L‘accès aux correspondances électroniques des employés par leur employeur pendant la relation de travail peut sembler justifié (pour l’employeur) dans certains cas de figure.
On pense par exemple aux cas d’absence imprévue et prolongée d’un employé (lorsque l’employeur doit accéder à des informations cruciales pour la continuité de ses activités économiques) ou lorsque l’employeur doit effectuer des contrôles en vue d’assurer le bon fonctionnement ou la sécurité des systèmes informatiques de l’entreprise ou enfin dans le cadre d’une enquête interne concernant des violations potentielles du règlement de travail ou de la loi…
De tels accès doivent toutefois être justifiés et mis en balance avec les droits de l’employé au respect de sa vie privée (données personnelles) et à la confidentialité de ses communications électroniques (législation concernant la confidentialité des communications électroniques privées et professionnelles).
L’accès par un employeur aux correspondances électroniques de ses employés après la relation de travail est beaucoup plus difficile à justifier dès lors qu’il n’y a plus de lien contractuel entre les parties et l’employeur ne dispose donc a priori pas de base légale justifiant de conserver la boite mail de son ex-employé après son départ (au regard du RGPD et du respect de la confidentialité des communications électroniques).
Cet article a pour objectif de faire le tour des règles applicables (au moment de sa rédaction) à ces deux cas de figure (accès par l’employeur pendant et après la relation de travail) dans le contexte Belge et ensuite de passer en revue (de manière très générale) quelques mesures que l’employeur peut prendre pour être conforme aux règles applicables.
A/ Règles applicables pendant la relation de travail :
Règles encadrant la confidentialité des communications électroniques et exception applicables dans le cadre de la relation de travail :
(Nous n’examinerons pas ici les dispositions applicables en droit pénal qui interdisent et sanctionnent également les accès non autorisés aux télécommunications privées. Voir à ce sujet les articles 259 bis et 314 bis du Code Pénal).
L’article 8 de la Convention européenne des Droits de l’Homme et 22 de la Constitution belge assurent tous deux le droit au respect de la vie privée (et familiale) ce qui inclut la confidentialité de la correspondance.
La directive européenne « E-privacy » et sa transposition en droit national (articles 124 et 125 de la loi du 13 juin 2005 sur les communications électroniques) consacrent ce droit dans le cadre des communications électroniques. (1)
La règle générale dans cette directive est l’interdiction pour toute partie (utilisateur) non concernée par une communication effectuée au moyen d’un réseau public de communications et de services de communications électroniques accessibles au public d’accéder à son contenu (peu importe que ladite communication soit de nature privée ou professionnelle). (2)
Cette interdiction de principe connaît plusieurs deux exceptions générales et deux exceptions limitées et techniques :
- la première exception générale est le consentement des utilisateurs concernées par la communication électronique ;
Il est généralement admis que cette dérogation n’est pas applicable dans le contexte d’une relation de travail. Ceci s’explique car la directive E-Privacy renvoie aux critères du RGPD pour la validité du consentement. Or un des critères de validité du consentement au sens du RGPD est que le consentement doit être libre. Ceci veut dire que la personne à qui le consentement est demandé doit avoir le choix de pouvoir refuser de donner son consentement sans avoir la crainte de subir un préjudice. Dans le cadre d’une relation employeur-employé il est admis que cette liberté n’existe pas car il existe rapport de subordination entre un employé et son employeur empêche que l’employé puisse refuser son autorisation sans craindre de conséquences pour son emploi. (3)
- la seconde exception sont les dérogations spécifiquement autorisées par une loi :
La directive « E-privacy » ne donne pas un cadre illimité mais vise spécifiquement des lois dont le but serait de garantir la sécurité publique ou de prévenir, détecter et poursuivre des infractions pénales et des utilisations non autorisées du système de communications électroniques.
