L‘accès aux correspondances professionnelles électroniques des employés par leur employeur pendant la relation de travail peut sembler justifié dans certains cas de figure, par exemple afin de permettre à l’employeur d’assurer la bonne continuité de ses activités en cas d’absence ou afin de pouvoir assurer la sécurité des informations confidentielles de l’entreprise.
Cet accès doit toutefois être mis en balance avec les droits de l’employé au respect de sa vie privée et à la confidentialité de ses communications.
L‘Union Européenne dans son cadre juridique actuel (la directive E-Privacy qui devrait être remplacée à terme par un règlement depuis plusieurs années) consacre la confidentialité des correspondances électroniques des utilisateurs sous réserve de certaines exceptions et ne fait pas de distinction entre les communications privées et professionnelles.
Il faut aussi tenir compte dans ce contexte de l’application du Règlement Général sur la Protection des données à caractère personnel étant donné que les communications électroniques des employés contiennent aussi généralement des données à caractère personnel.
L’accès par l’employeur aux mails de ses employés après la relation de travail est quant à lui plus difficile à justifier notamment suite à la jurisprudence récente de l’autorité de protection des données. Ceci s’explique en particulier du fait que l’employeur ne dispose en principe plus de base légale (fin de la relation contractuelle) qui justifierait de conserver la boite mail de son ex-employé et accéder aux données à caractère personnel qui s’y trouve après son départ.
Cet article a pour objectif d’une part de faire le tour des règles applicables (au moment de sa rédaction) à ces deux cas de figure (accès par l’employeur pendant et après la relation de travail) dans le contexte Belge.
On y aborde ensuite de manière assez généraliste des mesures (une analyse juridique circonstanciée et l’adoption d’un plan d’action et de mesures adaptées à la situation de chaque entreprise est nécessaire pour implémenter ce type de mesures) qu’un employeur peut prendre afin de pouvoir limiter les risques juridiques.
A/ Règles applicables :
Règles encadrant la confidentialité des communications électroniques et exception applicables dans le cadre de la relation de travail :
(Nous n’examinerons pas ici les dispositions applicables en droit pénal qui interdisent et sanctionnent également les accès non autorisés aux télécommunications privées. Voir à ce sujet les articles 259 bis et 314 bis du Code Pénal).
L’article 8 de la Convention européenne des Droits de l’Homme et 22 de la Constitution belge assurent tous deux le droit au respect de la vie privée (et familiale) ce qui inclut la confidentialité de la correspondance.
La directive européenne “E-privacy” et sa transposition en droit national (articles 124 et 125 de la loi du 13 juin 2005 sur les communications électroniques) consacrent ce droit dans le cadre des communications électroniques. (1)
La règle générale dans cette directive est l’interdiction pour toute partie (utilisateur) non concernée par une communication effectuée au moyen d’un réseau public de communications et de services de communications électroniques accessibles au public d’accéder à son contenu (peu importe que ladite communication soit de nature privée ou professionnelle). (2)
Cette interdiction de principe connaît deux exceptions :
- l’autorisation des utilisateurs concernées par la communication électronique ;
Il est généralement admis que cette dérogation n’est pas applicable dans le contexte d’une relation de travail. Ceci s’explique car la directive E-Privacy renvoie aux critères du RGPD pour la validité du consentement. Or un des critères de validité du consentement au sens du RGPD est que le consentement doit être libre. Ceci veut dire que la personne à qui le consentement est demandé doit avoir le choix de pouvoir refuser sans crainte de subir un préjudice. Dans le cadre d’une relation employeur-employé il est admis que cette liberté n’existe pas car il existe rapport de subordination entre un employé et son employeur empêche que l’employé puisse refuser son autorisation sans craindre de conséquences pour son emploi.(3)
- les cas spécifiquement autorisés par une loi.
La directive “E-privacy” dans le cadre de cette deuxième exception vise spécifiquement des lois dont le but serait de garantir la sécurité publique ou de prévenir, détecter et poursuivre des utilisations non autorisées du système de communications électroniques. (L’article 125 de la loi belge du 13 juin 2005 sur les communications électroniques qui transpose la directive fait référence à “la loi” de manière plus générale sans restreindre leur objet.)
L’Autorité de protection des données belge estime (elle l’explique sur son site web – cette interprétation est à notre sens discutable vu le caractère très général de cette loi) que le pouvoir de contrôle de l’employeur en vertu du contrat de travail (loi belge relative aux contrats de travail) permet selon elle de justifier une ingérence dans la vie privée du travailleur (y compris l’accès au contenu de ses communications professionnelles). (4)
Principes applicables issus de la CCT 81 :
Pour la mise en œuvre de cette “ingérence” par l’employeur dans les communications électroniques de ses employés (qui serait justifiée par son pouvoir de contrôle en vertu du contrat de travail), l’Autorité de protection des données belge mentionne l’obligation pour l’employeur de respecter des principes de la convention collective de travail 81 relative à la protection de la vie privée des travailleurs à l’égard du contrôle des données de communication électroniques (ci-après “CCT 81”).
