Données identifiées comme personnelles ou privées : attention à la Charte informatique employeur

BLOG / Droit des affaires et des sociétés

Données identifiées comme personnelles ou privées : attention à la Charte informatique employeur

Les fichiers d'un ordinateur professionnel qui ne sont pas identifiés comme "privés" mais sont contenus sur le disque dur dénommé "D:/ données personnelles", peuvent être ouverts par l'employeur.

A propos d’un arrêt de la CEDH, 22 févr. 2018, n° 588/13

La dénomination "données personnelles" attribuée par le salarié au disque dur de son ordinateur, ne suffit pas à conférer un caractère personnel à l’intégralité des données qu’il contient et n’empêche pas l’employeur de l’ouvrir, en son absence. Ainsi dans un arrêt rendu le 22 février 2018, la Cour européenne des droits de l’homme tout en reconnaissant l’ingérence de l’employeur dans le droit au respect de la vie privée d’un de ses salariés, la considère comme justifiée au regard du but légitime poursuivi, cette ingérence étant prévue par la loi et constituant une mesure nécessaire dans une société démocratique, conditions posées par l’article 8 de la Convention européenne des droits de l’homme.

Une Charte informatique entreprise qui prévoit que les informations et supports identifiés à caractère privé doivent être clairement identifiés comme "privés"

Un salarié de la SNCF qui réintégrait l’entreprise après avoir été suspendu de ses fonctions, constate à son retour que son ordinateur professionnel a été saisi et que le disque dur de ce dernier a été analysé, révélant notamment des images et des films à caractère pornographique. Selon lui, son employeur a porté atteinte à sa vie privée en ouvrant en son absence des éléments identifiés comme personnels dans son ordinateur, les éléments litigieux ayant été trouvés dans un fichier dénommé "rires"  contenu dans le disque dur de son ordinateur, disque dur qu’il a lui-même dénommé "D:/données personnelles".

Pour la SNCF au contraire, il n’y a pas eu ingérence dans le droit au respect de la vie privée du salarié dans la mesure où ce dernier n’avait pas correctement indiqué que les fichiers ouverts par sa hiérarchie étaient privés. En outre, l’ingérence dénoncée visait à garantir la protection des "droits et libertés d’autrui", ceux de l’employeur, qui doit pouvoir contrôler l’exécution du travail de ses salariés, s’assurer qu’ils respectent la règlementation applicable, protéger les réseaux électroniques de l’entreprise et prévenir les risques liés à une utilisation non conforme des ordinateurs professionnels. A cet égard, la SNCF rappelle que la charte de  l’utilisateur prévoit que les informations à caractère privé doivent être clairement identifiées comme telles et qu’il en va de même des supports recevant ces informations.

La décision de radiation de ce salarié est confirmée tant en appel qu’en cassation, et la demande du salarié fondée notamment sur la violation de la vie privée de l’article 8 de la Convention européenne des droits de l’homme, est rejetée par la Cour européenne des droits de l’Homme.

Le droit positif français : un équilibre entre les droits du salarié et ceux de l’employeur

La CEDH s’appuie à plusieurs reprises sur le dispositif français de protection de la vie privée du salarié, rappelant ainsi que l’employeur peut ouvrir les fichiers professionnels qui se trouvent sur le disque dur des ordinateurs qu’il met à la disposition de ses employés dans le cadre de l’exercice de leurs fonctions, mais qu’il ne peut pas "sauf risque ou événement particulier", ouvrir subrepticement les fichiers identifiés comme étant personnels. Il ne peut procéder à l’ouverture de fichiers ainsi identifiés qu’en présence de l’employé concerné ou après que celui-ci ait été dûment appelé.

Pour la CEDH, la cour d’appel d’Amiens et la Cour de cassation devant laquelle le salarié invoquait une violation de son droit au respect de sa vie privé, ont donc bien jugé dans les circonstances de la cause, que ce principe ne faisait pas obstacle à ce que son employeur ouvre les fichiers litigieux, ceux-ci n’ayant pas été dûment identifiés comme étant privés.

