Le 2 mai 2012, la Commission vie privée (« CVP ») a publié une recommandation très attendue relative à la cyber-surveillance sur le lieu de travail (Recommandation n° 8/2012). Cette recommandation non contraignante vise notamment à clarifier le régime légal applicable en matière d'accès par l'employeur au contenu des communications électroniques (généralement des e-mails) de ses employés.
L'accès au contenu des communications électroniques privées en Belgique est risqué. En effet, une communication électronique est qualifiée de « privée » entre les personnes impliquées même si un compte e-mail professionnel est utilisé puisque l'employeur est dans ce cas considéré comme un tiers. En outre, la loi de 2005 relative aux communications électroniques pose comme condition à l'accès soit une base légale spécifique qui permet ou impose cet accès, soit le consentement préalable des parties concernées. Notre jurisprudence est plutôt partagée sur la question de savoir si les employeurs peuvent accéder au contenu d'une communication électronique privée considérant parfois qu'il n'existe pas de base légale spécifique pour accéder à ce contenu ou encore que l'employé n'est pas en mesure de donner un consentement libre à son employeur.
Dans sa recommandation, la CVP affirme résolument que le cadre légal actuel fournit une base spécifique pour accéder, moyennant certaines conditions, au contenu des communications électroniques. Elle est en effet d'avis que le droit général de l'employeur d'exercer son autorité sur l'employé contenu dans la loi de 1978 sur les contrats de travail constitue une base légale suffisante pour accéder à ce contenu. La CVP considère toutefois le consentement de l'employé comme peu fiable au motif qu'il ne peut pas être « librement » donné.
La CVP précise également que l'accès au contenu des communications n'est autorisé que s'il est mené conformément aux trois principes suivants : finalité, transparence et proportionnalité (« Principes »). Finalité parce que les employeurs doivent agir dans un but déterminé, explicite et légitime pour accéder au contenu des communications électroniques. Transparence parce que les employés doivent être informés des pratiques de surveillance de l'employeur. Proportionnalité parce que l'employeur ne peut pas systématiquement avoir accès à toutes les communications électroniques de ses employés. D'autres règles de fonctionnement (concernant, entre autres, l'obligation de notification des employés, la consultation des représentants des travailleurs et la méthodologie de surveillance) sont spécifiées dans une Convention collective de travail (« CCT n° 81 ») et doivent bien entendu être respectées.
De plus, La CVP recommande des mesures concrètes permettant de se conformer aux Principes:
- Il serait judicieux que les employeurs envisagent, dans leur politique de contrôle des TIC (ICT Policy), d'interdire aux employés d'utiliser leur compte email professionnel à des fins privées. Ainsi, le risque que l'employeur interfère dans les communications privées de ses employés serait réduit.
Dans l'hypothèse où de telles restrictions sont mises en place, l'employeur peut présumer que tous les e-mails sont professionnels. Les e-mails peuvent alors être ouverts à la condition toutefois que les Principes et la CCT n ° 81 soient respectés. Ceci permet, par exemple, qu'un employeur puisse accéder au compte d'un employé qui est malade ou absent en cas d'affaire urgente, ou encore dans le cadre d'un contrôle ciblé du respect des dispositions du contrat de travail par l'employé.
Cependant, si une telle restriction est mise en place, la CVP estime que les employés devraient être autorisés à utiliser une autre adresse e-mail à des fins privées sur leur lieu de travail.
- Si les employés sont autorisés à utiliser leur compte professionnel à des fins privées, des mesures supplémentaires doivent être prises pour atténuer le risque que l'employeur interfère dans la communication privée de ses employés. Cela implique, entre autres que, dans un premier temps, l'employeur organise un monitoring global du trafic des données de l'entreprise et n'accède aux e-mails privés que si une anomalie est décelée. Si l'accès au contenu est absolument nécessaire, la CVP recommande de désigner un tiers de confiance pour accomplir la tâche
Dans l'ensemble, la recommandation témoigne de l'engagement de la CVP de relever concrètement les défis qui se posent aux entreprises. Néanmoins, on ignore si les cours et tribunaux suivront la voie ainsi tracée par la CVP.
Le texte intégral de la recommandation est disponible ici.