Chapitre I. Les atteintes à la vie privée
Section 3. La cybersurveillance sur le lieu de travail
L’informatique a envahi progressivement les entreprises, ce qui n’a pas manqué d’entraîner certaines conséquences au niveau de la relation existant entre le travailleur et l’employeur.
Pour l’entreprise, les nouvelles technologies posent de nouveaux problèmes en matière de sécurité puisque des informations sur toute la vie de l’entreprise sont plus facilement susceptibles de sortir du cadre de celle-ci. En outre, l’employeur doit pouvoir vérifier la bonne exécution du contrat de travail.
Pour les employés, la difficulté réside dans la capacité qu’a la société d’identifier et de conserver toutes les traces laissées par la personne connectée et, ainsi, de mettre en place une surveillance qui porte atteinte au respect de sa vie privée.
L’équilibre entre les exigences de rentabilité et de sécurité des entreprises, d’une part, et la préservation d’un espace d’épanouissement individuel sur le lieu de travail, d’autre part, est particulièrement délicat à trouver.
77. Quels sont les grands principes ?
Il est admis aujourd’hui que le travailleur bénéficie d’une sphère de vie privée sur son lieu de travail, et à ce titre, d’une certaine protection contre un contrôle intempestif de la part de l’employeur de l’usage qu’il fait des moyens de communications mis à sa disposition pour l’exécution de son contrat de travail.
Néanmoins, la réglementation actuelle interdisant à l’employeur presque toute surveillance de l’utilisation du téléphone ou de l’ordinateur n’est pas adéquate et ne correspond pas à la réalité. La jurisprudence – qui d’ailleurs n’est pas toujours unanime sur ces questions – et la plupart des juristes s’accordent aujourd’hui sur la légitimité d’une certaine ingérence de l’employeur dans la vie privée des travailleurs, en vue d’assurer une correcte exécution du contrat de travail ou de protéger certains intérêts jugés supérieurs à l’intérêt du travailleur au respect de sa vie privée.
Une convention collective de travail (CCT n° 81) a d’ailleurs confirmé la possibilité d’une
“cyber-surveillance”, graduelle et sous conditions, des travailleurs. Cette convention collective ne s’applique cependant qu’au secteur privé.
Le contrôle des données de communications électroniques est subordonné au respect par l’employeur des principes de finalité, de proportionnalité et de transparence.
L’employeur se voit reconnaître la possibilité d’exercer un contrôle à la condition que ce contrôle soit effectué pour une ou plusieurs finalités considérées comme légitimes. On distingue quatre finalités : 1° la prévention de faits illicites ou diffamatoires, 2° la protection des intérêts commerciaux de l’entreprise, 3° la sécurité et le bon fonctionnement des systèmes informatique de l’entreprise et enfin 4° le respect de bonne foi des principes et règles d’utilisation des technologies en réseau fixés dans l’entreprise.
En vertu du principe de proportionnalité, ce contrôle doit revêtir, dans toutes les hypothèses, un caractère adéquat, pertinent et non excessif au regard des finalités poursuivies. L’entreprise ne peut faire plus que ce qui est nécessaire au regard des finalités poursuivies.
Le principe de transparence est essentiel en ce qu’il impose à l’employeur un devoir préalable d’information sur la politique et les modalités de contrôle de l’entreprise. L’objectif poursuivi est ici de jouer la carte de la prévention et de la clarté. L’information doit être à la fois collective et individuelle : collective via les organes représentatifs mis en place au sein de l’entreprise, individuelle via une mention dans le règlement de travail, le contrat de travail, etc.
Dans le respect des principes évoqués ci-dessus, une procédure d’individualisation des données peut être réalisée seulement en cas d’anomalie préalablement constatée. Cette procédure consiste pour l’employeur à analyser les données globales dont il dispose en vue de retracer l’identité de l’auteur de l’anomalie. En pratique, les éventuelles anomalies peuvent être constatées par la consultation périodique des données de communications électroniques collectées dans l’entreprise (par exemple, en matière d’utilisation d’Internet, en établissant des statistiques relatives aux durées de connexion de façon globale ou service par service ou en recensant les sites les plus visités par les travailleurs). Il s’agit alors pour l’employeur de décortiquer les données en sa possession, comme il le ferait avec les relevés d’une facture téléphonique. Un contrôle ponctuel s’il a lieu est justifié par des indices laissant suspecter une utilisation abusive des outils de travail.
Cette individualisation des données peut se réaliser de manière directe, sans autre formalité, chaque fois que le contrôle s’effectue en raison des trois premières finalités décrites ci-dessus.
Dans les autres cas, l’individualisation des données sera indirecte. Elle sera précédée d’une phase préliminaire de “sonnette d’alarme”, visant à informer les travailleurs de l’existence d’une anomalie et à les avertir d’une possible individualisation des données en cas de récidive.
