Dans le cadre d’une relation de travail un employeur pourrait penser qu’accéder aux mails d’un de ses employés ne pose pas de problème particulier étant donné qu’il s’agit a priori de correspondances professionnelles.
En réalité l’accès aux boites mail des employés par un employeur est par principe interdit par des dispositions légales européennes (transposition en droit national de la directive E-Privacy qui a terme devrait être remplacée par un règlement).
Il existe certaines dérogations à ce principe (notamment dans le cadre d’une relation de travail) mais leur mise en œuvre est lourde et implique également le respect de principes et de règles complémentaires.
Lorsqu’un employé quitte son entreprise, l’employeur peut être tenté de conserver la boite mail et l’adresse électronique professionnelle nominative de son ex employé afin de pouvoir assurer la continuité de son activité.
Une telle conservation/accès est pourtant problématique de par son manque de transparence et du fait que le lien contractuel entre l’employeur et l’employé a disparu.
L’Autorité de protection des données belge s’est récemment prononcée à cet égard et fourni des directives pratiques.
Cet article a pour objectif d’une part de faire le tour des différentes règles applicables à cette problématique (accès aux mails des employés) avant et après la fin de la relation de travail. (Partie A et B)
D’autre part, cet article aborde également des mesures que l’employeur peut prendre pour encadrer un éventuel accès ou pour faire en sorte que cet accès ne soit pas nécessaire. (Partie C)
A/ Règles applicables pendant la relation de travail :
Confidentialité des communications électroniques et dérogations applicables dans le cadre de la relation de travail :
L’employeur qui voudrait accéder à la boite mail de ses employés doit tenir compte des règles protégeant la confidentialité des communications effectuées au moyen d’un réseau public de communications qu’on retrouve dans la directive européenne “E-privacy” et sa transposition en droit national. (1) Certaines dispositions en droit pénal sanctionnent également les accès non autorisés aux télécommunications privées.
Le respect de cette obligation de confidentialité (dans le cadre de la directive “E-Privacy”) implique l’interdiction de principe pour toute personne non concernée par une communication électronique d’intercepter ou d’accéder à son contenu peu importe que la communication soit privée ou professionnelle. (2)
Cette interdiction de principe connait deux dérogations :
- l’autorisation des utilisateurs concernées par la communication électronique ;
Il est généralement admis que cette dérogation n’est pas applicable dans le contexte d’une relation de travail. Ceci s’explique car il y a dans le cadre d’une relation employeur employé il existe rapport de subordination qui rend difficile que l’employé puisse donner son autorisation de manière libre. Un des critères de validité du consentement au sens du RGPD (3) est d’ailleurs la liberté : c’est à dire que la personne à qui celui-ci est demandé puisse avoir le choix de refuser sans crainte de subir un préjudice. Il faudrait dans le cadre de cette dérogation que l’employeur récolte également l’autorisation des tiers concernés par chaque communication ce qui rend cette dérogation d’autant plus difficile à envisager dans ce contexte.
- les cas spécifiquement autorisés par une loi.
La directive “E-privacy” vise spécifiquement des lois dont le but est de garantir la sécurité publique ou de prévenir, détecter et poursuivre des utilisation non autorisées du système de communications électroniques.
En Belgique, dans le cadre d’une relation de travail, l’Autorité de protection des données estime que le pouvoir de contrôle de l’employeur en vertu du contrat de travail peut justifier une ingérence de celui-ci dans la vie privée du travailleur (l’accès au contenu des communication est dans ce cas limité aux communications identifiées comme étant professionnelles). (4)
La convention collective de travail 81 relative à la protection de la vie privée des travailleurs à l’égard du contrôle des données de communication électroniques en réseau est souvent évoquée dans ce contexte (en Belgique) bien que celle-ci n’encadre que la surveillance des communications électroniques en réseau et n’implique donc pas la prise de connaissance du contenu des mails.
Par ailleurs, selon la jurisprudence, l’employeur qui veut accéder aux mails des ses employés (dans un cas autorisé par la loi) devra également vérifier qu’il respecte certains principes (que l’on retrouve dans la convention collective de travail 81) préalablement à la mise en œuvre de cet accès. Le non respect de ces principes emporte le risque que l’accès de l’employeur soit considéré comme une atteinte à la vie privée de l’employé. (5)
Il s’agit des principes suivants :
- le principe de transparence;
- le principe de nécessité ;
- le principe de légitimité ;
- le principe de proportionnalité.