L’Autorité de protection des données belge a estimé (4) que le pouvoir de contrôle de l’employeur en vertu du contrat de travail (voir à ce sujet la loi belge relative aux contrats de travail du 3 juillet 1978) permettait à l’employeur de d’exercer un contrôle sur le contenu des e-mails de leurs employés.
Cette interprétation nous semble assez discutable vu que la loi sur le contrat de travail ne fait aucune référence spécifique a la possibilité pour l’employeur d’exercer ce type de contrôle sur le contenu des e-mails des employés et que l’article 125 de la loi du 13 juin 2005 sur les communications électroniques précise pourtant dans son premier paragraphe que la loi doit permettre ou imposer une dérogation (ce qui laisse supposer que cette autorisation ou cette obligation doit être reprise de manière explicite dans la loi).
Notons qu’il existe également deux exception techniques mais sur lesquelles nous ne nous étendrons pas étant donné qu’elles se limitent à des cas très spécifiques :
- Il s’agit d’une part de l’enregistrement légalement autorisé de communications et des données relatives au trafic y afférentes, lorsqu’il est effectué dans le cadre des usages professionnels licites, afin de fournir la preuve d’une transaction commerciale ou de toute autre communication commerciale.
- Le stockage ou à les accès techniques visant exclusivement à effectuer ou à faciliter la
transmission d’une communication par la voie d’un réseau de communications électroniques, ou qui sont strictement nécessaires à la fourniture d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur.
Principes applicables issus de la CCT 81 :
Pour la mise en œuvre de cette « ingérence autorisée » dans le chef l’employeur en vertu de la loi belge relative aux contrats de travail (si on accepte cette interprétation), l’Autorité de protection des données belge mentionne l’obligation pour l’employeur de respecter des principes de la convention collective de travail 81 relative à la protection de la vie privée des travailleurs à l’égard du contrôle des données de communication électroniques (ci-après « CCT 81 »).
Cette référence par l’Autorité à la CCT 81 est également discutable étant donné que la CCT 81 ne concerne pas le contrôle du contenu des e-mails envoyés et/ou reçus par le travailleur au moyen des ordinateurs de l’entreprise comme le confirme la Cour du Travail de Bruxelles dans une décision du 8 février 2019. (5)
Toutefois, étant donné que la jurisprudence de la CEDH et plusieurs décisions récentes des cours et tribunaux belges semblent accepter que les principes repris dans la CCT 81 soient applicables dans le cadre de la consultation des e-mails des employés par leur employeur il semble conseillé d’en tenir compte.
En effet, selon cette jurisprudence, un employeur qui ne respecte pas ces principes lorsqu’il consulte les e-mails de ses employés ne respecte pas leur vie privée et que les informations découvertes lors de cette consultation seraient déclarées irrecevables si ces principes ne sont pas respectés. (6)
Il s’agit des principes suivants :
- le principe de transparence;
- le principe de nécessité ;
- le principe de légitimité ;
- le principe de proportionnalité.
Le respect du principe de transparence implique que l’employeur communique au préalable à ses employés la procédure suivie et les cas spécifiques ou un tel accès serait justifié dans son règlement de travail (après consultation du conseil d’entreprise, du comité pour la prévention et la protection au travail et/ou avec consultation des délégations syndicales).
Les principes de nécessité, de légitimité et de proportionnalité impliquent que les cas prévus et la manière de procéder au contrôle soient nécessaires et justifiés par des objectifs légitimes (par exemple sécurité ou dans le cadre d’une investigation ou si il existe des risques concernant les intérêts économiques de l’entreprise sur base de suspicions légitimes et après une enquête interne) et ces contrôles se fassent de la manière la moins intrusive possible en visant uniquement les communications qui sont nécessaires pour atteindre le ou les objectifs visés.
