L‘accès aux correspondances électroniques des employés par leur employeur pendant la relation de travail peut sembler justifié dans certains cas de figure.
On pense par exemple aux cas d’absences imprévues et prolongées d’un(e) employé(e) (lorsque l’employeur doit accéder à des informations cruciales pour la continuité de ses activités économiques et ne peut pas contacter l’employé(e) en question) ou dans certains cas lorsque l’employeur doit effectuer certains contrôles en vue d’assurer le bon fonctionnement ou la sécurité des systèmes informatiques de l’entreprise ou encore dans le cadre d’une enquête interne concernant des suspicions de violations du règlement de travail ou de la loi par un(e) employé(e).
Nous verrons dans cet article que des accès ciblés et justifiés par un employeur aux correspondances de ses employés sont admissibles moyennant la mise en place au préalable de procédures transparentes et conformes aux règles applicables en matière de protection des données à caractère personnel (RGPD) ainsi que certains principes issus de la jurisprudence de la Cour européenne des droits de l’homme qui sont repris dans la convention collective de travail 81.
L’accès par un employeur aux correspondances électroniques de ses employés après la relation de travail est quant à lui beaucoup plus difficile à justifier dès lors qu’il n’y a plus de lien contractuel entre les parties.
L’employeur ne dispose donc a priori à ce moment plus de base légale valable justifiant de pouvoir conserver et consulter la boite mail de son ex-employé(e) après son départ.
L’autorité de protection des données belge à construit une jurisprudence qui permet à un employeur de connaitre la marche à suivre concernant la boite mail d’un(e) ex-employé(e) après son départ.
Dans une dernière partie cet article propose (de manière non exhaustive) quelques mesures et conseils pour permettant de faciliter la conformité d’une entreprise à la loi et la jurisprudence de l’autorité de protection des données dans ces deux situations.
A/ Règles applicables pendant la relation de travail :
Règles encadrant la confidentialité des communications électroniques et exception applicables dans le cadre de la relation de travail :
(Nous n’examinons pas ici les dispositions applicables en droit pénal qui interdisent et sanctionnent également les accès non autorisés aux télécommunications privées. Voir à ce sujet les articles 259 bis et 314 bis du Code Pénal).
L’article 8 de la Convention européenne des Droits de l’Homme, l’article 7 de la Charte des droits fondamentaux de l’Union européenne et l’article 22 de la Constitution belge assurent le droit au respect de la vie privée (et familiale) ce qui inclut aussi la confidentialité de la correspondance et des communications.
La directive européenne « E-privacy » et sa transposition en droit national (articles 124 et 125 de la loi belge du 13 juin 2005 sur les communications électroniques) consacrent ce droit dans le cadre des communications électroniques. (1)
La directive E-Privacy prévoit plus précisément l’interdiction pour toute partie (utilisateur) qui n’est pas l’émetteur ou le destinataire d’une communication effectuée au moyen d’un réseau public de communications et de services de communications électroniques accessibles au public (communication électronique) d’accéder à son contenu (peu importe que ladite communication soit de nature privée ou professionnelle). (2)
Cette interdiction de principe pour tout tiers de prendre connaissance d’une communication électronique qui ne lui est pas adressée connaît deux exceptions générales et deux exceptions limitées et plus techniques :
- la première exception générale est le consentement des utilisateurs concernées par la communication électronique pour cette prise de connaissance ;
Il est généralement admis que cette dérogation n’est pas applicable dans le contexte d’une relation de travail.
Ceci s’explique car la directive E-Privacy renvoie à la définition et aux critères du RGPD (Règlement général sur la protection des données) pour l’interprétation de la validité du consentement.
Or un des critères de validité du consentement au sens du RGPD est que le consentement doit être libre.
Ceci veut dire que la personne à qui le consentement est demandé doit avoir le choix de pouvoir refuser de donner son consentement sans avoir la crainte de subir un préjudice ou un traitement défavorable.