Le respect de ces principes implique en pratique que l’employeur devra communiquer au préalable à ses employés la procédure suivie et les cas exceptionnels ou un tel accès serait justifié (si nécessaire après consultation, selon le cas, au sein du conseil d’entreprise, du comité pour la prévention et la protection au travail ou avec la délégation syndicale).
L’accès devra être nécessaire et proportionnel à l’objectif légitime poursuivi par l’employeur. (Il faut vérifier si il n’existe pas d’alternative moins intrusive à cet accès, que l’accès est limité dans le temps et vise seulement les mails professionnels nécessaires pour atteindre l’objectif annoncé, que l’accès ait lieu si possible seulement après avoir avertit l’employé ou en sa présence).
Application des règles en matière de protection des données à caractère personnel :
Le contenu de la boite mail professionnelle d’un employé contient souvent des données à caractère personnel le concernant, mais également des données à caractère personnel concernant les tiers qui sont y mentionnés ou qui sont destinataires des communications (qu’on peut retrouver dans le corps de chaque communication mais aussi dans les pièces jointes ou dans la mention des destinataires ou expéditeurs de chaque communication).
Ces communications peuvent dans certains cas aussi révéler des données à caractère personnel particulières. Cela pourra par exemple être le cas si l’employé utilise sa boite mail occasionnellement à des fins privées comme par exemple pour confirmer un rendez vous médical.
L’employeur qui veut accéder à la boite mail de son employé devra donc également pouvoir démontrer également son respect des principes généraux et des obligations applicables en matière de protection des données à caractère personnel (qui se superposent en partie aux respect des quatre principes énoncés ci-dessus mais qui impliquent également le respect de certains principes et obligations propres au RGPD et aux autres dispositions applicables en droit de la protection des données à caractère personnel).
B/ Règles applicables après la fin de la relation de travail :
Du point de vue des règles protégeant la confidentialité des communications électroniques, le fait que le contrat entre l’employeur et l’employé ait pris fin signifie que l’employeur devra trouver une exception légale autre que le pouvoir de contrôle en vertu du contrat de travail si il veut justifier un accès.
Du point de vue des règles protégeant les données à caractère personnel la disparition du lien contractuel rend la conservation de la boite mail de l’employé par l’employeur extrêmement difficile à justifier.
Dans une décision récente (décision 133/2021 du 2 décembre 2021), la Chambre Contentieuse de l’Autorité de protection des données (ci-après « APD ») a pris position sur ce sujet et donne une série de directives.
Décision de l’APD
L’APD considère que le responsable du traitement (l’entreprise) qui après le départ du plaignant (l’ex employé) conserve son adresse électronique et sa boîte mail pour une période indéterminée viole plusieurs des principes généraux du RGPD dont le principe de limitation des finalités, le principe de minimisation des données et le principe de limitation de la conservation des données.
Par ailleurs, l’APD considère que de tels traitements ne reposent plus sur aucun fondements juridiques dès lors que la base légale initiale qui justifierait de traiter les données à caractère personnel d’un employé (à savoir l’exécution d’un contrat) disparait après son départ.
L’APD donne ensuite des conseils afin d’encadrer les pratiques admises d’un l’employeur ou d’une organisation dans ce contexte :
Pratiques admises après le départ de l’employé :
- La boîte mail de l’ex employé doit être bloquée par l’entreprise ou l’organisation au plus tard le jour de son départ effectif et l’entreprise/organisation doit en avoir informé préalablement son ex employé ;
- L’employeur ou l’organisation peut (et c’est recommandé) mettre en place un message automatique de type “out of office” informant les expéditeurs que la personne concernée ne travaille plus pour l’entreprise ou l’organisation et qui fournit des coordonnées de contact pour le suivi. Ce message peut subsister pendant une période « raisonnable » (période de 1 mois selon l’APD). ;
- Par exception au point précédent, un délai plus long pour laisser ce type de message (out of office) est envisageable si les circonstances le justifie (en principe 3 mois maximum selon l’APD). Dans ce cas l’ex employé doit en être informé au préalable et il est recommandé que l’entreprise ou organisation récolte également son accord.
