Règles encadrant l’accès par un employeur aux mails de ses employés pendant et après la relation de travail.

par | Juin 16, 2022 | Protection des données à caractère personnel, Réseaux sociaux et technologies de l'information

L‘accès aux correspondances professionnelles des employés par leur employeur pendant la relation de travail peut sembler logique afin d’assurer la bonne continuité des activités de l’entreprise.

En réalité il s’agit d’un sujet assez sensible qui est encadré par plusieurs domaines du droit (protection des données, droit des communications électroniques,droit du travail et droit pénal) et qui fait l’objet d’interprétations par les cours et tribunaux ainsi que par l’Autorité de protection des données. 

Lorsqu’un employé quitte son entreprise, le lien qui lie l’employeur à son employé disparait et la conservation de la boite de messagerie électronique de l’ex employé (même avec son accord) devient encore plus difficile à justifier.

L’Autorité de protection des données belge s’est d’ailleurs récemment prononcée à cet égard et a fourni des directives pratiques.

Cet article a pour objectif d’essayer de faire le tour des différentes règles applicables à ces deux cas de figure dans le contexte Belge.

Cet article aborde également des exemples de mesures pratiques  que l’employeur peut prendre (au préalable) afin de pouvoir limiter les risques et rester dans la légalité.

A/ Règles applicables :

Dérogations applicables à la confidentialité des communications électroniques dans le cadre de la relation de travail :

Nous indiquons ici que certaines dispositions en droit pénal sanctionnent également les accès non autorisés aux télécommunications privées. (Cet aspect n’est pas traité en détail dans cet article)

A/ L’employeur qui voudrait accéder à la boite mail de ses employés doit d’abord tenir compte des règles protégeant la confidentialité des communications effectuées au moyen d’un réseau public de communications qu’on retrouve dans la directive européenne “E-privacy” et sa transposition en droit national. (1)

Le respect de cette obligation de confidentialité (dans le cadre de la directive “E-Privacy”) implique l’interdiction de principe pour toute personne non concernée par une communication électronique d’intercepter ou d’accéder à son contenu peu importe que la communication soit privée ou professionnelle. (2)

Cette interdiction de principe connait deux dérogations :

  • l’autorisation des utilisateurs concernées par la communication électronique ;

Il est généralement admis que cette dérogation n’est pas applicable dans le contexte d’une relation de travail. Ceci s’explique car il y a dans le cadre d’une relation employeur- employé car il existe rapport de subordination qui rend difficile que l’employé puisse donner son autorisation de manière libre. (En effet un des critères de validité du consentement au sens du RGPD  (3) est la liberté : c’est à dire que la personne à qui celui-ci est demandé puisse avoir le choix de refuser sans crainte de subir un préjudice.) Pour le surplus pour utiliser cette première dérogation, l’employeur devrait alors obtenir également l’autorisation des tiers concernés par chaque communication ce qui rend cette dérogation d’autant plus difficile à mettre en pratique si on s’en tient à la loi applicable.

  • les cas spécifiquement autorisés par une loi.

La directive “E-privacy” vise spécifiquement des lois dont le but serait de garantir la sécurité publique ou de prévenir, détecter et poursuivre des utilisation non autorisées du système de communications électroniques.

B/  Dans le cadre de cette deuxième dérogation à la confidentialité des communications électroniques, l’employeur doit donc en principe déterminer si il existe ou pas des cas spécifiquement autorisés par la loi qui s’appliquent à la relation employeur-employé.

La convention collective de travail 81 relative à la protection de la vie privée des travailleurs à l’égard du contrôle des données de communication électroniques en réseau est souvent évoquée dans ce contexte (en Belgique) bien que cette convention ne s’applique pas au contenu des mails des employés.

L’Autorité de protection des données estime quand à elle que le pouvoir de contrôle de l’employeur en vertu du contrat de travail permet de justifier une ingérence dans la vie privée du travailleur (y compris l’accès au contenu de ses communications professionnelles). (4)

Il semble donc que la seule base légale disponible (mais qui pourrait être contestée) pour justifier cette ingérence à la confidentialité des communications électroniques dans le contexte Belge soit celle-ci.

