CEDH, Cour (quatrième section), AFFAIRE BĂRBULESCU c. ROUMANIE, 12 janvier 2016, 61496/08

QUATRIÈME SECTION

AFFAIRE BĂRBULESCU c. ROUMANIE

(Requête no 61496/08)

ARRÊT

STRASBOURG

12 janvier 2016

CETTE AFFAIRE A ÉTÉ RENVOYÉE DEVANT LA GRANDE CHAMBRE, QUI A RENDU SON ARRÊT LE 05/09/2017

Cet arrêt peut subir des retouches de forme.

En l’affaire Bărbulescu c. Roumanie,

La Cour européenne des droits de l’homme (quatrième section), siégeant en une chambre composée de :

András Sajó, président,
Vincent A. De Gaetano,
Boštjan M. Zupančič,
Nona Tsotsoria,
Paulo Pinto de Albuquerque,
Egidijus Kūris,
Iulia Antoanella Motoc, juges,
et de Fatoş Aracı, greffière adjointe de section,

Après en avoir délibéré en chambre du conseil le 1er décembre 2015,

Rend l’arrêt que voici, adopté à cette date :

PROCÉDURE

1.  À l’origine de l’affaire se trouve une requête (no 61496/08) dirigée contre la Roumanie et dont un ressortissant de cet État, M. Bogdan Mihai Bărbulescu (« le requérant »), a saisi la Cour le 15 décembre 2008 en vertu de l’article 34 de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales (« la Convention »).

2.  Le requérant a été représenté par Mes D. Costinescu et O.  Juverdeanu, avocats à Bucarest. Le gouvernement roumain (« le Gouvernement ») a été représenté par son agente, Mme C. Brumar, du ministère des Affaires étrangères.

3.  Le requérant alléguait, en particulier, que la décision de son employeur de mettre fin à son contrat de travail reposait sur une violation de son droit au respect de la vie privée et de la correspondance, et que les juridictions internes avaient manqué à protéger ce droit.

4.  Le 18 décembre 2012, la requête a été communiquée au Gouvernement.

EN FAIT

I.  LES CIRCONSTANCES DE L’ESPÈCE

5.  Le requérant est né en 1979 et réside à Bucarest.

6.  Du 1er août 2004 au 6 août 2007, il fut employé par une entreprise privée (« l’employeur ») en qualité de d’agent technico-commercial. À la demande de l’employeur, il créa un compte Yahoo Messenger pour répondre aux questions des clients.

7.  Le 13 juillet 2007, l’employeur informa le requérant que ses communications sur Yahoo Messenger avaient été surveillées du 5 au 13 juillet 2007 et que les relevés montraient qu’il avait utilisé Internet à des fins personnelles, contrairement aux règles de l’entreprise. Le requérant répondit par écrit qu’il n’avait utilisé Yahoo Messenger qu’à des fins professionnelles. L’employeur lui présenta alors une transcription de 45 pages de ses communications sur Yahoo Messenger. En réponse, le requérant avisa l’employeur qu’il avait violé sa correspondance et s’était ainsi rendu coupable d’une infraction pénale. Le document de 45 pages contenait des transcriptions de tous les messages que le requérant avait échangés avec sa fiancée et son frère pendant la période où ses communications avaient été surveillées ; ces messages portaient sur des questions privées concernant le requérant. La transcription contenait aussi cinq courts messages que le requérant avait échangés avec sa fiancée le 12 juillet 2007 depuis un compte Yahoo Messenger privé ; ces messages ne comprenaient pas d’informations à caractère intime.

8.  Le 1er août 2007, l’employeur mit fin au contrat de travail du requérant pour violation du règlement interne de l’entreprise. Ce texte énonçait notamment ceci :

« Il est strictement interdit de troubler l’ordre et la discipline dans les locaux de l’entreprise, et en particulier (...) d’utiliser les ordinateurs, les photocopieurs, les téléphones, les téléscripteurs ou les télécopieurs à des fins personnelles. »

9.  Le requérant contesta son licenciement devant le tribunal départemental de Bucarest (« le tribunal départemental »). Il soutenait que ce licenciement devait être déclaré nul et non avenu car, en accédant à ses communications, son employeur avait violé à son égard le droit au respect de la correspondance protégé par la Constitution roumaine et le code pénal.

10.  Par un jugement du 7 décembre 2007, le tribunal départemental débouta le requérant au motif que l’employeur avait respecté la procédure de licenciement prévue par le code du travail. Il nota que le requérant avait été dûment informé des règles internes interdisant l’usage du matériel de l’entreprise à des fins personnelles. En ses parties pertinentes, le jugement du tribunal départemental se lit ceci :

« Le tribunal est d’avis que la surveillance des communications [échangées par le requérant] sur Yahoo Messenger depuis l’ordinateur de l’entreprise (...) pendant les heures de travail ne peut – indépendamment de la question de savoir si cette démarche de l’employeur était ou non illicite (îmbracă sau nu forma ilicitului penal) – entacher la validité de la procédure disciplinaire menée en l’espèce (...)