Principes et règles applicables en matière de protection des données à caractère personnel :
Le contenu de la boite mail professionnelle d’un employé contient souvent des données à caractère personnel le concernant, mais également des données à caractère personnel concernant les tiers qui sont y mentionnés ou qui sont destinataires des communications (qu’on peut retrouver dans le corps de chaque communication mais aussi dans les pièces jointes ou dans la mention des destinataires ou expéditeurs de chaque communication).
Ces communications peuvent dans certains cas aussi révéler des données à caractère personnel particulières (au sens de l’article 9 du RGPD – comprendre des données sensibles). Cela pourra par exemple être le cas si l’employé utilise sa boite mail occasionnellement à des fins privées comme par exemple pour confirmer un rendez vous médical.
L’employeur qui voudrait accéder à la boite mail d’un des ses employés devra donc également pouvoir démontrer son respect des principes et des obligations applicables en matière de protection des données à caractère personnel.
Il s’agit notamment de pouvoir justifier d’une base légale et de respecter les principes de limitation des finalités, de proportionnalité et de transparence qui coïncident en grande partie aux respect des quatre principes énoncés dans la CCT 81.
D’autre part, il s’agit de respecter d’autres obligations propres au RGPD (évoquées plus en détail dans le point C) comme par exemple l’obligation de mener une analyse d’impact au préalable de la mise en place de ces mesures (le cas échéant) et de mettre à jour le registre des activités de traitement et les politiques communiquées aux employés.
B/ Règles applicables dans le contexte de la fin de la relation de travail :
Du point de vue des règles protégeant la confidentialité des communications électroniques, le fait que le contrat entre l’employeur et l’employé ait pris fin signifie que l’employeur ne pourra plus justifier l’accès aux correspondances de son employé sur base du contrôle en vertu du contrat de travail mais devra obtenir l’autorisation de son ex employé et de tous les destinataires de chaque correspondance.
Du point de vue des règles protégeant les données à caractère personnel la disparition du lien contractuel rend la conservation de la boite mail de l’employé par l’employeur extrêmement difficile à justifier.
Dans une décision récente (décision 133/2021 du 2 décembre 2021), la Chambre Contentieuse de l’Autorité de protection des données (ci-après « APD ») a pris position sur ce sujet et donne une série de directives.
Décision de l’APD
L’APD considère que le responsable du traitement (l’entreprise) qui après le départ du plaignant (l’ex employé) conserve son adresse électronique et sa boîte mail pour une période indéterminée viole plusieurs des principes généraux du RGPD dont le principe de limitation des finalités, le principe de minimisation des données et le principe de limitation de la conservation des données.
Par ailleurs, l’APD considère que de tels traitements ne reposent plus sur aucun fondements juridiques dès lors que la base légale initiale qui justifierait de traiter les données à caractère personnel d’un employé (à savoir l’exécution d’un contrat) disparait après son départ.
L’APD donne ensuite des conseils afin d’encadrer les pratiques admises d’un l’employeur ou d’une organisation dans ce contexte :
Pratiques admises après le départ de l’employé :
- La boîte mail de l’ex employé doit être bloquée par l’entreprise ou l’organisation au plus tard le jour de son départ effectif et l’entreprise/organisation doit en avoir informé préalablement son ex employé ;
- L’employeur ou l’organisation peut (et c’est recommandé) mettre en place un message automatique de type « out of office » informant les expéditeurs que la personne concernée ne travaille plus pour l’entreprise ou l’organisation et qui fournit des coordonnées de contact pour le suivi. Ce message peut subsister pendant une période « raisonnable » (période de 1 mois selon l’APD). ;
- Par exception au point précédent, un délai plus long pour laisser ce type de message (out of office) est envisageable si les circonstances le justifie (en principe 3 mois maximum selon l’APD). Dans ce cas l’ex employé doit en être informé au préalable et il est recommandé que l’entreprise ou organisation récolte également son accord.
- Après le délai raisonnable pendant lequel le message de type « out of office » est actif l’employeur doit supprimer la boite mail de son ex employé.