Principes à respecter par l’employeur qui voudrait faire usage de la dérogation dans le contexte des relations de travail :

La convention collective de travail 81 relative à la protection de la vie privée des travailleurs à l’égard du contrôle des données de communication électroniques en réseau (évoquée précédemment) bien qu’elle ne soit pas la base légale permettant à l’employeur de justifier une ingérence dans la correspondance de ses employés est également importante dans ce contexte car les cours et tribunaux considèrent qu’ un employeur qui ne respecte les principes de cette convention commet une ingérence dans la vie privée de l’employé. (5)

Il s’agit des principes suivants (qu’on retrouve dans la convention collective de travail 81 mais aussi dans le RGPD sous une dénomination un peu différente) et qui doivent être respectés par l’employeur qui voudrait accéder à la boite mail de ses employés :

  • le principe de transparence;
  • le principe de nécessité ;
  • le principe de légitimité ;
  • le principe de proportionnalité.

Concrètement, le respect de ces principes implique que l’employeur doive communiquer au préalable à ses employés la procédure suivie et les cas exceptionnels ou un tel accès serait justifié (si nécessaire après consultation, selon le cas, au sein du conseil d’entreprise, du comité pour la prévention et la protection au travail ou avec la délégation syndicale). 

L’accès devra être également nécessaire et proportionnel à l’objectif légitime poursuivi par l’employeur. (Il faut vérifier si il n’existe pas d’alternative moins intrusive à cet accès, que l’accès soit limité dans le temps et vise seulement les mails professionnels et pas les mails libellés comme étant privés sauf éventuellement dans des cas spécifiques ou il existe des suspicions légitimes).

Application des règles en matière de protection des données à caractère personnel en complément de ce qui précède :

Le contenu de la boite mail professionnelle d’un employé contient souvent des données à caractère personnel le concernant, mais également des données à caractère personnel concernant les tiers qui sont y mentionnés ou qui sont destinataires des communications (qu’on peut retrouver dans le corps de chaque communication mais aussi dans les pièces jointes ou dans la mention des destinataires ou expéditeurs de chaque communication).

Ces communications peuvent dans certains cas aussi révéler des données à caractère personnel particulières (au sens de l’article 9 du RGPD – comprendre des données sensibles). Cela pourra par exemple être le cas si l’employé  utilise sa boite mail occasionnellement à des fins privées comme par exemple pour confirmer un rendez vous médical.              

L’employeur qui veut accéder à la boite mail de son employé  devra donc également pouvoir démontrer son respect des principes et des obligations applicables en matière de protection des données à caractère personnel (qui se superposent en partie aux respect des quatre principes énoncés ci-dessus mais qui impliquent également le respect d’obligations propres au RGPD évoquées dans le point C).

B/ Règles applicables après la fin de la relation de travail : 

Du point de vue des règles protégeant la confidentialité des communications électroniques, le fait que le contrat entre l’employeur et l’employé ait pris fin signifie que l’employeur ne pourra plus justifier l’accès aux correspondances de son employé sur base du contrôle en vertu du contrat de travail mais devra obtenir l’autorisation de son ex employé et de tous les destinataires de chaque correspondance.

Du point de vue des règles protégeant les données à caractère personnel la disparition du lien contractuel rend la conservation de la boite mail de l’employé par l’employeur extrêmement difficile à justifier.

Dans une décision récente (décision 133/2021 du 2 décembre 2021), la Chambre Contentieuse de l’Autorité de protection des données (ci-après « APD ») a pris position sur ce sujet et donne une série de directives.

Décision de l’APD

L’APD considère que  le responsable du traitement (l’entreprise) qui après le départ du plaignant (l’ex employé) conserve son adresse électronique et sa boîte mail pour une période indéterminée viole plusieurs des principes généraux du RGPD dont le principe de limitation des finalités, le principe de minimisation des données et le principe de limitation de la conservation des données.

Par ailleurs, l’APD considère que de tels traitements ne reposent plus sur aucun fondements juridiques dès lors que la base légale initiale qui justifierait de traiter les données à caractère personnel d’un employé  (à savoir l’exécution d’un contrat) disparait après son départ.

L’APD donne ensuite des conseils afin d’encadrer les pratiques admises d’un l’employeur ou d’une organisation dans ce contexte :

Pratiques admises après le départ de l’employé  :

