L‘accès aux correspondances des employés par leur employeur peut sembler logique dans certains cas de figure dans le cadre d’une relation de travail mais est en réalité un sujet sensible qui est encadré par différentes règles européennes et nationales ainsi que la jurisprudence.
La règle générale est la confidentialité des correspondances y compris professionnelles mais il existe certaines dérogations à ce principe (notamment dans le cadre d’une relation de travail) qui sont assorties de principes à respecter lors de leur mise en œuvre.
Lorsqu’un employé quitte son entreprise, le lien qui lie l’employeur à son employé disparait et la conservation de la boite mail de l’ex employé même avec son accord pose des questions notamment en lien avec la protection des données à caractère personnel.
L’Autorité de protection des données belge s’est récemment prononcée à cet égard et fourni des directives pratiques.
Cet article a pour objectif d’une part de faire le tour des différentes règles applicables à ces deux problématiques pour la Belgique. (Partie A et B)
D’autre part, cet article aborde également des exemples de mesures pratiques que l’employeur peut prendre au préalable afin de pouvoir justifier un accès aux mails professionnels des ses employés et assurer (le plus possible) la continuité de ses activités après un départ/licenciement tout en respectant la loi. (Partie C)
A/ Règles applicables pendant la relation de travail :
Confidentialité des communications électroniques et dérogations applicables dans le cadre de la relation de travail :
L’employeur qui voudrait accéder à la boite mail de ses employés doit tenir compte des règles protégeant la confidentialité des communications effectuées au moyen d’un réseau public de communications qu’on retrouve dans la directive européenne “E-privacy” et sa transposition en droit national. (1)
Certaines dispositions en droit pénal sanctionnent également les accès non autorisés aux télécommunications privées. (Cet aspect n’est pas traité en détail dans cet article)
Le respect de cette obligation de confidentialité (dans le cadre de la directive “E-Privacy”) implique l’interdiction de principe pour toute personne non concernée par une communication électronique d’intercepter ou d’accéder à son contenu peu importe que la communication soit privée ou professionnelle. (2)
Cette interdiction de principe connait deux dérogations :
- l’autorisation des utilisateurs concernées par la communication électronique ;
Il est généralement admis que cette dérogation n’est pas applicable dans le contexte d’une relation de travail. Ceci s’explique car il y a dans le cadre d’une relation employeur employé il existe rapport de subordination qui rend difficile que l’employé puisse donner son autorisation de manière libre. Un des critères de validité du consentement au sens du RGPD (3) est la liberté : c’est à dire que la personne à qui celui-ci est demandé puisse avoir le choix de refuser sans crainte de subir un préjudice. Il faudrait dans le cadre de cette dérogation que l’employeur récolte également l’autorisation des tiers concernés par chaque communication ce qui rend cette dérogation d’autant plus difficile à envisager dans ce contexte.
- les cas spécifiquement autorisés par une loi.
La directive “E-privacy” vise spécifiquement des lois dont le but est de garantir la sécurité publique ou de prévenir, détecter et poursuivre des utilisation non autorisées du système de communications électroniques.
En Belgique, dans le cadre d’une relation de travail, l’Autorité de protection des données estime que le pouvoir de contrôle de l’employeur en vertu du contrat de travail peut justifier une ingérence de celui-ci dans la vie privée du travailleur (y compris l’accès au contenu de ses communications professionnelles). (4)
La convention collective de travail 81 relative à la protection de la vie privée des travailleurs à l’égard du contrôle des données de communication électroniques en réseau est aussi souvent évoquée dans ce contexte (en Belgique) bien que cette convention ne s’applique pas au contenu des mails des employés.
Néanmoins, il est important de mentionner cette convention car certains juges considèrent qu’ un employeur qui ne respecte les principes de cette convention commet une ingérence dans la vie privée de l’employé dont ils consulte les mails. (5)
Il s’agit des principes suivants (qu’on retrouve dans la convention collective de travail 81 mais aussi dans le RGPD sous une dénomination un peu différente) :
- le principe de transparence;
- le principe de nécessité ;
- le principe de légitimité ;
- le principe de proportionnalité.
