La surveillance électronique sur internet et email

Il va de soi que les règles générales de protection de la vie privée et des données – il suffit de penser à la loi vie privée belge, à la directive vie privée européenne et à l'article 8 de la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales – s'appliquent également dans ce contexte. Le secret des télécommunications est aussi d'application.

La base légale de la cybersurveillance

Si toutes les règles mentionnées à la page précédente sont respectées, et surtout si elles sont interprétées au sens strict, il est relativement contraignant, pour l'employeur, d'accéder légalement aux communications électroniques de son travailleur. Avec le consentement de ce dernier, un accès serait certes possible en vertu de la législation sur les télécommunications. Toutefois, la question se pose de savoir si le travailleur, qui se trouve nécessairement dans une position de subordination vis-à-vis de son employeur, peut effectivement donner ce consentement librement. Voilà pourquoi l'Autorité renonce à considérer le consentement donné par le travailleur comme base légale pour la surveillance électronique effectuée par l'employeur.

De quelles possibilités dispose alors l'employeur pour préserver ses intérêts via un contrôle électronique, sans bafouer les droits au respect de la vie privée de son travailleur ? Le droit légal de l'employeur d'exercer une autorité apporte une solution. En concluant un contrat de travail avec un employeur, un travailleur s'engage à effectuer des activités professionnelles au nom et pour le compte de l'employeur. Dans cette relation hiérarchique, l'employeur dispose d'un droit de contrôle qui lui permet, en tant que supérieur hiérarchique, de prendre connaissance des courriers électroniques envoyés ou reçus par ses travailleurs.

Principes de base de la Loi vie privée

En vue de protéger la vie privée du travailleur, l'employeur doit toutefois tenir compte des principes de base suivants de la loi vie privée :

  • principe de finalité : l'employeur doit poursuivre un but légitime, par exemple assurer le suivi de la correspondance professionnelle ;
  • principe de proportionnalité : l'employeur doit en outre limiter le contrôle au strict nécessaire. Si un courrier électronique est destiné au service du personnel, le but n'est pas que d'autres services puissent en prendre connaissance ;
  • principe de transparence : le travailleur doit être informé du contrôle électronique éventuel et de la manière dont celui-ci est mené. L'Autorité recommande de diffuser cette information via le règlement de travail, mais une politique ICT transparente, une disposition spécifique dans le contrat de travail individuel ou une CCT font également partie des possibilités.

Le règlement de travail : source d'information par excellence

Le règlement de travail est avancé par l'Autorité comme étant un instrument précieux pour informer le travailleur. Il s'agit d'un élément classique du droit du travail dans le cadre duquel des procédures de concertation garantissent un équilibre. Tant dans le secteur privé que dans le secteur public, il constitue un "instrument de travail obligatoire" bien connu. Son application peut être imposée sous le contrôle de l'inspection du travail et des tribunaux du travail. Il est recommandé de reprendre dans le règlement de travail des règles claires relatives au contrôle électronique sur le lieu de travail, tout en respectant la concertation sociale.

La CCT n° 81 en tant que texte normatif

Étant donné que dans la pratique, le respect concret de ces principes de base de protection de la vie privée peut varier fortement, il était nécessaire de disposer d'un texte normatif qui ferait la clarté, surtout si des données de communication électroniques personnelles sont en jeu. Ce texte est la CCT n° 81 relative à la protection de la vie privée des travailleurs à l'égard du contrôle des données de communication électroniques en réseau.

Bien que cette CCT ne s'applique en principe qu'au secteur privé, l'Autorité estime que le document peut également être qualifié de point de référence dans le secteur public : le texte contient en effet surtout une concrétisation des principes de la loi vie privée à respecter dans le cadre du contrôle des données de communication électroniques personnelles, les employeurs du secteur public étant ainsi également soumis aux dispositions de la CCT puisqu'ils doivent de toute façon respecter la loi vie privée.

La CCT n° 81 : dispositions pertinentes sur la finalité du contrôle électronique

Le contrôle de données de communication électroniques en réseau n'est autorisé que lorsque l'une ou plusieurs des finalités suivantes est ou sont poursuivies :

  • la prévention de faits illicites ou diffamatoires, de faits contraires aux bonnes moeurs ou susceptibles de porter atteinte à la dignité d'autrui ;
  • la protection des intérêts économiques, commerciaux et financiers de l'entreprise auxquels est attaché un caractère de confidentialité ainsi que la lutte contre les pratiques contraires ;
  • la sécurité et/ou le bon fonctionnement technique des systèmes informatiques en réseau de l'entreprise, en ce compris le contrôle des coûts y afférents, ainsi que la protection physique des installations de l'entreprise ;
  • le respect de bonne foi des principes et règles d'utilisation des technologies en réseau fixés dans l'entreprise.

Quelle est à présent l'approche concrète proposée par la CCT n° 81 ? Il s'agit d'un contrôle graduel où sont d'abord examinées les données de télécommunication globales (par exemple le nombre de messages envoyés/reçus ou la taille des messages et des pièces jointes) et seulement dans une phase ultérieure, en cas de détection d'anomalies lors du contrôle global, les données individualisées sont passées au crible. Toutefois, la CCT n° 81 ne permet en principe aucun contrôle du contenu s'il s'agit de messages privés du travailleur. Pour les courriers électroniques privés, un régime d'accès beaucoup plus strict est donc d'application, ce qui est également logique puisque des risques de violation de la vie privée sont plus importants que lors d'une communication purement professionnelle.