  • La boîte mail de l’ex employé doit être bloquée par l’entreprise ou l’organisation au plus tard le jour de son départ effectif et l’entreprise/organisation doit en avoir informé préalablement son ex employé ;
  • L’employeur ou l’organisation peut (et c’est recommandé) mettre en place un message automatique de type “out of office” informant les expéditeurs que la personne concernée ne travaille plus pour l’entreprise ou l’organisation et qui fournit des coordonnées de contact pour le suivi. Ce message peut subsister pendant une période « raisonnable » (période de 1 mois selon l’APD).   ;
  • Par exception au point précédent, un délai plus long pour laisser ce type de message (out of office) est envisageable si les circonstances le justifie (en principe 3 mois maximum selon l’APD). Dans ce cas l’ex employé doit en être informé au préalable et il est recommandé que l’entreprise ou organisation récolte également son accord.
  • Après le délai raisonnable pendant lequel le message de type “out of office” est actif l’employeur doit supprimer la boite mail de son ex employé. Par dérogation au premier point, l’APD admet qu’il puisse y avoir un accord entre l’ex employé et l’entreprise/organisation sur la possibilité d’un accès temporaire accordé à l’ex employé à son ancienne boite mail afin clôturer certains dossiers en cours après son départ.

Pratiques déconseillées  :

Dans tous les cas, l’accès par l’employeur/organisation à la boite mail (et sa conservation) de son ex employé ou la redirection automatique des e-mails lui étant adressés après son départ doit être évitée. (6)

L’APD n’indique pas qu’un accord conclu avant le départ de l’employé pourrait permettre à l’employeur de bénéficier également d’un accès à la boite mail de son ex employé  après son départ.

Hypothétiquement, on pourrait penser qu’un tel accord ne serait valide que si l’employé et les destinataires de chaque correspondance devaient donner leur autorisation expresse à l’employeur après la fin de la relation de travail mais pendant le délai (raisonnable) ou sa boite mail doit être bloquée.

C/ En pratique : les mesures préalables que l’employeur peut adopter dans ce contexte.

Mesures à adopter par l’employeur pour respecter la législation relative à la protection des données à caractère personnel (pendant la relation de travail) :

  • Mener une analyse d’impact relative aux traitements envisagés (accès) ;
  • Décrire et justifier dans la politique vie privée interne de l’entreprise (pour les employés) concernant le traitement par l’entreprise des données de ses employés les éventuelles mesures de surveillance ou d’accès aux boites mails en justifiant la licéité et la finalité de ces traitements ;
  • Adapter le registre des activités de traitement et éventuellement la politique de rétention de l’entreprise en conséquence ;

Autres mesures que l’employeur peut adopter pour justifier un accès pendant la relation de travail et anticiper les départs (afin de pouvoir respecter les règles en matière de confidentialité et le droit du travail) :

  • Décrire dans sa politique concernant l’usage des outils informatiques professionnels (charte IT annexée le cas échéant au règlement de travail) les utilisations admises des boites mails professionnelles (par exemple, faut-il mettre en copie une adresse générique de l’entreprise ou un supérieur ou un collègue ? Combien de temps conserver les communications professionnelles et ou les classer ? Est-ce que l’usage privé occasionnel de la boite mail professionnelle est permis ou classer ou comment libeller les mails privés ) et faire approuver ceci par le conseil d’entreprise et les délégations syndicales ;
  • Informer les employés dans la même charte sur les cas exceptionnels ou un employeur peut potentiellement accéder à leurs boites mails nominatives de ses employés pendant la relation de travail (dans le respect de la loi et des exigences de conventions collectives de travail applicables) et faire approuver ceci par le conseil d’entreprise et les délégations syndicales ;
  • Penser à demander à l’employé qui part de « trier » ses messages privés et  professionnels lui-même avant son départ ou inclure cette obligation dans une procédure interne. (En cas de litige entre l’employeur et l’employé l’intervention d’un tiers impartial qui garantit la confidentialité comme par exemple un avocat ou délégué à la protection des données) peut être une solution pour permettre la récupération de mails pertinents avant son départ
  • Prévoir une procédure interne en ce qui concerne la suppression de la boite mail et l’adresse électronique des employés après leur départ avec éventuellement la possibilité de laisser un message de type out of office pendant une période raisonnable.    

Conclusion

Un accès non justifié, indistinct et non transparent par l’employeur aux mails de ses employés pendant la relation de travail est interdit.

L’employeur qui veut pouvoir exercer un contrôle des mails de ses employés dans certaines circonstances spécifiques pendant la relation de travail devra informer ses employés de manière transparente des cas et de la procédure suivie et devra pouvoir justifier la nécessité et la proportionnalité des accès qui ont lieu.

L’employeur sera également tenu de respecter dans ce cadre ses obligations en matière de protection des données à caractère personnel (analyse d’impact, information dans la politique vie privée des employé et mise à jour du registre).