Pratiques déconseillées :
Dans tous les cas, l’accès par l’employeur/organisation à la boite mail (et sa conservation) de son ex employé ou la redirection automatique des e-mails lui étant adressés après son départ doit être évitée. (7)
L’APD semble admettre qu’il pourrait y avoir un accord entre l’ex employé et l’entreprise/organisation sur la possibilité d’un accès temporaire octroyé à son ex employé pour accéder son ancienne boite mail afin clôturer certains dossiers en cours après son départ.
C/ En pratique : exemple de mesures (préalables) que l’employeur peut adopter pour se conformer aux règles applicables.
Mesures à adopter par l’employeur pour encadrer les consultations pendant la relation de travail :
- Mener au préalable une analyse d’impact relative aux traitements envisagés (accès aux mails des employés dans des cas précis) en incluant le respect des principes de la CCT 81 et prendre les mesures nécessaires (techniques et organisationnelles) pour faire diminuer les risques identifiés à un niveau acceptable ;
- Adapter le registre, la charte de confidentialité des employés et éventuellement les politiques de rétention des données ;
- Adapter son règlement du travail et/ou la charte relative à l’utilisation des outils informatiques professionnels par les employés qui est souvent une annexe dudit règlement de travail (après avoir consulté le conseil d’entreprise et/ou s’être concerté avec le conseiller en prévention et protection au travail et la délégation syndicale) en indiquant clairement les cas qui justifient l’accès aux boites mails par l’employeur et également les procédures applicables ainsi que les droits des employés et rappeler ceci clairement aux nouveaux employés et lors de formations internes ;
Mesures que l’employeur peut adopter en vue du départ d’un employé afin d’assurer la continuité des activités :
- Prévoir une procédure interne (éventuellement incluse dans le règlement de travail) en ce qui concerne l’utilisation autorisée par les employés de leur boite mail (comment classer leurs mails, qui mettre en copie, comment libeller les mails de nature privée pour assurer leur confidentialité) et rappeler le contenu de cette politique lors de formations internes.
- Penser à demander à l’employé (ou l’inclure dans la politique d’utilisation de la boite mail) qui part de « trier » ses messages privés et professionnels lui-même avant son départ ou inclure cette obligation dans une procédure interne. (En cas de litige entre l’employeur et l’employé l’intervention d’un tiers impartial qui garantit la confidentialité comme par exemple un avocat ou délégué à la protection des données) peut être une solution pour permettre la récupération de mails pertinents avant son départ.
Conclusion
Un accès non justifié, indistinct et non transparent par l’employeur aux mails de ses employés pendant la relation de travail est interdit.
L’employeur qui veut pouvoir exercer un contrôle des mails de ses employés dans certaines circonstances spécifiques pendant la relation de travail devra informer ses employés de manière transparente des cas et de la procédure suivie et devra pouvoir justifier la nécessité et la proportionnalité des accès qui ont lieu.
L’employeur sera également tenu de respecter dans ce cadre ses obligations en matière de protection des données à caractère personnel (analyse d’impact, information dans la politique vie privée des employé et mise à jour du registre).
Après le départ d’un employé, la conservation de sa boite mail et de son adresse électronique nominative par l’employeur est très difficile à justifier (surtout du point de vue règles relatives à la protection des données à caractère personnel). Il existe certaines exceptions prévues par l’APD qui sont limitées dans le temps et qui sont encadrées de manière stricte et ne couvrent pas l’accès à la boite mail par l’employeur.
Il n’est pas inutile de préciser que les recommandations de l’APD (autorité de protection des données) à ce sujet ne sont pas théoriques.
En effet, dans la décision commentée dans cet article l’APD a infligé une simple réprimande au responsable du traitement (l’employeur) au vu de circonstances atténuantes (actions prises par l’employeur pour limiter l’impact des violations constatées) mais dans une décision précédente, le responsable du traitement avait écopé d’une amende de 15 000 euros ainsi que d’un ordre de mise en conformité. (Décision 64/2020)
Il existe aussi d’autres sanctions notamment celles prévues par le code pénal et les dispositions pénales de la loi sur les communications électroniques visant à sanctionner les accès non autorisés.
