HMV News – Consultation des fichiers de salariés : un disque dur intitulé « données personnelles » peut être ouvert par l’employeur hors la présence du salarié

 

 

 

 

 

Un cadre de la SNCF a été suspendu de ses fonctions. A son retour, il est convoqué par sa hiérarchie relativement à des fichiers trouvés en son absence sur le disque dur de son ordinateur, qui avait été saisi. Ce dernier contenait un grand nombre de fichiers à caractère pornographique ainsi que de fausses attestations qu’il avait rédigées à l’entête de son service. Il a en conséquence été radié des cadres de la SNCF, décision qu’il a attaquée devant le conseil des prud’hommes, puis, face au rejet de ses demandes, devant la cour d’appel et la Cour de cassation.

Dans son arrêt, la Cour de cassation a approuvé l’interprétation des juridictions du fond et indiqué que « si les fichiers créés par le salarié à l’aide de l’outil informatique mis à sa disposition par l’employeur pour les besoins de son travail sont présumés avoir un caractère professionnel, de sorte que l’employeur est en droit de les ouvrir en dehors de sa présence, sauf s’ils sont identifiés comme étant personnels, la dénomination donnée au disque dur lui-même ne peut conférer un caractère personnel à l’intégralité des données qu’il contient ; que la cour d’appel, qui a retenu que la dénomination ‘’D:/données personnelles’’ du disque dur de l’ordinateur du salarié ne pouvait lui permettre d’utiliser celui-ci à des fins purement privées et en interdire ainsi l’accès à l’employeur, en a légitimement déduit que les fichiers litigieux, qui n’étaient pas identifiés comme étant ‘’privés’’ selon les préconisations de la charte informatique, pouvaient être régulièrement ouverts par l’employeur » et que le licenciement présentait bien un caractère sérieux.

L’ancien salarié a alors saisi la Cour européenne des droits de l’Homme, arguant d’une violation de son droit au respect de sa vie privée, visé à l’article 8  de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales. La Cour procède à un examen des faits suivant la grille classique d’analyse des violations présumées de l’article 8 de la Convention :

  1. L'existence d'une ingérence dans le droit à la vie privée du requérant n'est, aux yeux de la Cour, pas contestable : ses fichiers ont bien été ouverts sur son ordinateur sans qu'il en ait été informé.
  2. La Cour reconnaît cependant que cette ingérence avait une base légale, et la règle de droit édictée par la Cour de cassation était suffisamment claire et prévisible pour offrir une protection contre les atteintes arbitraires de la puissance publique aux droits garantis par l’article 8.
  3. Quant à savoir si l’ingérence dénoncée avait un but légitime, la Cour souligne qu’elle visait à garantir les droits d’autrui, en l’espèce l’employeur. En effet, ce dernier pouvait légitimement vouloir s’assurer que ses salariés utilisent les équipements informatiques qu’il met à leur disposition pour l’exécution de leurs fonctions en conformité avec leurs obligations contractuelles et la règlementation applicable.
  4. Enfin, concernant la nécessité dans une société démocratique, la Cour rappelle que le droit français contient bien un dispositif visant à la protection de la vie privée, et que celui-ci a, en l’espèce, bien été appliqué par les juridictions internes. Elle reprend alors le raisonnement de la Cour de cassation qui a constaté que :
  • des fichiers pornographiques figuraient dans un fichier dénommé « rires » contenu dans un disque dur dénommé « D:/données personnelles » ;
  • le disque dur « D » était par défaut dénommé «D:/données » et servait traditionnellement aux agents à stocker leurs documents professionnels ;
  • un salarié ne peut pas utiliser l’intégralité d’un disque dur, censé enregistrer des données professionnelles, pour un usage privé ;
  • en tout état de cause, le terme générique de « données personnelles » pouvait se rapporter à des dossiers professionnels traités personnellement par le salarié et ne désignait donc pas de façon explicite des éléments relevant de la vie privée, pas plus que le terme « rire ».
  • la charte utilisateur de la SNCF prévoyait spécifiquement que « les informations à caractère privé [devaient] être clairement identifiées comme telles […] et qu’il en allait de même des supports recevant ces informations (répertoire ‘’privé’’) ».

Sur ce point, la CEDH creuse encore le raisonnement et observe que certes, en usant du mot « personnel » plutôt que du mot « privé », le requérant a utilisé le même terme que celui que l’on trouve dans la jurisprudence de la Cour de cassation, mais que ça ne suffit pas pour mettre en cause la pertinence ou la suffisance des motifs retenus par les juridictions interne.

  • la radiation du cadre n’était pas disproportionnée, étant donné qu’il avait massivement contrevenu au code de déontologie de la SNCF et aux référentiels internes.

En conséquence, la Cour estime que les juridictions internes ont dûment examiné le moyen du requérant tiré d’une violation de son droit au respect de la vie privée et ces motifs sont pertinents et suffisants.

Cette nouvelle affaire démontre que les principes régissant les messageries professionnelles dépendent fortement des faits précis de chaque espèce (cf. notamment news HMV Avocats de mars 2016 « Consultation de la messagerie des salariés : clarification » et revirement dans l’affaire Barbulescu de septembre 2017 « la CEDH conditionne strictement la surveillance des emails des employés par une entreprise privée »).

Cependant, alors que dans l’arrêt Barbulescu, la Cour avait édicté des principes à suivre pour délimiter les cas dans lesquels l’ingérence était justifiée, son argumentation paraît ici plus lacunaire, notamment concernant la différence entre un dossier intitulé « privé » et un dossier intitulé « personnel »…

 

Référence et date : Cour européenne des droits de l'Homme, 5ème section, requête n°588/13, 22 février 2018  (Libert c. France)

Lire la décision sur HUDOC

Share Button