La vie privée du salarié : fichiers informatiques, e-mails, SMS, clé USB, réseaux sociaux et Facebook

Dans nombre de cas, la séparation entre la vie professionnelle et la vie privée est loin d’être étanche. Les nouvelles technologies de l’information et de la communication y font pour beaucoup, l’évolution des mentalités y participe également à mon sens.

Entre le pouvoir de contrôle et de surveillance de l’employeur, et le respect dû à la vie privée et personnelle des salariés, le droit s’est invité à la discussion.

Si l’employeur a un pouvoir de contrôle et de surveillance des salariés, celui-ci doit être utilisé dans le respect du principe de loyauté, sans porter atteinte de manière injustifiée ou disproportionnée aux droits et libertés du salarié, dont le droit au respect de la vie privée.

Ce n’est pas seulement la mise en place d’un dispositif de contrôle des salariés (1) qui est encadrée, mais aussi les conditions dans lesquelles l’employeur peut contrôler les éléments recueillis notamment sur l’ordinateur mis à la disposition du salarié, provenant de sa boite de messagerie ou de son téléphone professionnel (2). Qu’en est-il du bureau professionnel du salarié (3) ? Se pose également la question de l’utilisation des informations recueillies sur les réseaux sociaux (4).

 

1)      L’utilisation de dispositifs de contrôle et de surveillance des salariés par l’employeur

Avant la mise en place de tels dispositifs (badgeuse, vidéosurveillance, géolocalisation, etc.), l’employeur doit :

–          Informer et consulter le comité social et économique (CSE)[1]

–          Informer individuellement les salariés[2]

–          Réaliser les formalités préalables auprès de la CNIL en cas de traitement automatisé d’informations nominatives des salariés.

À défaut, les éléments recueillis par ces dispositifs ne constitueront pas, a priori, des preuves utilisables pour l’employeur[3]. De plus, la délégation du personnel au comité social et économique pourra réclamer le retrait des éléments de preuve recueillis par ledit dispositif[4], et l’employeur pourra quant à lui être poursuivi pénalement[5].

 

2)      Le contrôle de l’ordinateur professionnel et de la messagerie électronique du salarié

Depuis 2006, l’ordinateur mis à disposition du salarié est présumé contenir des fichiers à caractère professionnel[6], l’employeur peut ainsi y avoir accès en l’absence du salarié. Toutefois, le salarié a la possibilité d’identifier comme « Personnels » certains fichiers informatiques contenus sur le disque dur. Dans ce cas, l’employeur n’est pas autorisé à les consulter en l’absence du salarié, sauf risque ou évènement particulier.

La relance de factures impayées enregistrée par le salarié sur son poste de travail devrait être déplacée dans un dossier nommé « Personnels ». À défaut, l’employeur pourra consulter ces documents qui seront présumés être à caractère professionnel.

Cette présomption de professionnalité s’étend également :

–          Aux connexions internet (historique, favoris, recherche…)

Par principe, les connexions internet au travail sur le matériel mis à disposition du salarié par l’employeur sont présumées avoir un caractère professionnel, de sorte qu’il a la possibilité de les identifier en l’absence du salarié[7].

–          À la clé USB branchée sur le poste de travail[8].

La clé USB du salarié, même personnelle, est présumée être à caractère professionnel dès lors qu’elle est branchée à l’outil professionnel. C’est la raison pour laquelle il est préférable de déplacer l’ensemble des données personnelles dans un dossier justement nommé « Personnel ». Si cette clé est personnelle et que celle-ci est nécessaire dans le cadre du travail, il convient de solliciter une clé USB à usage professionnel.

–          Au téléphone professionnel[9]

L’employeur peut donc consulter les contacts, relevés téléphoniques, SMS, etc. Même si l’on applique un régime juridique identique à celui vu précédemment, il est vrai qu’en réalité sa mise en œuvre pour le salarié paraît plus complexe. En effet, comment donner un nom d’objet « Personnel » à un SMS ?

–         A la messagerie professionnelle[10]

Le salarié qui envoie un courriel via messagerie professionnelle à un collègue de travail pour lui proposer d’aller boire une bière ne doit pas oublier d’indiquer dans l’objet de son mail le caractère « Personnel » du message.

Toutefois, la messagerie personnelle du salarié est protégée par le secret des correspondances, sans avoir besoin d’identifier certains contenus comme « Personnels ».  L’employeur ne peut y avoir accès, quand bien même le salarié y accède à travers l’ordinateur professionnel[11].