En l’espèce, dès lors que le salarié a affirmé dans le cadre de la procédure disciplinaire ne pas avoir utilisé Yahoo Messenger à des fins personnelles mais aux fins de conseiller les clients sur les produits proposés par son employeur, le tribunal estime que la vérification de la teneur des communications [de l’intéressé] était le seul moyen pour l’employeur de vérifier la validité de [sa] ligne de défense.

Le droit pour l’employeur de surveiller l’utilisation faite des ordinateurs de l’entreprise sur le lieu de travail relève du droit plus large de vérifier la manière dont les employés s’acquittent de leurs tâches professionnelles.

Dès lors que l’attention des employés (...) avait été appelée sur le fait que, peu avant que le requérant ne fasse l’objet d’une sanction disciplinaire, une autre employée avait été licenciée pour avoir utilisé Internet, le téléphone et les photocopieurs à des fins personnelles, et qu’ils avaient été avertis que leurs activités étaient surveillées (voir l’avis no 2316 du 3 juillet 2007 que le requérant avait signé (...)), on ne peut accuser l’employeur de ne pas avoir fait preuve de transparence et de n’avoir pas clairement dit qu’il surveillait l’usage que ses employés faisaient des ordinateurs.

L’accès à Internet sur le lieu de travail doit demeurer un outil à la disposition de l’employé. Il est accordé par l’employeur à des fins d’utilisation professionnelle et il est incontestable que l’employeur, en vertu de son droit de contrôler les activités de ses employés, a pour prérogative de contrôler l’usage personnel fait d’Internet.

Ces vérifications de la part de l’employeur sont notamment rendues nécessaires par le risque que, par l’usage qu’ils font d’Internet, les employés n’endommagent les systèmes informatiques de l’entreprise, ne se livrent à des activités illicites au nom de l’entreprise ou ne révèlent des secrets industriels de l’entreprise. »

11.  Le requérant contesta ce jugement, soutenant que les messages électroniques (« e‑mails ») relevaient de la « vie privée » et de la « correspondance » et, à ce titre, étaient protégés par l’article 8 de la Convention. Il se plaignait également que le tribunal départemental ne l’ait pas autorisé à citer des témoins afin de prouver que l’employeur n’avait subi aucun préjudice du fait de sa conduite.

12.  Par une décision définitive du 17 juin 2008, la cour d’appel de Bucarest (« la cour d’appel ») rejeta son recours et confirma le jugement du tribunal départemental. S’appuyant sur la directive UE 95/46/CE, elle jugea que l’employeur s’était conduit de manière raisonnable et que ce n’était qu’en surveillant les communications du requérant qu’il avait pu déterminer s’il y avait eu faute disciplinaire. Elle rejeta les arguments avancés par le requérant quant à ses droits procéduraux, estimant que les éléments dont elle disposait déjà étaient suffisants. En ses parties pertinentes, sa décision se lit ainsi :

« Compte tenu du fait que l’employeur a le droit et l’obligation d’assurer le fonctionnement de l’entreprise et, à cette fin, [a le droit] de vérifier la manière dont ses employés accomplissent leurs tâches professionnelles, et du fait [qu’il] a un pouvoir disciplinaire dont il peut légitimement faire usage et qui [lui donnait le droit en l’espèce] de surveiller et de retranscrire les communications sur Yahoo Messenger que l’employé niait avoir échangées à des fins personnelles après avoir été averti, comme ses collègues, qu’il ne devait pas utiliser les ressources de l’entreprise à des fins personnelles, on ne peut pas dire que la violation du secret de sa correspondance (violarea secretului corespondenţei) n’ait pas été la seule manière de parvenir à ce but légitime ni que le juste équilibre entre la nécessité de protéger la vie privée [de l’employé] et le droit pour l’employeur de superviser le fonctionnement de son entreprise n’ait pas été respecté. »

II. LE DROIT INTERNE PERTINENT

13.  La Constitution roumaine garantit le droit à la protection de la vie intime, privée et familiale (article 26) ainsi que le droit au respect de la correspondance privée (article 28).

14.  L’article 195 du code pénal énonce ceci :

« Quiconque, de manière illicite, ouvre la correspondance d’un tiers ou intercepte les conversations ou les communications téléphoniques d’un tiers, ses communications télégraphiques ou celles réalisées par tout autre moyen de transmission à longue distance est passible d’une peine d’emprisonnement de six mois à trois ans. »

15.  Le code du travail en vigueur au moment des faits disposait en son article 40 § 1 d) que l’employeur avait le droit de contrôler la manière dont les employés accomplissaient leurs tâches professionnelles. En vertu de l’article 40 § 2 i), l’employeur était tenu de garantir la confidentialité des données à caractère personnel des employés.

