[ 6 avril 2018 ]

Droit du travail - relations individuelles

Consultation par l’employeur des fichiers informatiques du salarié

Un employeur peut-il avoir accès aux fichiers informatiques constitués par un salarié sur son ordinateur professionnel hors la présence de celui-ci ? Peut-il ensuite appréhender le contenu de ces dossiers pour prononcer une sanction disciplinaire à l’encontre du salarié ? Au fil des nombreux pourvois dont elle a été saisie, la Cour de cassation a forgé une jurisprudence dont la compatibilité avec la Convention européenne des droits de l’homme est affirmée par la Cour de Strasbourg dans sa décision Libert c/ France. 

L’affaire concerne un agent de la SNCF, affecté à une brigade de surveillance. Mis en examen pour dénonciation calomnieuse, l’agent voit son contrat de travail suspendu avant d’être réintégré un plus tard consécutivement au prononcé d’un non-lieu le concernant. À l’occasion de son remplacement, on découvre sur le disque dur de son ordinateur professionnel des fichiers compromettants : des attestations rédigées par le salarié lui-même mais à l’entête de sa brigade ou d’autres autorités publiques et une importante quantité d’images pornographiques (plus de 1500 fichiers accumulés sur quatre années). Peu de temps après sa réintégration, le salarié est licencié pour faute (« radié des cadres » selon le statut applicable aux salariés de la SNCF). L’employeur lui reproche une utilisation abusive du matériel informatique professionnel, en s’appuyant notamment sur la charte informatique et le code de déontologie applicable dans l’entreprise. 

Contestant la rupture de son contrat de travail devant les juridictions françaises, le salarié croit pouvoir invoquer la jurisprudence prohibant à tout employeur l’accès aux fichiers informatiques et courriels identifiés comme personnels par un salarié. Si le disque dur de son ordinateur était dénommé par défaut « D:/données », l’agent SNCF avait ajouté « personnelles ». De plus, les fichiers litigieux étaient classés dans des dossiers intitulés « Rires » ou encore « Bêtisiers ». Pour autant, le salarié se trouve débouté par les juges du fond et voit son pourvoi rejeté par la Cour de cassation (Soc. 4 juill. 2012, n° 11-12.502). La Haute juridiction approuve en effet la cour d’appel d’avoir «  retenu que la dénomination "D:/données personnelles" du disque dur de l'ordinateur du salarié ne pouvait lui permettre d'utiliser celui-ci à des fins purement privées et en interdire ainsi l'accès à l'employeur ». Par ailleurs, les juges du fond ont pu estimer que les fichiers « n'étaient pas identifiés comme étant « privés » selon les préconisations de la charte informatique ». Il en résulte que les documents pouvaient être ouverts par l’employeur et que ce dernier, ayant constaté l’usage abusif du matériel informatique de son employeur du fait de la grande quantité des fichiers présents et du caractère illicite des attestations, était fondé à rompre le contrat de travail de l’intéressé.

Ce dernier s’en remet alors à la Cour européenne des droits de l’homme qui se prononce moins de six mois après un important arrêt Barbulescu c/ Roumanie rendu le 5 septembre 2017 (n° 61496/08) et relatif à la surveillance par un employeur des communications électroniques de ses salariés. Dans ce dernier, les juges de Strasbourgs, réunis en Grande Chambre, ont conclu à la violation de l’article 8 de la Convention européenne des droits de l’homme, la Roumanie n’ayant pas protégé de manière adéquate le droit du requérant au respect de sa vie privée et de sa correspondance. 

Les données de l’affaire Libert c/ France ne sont toutefois pas les mêmes. Il y est d’abord question de fichiers informatiques, et non pas de communications électroniques. Toutefois, l’article 8 est bien en cause, en effet il s’agit de la vie privée du requérant, même si le support des fichiers constitue du matériel professionnel appartenant à son employeur (§ 21-26). Par ailleurs, l’affaire Barbulescu c/ Roumanie a été examinée sous l’angle des obligations positives de l’État en ce qu’elle mettait en scène un rapport entre un salarié et son employeur de droit privé. Dans l’affaire Libert c/ France, la Cour estime à l’inverse que l’affaire concerne l’obligation négative pour un État de ne pas violer l’article 8, § 1 de la Convention, la SNCF pouvant être qualifiée d’autorité publique même si elle emploie ses agents dans les conditions du droit privé. Sur le fond, la Cour européenne rappelle alors que l’ingérence de l’autorité publique dans le droit au respect de la vie privée peut être justifiée si elle est « prévue par la loi », si elle poursuit un « but légitime » et si elle est « nécessaire dans une société démocratique ». L’analyse de ces trois éléments va la conduire à rejeter la demande du requérant. 

S’agissant de la prévision légale, la Cour admet que les textes du Code du travail consacrés aux « droits des personnes » et aux « libertés individuelles et collectives » demeurent généraux. Mais ils se trouvent précisés par la jurisprudence de la Cour de cassation qui, au moment des faits, prévoyait déjà que les fichiers informatiques contenus dans un outil informatique mis à disposition par l’employeur étaient présumés revêtir un caractère professionnel, de sorte que l’employeur pouvait y avoir accès hors la présence du salarié. L’ingérence dans la vie privée du salarié reposait donc, aux yeux de la Cour, sur une base légale suffisamment précise (§ 44). 

Quant au but légitime poursuivi, les juges de Strasbourg retiennent que l’ingérence était destinée à protéger les droits de l’employeur, la SNCF en l’occurrence, qui « peut légitimement vouloir s’assurer que les salariés utilisent les équipements informatiques (…) en conformité avec les obligations contractuelles et la réglementation applicable » (§ 46). 

Concernant enfin le caractère nécessaire dans une société démocratique de l’ingérence, et notamment sa proportionnalité au but recherché, la Cour reprend le détail des arguments des juges du fond ayant appliqué à l’affaire la jurisprudence de la Cour de cassation. Elle relève également que la charte de l’utilisateur pour l’usage du système d’information de la SNCF indique spécifiquement la marche à suivre pour identifier des données à caractère privé qui en l’espèce n’a pas été respectée par le salarié (§ 52). Elle conclut que les autorités internes n’ont pas excédé la marge d’appréciation dont elle dispose (§ 53). 

La jurisprudence de la Cour de cassation sort donc confortée de cet arrêt Libert c/ France. On pourrait s’interroger sur l’intensité du contrôle de proportionnalité déployé par la Cour européenne des droits de l’homme, qui de prime abord paraît modeste. Il faut cependant relever qu’à partir du moment où les données n’étaient pas suffisamment identifiées comme privées, l’ouverture ne constituait pas en elle-même une atteinte à la vie privée (ce que confirme la Cour au § 50 de l’arrêt). Ensuite, leur usage à des fins disciplinaires et à l’encontre du salarié résulte de l’importance quantitative des fichiers et du constat des manquements importants aux règles et codes de déontologie internes à l’entreprise. Ce n’est donc pas directement les éléments de vie privée qui sont appréhendés par l’employeur, mais l’usage abusif du matériel professionnel par le salarié (§ 52). On relèvera enfin avec intérêt la référence faite par la Cour européenne des droits de l’homme aux chartes informatiques qui deviennent un élément majeur de régulation de l’informatique et des nouvelles technologies de l’information dans l’entreprise. 

CEDH 22 févr. 2018, Libert c/ France,  n° 588/13