Cette interprétation par l’Autorité est également discutable étant donné que la CCT 81 ne concerne a priori pas le contrôle du contenu des e-mails envoyés et/ou reçus par le travailleur au moyen de l’ordinateur de l’entreprise comme le confirme la Cour du Travail de Bruxelles dans une décision du 8 février 2019. (4)
Toutefois comme la jurisprudence de la CEDH et des décisions récentes des cours et tribunaux belges considèrent généralement qu’un employeur qui ne respecte pas ces principes lorsqu’il consulte les mails de ses employés il convient donc pour l’employeur tenir compte qui veut mettre en place une procédure pour justifier de tels accès. (5)
Il s’agit des principes suivants :
- le principe de transparence;
- le principe de nécessité ;
- le principe de légitimité ;
- le principe de proportionnalité.
Concrètement, le respect du principe de transparence implique que l’employeur communique au préalable à ses employés la procédure suivie et les cas spécifiques ou un tel accès serait justifié dans son règlement de travail (qui est adapté si nécessaire après consultation du conseil d’entreprise, du comité pour la prévention et la protection au travail et/ou avec consultation des délégations syndicales).
Les principes de nécessité et de proportionnalité impliquent que les cas prévus et la manière de procéder au contrôle soient nécessaires et justifiés par des objectifs légitimes (par exemple sécurité ou dans le cadre d’une investigation ou si il existe des risques concernant les intérêts économiques de l’entreprise sur base de suspicions légitimes et après une enquête interne) et se fassent de la manière la moins intrusive possible en visant uniquement les communications qui sont nécessaires pour atteindre le ou les objectifs visés.
Principes et règles applicables en matière de protection des données à caractère personnel :
Le contenu de la boite mail professionnelle d’un employé contient souvent des données à caractère personnel le concernant, mais également des données à caractère personnel concernant les tiers qui sont y mentionnés ou qui sont destinataires des communications (qu’on peut retrouver dans le corps de chaque communication mais aussi dans les pièces jointes ou dans la mention des destinataires ou expéditeurs de chaque communication).
Ces communications peuvent dans certains cas aussi révéler des données à caractère personnel particulières (au sens de l’article 9 du RGPD – comprendre des données sensibles). Cela pourra par exemple être le cas si l’employé utilise sa boite mail occasionnellement à des fins privées comme par exemple pour confirmer un rendez vous médical.
L’employeur qui voudrait accéder à la boite mail d’un des ses employés devra donc également pouvoir démontrer son respect des principes et des obligations applicables en matière de protection des données à caractère personnel.
Il s’agit notamment de pouvoir justifier d’une base légale et de respecter les principes de limitation des finalités, de proportionnalité et de transparence qui coïncident en grande partie aux respect des quatre principes énoncés dans la CCT 81.
D’autre part, il s’agit de respecter d’autres obligations propres au RGPD (évoquées plus en détail dans le point C) comme par exemple l’obligation de mener le cas échéant une analyse d’impact et mettre à jour le registre des activités de traitement.
B/ Règles applicables après la fin de la relation de travail :
Du point de vue des règles protégeant la confidentialité des communications électroniques, le fait que le contrat entre l’employeur et l’employé ait pris fin signifie que l’employeur ne pourra plus justifier l’accès aux correspondances de son employé sur base du contrôle en vertu du contrat de travail mais devra obtenir l’autorisation de son ex employé et de tous les destinataires de chaque correspondance.
Du point de vue des règles protégeant les données à caractère personnel la disparition du lien contractuel rend la conservation de la boite mail de l’employé par l’employeur extrêmement difficile à justifier.
Dans une décision récente (décision 133/2021 du 2 décembre 2021), la Chambre Contentieuse de l’Autorité de protection des données (ci-après « APD ») a pris position sur ce sujet et donne une série de directives.
Décision de l’APD
L’APD considère que le responsable du traitement (l’entreprise) qui après le départ du plaignant (l’ex employé) conserve son adresse électronique et sa boîte mail pour une période indéterminée viole plusieurs des principes généraux du RGPD dont le principe de limitation des finalités, le principe de minimisation des données et le principe de limitation de la conservation des données.
Par ailleurs, l’APD considère que de tels traitements ne reposent plus sur aucun fondements juridiques dès lors que la base légale initiale qui justifierait de traiter les données à caractère personnel d’un employé (à savoir l’exécution d’un contrat) disparait après son départ.