16.  La loi no 677/2001 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données à caractère personnel (« loi no 677/2001 ») transpose les dispositions de la directive UE 95/46/CE (paragraphe 18 ci‑dessous). Elle définit la « donnée à caractère personnel » comme « toute information relative à une personne physique identifiée ou identifiable » (article 3 a)), et dispose que ces données ne peuvent faire l’objet d’un quelconque traitement que si la personne concernée y a consenti. Elle énonce un certain nombre de cas pour lesquels, par exception, le consentement n’est pas nécessaire, notamment l’accomplissement des obligations contractuelles de l’individu concerné et la protection d’un intérêt légitime de celui qui traite les données (article 5 § 2 a) et e)). Elle prévoit aussi que lorsqu’elles traitent les données, les autorités publiques demeurent tenues de protéger la vie intime, privée et familiale des individus concernés (article 5 § 3). Enfin, toute personne ayant subi un préjudice du fait du traitement illicite de ses données à caractère personnel peut s’adresser au juge pour obtenir réparation (article 18 § 2).

II. LE DROIT INTERNATIONAL PERTINENT

A.  Instruments du Conseil de l’Europe

17.  La Convention de 1981 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (« la Convention pour la protection des données ») définit la « donnée à caractère personnel » comme « toute information concernant une personne physique identifiée ou identifiable ». Elle prévoit notamment ceci :

Article 2 – Définitions

« Aux fins de la présente Convention :

(...)

c)   « traitement automatisé » s’entend des opérations suivantes effectuées en totalité ou en partie à l’aide de procédés automatisés : enregistrement des données, application à ces données d’opérations logiques et/ou arithmétiques, leur modification, effacement, extraction ou diffusion (...) »

Article 3 – Champ d’application

« 1  Les Parties s’engagent à appliquer la présente Convention aux fichiers et aux traitements automatisés de données à caractère personnel dans les secteurs public et privé.

(...)

Article 5 – Qualité des données

« Les données à caractère personnel faisant l’objet d’un traitement automatisé sont :

a)  obtenues et traitées loyalement et licitement ;

b)  enregistrées pour des finalités déterminées et légitimes et ne sont pas utilisées de manière incompatible avec ces finalités ;

c)  adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont enregistrées ;

d)  exactes et si nécessaire mises à jour ;

e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées. »

(...)

Article 8 – Garanties complémentaires pour la personne concernée

« Toute personne doit pouvoir :

a)  connaître l’existence d’un fichier automatisé de données à caractère personnel, ses finalités principales, ainsi que l’identité et la résidence habituelle ou le principal établissement du maître du fichier ;

b)  obtenir à des intervalles raisonnables et sans délais ou frais excessifs la confirmation de l’existence ou non dans le fichier automatisé de données à caractère personnel la concernant ainsi que la communication de ces données sous une forme intelligible (...) »

B.  Instruments de l’Union européenne

18.  La directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil de l’Union européenne, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, énonce que l’objet des législations nationales relatives au traitement des données à caractère personnel est notamment d’assurer le respect du droit à la vie privée reconnu également à l’article 8 de la Convention et dans les principes généraux du droit communautaire. Elle définit la donnée à caractère personnel comme « toute information concernant une personne physique identifiée ou identifiable » (article 2 a)), et prévoit que les États membres doivent interdire le traitement des données à caractère personnel relatives, notamment, « à la santé et à la vie sexuelle » (article 8 § 1).

19.  Un groupe de travail sur la protection des données (« le groupe de travail ») a été institué en vertu de l’article 29 de la directive pour examiner la question de la surveillance des communications électroniques sur le lieu de travail et en évaluer les implications sur la protection des données pour les employés et les employeurs. Ce groupe est un organe consultatif de l’UE et est indépendant. Il a rendu en septembre 2001 un avis sur le traitement des données à caractère personnel dans le contexte professionnel (avis 8/2001), où sont résumés les principes fondamentaux en matière de protection des données : finalité, transparence, légitimité, proportionnalité, exactitude, sécurité et information du personnel. Il a estimé que la surveillance des employés devait être

« une réponse proportionnée de l’employeur aux risques qu’il encourt de porter atteinte à la vie privée légitime et autres intérêts des salariés ».

20.  En mai 2002, le groupe de travail a établi un document de travail concernant la surveillance des communications électroniques sur le lieu de travail (ci‑après, « le document de travail »). Selon ce document, le simple fait qu’une activité de contrôle ou de surveillance soit considérée comme utile pour servir l’intérêt de l’employeur ne justifie pas à lui seul l’intrusion dans la vie privée du salarié, et toute mesure de surveillance doit répondre à quatre critères : transparence, nécessité, équité et proportionnalité.