Pour conclure afin de limiter les risques juridiques dans le contexte actuel, il est important pour l’employeur d’anticiper et de prévoir préalablement des mesures et politiques adéquates dans le respect des principes de proportionnalité et de transparence ainsi que de la législation pertinente (droit du travail, droit de la protection des données à caractère personnel).
……………………………………..
Vous vous trouvez dans une situation similaire à celle évoquée dans cet article et vous vous posez des questions sur vos droits et devoirs ?
Vous souhaiteriez prendre les devants afin d’informer vos employés sur les mesures applicables en matière d’utilisation de leurs communications électroniques dans le l’utilisation de leur boite et adresse électronique professionnelle ?
Plus généralement, vous avez une question relative à l’application du RGPD ou des règles concernant les communications électroniques dans ce contexte ou dans un autre contexte ?
N’hésitez pas à demander un entretien via notre formulaire de contact ou écrivant à info@md-lex.be
……………………………………..
(1) Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), article 5. Cette directive (directive E-privacy) ajoute des obligations en plus que celles prévues par le règlement général sur la protection des données à caractère personnel pour les aspects spécifiques des communications électroniques qu’elle adresse (par exemple pour les cookies, les spams et la confidentialité des communications électroniques). Cette directive devrait être à terme remplacée par un Règlement depuis plusieurs années.
(2) La directive E-Privacy dans la définition reprise à l’article 2, (a) ne fait pas de distinction entre les utilisateurs qui utilisent un système de communications électroniques accessible au public à des fins privées ou professionnelles et par conséquent les communications professionnelles sont également incluses à l’article 5 concernant la confidentialité des communications électroniques.
(3) Article 2, (f) de la directive E-Privacy et le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou « RGPD »).
Selon le RGPD, le consentement doit être donné de manière libre, spécifique, éclairée et univoque. Le considérant 42 du RGPD indique par ailleurs que « Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice. »
(5) https://www.securex.be/fr/lex4you/employeur/themes/obligations-de-l-employeur/rgpd-et-privacy/que-disent-les-cours-et-tribunaux
(6) La jurisprudence admet qu’un accès de l’employeur au contenu de la correspondance de ses employés sans avoir respecté ces principes (en particulier celui de transparence) consiste une violation de la vie privée et la confidentialité de leur correspondance par par l’employeur et rend tout élément issus de cette ingérence inadmissibles en tant que preuves.
Voir à ce sujet : Cass., 20 mai 2019, R.G. S.17.0089.F, www.juridat.be : La Cour de cassation s’est prononcée dans le cadre d’un licenciement pour motif grave ou l’employeur rapportait la preuve des faits reprochés à son employé par la production de courriers électroniques (professionnels et privés) qu’il avait obtenus en accédant à sa boîte mail sans avoir respecté les principes de légitimité, transparence, de nécessité, de proportionnalité. La Cour de Cassation a considéré que les preuves ainsi recueillies étaient entachées d’irrégularité puisqu’elles violaient la vie privée du travailleur.
Cette interprétation de la cour de Cassation est concordante avec celle de la Cour européenne des droits de l’homme dans l’arrêt BĂRBULESCU c. ROUMANIE (coe.int) qui concerne un cas similaire et ou il a été conclu à une atteinte illicite au droit au respect de la vie privée/de la correspondance du travailleur garanti par l’article 8 de la CEDH du fait que ces principes (légitimité,transparence, nécessité et proportionnalité) n’avaient pas étés respectés par l’employeur.
(7) Voir à ce sujet l’article 14.5 de la recommandation 2015(5) du conseil de l’Europe.
……………………………………………….