Concrètement, le respect de ces principes implique que l’employeur devra communiquer au préalable à ses employés la procédure suivie et les cas exceptionnels ou un tel accès serait justifié (si nécessaire après consultation, selon le cas, au sein du conseil d’entreprise, du comité pour la prévention et la protection au travail ou avec la délégation syndicale).
L’accès devra être également nécessaire et proportionnel à l’objectif légitime poursuivi par l’employeur. (Il faut vérifier si il n’existe pas d’alternative moins intrusive à cet accès, que l’accès soit limité dans le temps et vise seulement les mails professionnels et pas les mails libellés comme étant privés sauf éventuellement dans des cas spécifiques ou il existe des suspicions légitimes).
Application des règles en matière de protection des données à caractère personnel :
Le contenu de la boite mail professionnelle d’un employé contient souvent des données à caractère personnel le concernant, mais également des données à caractère personnel concernant les tiers qui sont y mentionnés ou qui sont destinataires des communications (qu’on peut retrouver dans le corps de chaque communication mais aussi dans les pièces jointes ou dans la mention des destinataires ou expéditeurs de chaque communication).
Ces communications peuvent dans certains cas aussi révéler des données à caractère personnel particulières (au sens de l’article 9 du RGPD – comprendre des données sensibles). Cela pourra par exemple être le cas si l’employé utilise sa boite mail occasionnellement à des fins privées comme par exemple pour confirmer un rendez vous médical.
L’employeur qui veut accéder à la boite mail de son employé devra donc également pouvoir démontrer son respect des principes et des obligations applicables en matière de protection des données à caractère personnel (qui se superposent en partie aux respect des quatre principes énoncés ci-dessus mais qui impliquent également le respect d’obligations propres au RGPD évoquées dans le point C).
B/ Règles applicables après la fin de la relation de travail :
Du point de vue des règles protégeant la confidentialité des communications électroniques, le fait que le contrat entre l’employeur et l’employé ait pris fin signifie que l’employeur ne pourra plus justifier l’accès aux correspondances de son employé sur base du contrôle en vertu du contrat de travail mais devra obtenir l’autorisation de son ex employé et de tous les destinataires de chaque correspondance.
Du point de vue des règles protégeant les données à caractère personnel la disparition du lien contractuel rend la conservation de la boite mail de l’employé par l’employeur extrêmement difficile à justifier.
Dans une décision récente (décision 133/2021 du 2 décembre 2021), la Chambre Contentieuse de l’Autorité de protection des données (ci-après « APD ») a pris position sur ce sujet et donne une série de directives.
Décision de l’APD
L’APD considère que le responsable du traitement (l’entreprise) qui après le départ du plaignant (l’ex employé) conserve son adresse électronique et sa boîte mail pour une période indéterminée viole plusieurs des principes généraux du RGPD dont le principe de limitation des finalités, le principe de minimisation des données et le principe de limitation de la conservation des données.
Par ailleurs, l’APD considère que de tels traitements ne reposent plus sur aucun fondements juridiques dès lors que la base légale initiale qui justifierait de traiter les données à caractère personnel d’un employé (à savoir l’exécution d’un contrat) disparait après son départ.
L’APD donne ensuite des conseils afin d’encadrer les pratiques admises d’un l’employeur ou d’une organisation dans ce contexte :
Pratiques admises après le départ de l’employé :
- La boîte mail de l’ex employé doit être bloquée par l’entreprise ou l’organisation au plus tard le jour de son départ effectif et l’entreprise/organisation doit en avoir informé préalablement son ex employé ;
- L’employeur ou l’organisation peut (et c’est recommandé) mettre en place un message automatique de type “out of office” informant les expéditeurs que la personne concernée ne travaille plus pour l’entreprise ou l’organisation et qui fournit des coordonnées de contact pour le suivi. Ce message peut subsister pendant une période « raisonnable » (période de 1 mois selon l’APD). ;
- Par exception au point précédent, un délai plus long pour laisser ce type de message (out of office) est envisageable si les circonstances le justifie (en principe 3 mois maximum selon l’APD). Dans ce cas l’ex employé doit en être informé au préalable et il est recommandé que l’entreprise ou organisation récolte également son accord.