21.  En ce qui concerne l’aspect technique, le document de travail indique ceci :

« Des informations rapides peuvent aisément être affichées par un logiciel, par ex. des fenêtres d’avertissement qui préviennent le salarié que le système a détecté et/ou pris des mesures pour éviter une utilisation illicite du réseau. »

22.  Plus spécifiquement, en ce qui concerne la question de l’accès aux e‑mails des employés, le document comprend le passage suivant :

« Il convient de mentionner que l’ouverture du courrier électronique d’un salarié peut également s’avérer nécessaire pour des raisons autres que le contrôle ou la surveillance, par exemple pour assurer la correspondance lorsque le salarié est absent (par ex. maladie ou vacances) ou que la correspondance ne peut pas être garantie autrement (par ex. via les fonctions de réponse ou de déviation automatique). »

EN DROIT

I.  SUR LA VIOLATION ALLÉGUÉE DE L’ARTICLE 8 DE LA CONVENTION

23.  Le requérant soutient que la mesure de licenciement prise par son employeur reposait sur une violation à son égard du droit au respect de la vie privée et de la correspondance et que les juridictions internes ont manqué à protéger ce droit ; il invoque l’article 8 de la Convention, qui est ainsi libellé :

« 1.  Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance.

2.  Il ne peut y avoir ingérence d’une autorité publique dans l’exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu’elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l’ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d’autrui. »

A.  Sur la recevabilité

1.  Thèses des parties

24.  Le Gouvernement soutient que l’article 8 de la Convention n’est pas applicable en l’espèce. Il note que le requérant avait créé le compte Yahoo Messenger pour en faire un usage professionnel et qu’il affirmait de plus ne l’avoir utilisé qu’à cette fin : il ne pourrait donc pas prétendre avoir « cru au caractère privé » de ses communications alors qu’il niait avoir fait un usage privé du compte en question.

25.  Le Gouvernement ajoute que plusieurs États membres du Conseil de l’Europe exigent pour protéger le caractère privé de pareilles communications que celui-ci soit annoncé ; il s’appuie notamment sur la jurisprudence de la Cour de cassation française, selon laquelle les e-mails envoyés par un employé avec des moyens mis à sa disposition par son employeur doivent être considérés comme ayant caractère professionnel et étant accessibles à l’employeur à moins qu’ils n’aient expressément été marqués comme privés.

26.  Compte tenu des différences entre les e-mails et les messages instantanés (les seconds ne présentant pas de champ « objet »), le Gouvernement argue qu’il est essentiel, pour que ce type de messages relève de la portée de l’article 8, que leur caractère privé soit clairement déclaré. Il soutient que le requérant s’est vu offrir la possibilité de dire que l’utilisation qu’il avait faite de Yahoo Messenger avait été, au moins en partie, privée, et qu’il a clairement dit que tel n’était pas le cas, affirmant qu’il avait seulement communiqué avec des clients pour le compte de son employeur.

27.  Le Gouvernement déduit de ce qui précède que le requérant avait été dûment informé que son employeur était susceptible de contrôler ses communications. Il invoque à cet égard l’avis que l’employeur aurait distribué aux employés le 3 juillet 2007 ainsi que les conclusions du tribunal départemental, que le requérant n’aurait pas contestées dans son recours. Il n’a toutefois pas produit de copie de l’avis du 3 juillet 2007.

28.  Enfin, le Gouvernement estime que la présente affaire se distingue des affaires Halford c. Royaume-Uni (25 juin 1997, Recueil des arrêts et décisions 1997‑III), où l’une des lignes téléphoniques fixes du bureau était réservée à l’usage personnel de la requérante, et Copland c. Royaume-Uni (no 62617/00, CEDH 2007‑I), où l’usage personnel du matériel était autorisé et où la surveillance visait à déterminer si la requérante avait fait un « usage excessif » du matériel mis à sa disposition : en l’espèce, le règlement édicté par l’employeur aurait interdit expressément tout usage personnel des ressources de l’entreprise, y compris les ordinateurs et l’accès à Internet.

29.  Le requérant s’oppose à la thèse du Gouvernement. Il considère que ses communications sur Yahoo Messenger avaient un caractère privé et relevaient donc de la portée de l’article 8 de la Convention. Il argue que cet article impose à l’État des obligations positives et trouve à s’appliquer en l’espèce, l’État roumain ayant selon lui manqué à protéger sa sphère privée d’une ingérence de son employeur. Il souligne qu’il a toujours avancé cet argument devant les autorités internes.

