Vie privée : attention, des données «personnelles» ne sont pas forcément privées !

Publié le 07/03/2018

En principe, un employeur ne peut pas, en l’absence du salarié, consulter les fichiers stockés par ce dernier sur un outil informatique mis à sa disposition pour l’exercice de son activité, dès lors qu’ils ont été identifiés comme étant personnels. Faut-il encore qu’ils aient été clairement identifiés comme tels ! La Cour européenne des droits de l’homme est récemment venue éclairer les circonstances dans lesquelles ces fichiers revêtaient ou non un caractère privé. CEDH, 22.02.18, Affaire Libert c/France, n°588/13.

  • Les faits, la procédure

Après avoir été absent durant plusieurs semaines, un cadre de la SNCF constate à son retour que son ordinateur professionnel a été saisi et fouillé. Il se trouve qu’en son absence, son remplaçant y a découvert de fausses attestations et des fichiers contenant de nombreuses images à caractère pornographique. Ces documents avaient été stockés dans un dossier intitulé « rire » du disque dur, support que le salarié avait pris soin de renommer « D:/données personnelles ».  Il faut préciser que ce disque dur était à l’origine nommé par défaut « D:/données » et en principe destiné, pour les agents SNCF, à stocker leurs documents professionnels.

Finalement licencié, le cadre conteste cette sanction. Selon lui, dès lors qu’il avait pris la précaution de renommer le disque dur « D:/données personnelles », la SNCF ne pouvait consulter son contenu en son absence sans porter atteinte à sa vie privée. Le salarié entame donc, en 2008, une (longue) procédure contentieuse.

Après avoir été débouté par les juges du fond, qui considèrent qu’il n’y a pas d’atteinte à sa vie privée, le salarié se pourvoit en cassation.

La Haute Cour va également rejeter son pourvoi. Elle considère que « la cour d’appel, qui a retenu que la dénomination « D:/données personnelles » du disque dur de l’ordinateur du salarié ne pouvait lui permettre d’utiliser celui-ci à des fins purement privées et en interdire l’accès à l’employeur, en a légitimement déduit que les fichiers litigieux, qui  n’étaient pas identifiés comme étant « privés » selon  préconisation de la charte informatique, pouvaient être régulièrement ouverts par l’employeur »(1).

Pour autant, le salarié ne s’arrête pas là. Considérant qu’il y a eu violation de son droit au respect de sa vie privée, il saisit la Cour européenne des droits de l’homme en invoquant l’article 8 de la Convention (2) et lui pose notamment la question suivante : l’entreprise pouvait-elle légitimement, et sans porter atteinte au droit à sa vie privée, accéder à des fichiers stockés dans un disque dur pourtant identifié comme étant « personnel » ?

 

  • Rappel des règles applicables aujourd'hui

Le droit positif français a, depuis quelques années, dégagé un dispositif visant à protéger la vie privée. Ainsi est-il admis que les documents, les fichiers d’une clé USB personnelle connectée sur l’ordinateur professionnel, les courriels émis et reçus par un salarié à l’aide de l’outil informatique mis à sa disposition par l’employeur pour les besoins de son travail, sont présumés avoir un caractère professionnel. L’employeur peut donc les ouvrir en dehors de la présence du salarié, sauf si celui-ci les a identifiés comme étant personnels (3).

Pour protéger ses données personnelles sur un outil professionnel (ordinateur, disque dur, téléphone, messagerie, etc), un salarié n’a donc pas d’autre choix que de les identifier comme telles. Ainsi, l’employeur ne pourra pas les consulter en son absence faute de quoi il porterait atteinte à sa vie privée. Il pourra en revanche les consulter en présence du salarié ou après l'avoir prévenu (4).

Dans notre affaire, c’est précisément sur cette jurisprudence constante que le salarié se fondait : dès lors qu’il avait identifié le disque dur « données personnelles », l’employeur ne pouvait pas y accéder en son absence ou sans l’en avoir informé.

 

  • La qualification de « données personnelles » ne suffit pas à conférer un caractère privé

Les juridictions françaises, suivies par la Cour européenne des droits de l’homme, n’ont pourtant pas la même interprétation que le salarié.

La CEDH rappelle tout d’abord que si la SNCF tolérait que ses salariés utilisent ponctuellement les outils informatiques mis à leur disposition pour leur travail à titre privé, elle pouvait aussi légitimement vouloir s’assurer que ses salariés en fassent un usage conforme à leurs obligations contractuelles et à la règlementation applicable.