Après le départ d’un employé, la conservation de sa boite mail et de son adresse électronique nominative par l’employeur est très difficile à justifier (surtout du point de vue règles relatives à la protection des données à caractère personnel). Il existe certaines exceptions prévues par l’APD qui sont limitées dans le temps et qui sont encadrées de manière stricte et ne couvrent pas l’accès à la boite mail par l’employeur.

Il n’est pas inutile de préciser que les recommandations de l’APD (autorité de protection des données) à ce sujet ne sont pas théoriques.

En effet, dans la décision commentée dans cet article l’APD a infligé une simple réprimande au responsable du traitement (l’employeur) au vu de circonstances atténuantes (actions prises par l’employeur pour limiter l’impact des violations constatées) mais dans une décision précédente, le responsable du traitement avait écopé  d’une amende de 15 000 euros ainsi que d’un ordre de mise en conformité. (Décision 64/2020)

Pour conclure afin de limiter les risques juridiques dans ce contexte (consultation des mails par l’employeur après ou avant le départ d’un employé), il est important pour l’employeur d’anticiper et de prévoir préalablement des mesures et politiques adéquates dans le respect des principes de proportionnalité et de transparence ainsi que de la législation pertinente (droit du travail, droit de la protection des données à caractère personnel).

……………………………………..

Vous vous trouvez dans une situation similaire à celle évoquée dans cet article et vous vous posez des questions sur vos droits et devoirs ?

Vous souhaiteriez prendre les devants afin d’informer vos employés sur les mesures applicables en matière d’utilisation de leurs communications électroniques dans le l’utilisation de leur boite et adresse électronique professionnelle ?

Plus généralement, vous avez une question relative à l’application du RGPD ou des règles concernant les communications électroniques dans ce contexte ou dans un autre contexte ?

N’hésitez pas à demander un entretien via notre formulaire de contact ou écrivant à info@md-lex.be

……………………………………..

(1) Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), article 5. Cette directive ajoute des obligations à celles prévues par le règlement général sur la protection des données à caractère personnel pour les aspects spécifiques qu’elle adresse (par exemple pour les cookies, les spams et la confidentialité des communications électroniques). Cette directive devrait être à terme remplacée par un Règlement.

(2)  La directive E-Privacy ne fait pas de distinction entre les utilisateurs qui utilisent un système de communications électroniques accessible au public à des fins privées ou professionnelles et par conséquent les communications professionnelles sont également incluses à l’article 5 concernant la confidentialité des communications électroniques. 

(3) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).   

Selon le RGPD, le consentement doit être donné de manière  libre, spécifique, éclairée et univoque. Le considérant 42 du RGPD indique par ailleurs que  “Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice.”  

(4) https://www.autoriteprotectiondonnees.be/professionnel/themes/vie-privee-sur-le-lieu-de-travail/surveillance-de-l-employeur/surveillance-electronique-sur-internet-et-email

(5) On retrouve ces principes dans la convention collective de travail 81 en matière de surveillance des communications électroniques en réseau mais également dans le RGPD sous des dénominations parfois légèrement différentes. La jurisprudence admet qu’un accès ou une ingérence de l’employeur dans la correspondance de ses employés sans avoir respecté ces principes (en particulier celui de transparence) consiste une violation de la vie privée de l’employé par l’employeur et rend tout élément (par exemples preuves) qui sont issus de cette ingérence comme inadmissibles.

Voir à ce sujet : Cass., 20 mai 2019, R.G. S.17.0089.F, www.juridat.be : La Cour de cassation s’est prononcée dans le cadre d’un licenciement pour motif grave ou l’employeur rapportait la preuve des faits reprochés par la production de courriers électroniques (professionnels et privés) qu’il avait obtenus en accédant à la boîte mail du travailleur en question sans avoir respecté les principes de légitimité, transparence, de nécessité, de proportionnalité. La Cour de Cassation a considéré que les preuves ainsi recueillies étaient entachées d’irrégularité puisqu’elles violaient la vie privée du travailleur.

Cette interprétation de la cour de Cassation est concordante avec celle de la Cour européenne des droits de l’homme dans l’arrêt BĂRBULESCU c. ROUMANIE (coe.int) qui concerne un cas similaire et ou il a été conclu à une atteinte illicite à son droit au respect de la vie privée/de la correspondance garanti par l’article 8 de la CEDH du fait que ces principes n’ont pas étés respectés par l’employeur.

(6) Voir à ce sujet l’article 14.5 de la recommandation 2015(5) du conseil de l’Europe.

……………………………………………….