- Après le délai raisonnable pendant lequel le message de type “out of office” est actif l’employeur doit supprimer la boite mail de son ex employé. Par dérogation au premier point, l’APD admet qu’il puisse y avoir un accord entre l’ex employé et l’entreprise/organisation sur la possibilité d’un accès temporaire accordé à l’ex employé à son ancienne boite mail afin clôturer certains dossiers en cours après son départ.
Pratiques déconseillées :
Dans tous les cas, l’accès par l’employeur/organisation à la boite mail (et sa conservation) de son ex employé ou la redirection automatique des e-mails lui étant adressés après son départ doit être évitée. (6)
Cette recommandation peut s’expliquer étant donné qu’après la fin de la relation de travail :
- D’une part le lien contractuel entre l’employeur et l’employé n’existe plus. Comme ce lien de est souvent la base légale qui justifiait la dérogation à la confidentialité des communications électronique et le traitement des données à caractère personnel des employés, toute conservation ou accès à posteriori serait en principe illégal ou difficile à justifier.
- D’autre part, l’employé et les autres destinataires des communications électroniques ne seront à priori pas au courant d’un tel accès.
L’APD n’indique également pas qu’un accord conclu avant le départ de l’employé pourrait permettre à l’employeur de bénéficier également d’un accès à la boite mail de son ex employé après son départ.
On peut penser qu’un tel accord serait nul étant donné que le consentement de l’employé pendant la relation de travail n’est pas considéré comme libre.
Hypothétiquement si l’employé devait donner son autorisation à son ex employeur après la fin de la relation de travail mais pendant le délai (raisonnable) ou sa boite mail doit etre bloquée pour accèder à ses mails ou si l’employeur pouvait justifier une finalité légitime (finalité justifiée ou encadrée par une loi), un tel accès temporaire pourrait éventuellement être envisagé moyennant le respect des principes et des règles précitées.
C/ En pratique : les mesures préalables que l’employeur peut adopter dans ce contexte.
Mesures à adopter par l’employeur en vertu du RGPD :
- Mener le cas échéant au préalable une analyse d’impact relative aux traitements envisagés (accès) ;
- Décrire et justifier dans la politique interne de l’entreprise concernant le traitement par l’entreprise des données de ses employés les éventuelles mesures de surveillance ou accès à leur boite mail en justifiant la licéité et la finalité de ces traitements ;
- Adapter le registre des activités de traitement et éventuellement la politique de rétention de l’entreprise en conséquence ;
Autres mesures que l’employeur peut adopter pour justifier un accès pendant la relation de travail ou préserver la continuité de ses activités :
- Décrire dans sa politique concernant l’usage des outils informatiques professionnels les utilisations admises des boites mails professionnelles (par exemple, faut-il mettre en copie une adresse générique de l’entreprise ou un supérieur ou un collègue ? Combien de temps conserver les communications et ou les classer ? Est-ce que l’usage privé occasionnel de la boite mail professionnelle est permis ou non ?..) ;
- Informer les employés de manière transparente sur les cas exceptionnels ou un employeur peut potentiellement accéder à leurs boites mails nominatives pendant la relation de travail et la procédure suivie (dans le respect de la loi et des exigences de conventions collectives de travail applicables – cela pourrait être fait par exemple via la politique de l’entreprise concernant les traitements de données de ses employés et/ou dans le règlement de travail de l’entreprise) ;
- Penser à demander à l’employé la possibilité de « trier » ses messages privés et professionnels lui-même avant son départ ou inclure cette obligation dans une procédure interne. En cas de litige entre l’employeur et l’employé, l’intervention d’un tiers impartial qui garantit la confidentialité (par exemple un avocat ou délégué à la protection des données) en présence de l’employé peut être une solution pour permettre la récupération de mails pertinents avant son départ.
- Prévoir une procédure interne en ce qui concerne la suppression de la boite mail et l’adresse électronique des employés après leur départ avec éventuellement la possibilité de laisser un message de type out of office pendant une période raisonnable.
Conclusion
Un accès non justifié, indistinct et non transparent par l’employeur aux mails de ses employés pendant la relation de travail est interdit.
L’employeur pourrait toutefois justifier d’un accès aux mails de ses employés dans des cas limités en vertu d’une dérogation prévue par la législation nationale (par exemple le droit du travail) pourvu qu’il respecte certains principes en particulier en matière de transparence et de proportionnalité et les règles applicables en matière de protection des données à caractère personnel.