Dans le cadre d’une relation employeur-employé(e) il est admis que cette liberté n’existe pas car il existe un rapport de subordination entre un employé et son employeur qui empêche que l’employé puisse refuser de donner son autorisation sans craindre aucune conséquences pour sa carrière. (3)
- la seconde exception générale sont les dérogations spécifiquement prévues par une loi :
La directive « E-privacy » vise spécifiquement des lois dont le but serait de garantir la sécurité publique ou de prévenir, détecter et poursuivre des infractions pénales et des utilisations non autorisées du système de communications électroniques.
L’Autorité de protection des données belge a estimé (4) que le pouvoir de contrôle de l’employeur en vertu du contrat de travail (voir à ce sujet la loi belge relative aux contrats de travail du 3 juillet 1978) permettait à l’employeur de contrôler le contenu des e-mails de ses employés.
Cette interprétation même si elle permet de combler un manque d’alternatives en droit belge nous semble discutable étant donné que la loi sur le contrat de travail ne fait aucune référence spécifique a la possibilité pour l’employeur d’exercer ce type de contrôle sur le contenu des e-mails de ses employés.
L’article 125 de la loi belge du 13 juin 2005 sur les communications électroniques précise d’ailleurs dans son premier paragraphe qu’il faut que « la loi permette ou impose l’accomplissement des actes visés » (ce qui laisse supposer que cette autorisation ou cette obligation doit être reprise de manière explicite dans la loi et ne peut découler de la seule interprétation du pouvoir de contrôle de l’employeur).
Notons qu’il existe également aussi deux exception plus techniques à la confidentialité des communications électroniques mais sur lesquelles nous ne nous étendrons pas étant donné qu’elles se limitent à des cas très spécifiques :
- Il s’agit d’une part de l’enregistrement légalement autorisé de communications et des données relatives au trafic y afférentes, lorsqu’il est effectué dans le cadre des usages professionnels licites, afin de fournir la preuve d’une transaction commerciale ou de toute autre communication commerciale.
- Il s’agit d’autre part du stockage ou à les accès techniques visant exclusivement à effectuer ou à faciliter la transmission d’une communication par la voie d’un réseau de communications électroniques, ou qui sont strictement nécessaires à la fourniture d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur.
Principes applicables issus de la CCT 81 :
Pour la mise en œuvre et la délimitation de cette « ingérence autorisée » dans le chef l’employeur (en vertu de la loi sur les contrats de travail) dans la correspondance électronique de ses employés, l’Autorité de protection des données belge précise que l’employeur doit respecter au préalable certains principes issus la convention collective de travail 81 relative à la protection de la vie privée des travailleurs à l’égard du contrôle des données de communication électroniques (ci-après « CCT 81 »).
Il s’agit des principes suivants :
- le principe de transparence;
- le principe de nécessité ;
- le principe de légitimité ;
- le principe de proportionnalité.
Cette référence par l’Autorité à la CCT 81 nous semble aussi quelque peu discutable étant donné que la CCT 81 ne concerne pas le contrôle du contenu des e-mails envoyés et/ou reçus par les employés (mais plutôt une utilisation du réseau qui irait au-delà de l’usage professionnel et de l’usage privé occasionnel normal) ce que confirme la Cour du Travail de Bruxelles dans une décision du 8 février 2019. (5)
Toutefois, étant donné que la jurisprudence de la CEDH (Cour européenne des droits de l’homme qui se repose sur l’article 8 de la Convention) et des décisions récentes des cours et tribunaux belges y compris de la cour de cassation valident l’application de ces principes dans ce contexte, le doute est levé sur le fait que ces principes sont applicables.
Il ressort notamment de cette jurisprudence qu’un employeur qui ne respecte pas ces principes et qui consulterait les e-mails de ses employés pour réunir des preuves à leur encontre suite à une faute présumée prend le risque que les preuves collectées soient déclarées irrecevables (et risque éventuellement aussi certaines sanctions). (6)
En pratique, le respect du principe de transparence implique surtout que l’employeur communique au préalable à ses employés la procédure suivie et les cas spécifiques ou un tel accès serait justifié dans son règlement de travail ou sa charte informatique.
Les principes de nécessité, de légitimité et de proportionnalité impliquent que les cas prévus et la manière de procéder aux contrôles ou accès soient nécessaires et justifiés par des objectifs légitimes et que ces contrôles se fassent de la manière la moins intrusive possible pour l’employé(e) en visant uniquement les communications qui sont nécessaires pour atteindre le ou les objectifs visés.