Pour autant, la facture d’électricité impayée enregistrée sur le poste de travail par le salarié ne sera pas identifiée comme « personnel » du seul fait qu’elle émane de sa messagerie personnelle[12].

 

3)      Le contrôle du bureau professionnel du salarié

La présomption de professionnalité qui s’applique aux fichiers informatiques, aux courriels professionnels, au téléphone professionnel, à la clé USB -même personnel- branchée sur l’ordinateur professionnel, aux connexions internet, s’applique également aux documents détenus par le salarié à l’intérieur de son bureau d’entreprise[13].

Ainsi, l’employeur peut parfaitement avoir accès aux documents détenus dans le bureau professionnel de son salarié dès lors qu’il n’y a pas d’identification « Personnels » réalisés par le salarié (ex : inscription sur un classeur ou une pochette).

Concrètement, l’utilisation d’un tiroir ou d’une armoire avec fermeture à clé est très pratique et peut être un bon outil de protection de sa vie privée au travail.

 

4)      L’employeur peut-il utiliser les informations découvertes sur les réseaux sociaux ?

Bien que le régime juridique applicable aux informations issues des réseaux sociaux (Facebook, Tweeter, LinkedIn, Instagram, etc.) est encore très flou, la Chambre sociale de la Cour de cassation a eu l’occasion de se prononcer pour la première fois, me semble-t-il, sur l’utilisation par l’employeur d’information extraite du compte Facebook d’une salariée[14].

En l’espèce, l’employeur avait eu accès à ces informations à partir du téléphone portable d’un autre salarié. Or, ces informations étaient accessibles aux seules personnes autorisées (ce qui n’est pas le cas de l’employeur), d’où, selon la Cour de cassation, l’atteinte de manière disproportionnée et déloyale à sa vie privée.

En utilisant la formule d’ « informations réservées aux personnes autorisées », dont ne faisait pas partie l’employeur, pour qualifier les éléments obtenus de mode de preuve illicite, la Cour de cassation semble valider l’approche qu’ont eue certains juges du fond.

Ainsi, l’employeur serait autorisé à utiliser les informations extraites d’un réseau social suivant que celles-ci soient accessibles à un public réservé (les « amis » sur Facebook) ou non, ce qui suscite plus de questions qu’il n’apporte de réponses.

Qu’en est-il lorsque le salarié a des centaines, voire des milliers d’«amis » sur son compte Facebook ? Ou que ses informations sont visibles également par les « amis d’amis »[15]?  Ou alors que le salarié comprend dans ses « amis » un nombre important de collègues de travail ? Ou encore qu’un « ami » partage sur son « mur » ces informations avec ou sans l’assentiment du salarié ? Ou bien que le salarié identifie sur un message un « ami » qui ne limite pas l’accès à son compte ?

Il est fort à parier qu’une jurisprudence abondante sur la question est à venir, et qui on espère, ne sera pas une « jurisprudence casuistique » suivant le réseau social utilisé et le mode de diffusion des informations choisis par l’utilisateur.

 

Par Eïtan CARTA-LAG
Avocat en droit du travail et de la sécurité sociale
Associé du Cabinet Acquis de Droit
Barreau de Grenoble

 

 

 

[1] Art. L. 2312-38 du code du travail

[2] Art. L. 1222-4 du code du travail ; Soc. 20 nov. 1991, n° 88-43.120

[3] Soc., 31 janv. 2001, n° 98-44.290

[4] Art. L. 2313-2 du code du travail ; Soc., 10 déc. 1997, n°95-42.661

[5] Art. 226-1, 226-7, 226-15 du code pénal

[6] Soc., 18 oct. 2006, n° 04-48.025 et n° 04-47.400 ; Soc., 17 mai 2005, n° 03-40.017

[7] Soc., 9 juill. 2008, n° 06-45.800 ; Soc., 9 fév. 2010, n° 08-45.253

[8] Soc., 12 fév. 2013, n° 11-28.649

[9] Soc., avis, 13 nov. 2014, n° 13-14.779 ; Com. 10 fév. 2015, n° 13-14.779

[10] Soc., 15 déc. 2010, n° 08-42.486 ; CEDH., 12 janv. 2016, aff. 61496/08, Barbulescu c/ Roumanie

[11] Soc., 26 janv. 2016, n° 14-15.360 ; Soc., 7 avr. 2016, n° 14-27.949

[12] Soc., 19 juin 2013, n° 12-12.138

[13] Soc., 4 juill. 2012, n° 11-12.330

[14] Soc., 20 décembre 2017, n°16-19.609

[15] CPH boulogne-billancourt, 19 nov. 2010, n° 0900343 et n° 0900316