Surveillance électronique sur Internet et email

Les employeurs sont dans leur droit en surveillant les communications électroniques que les employés effectuent avec des ressources mises à leur disposition pour le travail… à condition de respecter certains principes garantissant le droit à la vie privée et au secret de la correspondance.

Le régime permettant à l’employeur d’accéder légalement aux communications électroniques de son travailleur est relativement contraignant. Avec le consentement de ce dernier, un accès serait certes possible en vertu de la législation sur les télécommunications. Toutefois, la question se pose de savoir si le travailleur, qui se trouve nécessairement dans une position de subordination vis-à-vis de son employeur, peut effectivement donner ce consentement librement. Voilà pourquoi l'APD renonce à considérer le consentement donné par le travailleur comme base légale pour la surveillance électronique effectuée par l'employeur.

De quelles possibilités dispose alors l'employeur pour préserver ses intérêts via un contrôle électronique, sans manquer au respect des droits à la vie privée de son travailleur ? Le droit légal de l'employeur d'exercer une autorité apporte une solution. En effet, si le pouvoir de contrôle de l’employeur , en vertu du contrat de travail, peut justifier une ingérence de celui-ci dans la vie privée du travailleur, cette ingérence est strictement encadrée par un certain nombre de principes et ne peut donc s’exercer dans n’importe quelles conditions.

En résumé, plusieurs dispositions légales peuvent être invoquées par l’employeur afin de justifier de la surveillance électronique de ses travailleurs. Il existe à ce sujet une jurisprudence de la Cour Européenne des Droits de l’Homme.

Principes de base du RGPD

En vue de protéger la vie privée du travailleur, l'employeur doit tenir compte des principes de base suivants :

principe de finalité : l'employeur doit poursuivre un but légitime, par exemple assurer le suivi de la correspondance professionnelle ;
principe de proportionnalité : l'employeur doit en outre limiter le contrôle au strict nécessaire. Si un courrier électronique est destiné au service du personnel, le but n'est pas que d'autres services puissent en prendre connaissance. Cela signifie que la collecte de données doit, en principe, rester globale et qu'une individualisation (c'est-à-dire, une identification d'un travailleur déterminé) n'est en principe pas permise.
principe de transparence : le travailleur doit être informé du contrôle électronique éventuel et de la manière dont celui-ci est mené. L'APD recommande de diffuser cette information via le règlement de travail, mais une politique ICT transparente, une disposition spécifique dans le contrat de travail individuel ou une CCT font également partie des possibilités.

Le règlement de travail : source d'information par excellence

Le règlement de travail est un instrument de travail obligatoire et précieux pour informer le travailleur et dans lequel des procédures de concertation garantissent un équilibre. Son application peut être imposée sous le contrôle de l'inspection du travail et des tribunaux du travail. Il est recommandé de reprendre dans le règlement de travail des règles claires relatives au contrôle électronique sur le lieu de travail, tout en respectant la concertation sociale.

Principes de base de la Convention Collective de Travail n° 81

L’objectif visé par cette CCT n° 81 est de veiller à garantir le respect de la vie privée du travailleur lorsqu’une collecte de données de communication électronique en réseau est instaurée par l’employeur pour en faire le contrôle.

Cette CCT reprend notamment les trois principes de base de la législation relative à la protection de la vie privée, à savoir les principes de finalité, de proportionnalité et de transparence.

Le principe de l’individualisation

Le contrôle de l’employeur ne peut normalement s’effectuer que de façon globale et non individualisée.

Dans certains cas, l’employeur peut toutefois procéder au contrôle d’un travailleur déterminé.

La CCT distingue deux types d’individualisation, l’individualisation directe et l’individualisation indirecte (avec une phase préalable d’information).

L’individualisation des données de communication électroniques en réseau doit également respecter les principes de finalité, de proportionnalité et de transparence.

Dans les catégories de finalité mentionnées ci-dessous, l’employeur peut procéder à une individualisation directement, dès qu’il constate une anomalie :

prévention de faits illicites ou diffamatoires, de faits contraires aux bonnes mœurs ou susceptibles de porter atteinte à la dignité d’autrui ;
protection des intérêts économiques, commerciaux et financiers de l’entreprise auxquels est attaché un caractère de confidentialité ;
sécurité et/ou bon fonctionnement technique des systèmes informatiques en réseau de l’entreprise, ainsi que la protection physique des installations de l’entreprise ;

Par contre, si le contrôle poursuit comme finalité de s’assurer du respect des règles d’utilisation des technologies fixés dans l’entreprise, l’individualisation doit être indirecte, c’est-à-dire précédée par une phase préalable d’information.