Principes et règles applicables en matière de protection des données à caractère personnel :
Le contenu de la boite mail professionnelle d’un(e) employé(e) contient souvent des données à caractère personnel le/la concernant, mais également des données à caractère personnel concernant les tiers qui sont y mentionnés ou qui sont destinataires des communications (qu’on peut retrouver dans le corps de chaque communication mais aussi dans les pièces jointes ou dans la mention des adresses mails des destinataires ou expéditeurs de chaque communication).
Ces communications peuvent dans certains cas aussi révéler des données à caractère personnel particulières (au sens de l’article 9 du RGPD – comprendre des données sensibles).
Cela pourra par exemple être le cas si l’employé(e) utilise sa boite mail occasionnellement à des fins privées comme par exemple pour confirmer un rendez vous médical.
L’employeur qui voudrait accéder à la boite mail d’un(e) des ses employés devra donc pouvoir démontrer le respect des principes et des obligations applicables en matière de protection des données à caractère personnel.
Il s’agit notamment de pouvoir justifier d’une base légale et de respecter les principes de limitation des finalités, de minimisation des données, de proportionnalité et de transparence qui coïncident en grande partie les principes énoncés dans la CCT 81.
D’autre part, il s’agira pour l’employeur de respecter d’autres obligations propres au RGPD (évoquées plus en détail dans le point C) comme par exemple l’obligation de mener une analyse d’impact au préalable de la mise en place de ces mesures (le cas échéant) et de mettre à jour le registre des activités de traitement et les politiques communiquées aux employés.
B/ Règles applicables dans le contexte de la fin de la relation de travail :
Le fait que le contrat entre l’employeur et son employé(e) ait pris fin signifie que l’employeur ne pourra plus du point de vue des règles encadrant la confidentialité des communications électroniques (directive E-privacy) justifier l’accès aux correspondances de ses employés.
Du point de vue des règles protégeant les données à caractère personnel, la disparition du lien contractuel rendra aussi la conservation de la boite mail de l’employé(e) par son employeur très difficile à justifier.
Dans sa décision 133/2021 du 2 décembre 2021 (qui a été à l’origine d’une série de décisions qui confirment cette décision dont la plus récemment la décision 97/2024 du 16 juillet 2024), la Chambre Contentieuse de l’Autorité de protection des données (ci-après « APD ») a pris position sur ce sujet en donnant une série de directives claires pour les employeurs.
Décision de l’APD
L’APD considère que le responsable du traitement (l’entreprise) qui après le départ du plaignant (l’ex-employé(e)) conserve son adresse électronique et sa boîte mail pour une période indéterminée viole plusieurs des principes généraux du RGPD dont le principe de limitation des finalités, le principe de minimisation des données et le principe de limitation de la conservation des données.
Par ailleurs, l’APD considère que de tels traitements ne reposent plus sur aucun fondements juridiques dès lors que la base légale initiale qui justifierait de traiter les données à caractère personnel d’un employé (à savoir l’exécution d’un contrat) disparait après son départ.
L’APD donne ensuite des conseils afin d’encadrer les pratiques admises d’un l’employeur ou d’une organisation dans ce contexte :
Pratiques admises après le départ de l’employé :
- La boîte mail de l’ex employé(e) doit être bloquée par l’entreprise ou l’organisation au plus tard le jour de son départ effectif et l’entreprise/organisation doit en avoir informé préalablement son ex employé ;
- L’employeur ou l’organisation peut (et c’est fortement recommandé) mettre en place un message automatique de type « out of office » informant les expéditeurs que la personne concernée ne travaille plus pour l’entreprise ou l’organisation et qui fournit des coordonnées de contact pour le suivi. Ce message peut subsister pendant une période « raisonnable » (période de 1 mois selon l’APD). ;
- Par exception au point précédent, un délai plus long pour laisser ce type de message (out of office) est envisageable si les circonstances le justifie (en principe 3 mois maximum selon l’APD). Dans ce cas l’ex employé(e) doit en être informé(e) au préalable et il est recommandé que l’entreprise ou organisation récolte également son accord.