Puis, après s’être assurée que le droit positif français précisait suffisamment les conditions dans lesquelles l’employeur pouvait ouvrir les fichiers sur l’ordinateur professionnel d’un salarié, la CEDH a considéré qu’en l’espèce les juridictions nationales avaient correctement appliqué le principe selon lequel : « les fichiers créés par le salarié à l’aide de l’outil informatique mis à sa disposition par l’employeur sont présumés avoir un caractère professionnel, de sorte que l’employeur est en droit de les ouvrir en dehors de sa présence, sauf s’ils sont identifiés comme étant personnels ».

Pour autant, la CEDH va considérer que ce principe ne fait pas obstacle, dans le cas présent, à ce que l’employeur ouvre les fichiers litigieux, dans la mesure où ceux-ci n’avaient pas été dûment identifiés comme étant privés, ainsi que l’avaient retenu les juges du fond :

 - le disque dur fourni par la SNCF était par défaut nommé « D:/données » et servait traditionnellement aux agents à stocker leurs documents professionnels ;

- un salarié ne pouvait pas utiliser l’intégralité d’un disque dur censé enregistrer des données professionnelles pour un usage privé ;

- le terme générique « données personnelles » pouvait tout aussi bien se rapporter à des dossiers professionnels traités personnellement par le salarié et ne désignait donc pas forcément des éléments relevant de la vie privée ; de la même façon, le terme « rires » ne présumait pas du caractère privé des éléments, il pouvait en effet s’agir d’échanges entre collègues conservés à titre de « bêtisier » par exemple ;

- surtout, et c’est l’un des arguments clés, la SNCF s’était dotée d’une charte informatique qui préconisait certaines consignes. Elle prévoyait notamment que « les informations à caractère privé devaient être clairement identifiées comme telles (option « privée » dans les critères Outlook ») et qu’il en allait de même des « supports recevant ces informations (répertoire « privé »). Or, le salarié n’avait pas procédé ainsi, se contentant de renommer l’intégralité du disque dur « données personnelles » ;

- enfin, le salarié avait utilisé une partie importante des capacités de son ordinateur professionnel pour stocker les fichiers litigieux (1 562 fichiers représentant un volume de 787 octets).

En d’autres termes, pour la CEDH, l’indication « données personnelles », pourtant conforme à la jurisprudence constante, était, en l’espèce, insuffisante à caractériser ainsi ces données dès lors que la Charte de l’utilisateur de la SNCF précisait explicitement les modalités selon lesquelles il convenait de les identifier. Ces éléments n’ayant pas été clairement caractérisés de privés, l’employeur pouvait donc valablement accéder aux fichiers litigieux. Il n’y a donc pas eu de violation de l’article 8 de la Convention.

 

  • Une jurisprudence française confirmée

Si, de prime abord, cette solution peut sembler contraire à notre jurisprudence constante, qui préconise précisément d’utiliser le terme  de « données personnelles » lorsqu’il s’agit pour un salarié de protéger ses données, il n’en est rien !

Ce qui a clairement fait pencher la balance dans cette affaire est le fait que le salarié n’ait pas identifié ses données selon les préconisations faites par la charte informatique de l’entreprise. On peut légitimement penser qu’en l’absence d’une telle règle interne, la simple mention « données personnelles » aurait suffit à protéger le salarié.  

On peut toutefois émettre une réserve : quand bien même le salarié aurait identifié ses documents conformément aux dispositions de la charte d’utilisateur, pouvait-il pour autant en conférer ce caractère à l’intégralité d’un disque dur ? En effet, dans son arrêt, la Cour de cassation a été claire : la dénomination « personnelle » donnée à un disque dur ne peut permettre au salarié d’utiliser celui-ci à des fins purement privées en en interdisant ainsi l’accès à l’employeur. La  CEDH n’ayant pas démenti, le doute subsiste…

Pour résumer, une seule consigne : lorsque vous identifiez vos données personnelles, pensez dabord à vérifier l’existence et les éventuelles préconisations établies par des règles internes à l’entreprise (charte, etc). Sachant que la meilleure solution pour assurer la protection de vos données personnelles reste de ne rien enregistrer sur le disque dur ou de déconnecter tout outil informatique personnel de l’ordinateur professionnel !

 

 



(1) Cass.soc.04.07.12, n°11-12502.
(2) Article 8 de  la Convention européenne des droits de l’homme - "Droit au respect de la vie privée et familiale :
1. Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance.
2. Il ne peut y avoir ingérence d’une autorité publique dans l’exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu’elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l’ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d’autrui".
(3) Cass.soc. 18.10.06, n°04-48025.
(4) Cass.soc. 17.05.05, n°03-40017.