- Après le délai raisonnable pendant lequel le message de type “out of office” est actif l’employeur doit supprimer la boite mail de son ex employé. Par dérogation au premier point, l’APD admet qu’il puisse y avoir un accord entre l’ex employé et l’entreprise/organisation sur la possibilité d’un accès temporaire accordé à l’ex employé à son ancienne boite mail afin clôturer certains dossiers en cours après son départ.
Pratiques déconseillées :
Dans tous les cas, l’accès par l’employeur/organisation à la boite mail (et sa conservation) de son ex employé ou la redirection automatique des e-mails lui étant adressés après son départ doit être évitée. (6)
L’APD n’indique pas qu’un accord conclu avant le départ de l’employé pourrait permettre à l’employeur de bénéficier également d’un accès à la boite mail de son ex employé après son départ.
Hypothétiquement, on pourrait penser qu’un tel accord serait valide si l’employé et les destinataires de chaque correspondance devaient donner leur autorisation à l’employeur après la fin de la relation de travail mais pendant le délai (raisonnable) ou sa boite mail doit être bloquée.
C/ En pratique : les mesures préalables que l’employeur peut adopter dans ce contexte.
Mesures à adopter par l’employeur pour respecter la législation relative à la protection des données à caractère personnel (pendant la relation de travail) :
- Mener une analyse d’impact relative aux traitements envisagés (accès) ;
- Décrire et justifier dans la politique vie privée interne de l’entreprise (pour les employés) concernant le traitement par l’entreprise des données de ses employés les éventuelles mesures de surveillance ou d’accès aux boites mails en justifiant la licéité et la finalité de ces traitements ;
- Adapter le registre des activités de traitement et éventuellement la politique de rétention de l’entreprise en conséquence ;
Autres mesures que l’employeur peut adopter pour justifier un accès pendant la relation de travail et anticiper les départs (afin de pouvoir respecter les règles en matière de confidentialité et le droit du travail) :
- Décrire dans sa politique concernant l’usage des outils informatiques professionnels (charte IT annexée le cas échéant au règlement de travail) les utilisations admises des boites mails professionnelles (par exemple, faut-il mettre en copie une adresse générique de l’entreprise ou un supérieur ou un collègue ? Combien de temps conserver les communications professionnelles et ou les classer ? Est-ce que l’usage privé occasionnel de la boite mail professionnelle est permis ou classer ou comment libeller les mails privés ) et faire approuver ceci par le conseil d’entreprise et les délégations syndicales ;
- Informer les employés dans la même charte sur les cas exceptionnels ou un employeur peut potentiellement accéder à leurs boites mails nominatives de ses employés pendant la relation de travail (dans le respect de la loi et des exigences de conventions collectives de travail applicables) et faire approuver ceci par le conseil d’entreprise et les délégations syndicales ;
- Penser à demander à l’employé qui part de « trier » ses messages privés et professionnels lui-même avant son départ ou inclure cette obligation dans une procédure interne. (En cas de litige entre l’employeur et l’employé l’intervention d’un tiers impartial qui garantit la confidentialité comme par exemple un avocat ou délégué à la protection des données) peut être une solution pour permettre la récupération de mails pertinents avant son départ.
- Prévoir une procédure interne en ce qui concerne la suppression de la boite mail et l’adresse électronique des employés après leur départ avec éventuellement la possibilité de laisser un message de type out of office pendant une période raisonnable.
Conclusion
Un accès non justifié, indistinct et non transparent par l’employeur aux mails de ses employés pendant la relation de travail est interdit.
L’employeur qui veut pouvoir exercer un contrôle des mails de ses employés dans certaines circonstances spécifiques pendant la relation de travail devra informer ses employés de manière transparente des cas et de la procédure suivie et devra pouvoir justifier la nécessité et la proportionnalité des accès qui ont lieu.
L’employeur sera également tenu de respecter dans ce cadre ses obligations en matière de protection des données à caractère personnel (analyse d’impact, information dans la politique vie privée des employé et mise à jour du registre).