30.  Le requérant estime qu’il est incontestable que les données interceptées par son employeur étaient non seulement des « données à caractère personnel » mais encore des « données sensibles à caractère personnel » au sens de la loi no 677/2001 et de la directive UE 95/46/CE puisqu’elles concernaient non seulement des personnes identifiées (le requérant, sa fiancée et son frère) mais encore des questions sensibles (telles que sa santé et sa vie sexuelle). Il n’avance aucune explication quant au fait qu’il ait utilisé Yahoo Messenger à des fins personnelles, mais il indique qu’au moment des faits (juillet 2007), les téléphones portables coûtaient très cher et son activité en tant qu’agent technico-commercial vendant des appareils de chauffage était très faible.

31.  Le requérant se plaint aussi que son employeur ait accédé également à son compte Yahoo Messenger personnel, dont l’identifiant aurait été différent de celui qu’il avait créé à des fins professionnelles. De plus, la transcription de ses communications aurait été rendue accessible à ses collègues, qui en auraient discuté publiquement.

32.  Invoquant l’arrêt Niemietz c. Allemagne (16 décembre 1992, Série A no 251‑B), le requérant soutient que le priver de la protection de l’article 8 au motif que la mesure litigieuse ne concernait que des activités professionnelles risquerait d’aboutir à une inégalité de traitement en ce que seules pourraient bénéficier de cette protection les personnes dont les activités professionnelles et non professionnelles sont tellement intriquées qu’elles ne peuvent pas être distinguées les unes des autres. S’appuyant sur l’arrêt Chappell c. Royaume-Uni (30 mars 1989, Série A no 152‑A), il argue que la Cour n’a pas exclu l’applicabilité de l’article 8 de la Convention en cas de perquisition de locaux professionnels.

33.  Le requérant soutient que Yahoo Messenger est par nature conçu pour un usage personnel et que la nature instantanée de la messagerie l’autorisait à croire au caractère privé de ses communications. Dans le cas contraire, affirme-t-il, il n’aurait pas révélé dans ce cadre des informations intimes. Il aurait d’autant plus cru à ce caractère privé que son employeur lui aurait dit de protéger son compte Yahoo Messenger en choisissant un mot de passe. Il affirme ne pas avoir été dûment averti à l’avance que l’employeur surveillerait ses communications, et estime à cet égard que l’interdiction générale énoncée dans le règlement interne de l’entreprise ne saurait passer pour un avertissement préalable de surveillance. Il pense que l’avis du 3 juillet 2007 a été produit après les faits. Il en a communiqué une copie, qui ne porte pas la signature des employés.

34.  Le requérant estime artificiel l’argument que le Gouvernement tire du fait qu’il a d’abord affirmé n’avoir utilisé le compte en cause qu’à des fins professionnelles : malgré cette première affirmation, nul ne contesterait à présent qu’il a en pratique utilisé la messagerie instantanée à des fins personnelles. Pour conclure, il argue que le droit pour un employé d’établir et d’entretenir des relations sociales pendant les heures de travail ne peut être anéanti à la discrétion de l’employeur ou par une décision de celui-ci.

2.  Appréciation de la Cour

35.  La Cour a toujours dit que la notion de vie privée est une notion large (E.B. c. France [GC], no 43546/02, § 43, 22 janvier 2008, et Bohlen c. Allemagne, no 53495/09, § 45, 19 février 2015). Elle englobe, par exemple, le droit pour l’individu de nouer et développer des relations avec ses semblables, et le droit à l’identité et au développement personnel (Niemietz, précité, § 29, et Fernández Martínez c. Espagne [GC], no 56030/07, § 126, CEDH 2014 (extraits)). Une lecture large de l’article 8 ne signifie toutefois pas qu’il protège toute activité qu’une personne pourrait souhaiter pratiquer avec d’autres pour nouer et développer des relations : il ne protège pas, par exemple, des relations interpersonnelles d’un contenu si ample et indéterminé qu’aucun lien direct entre l’action ou l’inaction de l’État et la vie privée de l’intéressé n’est envisageable (voir, mutatis mutandis, Botta c. Italie, 24 février 1998, § 35, Recueil des arrêts et décisions 1998‑I).

36.  Cela étant, selon la jurisprudence de la Cour, les appels téléphoniques émanant de locaux professionnels sont a priori compris dans les notions de « vie privée » et de « correspondance » au sens de l’article 8 § 1 (Halford, précité, § 44, et Amann c. Suisse [GC], no 27798/95, § 43, CEDH 2000‑II). La Cour a dit également que les messages électroniques envoyés depuis le lieu de travail doivent jouir de la même protection au titre de l’article 8 que les autres types de communication, tout comme les éléments recueillis au moyen d’une surveillance de l’usage qu’une personne fait de l’Internet (Copland, précité, § 41).