En substance, dans son arrêt du 15 décembre 2010, la cour d’appel d’Amiens rappelait l’argument de la SNCF qui indiquait que "le disque D est dénommé par défaut D:/données et sert traditionnellement aux agents à stocker leurs documents professionnels. Un salarié ne peut utiliser l’intégralité d’un disque dur censé enregistrer des données professionnelles pour un usage privé (…). De plus, le terme générique de "données personnelles" pouvait se rapporter à des dossiers professionnels traités personnellement par le salarié et ne désignait pas de façon explicite des éléments relevant de sa vie privée. (…) Le terme " rires " ne confère pas au fichier ainsi dénommé et dans lequel ont été retrouvés les documents litigieux, un caractère nécessairement privé. (…) Enfin, la SNCF rappelle que la charte utilisateur prévoit que les informations à caractère privé doivent être clairement identifiées comme telles (option " privée " dans les critères outlook) et qu’il en va de même des supports recevant ces informations (répertoire "privé").

Et dans l’arrêt de cassation du 4 juillet 2012, "si les fichiers créés par le salarié à l’aide de l’outil informatique mis à sa disposition par l’employeur pour les besoins de son travail sont présumés avoir un caractère professionnel, de sorte que l’employeur est en droit de les ouvrir en dehors de sa présence, sauf s’ils sont identifiés comme étant personnels, la dénomination donnée au disque dur lui-même ne peut conférer un caractère personnel à l’intégralité des données qu’il contient ; que la cour d’appel, qui a retenu que la dénomination « D:/données personnelles » du disque dur de l’ordinateur du salarié ne pouvait lui permettre d’utiliser celui-ci à des fins purement privées et en interdire ainsi l’accès à l’employeur, en a légitimement déduit que les fichiers litigieux (1562 fichiers à caractère pornographique représentant un volume de 787 mégaoctets sur une période de quatre années), qui n’étaient pas identifiés comme étant "privés" selon les préconisations de la charte informatique, pouvaient être régulièrement ouverts par l’employeur".

Une ingérence légale qui poursuit un but légitime

On rappellera qu’aux termes de l’article 8 de la Convention européenne des droits de l’homme "Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance. Il ne peut y avoir d’ingérence dans l’exercice du droit au respect de la vie privée et familiale, du domicile et de la correspondance que pour autant que cette ingérence est prévue par la loi et qu’elle constitue une mesure, qui dans une société démocratique, est nécessaire à la sécurité nationale, au bien-être économique du pays, à la défense de l’ordre, à la prévention des infractions pénales".

Pour la CEDH, l’ingérence dénoncée par le salarié a bien une base légale (les articles L. 1121-1 et L. 1321-3 du code du travail) et le droit positif français précise suffisamment en quelles circonstances et sous quelles conditions une telle mesure est permise pour qu’il puisse être considéré qu’elle est prévue par la loi.

Quant à l’intérêt légitime poursuivi, la Cour admet également que l’employeur avait bien un intérêt légitime, celui de  "vouloir s’assurer que ses salariés utilisent les équipements informatiques qu’il met à leur disposition pour l’exécution de leurs fonctions en conformité avec leurs obligations contractuelles et la règlementation applicable".

Et la CEDH de conclure que " les autorités internes n’ont pas excédé la marge d’appréciation dont elles disposaient et qu’il n’y a pas eu violation de la Convention ".
 

Cécile Thiercelin, Dictionnaire permanent Droit des affaires – VP 5 mars 2018

Actualité sociale 2018

Agréé auprès du ministère du Travail
pour les informations CE (arrêté n°99-469 du 29/03/99)

Agréé auprès du Préfet de Région pour
les formations CHSCT (arrêté n°2003-2254 du 28/10/03)

Consultants en formations certifiés
Kirkpatrick four levels°niveau bronze