Après le départ d’un employé, la conservation de sa boite mail et de son adresse électronique nominative par l’employeur est très difficile à justifier (surtout du point de vue règles relatives à la protection des données à caractère personnel). Il existe certaines exceptions prévues par l’APD qui sont limitées dans le temps et qui sont encadrées de manière stricte et ne couvrent pas l’accès à la boite mail par l’employeur.
Il n’est pas inutile de préciser que les recommandations de l’APD (autorité de protection des données) à ce sujet ne sont pas théoriques.
En effet, dans la décision commentée dans cet article l’APD a infligé une simple réprimande au responsable du traitement (l’employeur) au vu de circonstances atténuantes (actions prises par l’employeur pour limiter l’impact des violations constatées) mais dans une décision précédente, le responsable du traitement avait écopé d’une amende de 15 000 euros ainsi que d’un ordre de mise en conformité. (Décision 64/2020)
Pour conclure afin de limiter les risques juridiques dans ce contexte (consultation des mails par l’employeur après ou avant le départ d’un employé), il est important pour l’employeur d’anticiper et de prévoir préalablement des mesures et politiques adéquates dans le respect des principes de proportionnalité et de transparence ainsi que de la législation pertinente (droit du travail, droit de la protection des données à caractère personnel).
……………………………………..
Vous vous trouvez dans une situation similaire à celle évoquée dans cet article et vous vous posez des questions sur vos droits et devoirs ?
Vous souhaiteriez prendre les devants afin d’informer vos employés sur les mesures applicables en matière d’utilisation de leurs communications électroniques dans le l’utilisation de leur boite et adresse électronique professionnelle ?
Plus généralement, vous avez une question relative à l’application du RGPD ou des règles concernant les communications électroniques dans ce contexte ou dans un autre contexte ?
N’hésitez pas à demander un entretien via notre formulaire de contact ou écrivant à info@md-lex.be
……………………………………..
(1) Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), article 5. Cette directive ajoute des obligations à celles prévues par le règlement général sur la protection des données à caractère personnel pour les aspects spécifiques qu’elle adresse (par exemple pour les cookies, les spams et la confidentialité des communications électroniques). Cette directive devrait être à terme remplacée par un Règlement.
(2) La directive E-Privacy ne fait pas de distinction entre les utilisateurs qui utilisent un système de communications électroniques accessible au public à des fins privées ou professionnelles et par conséquent les communications professionnelles sont également incluses à l’article 5 concernant la confidentialité des communications électroniques.
(3) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
Selon le RGPD, le consentement doit être donné de manière libre, spécifique, éclairée et univoque. Le considérant 42 du RGPD indique par ailleurs que “Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice.”
(5) On retrouve ces principes dans la convention collective de travail 81 en matière de surveillance des communications électroniques en réseau mais également dans le RGPD sous des dénominations parfois légèrement différentes. La jurisprudence admet qu’un accès ou une ingérence de l’employeur dans la correspondance de ses employés sans avoir respecté ces principes (en particulier celui de transparence) consiste une violation de la vie privée de l’employé par l’employeur et rend tout élément (par exemples preuves) qui sont issus de cette ingérence comme inadmissibles.
Voir à ce sujet : Cass., 20 mai 2019, R.G. S.17.0089.F, www.juridat.be : La Cour de cassation s’est prononcée dans le cadre d’un licenciement pour motif grave ou l’employeur rapportait la preuve des faits reprochés par la production de courriers électroniques (professionnels et privés) qu’il avait obtenus en accédant à la boîte mail du travailleur en question sans avoir respecté les principes de légitimité, transparence, de nécessité, de proportionnalité. La Cour de Cassation a considéré que les preuves ainsi recueillies étaient entachées d’irrégularité puisqu’elles violaient la vie privée du travailleur.
Cette interprétation de la cour de Cassation est concordante avec celle de la Cour européenne des droits de l’homme dans l’arrêt BĂRBULESCU c. ROUMANIE (coe.int) qui concerne un cas similaire et ou il a été conclu à une atteinte illicite à son droit au respect de la vie privée/de la correspondance garanti par l’article 8 de la CEDH du fait que ces principes n’ont pas étés respectés par l’employeur.
(6) Voir à ce sujet l’article 14.5 de la recommandation 2015(5) du conseil de l’Europe.
……………………………………………….