- Après le délai raisonnable pendant lequel le message de type « out of office » est actif l’employeur doit supprimer la boite mail de son ex employé.
Pratiques déconseillées :
Dans tous les cas, l’accès par l’employeur/organisation à la boite mail (et sa conservation) de son ex employé(e) ou la redirection automatique des e-mails lui étant adressés après son départ doit être évitée. (7)
L’APD semble admettre qu’il pourrait y avoir un accord entre l’ex employé et l’entreprise/organisation sur la possibilité d’un accès temporaire octroyé à son ex employé(e) uniquement pour accéder son ancienne boite mail afin clôturer certains dossiers en cours après son départ.
C/ En pratique : exemple de mesures (préalables) que l’employeur peut adopter pour se conformer aux règles applicables.
Mesures à adopter par l’employeur pour encadrer les consultations pendant la relation de travail :
- Mener au préalable une analyse d’impact relative aux traitements envisagés (accès aux mails des employés dans des cas précis ou c’est justifié) en incluant le respect des principes de la CCT 81 et prendre les mesures nécessaires (techniques et organisationnelles) pour supprimer ou faire diminuer les risques identifiés à un niveau acceptable ;
- Adapter son règlement du travail et/ou la charte relative à l’utilisation acceptable des outils informatiques professionnels par les employés qui est souvent une annexe dudit règlement de travail (après avoir consulté le conseil d’entreprise et/ou s’être concerté avec le conseiller en prévention et protection au travail et la délégation syndicale) en y décrivant clairement les cas qui justifient l’accès aux boites mails par l’employeur et les procédures applicables ainsi que les droits des employés (et prévoir éventuellement une information/présentation à ce sujet pour les employés) ;
- Adapter le registre, la charte de confidentialité des employés et éventuellement les politiques de rétention des données pour tenir compte de ces traitements.
Mesures que l’employeur peut adopter en vue du départ d’un employé et afin d’assurer la continuité de ses activités :
- Prévoir une politique interne en ce qui concerne l’utilisation autorisée par les employés de leur boite mail qui indique aux employés quand et comment classer et sauvegarder certaines communications dans le cloud de l’entreprise en tenant compte de la nature et du niveau de confidentialité de l’information et comment libeller les mails de nature privée pour renforcer leur confidentialité (attention, en principe la mention du caractère privé de certains mails n’aura toutefois par pour effet de faire perdre aux mails ne contenant pas cette mention leur confidentialité) ;
- Rappeler le contenu de cette politique aux employés lors de formations ou par des communications internes.
- Penser à demander à l’employé(e) (ou l’inclure ceci dans la politique d’utilisation de la boite mail) sur le départ de « trier » ses messages privés et professionnels avant son départ ou inclure cette obligation dans une procédure interne. (En cas de litige entre l’employeur et l’employé(e) l’intervention d’un tiers impartial qui garantit la confidentialité comme par exemple un avocat ou délégué à la protection des données) peut être une solution pour permettre la récupération de mails pertinents avant son départ.
Conclusion
Un accès non justifié, indistinct et non transparent par l’employeur aux mails de ses employés pendant la relation de travail est interdit.
L’employeur qui veut pouvoir exercer un contrôle des mails de ses employés dans certaines circonstances spécifiques pendant la relation de travail devra informer ses employés de manière transparente des cas et de la procédure suivie et devra pouvoir justifier la nécessité et la proportionnalité des accès qui ont lieu.
L’employeur sera également tenu de respecter dans ce cadre ses obligations en matière de protection des données à caractère personnel (analyse d’impact, information dans la politique vie privée des employé et mise à jour du registre).
Après le départ d’un(e) employé(e), la conservation de sa boite mail et de son adresse électronique nominative par l’employeur est très difficile à justifier (surtout du point de vue règles relatives à la protection des données à caractère personnel).
Il n’est pas inutile de préciser que les recommandations de l’APD (autorité de protection des données) à ce sujet ne sont pas théoriques.