37.  Un requérant n’ayant pas été prévenu que les appels passés depuis son téléphone professionnel risquaient d’être surveillés peut raisonnablement croire au caractère privé de ces appels (Halford, précité, § 45), et il en va de même pour les e-mails et l’utilisation faite d’Internet (Copland, précité, § 41). Dans une affaire où l’espace de travail du requérant au parquet avait été perquisitionné et où certaines de ses affaires avaient été saisies (Peev c. Bulgarie, no 64209/01, 26 juillet 2007), la Cour a jugé que cette perquisition s’analysait en une atteinte à la « vie privée » du requérant ; elle a estimé que l’intéressé pouvait raisonnablement s’attendre à voir respecter sa vie privée quant aux effets personnels qu’il conservait dans son bureau (ibidem, § 39). Elle a dit ceci :

« 39. (...) pareil arrangement est implicite dans les relations employeur-employé ordinaires, et dans les circonstances de l’espèce aucun élément – tels un règlement ou une politique déclarée de l’employeur dissuadant les employés de conserver des documents et effets personnels dans leurs bureaux ou meubles de classement – ne donne à penser que l’attente du requérant était injustifiée ou déraisonnable. »

38.  La Cour doit donc déterminer en l’espèce si le requérant pouvait raisonnablement croire au caractère privé des communications échangées via le compte Yahoo Messenger qu’il avait créé à la demande de son employeur. À cet égard, elle note qu’il n’est pas contesté que le règlement interne de l’entreprise interdisait strictement aux employés d’utiliser les ordinateurs et les ressources de l’entreprise à des fins personnelles (paragraphe 8 ci-dessus).

39.  La présente affaire se distingue donc, comme l’a argué le Gouvernement, des affaires Halford et Copland (arrêts précités), où l’utilisation à des fins personnelles d’un téléphone professionnel était autorisée ou, du moins, tolérée. Elle se distingue également de l’affaire Peev (arrêt précité), où l’employeur n’avait édicté aucune règle interdisant aux employés de conserver des effets personnels dans leur bureau.

40.  La Cour observe que devant les juridictions internes, le requérant a choisi de soulever son grief tiré de l’article 8 de la Convention dans le cadre d’une procédure de droit du travail. L’objet principal de l’affaire était en effet son licenciement, et la thèse selon laquelle celui-ci avait résulté d’une violation à son égard du droit au respect de la vie privée était l’argument avancé pour prouver que la mesure devait être déclarée nulle et non avenue.

41.  L’objet du grief porté devant la Cour se limite à la surveillance des communications du requérant dans le cadre de la procédure disciplinaire. La décision de l’employeur de mettre fin au contrat de travail ne reposait en effet ni sur la teneur de ces communications ni sur leur divulgation. À cet égard, la Cour observe que le requérant n’a pas prétendu ne pas avoir eu accès à une autre instance devant laquelle porter ces arguments dans le cadre d’une procédure distincte au niveau interne. Le droit interne en vigueur au moment des faits prévoyait d’autres recours ayant pour objet principal la protection de la vie privée (il était possible par exemple de déposer une plainte pénale fondée sur l’article 195 du code pénal ou d’engager une action fondée sur l’article 18 § 2 de la loi no 677/2001 – voir les paragraphes 14 et 16 ci‑dessus), et le requérant n’a pas prétendu que ces recours aient été ineffectifs.

42.  La Cour doit donc déterminer si, compte tenu de l’interdiction générale énoncée par son employeur, le requérant pouvait raisonnablement croire que ses communications ne seraient pas surveillées. À cet égard, elle note que la Convention pour la protection des données énonce des principes clairs en matière de traitement automatique des données, en vertu desquels l’individu doit pouvoir connaître l’existence d’un fichier automatisé de données à caractère personnel et ses finalités principales (voir les articles 5 et 8 de cet instrument au paragraphe 17 ci-dessus). Le droit pertinent de l’UE va dans le même sens, notamment en ce qui concerne la surveillance des communications électroniques sur le lieu de travail (paragraphes 18, 19 et 20 ci-dessus).

43.  En l’espèce, la Cour note que les éléments du dossier n’apportent pas de réponse claire à la question. Les parties ne s’entendent pas sur le point de savoir si le requérant avait été averti préalablement que ses communications pourraient être surveillées et que leur teneur pourrait être consultée puis divulguée. Le Gouvernement affirme que le requérant avait été dûment avisé que son employeur pouvait surveiller ses communications (paragraphe 27 ci-dessus), tandis que le requérant nie avoir reçu pareil avertissement (paragraphe 33 ci-dessus). La Cour note que le Gouvernement n’a pas produit de copie signée de l’avis de l’employeur daté du 3 juillet 2007 (paragraphe 27 ci-dessus), et que la copie communiquée par le requérant ne porte aucune signature (paragraphe 33 ci-dessus).