Après le départ d’un employé, la conservation de sa boite mail et de son adresse électronique nominative par l’employeur est interdite (du point de vue règles relatives à la protection des données à caractère personnel) sous réserve de certaines exceptions prévues par l’APD qui sont limitées dans le temps et qui sont encadrées de manière stricte.
Un accès par l’employeur au contenu la boite mail d’un ex employé après le départ de l’employé est a priori non justifiable d’un point de vue légal.
Il n’est pas inutile de préciser que les recommandations de l’APD ne sont pas théoriques.
En effet, si dans la décision commentée dans cet article l’APD a infligé une simple réprimande au responsable du traitement (l’employeur) au vu de circonstances atténuantes (actions prises par l’employeur pour limiter l’impact des violations constatées), dans une décision précédente, le responsable du traitement avait écopé en plus d’une réprimande d’une amende de 15 000 euros ainsi que d’un ordre de mise en conformité pour des faits similaires. (Décision 64/2020)
Pour conclure afin de limiter les risques juridiques dans ce contexte et garantir la continuité des activités de son entreprise si possible sans devoir accéder au contenu des mails de ses employés, il est important pour l’employeur d’anticiper et de prévoir préalablement des mesures et politiques adéquates qui encadrent et informent ses employés sur l’utilisation admise des boites mails et sur les circonstances (exceptionnelles) dans lesquelles l’employeur serait susceptible d’y accéder.
……………………………………..
Vous vous trouvez dans une situation similaire à celle évoquée dans cet article et vous vous posez des questions sur vos droits et devoirs ?
Vous souhaiteriez prendre les devants afin d’informer vos employés sur les mesures applicables en matière d’utilisation de leurs communications électroniques dans le l’utilisation de leur boite et adresse électronique professionnelle ?
Plus généralement, vous avez une question relative à l’application du RGPD ou des règles concernant les communications électroniques dans ce contexte ou dans un autre contexte ?
N’hésitez pas à demander un entretien via notre formulaire de contact ou écrivant à info@md-lex.be
……………………………………..
(1) Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), article 5. Cette directive ajoute des obligations à celles prévues par le règlement général sur la protection des données à caractère personnel pour les aspects spécifiques qu’elle adresse (par exemple pour les cookies, les spams et la confidentialité des communications électroniques). Cette directive devrait être à terme remplacée par un règlement.
(2) La directive E-Privacy ne fait pas de distinction entre les utilisateurs qui utilisent un système de communications électroniques accessible au public à des fins privées ou professionnelles et par conséquent les communications professionnelles sont également incluses à l’article 5 concernant la confidentialité des communications électroniques.
(3) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données). Selon le RGPD, le consentement doit etre donné de manière libre, spécifique, éclairée et univoque. Le considérant 42 du RGPD indique par ailleurs que “Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice.”
(5) On retrouve ces principes dans la convention collective de travail 81 en matière de surveillance des communications électroniques en réseau mais on retrouve également ces principes dans le RGPD bien que sous des dénominations parfois légèrement différentes. La jurisprudence admet aussi qu’un accès ou une ingérence de l’employeur dans la correspondance de ses employés sans avoir respectés ces principes rend cette ingérence inadmissible. Voir à ce sujet : Cass., 20 mai 2019, R.G. S.17.0089.F, www.juridat.be : La Cour de cassation s’est prononcée dans le cadre d’un licenciement pour motif grave ou l’employeur rapportait la preuve des faits reprochés par la production de courriers électroniques (professionnels et privés) qu’il avait obtenus en accédant à la boîte mail du travailleur en question sans avoir respecté les principes de légitimité, transparence, de nécessité, de proportionnalité. La Cour de Cassation a considéré que les preuves ainsi recueillies étaient entachées d’irrégularité puisqu’elles violaient la vie privée du travailleur. Cette interprétation de la cour de Cassation est d’ailleurs concordante avec la Cour européenne des droits de l’homme dans l’arrêt BĂRBULESCU c. ROUMANIE (coe.int) qui concerne un cas similaire et ou il a été conclu à une atteinte illicite à son droit au respect de la vie privée/de la correspondance garanti par l’article 8 de la CEDH du fait que ces principes n’ont pas étés respectés par l’employeur.
(6) Voir à ce sujet l’article 14.5 de la recommandation 2015(5) du conseil de l’Europe.
……………………………………………….