En effet, l’APD a infligé une simple réprimande au responsable du traitement (l’employeur) au vu de circonstances atténuantes (actions prises par l’employeur pour limiter l’impact des violations constatées) mais dans une décision précédente, le responsable du traitement avait écopé d’une amende de 15 000 euros ainsi que d’un ordre de mise en conformité. (Décision 64/2020)
Il existe aussi d’autres sanctions qui pourraient être applicables à l’employeur dans le contexte d’une consultation non autorisée des mails de ses employés notamment celles prévues par le code pénal et les dispositions pénales de la loi sur les communications électroniques visant à sanctionner les accès non autorisés.
Pour conclure afin de limiter les risques juridiques dans le contexte actuel, il est important pour l’employeur d’anticiper et de prévoir préalablement les mesures, analyses et politiques adéquates en vertu de la législation applicable pertinente (droit encadrant les communications électroniques, droit de la protection des données à caractère personnel et principes repris dans CCT 81).
……………………………………..
(1) La Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (connue sous le nom de directive E-Privacy) prévoit des obligations spécifiques aux communications électroniques comme par exemple celles concernant l’utilisation des cookies, l’envoi de communications promotionnelles électroniques et adresse aussi dans son article 5 la confidentialité des communications électroniques. Cette directive devait être à terme remplacée par un Règlement depuis plusieurs années mais ceci n »a toujours pas abouti au jour de l’écriture de cet article.
(2) La directive E-Privacy à son article 2, (a) ne fait pas de distinction entre les utilisateurs qui utilisent un système de communications électroniques accessible au public à des fins privées ou professionnelles (il est est indique explicitement que les deux catégories sont visées) et par conséquent les communications professionnelles sont également incluses à l’article 5 concernant la confidentialité des communications électroniques.
(3) Voir à ce sujet l’article 2, (f) de la directive E-Privacy et le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données ou « RGPD »).
Selon l’article 4, 11) du RGPD (qui donne la définition et les conditions du consentement et vers lequel la directive E-Privacy renvoie), le consentement doit être donné de manière libre, spécifique, éclairée et univoque. Le considérant 42 du RGPD indique par ailleurs que « le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice. »
(5) https://www.securex.be/fr/lex4you/employeur/themes/obligations-de-l-employeur/rgpd-et-privacy/que-disent-les-cours-et-tribunaux
(6) La jurisprudence admet qu’un accès de l’employeur au contenu de la correspondance de ses employés sans avoir respecté ces principes au préalable (en particulier le principe de transparence) consiste en une violation de la vie privée et la confidentialité des correspondances de son employé et rend tout élément issus de cette ingérence de l’employeur inadmissibles en tant que preuves.
Voir à ce sujet : Cass., 20 mai 2019, R.G. S.17.0089.F, www.juridat.be : La Cour de cassation s’est prononcée dans le cadre d’un licenciement pour motif grave ou l’employeur rapportait la preuve des faits reprochés à son employé par la production de courriers électroniques (professionnels et privés) qu’il avait obtenus en accédant à sa boîte mail sans avoir respecté au préalable les principes de légitimité, de transparence, de nécessité et de proportionnalité. La Cour de Cassation a considéré que les preuves ainsi recueillies étaient entachées d’irrégularité puisqu’elles violaient la vie privée du travailleur.
Cette interprétation de la cour de Cassation est d’ailleurs concordante avec celle de la Cour européenne des droits de l’homme dans l’arrêt BĂRBULESCU c. ROUMANIE (coe.int) qui concerne un cas similaire ou il a été conclu à une atteinte illicite au respect de la vie privée/confidentialité de la correspondance du travailleur garanti par l’article 8 de la CEDH du fait que ces principes (légitimité,transparence, nécessité et proportionnalité) n’avaient pas étés respectés par son employeur.
(7) Voir à ce sujet l’article 14.5 de la recommandation 2015(5) du conseil de l’Europe.
……………………………………………….
Vous vous trouvez dans une situation similaire à celle évoquée dans cet article et vous vous posez des questions sur vos droits et devoirs ?
Vous souhaiteriez prendre les devants afin d’implémenter les mesures nécessaires pour justifier certains accès aux communications de vos employés dans des cas spécifiques ?
Plus généralement, vous avez une question relative à l’application du RGPD ou des règles concernant les communications électroniques dans ce contexte ou dans un autre contexte ?
N’hésitez pas à demander un entretien via notre formulaire de contact ou en écrivant à info@md-lex.be