44.  La Cour attache de l’importance au fait que l’employeur ait accédé au compte Yahoo Messenger du requérant et que la transcription des communications de l’intéressé ait été utilisée comme élément de preuve dans le cadre de la procédure menée au niveau national devant les juridictions du travail. Elle note également que, selon les déclarations du requérant, que le Gouvernement n’a pas expressément contestées, la teneur de ses communications avec sa fiancée et avec son frère était purement privée, et avait trait, entre autres sujets, à des questions très intimes telles que sa santé et sa vie sexuelle (paragraphes 7 et 30 ci-dessus). Elle tient compte par ailleurs de ce que le requérant s’est plaint que son employeur ait accédé aussi à son compte Yahoo Messenger personnel (paragraphes 7 et 31 ci‑dessus).

45.  Dans ces conditions, et eu égard en particulier au fait que la teneur des communications du requérant sur Yahoo Messenger a été consultée et que la transcription de ces communications a été utilisée par la suite dans le cadre de la procédure menée devant les juridictions du travail, la Cour estime établi que ces mesures concernaient la « vie privée » et la « correspondance » de l’intéressé au sens de l’article 8 § 1 (voir, mutatis mutandis, Köpke c. Allemagne, (déc.), no 420/07, 5 octobre 2010). Elle conclut donc que l’article 8 § 1 trouve à s’appliquer en l’espèce.

46.  Constatant par ailleurs que ce grief n’est pas manifestement mal fondé au sens de l’article 35 § 3 a) de la Convention et qu’il n’est pas irrecevable pour d’autres motifs, elle le déclare recevable.

B.  Sur le fond

1.  Thèses des parties

47.  Le requérant s’estime victime d’une atteinte au droit au respect de la vie privée et de la correspondance protégé par l’article 8 de la Convention. Il considère que l’ingérence alléguée n’était pas justifiée au regard du second paragraphe de l’article 8 et qu’elle n’était pas prévue par la loi, la législation applicable, à savoir le code du travail, n’ayant pas été, selon lui, suffisamment prévisible. À cet égard, il invoque l’arrêt Oleksandr Volkov c. Ukraine (no 21722/11, CEDH 2013), et il souligne que ni le code du travail ni la loi no 677/2001 ne prévoyaient de garanties procédurales quant à la surveillance des communications électroniques d’un employé.

48.  Le requérant ajoute que l’ingérence n’était pas proportionnée au but légitime poursuivi. Il récuse les conclusions des juridictions internes selon lesquelles son employeur n’avait pas d’autre choix que d’intercepter ses communications, et se plaint que celui-ci n’ait pas recherché d’autre moyen permettant de parvenir au même but sans porter une telle atteinte à ses droits fondamentaux. Il précise que sa relation avec son employeur était déjà tendue avant les faits en cause et indique que dans une autre procédure l’opposant à l’employeur, les juridictions internes avaient statué en sa faveur.

49.  Le Gouvernement soutient que les autorités nationales se sont acquittées des obligations positives qui pesaient sur elles en vertu de l’article 8 de la Convention. Il argue que des approches très différentes coexistent au sein des États membres du Conseil de l’Europe quant à l’encadrement de la surveillance à laquelle un employeur peut soumettre ses employés, et qu’il n’y a pas de consensus au niveau européen quant à l’usage personnel d’Internet sur le lieu de travail.

50.  Le Gouvernement estime qu’en l’espèce, les autorités ont suffisamment protégé le requérant, les juridictions internes ayant exercé un contrôle effectif sur l’affaire. S’appuyant sur les conclusions des juges nationaux, il argue que le fait que le requérant ait nié avoir utilisé son ordinateur à des fins personnelles a obligé son employeur à déterminer la teneur de ses communications. L’intéressé se serait ainsi vu remettre une transcription de ses communications portant sur une courte période (messages échangés entre le 5 et le 13 juillet 2007), transcription qui aurait démontré qu’il passait manifestement un temps considérable à ne rien faire. Le Gouvernement ajoute que les tribunaux auraient procédé à une mise en balance différente si le requérant avait reconnu dès le début avoir utilisé Yahoo Messenger à des fins personnelles.

51.  De plus, l’entreprise aurait énoncé expressément dans son règlement interne l’interdiction d’utiliser à des fins personnelles les ressources qu’elle mettait à la disposition de ses employés, et ceux-ci auraient eu connaissance tant du fait que cette interdiction était appliquée que des conséquences de cette application. Le Gouvernement conclut que les juridictions internes ont ménagé un juste équilibre entre les droits du requérant et les intérêts légitimes de son employeur.