Enfin, vous ne devez pas perdre de vue que la convention collective laisse, en tout état de cause, l’employeur libre de déterminer les modalités d’accès et/ou d’utilisation des outils informatiques de l’entreprise. Autrement dit, l’employeur peut, par exemple, poser certaines conditions à l’usage d’Internet, parmi lesquelles les plus fréquentes sont : l’interdiction d’accéder à des sites de jeux, l’interdiction de participer à des conversations en ligne, le placement de mécanisme de filtrage de certains sites à contenu particulier ou illégal, etc.
78. Puis-je renoncer à mon droit à la vie privée dans le contrat de travail ?
Il arrive que les employeurs tentent de soumettre individuellement aux salariés des engagements écrits équivalant à une abdication complète par les salariés de leur droits.
En fait, sachez que l’abandon de votre droit à la vie privée ne peut intervenir de manière générale et abstraite dans le contrat de travail. Seule une partie de celui-ci pourrait être abandonnée comme le droit de s’opposer à une ingérence dans la vie privée. Une renonciation à un droit fondamental, vu son caractère inaliénable et d’ordre public est soumise à conditions.
Le consentement de l’individu à une telle ingérence doit être individuel, informé, libre, préalable, particulier et révocable. De plus, la renonciation ne peut toucher au noyau dur du droit dont il est question. On peut ainsi dire que si une renonciation à une partie du droit à la vie privée est consentie par l’employé dans le contrat de travail, celle-ci doit, le plus souvent, être confirmée à chaque nouvelle ingérence.
79. Mon employeur peut-il contrôler le contenu de mes e-mails ?
L’utilisation de la messagerie électronique professionnelle pour envoyer ou recevoir, dans des proportions raisonnables, un message à caractère personnel correspond à un usage généralement et socialement admis, mais peut être “réglementé” par l’employeur.
En principe, votre employeur n’est pas autorisé à prendre connaissance du contenu des courriers électroniques émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail. Le courrier électronique est en effet protégé par le secret de la correspondance.
En conséquence, l’ingérence de l’employeur dans la sphère privée du travailleur doit être minimale ; elle doit se limiter au contrôle de l’utilisation de la messagerie électronique et non du contenu des e-mails. On peut affirmer que c’est donc sur base d’une liste des courriers - comme sur base d’une facture de téléphone laissant apparaître des montants anormalement élevés - que l’absence de respect des règles posées par l’employeur pourra être décelée. L’employeur est autorisé à contrôler l’identité du destinataire et de l’auteur, la taille et le type de fichier envoyé, ainsi que le volume des courriers sortants par poste de travail. La prise de connaissance du contenu du courrier électronique est considérée comme excessive, de la même façon que le serait l’écoute ou l’enregistrement de vos communications téléphoniques.
L’employeur peut cependant avoir accès au contenu de vos e-mails dans certaines circonstances. Tel sera le cas notamment si l’employeur obtient votre consentement.
Cependant, bien que cela semble controversé, l’employeur doit normalement obtenir le
consentement de tous les participants à la communication, c’est-à-dire aussi celui du destinataire.
80. Mon employeur peut-il surveiller mon utilisation d’Internet ?
La visite d’un site Internet suppose l’établissement d’une connexion entre l’ordinateur au départ duquel le site est visité et un ordinateur distant, sur lequel sont stockées les informations consultées. Cette connexion fait l’objet de données d’identification comparables à celles d’une communication téléphonique : adresse du site, moment et durée de la visite. Ces données sont en outre enregistrées automatiquement sur le serveur de l’entreprise ou celui du fournisseur d’accès d’Internet. Il est dès lors aisé pour l’employeur de vérifier l’utilisation qui est faite d’Internet par ses employés.
Toutefois, le contrôle de l’employeur ne peut entraîner qu’une ingérence minimale dans la vie privée. Un tel contrôle ne peut se faire que dans un nombre limités de cas (supra, n°
77).
En outre, ce contrôle, même autorisé, est limité. Il doit porter en premier lieu sur une liste d’adresses de sites consultés de façon globale sur une certaine période et ce n’est que si certaines anomalies sont détectées (durée de visite trop longue, consultation de sites indécents, etc.) que des mesures appropriées peuvent être prises.
Ainsi, un contrôle est possible moyennant d’une part une information préalable, d’autre part le respect des finalités déterminées.
Sachez en outre que les données de trafic entre l’ordinateur que vous utilisez sur votre lieu de travail et un site Internet constituent des données personnelles au sens de la loi sur la protection de la vie privée. Cette loi doit donc être respectée, ce qui signifie notamment que l’employeur doit avertir les travailleurs de la conservation des données de connexion.