires des employeurs. D’après la CEDH, ces garanties consistent d’abord d’un avertissement clair du salarié sur la surveillance et son ampleur, ensuite de la communication des motifs justifiant cette intrusion – la surveillance numérique ne pouvant faire office que de dernier ressort. De plus, toute intrusion à la vie privée dans le cadre du travail, et des conséquences qui en découlerait, devrait pouvoir faire l’objet d’un recours.
Dans le cas de M. Barbulescu, il n’y avait eu aucune information préalable sur sa surveillance et son étendue ni aucune raison légitime la justifiant. Au lieu d’envisager des mesures disciplinaires moins sévères, son employeur a choisi le licenciement. La Cour a alors, pendant cette réexamination de l’affaire, constaté la violation de l’article 8 car les critères justifiant une telle ingérence à la vie privée et la correspondance n’ont pas été respectés.
Le choix des états : respect de la vie privée ou intrusion à des fins disciplinaires ?
Suite à cette récente jurisprudence de la CEDH, il faudra observer quel sera la prochaine étape pour les états. Normalement, d’après le Règlement 2016/679 ils seront obligés d’introduire un cadre normatif garantissant un minimum de protection contre le traitement des données à caractère personnel et par conséquent de la vie privée. A l’exemple de la France dont l’autorité responsable pour les données personnelles, la CNIL, a déjà adopté une position similaire imposant la consultation et l’information des salariés sur les dispositions existantes, les modalités du contrôle et la durée de conservation des données de connexion, est-ce que les autres suivront cet exemple ? Et, est-ce que l’existence de ces dispositions juridiques sera suffisante pour empêcher l’ingérence des employeurs dans la vie privée de leurs employés à des fins disciplinaires ?
Marina Tsikintikou est titulaire de Master en Droit Pénal de l’Union Européenne de l’Université de Strasbourg