L’APD donne ensuite des conseils afin d’encadrer les pratiques admises d’un l’employeur ou d’une organisation dans ce contexte :
Pratiques admises après le départ de l’employé :
- La boîte mail de l’ex employé doit être bloquée par l’entreprise ou l’organisation au plus tard le jour de son départ effectif et l’entreprise/organisation doit en avoir informé préalablement son ex employé ;
- L’employeur ou l’organisation peut (et c’est recommandé) mettre en place un message automatique de type “out of office” informant les expéditeurs que la personne concernée ne travaille plus pour l’entreprise ou l’organisation et qui fournit des coordonnées de contact pour le suivi. Ce message peut subsister pendant une période « raisonnable » (période de 1 mois selon l’APD). ;
- Par exception au point précédent, un délai plus long pour laisser ce type de message (out of office) est envisageable si les circonstances le justifie (en principe 3 mois maximum selon l’APD). Dans ce cas l’ex employé doit en être informé au préalable et il est recommandé que l’entreprise ou organisation récolte également son accord.
- Après le délai raisonnable pendant lequel le message de type “out of office” est actif l’employeur doit supprimer la boite mail de son ex employé. Par dérogation au premier point, l’APD admet qu’il puisse y avoir un accord entre l’ex employé et l’entreprise/organisation sur la possibilité d’un accès temporaire accordé à l’ex employé à son ancienne boite mail afin clôturer certains dossiers en cours après son départ.
Pratiques déconseillées :
Dans tous les cas, l’accès par l’employeur/organisation à la boite mail (et sa conservation) de son ex employé ou la redirection automatique des e-mails lui étant adressés après son départ doit être évitée. (6)
L’APD n’indique pas qu’un accord conclu avant le départ de l’employé pourrait permettre à l’employeur de bénéficier également d’un accès à la boite mail de son ex employé après son départ.
Hypothétiquement, on pourrait penser qu’un tel accord ne serait valide que si l’employé et les destinataires de chaque correspondance devaient donner leur autorisation expresse à l’employeur après la fin de la relation de travail mais pendant le délai (raisonnable) ou sa boite mail doit être bloquée.
C/ En pratique : les mesures préalables que l’employeur peut adopter dans ce contexte.
Mesures à adopter par l’employeur pour respecter la législation relative à la protection des données à caractère personnel et les règles relatives à la confidentialité des communications électroniques :
- Mener au préalable une analyse d’impact relative aux traitements envisagés (accès aux mails des employés dans des cas précis) et prendre les mesures nécessaires (techniques et organisationnelles) pour faire diminuer les risques identifiés à un niveau acceptable ;
- Adapter le registre, la charte de confidentialité des employés et éventuellement les politiques de rétention des données ;
- Adapter son règlement du travail et/ou la charte relative à l’utilisation des outils informatiques professionnels par les employés (après avoir consulté le conseil d’entreprise si nécessaire) en indiquant clairement les cas qui justifient l’accès aux boites mails par l’employeur et également les procédures applicables et les droits des employés et rappeler ceci clairement aux nouveaux employés et lors de formations internes ;
- Décrire de préférence dans sa politique concernant l’usage des outils informatiques professionnels ou une autre politique interne les utilisations admises des boites mails professionnelles (en particulier, faut-il mettre en copie une adresse générique de l’entreprise ou un supérieur ou un collègue ? Combien de temps conserver les communications professionnelles et faut il les classer dans certains cas ? Est-ce que l’usage privé occasionnel de la boite mail professionnelle est permis et si oui comment classer ou comment libeller les mails privés ) et rappeler ceci régulièrement lors de formations internes ;
Autres mesures que l’employeur peut adopter lors des départs (afin de pouvoir respecter les règles en matière de confidentialité et le droit du travail)
- Penser à demander à l’employé qui part de « trier » ses messages privés et professionnels lui-même avant son départ ou inclure cette obligation dans une procédure interne. (En cas de litige entre l’employeur et l’employé l’intervention d’un tiers impartial qui garantit la confidentialité comme par exemple un avocat ou délégué à la protection des données) peut être une solution pour permettre la récupération de mails pertinents avant son départ.
- Prévoir une procédure interne en ce qui concerne la suppression de la boite mail et l’adresse électronique des employés après leur départ avec éventuellement la possibilité de laisser un message de type out of office pendant une période raisonnable et rappeler ceci lors de formations internes ou aux employés concernés avant leur départ.
Conclusion
Un accès non justifié, indistinct et non transparent par l’employeur aux mails de ses employés pendant la relation de travail est interdit.
L’employeur qui veut pouvoir exercer un contrôle des mails de ses employés dans certaines circonstances spécifiques pendant la relation de travail devra informer ses employés de manière transparente des cas et de la procédure suivie et devra pouvoir justifier la nécessité et la proportionnalité des accès qui ont lieu.
L’employeur sera également tenu de respecter dans ce cadre ses obligations en matière de protection des données à caractère personnel (analyse d’impact, information dans la politique vie privée des employé et mise à jour du registre).
Après le départ d’un employé, la conservation de sa boite mail et de son adresse électronique nominative par l’employeur est très difficile à justifier (surtout du point de vue règles relatives à la protection des données à caractère personnel). Il existe certaines exceptions prévues par l’APD qui sont limitées dans le temps et qui sont encadrées de manière stricte et ne couvrent pas l’accès à la boite mail par l’employeur.
Il n’est pas inutile de préciser que les recommandations de l’APD (autorité de protection des données) à ce sujet ne sont pas théoriques.
En effet, dans la décision commentée dans cet article l’APD a infligé une simple réprimande au responsable du traitement (l’employeur) au vu de circonstances atténuantes (actions prises par l’employeur pour limiter l’impact des violations constatées) mais dans une décision précédente, le responsable du traitement avait écopé d’une amende de 15 000 euros ainsi que d’un ordre de mise en conformité. (Décision 64/2020)
Il existe aussi d’autres sanctions notamment celles prévues par le code pénal et les dispositions pénales de la loi sur les communications électroniques visant à sanctionner les accès non autorisés.
Pour conclure afin de limiter les risques juridiques dans le contexte actuel, il est important pour l’employeur d’anticiper et de prévoir préalablement des mesures et politiques adéquates dans le respect des principes de proportionnalité et de transparence ainsi que de la législation pertinente (droit du travail, droit de la protection des données à caractère personnel).
……………………………………..
Vous vous trouvez dans une situation similaire à celle évoquée dans cet article et vous vous posez des questions sur vos droits et devoirs ?
Vous souhaiteriez prendre les devants afin d’informer vos employés sur les mesures applicables en matière d’utilisation de leurs communications électroniques dans le l’utilisation de leur boite et adresse électronique professionnelle ?
Plus généralement, vous avez une question relative à l’application du RGPD ou des règles concernant les communications électroniques dans ce contexte ou dans un autre contexte ?
N’hésitez pas à demander un entretien via notre formulaire de contact ou écrivant à info@md-lex.be
……………………………………..
(1) Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), article 5. Cette directive ajoute des obligations à celles prévues par le règlement général sur la protection des données à caractère personnel pour les aspects spécifiques qu’elle adresse (par exemple pour les cookies, les spams et la confidentialité des communications électroniques). Cette directive devrait être à terme remplacée par un Règlement.
(2) La directive E-Privacy dans la définition reprise à l’article 2, (a) ne fait pas de distinction entre les utilisateurs qui utilisent un système de communications électroniques accessible au public à des fins privées ou professionnelles et par conséquent les communications professionnelles sont également incluses à l’article 5 concernant la confidentialité des communications électroniques.
(3) Article 2, (f) de la directive E-Privacy et le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
Selon le RGPD, le consentement doit être donné de manière libre, spécifique, éclairée et univoque. Le considérant 42 du RGPD indique par ailleurs que “Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice.”
(5) On retrouve ces principes dans la convention collective de travail 81 en matière de surveillance des communications électroniques en réseau mais également dans le RGPD sous des dénominations parfois légèrement différentes. La jurisprudence admet qu’un accès ou une ingérence de l’employeur dans la correspondance de ses employés sans avoir respecté ces principes (en particulier celui de transparence) consiste une violation de la vie privée de l’employé par l’employeur et rend tout élément (par exemples preuves) qui sont issus de cette ingérence comme inadmissibles.
Voir à ce sujet : Cass., 20 mai 2019, R.G. S.17.0089.F, www.juridat.be : La Cour de cassation s’est prononcée dans le cadre d’un licenciement pour motif grave ou l’employeur rapportait la preuve des faits reprochés par la production de courriers électroniques (professionnels et privés) qu’il avait obtenus en accédant à la boîte mail du travailleur en question sans avoir respecté les principes de légitimité, transparence, de nécessité, de proportionnalité. La Cour de Cassation a considéré que les preuves ainsi recueillies étaient entachées d’irrégularité puisqu’elles violaient la vie privée du travailleur.
Cette interprétation de la cour de Cassation est concordante avec celle de la Cour européenne des droits de l’homme dans l’arrêt BĂRBULESCU c. ROUMANIE (coe.int) qui concerne un cas similaire et ou il a été conclu à une atteinte illicite à son droit au respect de la vie privée/de la correspondance garanti par l’article 8 de la CEDH du fait que ces principes n’ont pas étés respectés par l’employeur.
(6) Voir à ce sujet l’article 14.5 de la recommandation 2015(5) du conseil de l’Europe.
……………………………………………….