2.  Appréciation de la Cour

52.  La Cour rappelle que, si l’article 8 tend pour l’essentiel à prémunir l’individu contre des ingérences arbitraires des pouvoirs publics, il ne commande pas seulement à l’État de s’abstenir de pareilles ingérences : à cet engagement négatif peuvent s’ajouter des obligations positives inhérentes à un respect effectif de la vie privée. Ces obligations peuvent impliquer l’adoption de mesures visant au respect de la vie privée jusque dans les relations des individus entre eux (Von Hannover c. Allemagne (no 2) [GC], nos 40660/08 et 60641/08, § 98, CEDH 2012, et Benediksdóttir c. Islande (déc.), no 38079/06, 16 juin 2009). La frontière entre les obligations positives et négatives de l’État au titre de l’article 8 ne se prête pas à une définition précise. Dans les deux cas, il faut avoir égard au juste équilibre à ménager entre les intérêts concurrents – qui peuvent comprendre des intérêts privés et des intérêts publics concurrents ou différents droits protégés par la Convention (Evans c. Royaume-Uni [GC], no 6339/05, §§ 75 et 77, CEDH 2007‑I) – de même, dans les deux hypothèses, l’État jouit d’une certaine marge d’appréciation (Von Hannover, précité, et Jeunesse c. Pays-Bas [GC], no 12738/10, § 106, 3 octobre 2014).

53.  En l’espèce, la Cour considère que le grief du requérant doit être examiné du point de vue des obligations positives de l’État puisque l’intéressé était employé par une entreprise privée, qui ne pouvait par ses actions engager la responsabilité de l’État au regard de la Convention. Les conclusions auxquelles la Cour est parvenue dans l’affaire Oleksandr Volkov (arrêt précité), qui concernait la révocation d’un juge, ne sont donc pas applicables à la présente affaire, contrairement à ce qu’argue le requérant (paragraphe 47 ci-dessus).

54.  La Cour doit donc déterminer si, dans le cadre des obligations positives que lui impose l’article 8, l’État a ménagé un juste équilibre entre le droit du requérant au respect de sa vie privée et de sa correspondance et les intérêts de l’employeur de l’intéressé.

55.  À cet égard, elle rappelle qu’elle a conclu que la portée du grief se limitait à la surveillance des communications du requérant dans le cadre d’une procédure disciplinaire (paragraphes 40 et 41 ci-dessus).

56.  Elle note que le requérant a pu exposer devant les juridictions internes ses arguments relatifs à la violation qu’aurait faite son employeur de sa vie privée et de sa correspondance. Elle observe également que ces juridictions ont dûment examiné ces arguments et qu’elles ont conclu que l’employeur avait agi dans le cadre du pouvoir disciplinaire que lui conférait le code du travail (paragraphes 10 et 15 ci-dessus). Elles ont également conclu que le requérant avait utilisé Yahoo Messenger sur l’ordinateur de l’entreprise à des fins personnelles, et ce pendant les heures de travail, et que sa faute disciplinaire était donc établie (paragraphe 12 ci-dessus).

57.  Dans ce contexte, la Cour note que tant le tribunal départemental que la cour d’appel ont attaché une importance particulière au fait que l’employeur avait accédé au compte Yahoo Messenger du requérant en partant du principe qu’il contenait des messages professionnels, l’intéressé ayant d’abord affirmé l’avoir utilisé pour conseiller les clients de l’entreprise (paragraphes 10 et 12 ci-dessus). Il s’ensuit que l’employeur a agi dans le cadre de son pouvoir disciplinaire, puisque, comme les juridictions internes l’ont conclu, il a accédé au compte parce que les informations qui s’y trouvaient étaient censées relever d’activités professionnelles et rendre ainsi cet accès légitime. La Cour ne voit pas de raison de remettre en question ces conclusions.

58.  En ce qui concerne la production de la transcription des communications échangées par le requérant sur Yahoo Messenger à titre de preuve devant les juridictions internes, la Cour observe que celles-ci n’ont attaché un poids particulier ni à cette transcription ni à la teneur des communications du requérant. Elles n’ont tenu compte de la transcription que dans la mesure où elle établissait la faute disciplinaire de l’intéressé, à savoir l’utilisation de l’ordinateur de l’entreprise à des fins personnelles pendant les heures de travail. Il n’y a d’ailleurs aucune mention dans leurs décisions des éléments faisant l’objet des communications du requérant, et l’identité des personnes avec qui il a échangé ces communications n’y est pas révélée non plus. La Cour estime donc que la teneur des communications n’a pas joué un rôle déterminant dans les conclusions des juridictions internes.

59.  S’il est vrai qu’il n’avait pas été avancé que le requérant ait causé à son employeur un réel préjudice (voir, a contrario, Pay c. Royaume-Uni (déc.), no 32792/05, 16 septembre 2008, où le requérant avait exercé en dehors de son travail des activités incompatibles avec ses obligations professionnelles, et Köpke (précitée), où la requérante avait fait subir à son employeur un préjudice matériel), la Cour estime qu’il n’est pas déraisonnable pour un employeur de vouloir vérifier que ses employés accomplissent leurs tâches professionnelles pendant leurs heures de travail.

60.  De plus, elle note qu’il apparaît que seules ont été examinées les communications échangées sur le compte Yahoo Messenger du requérant, et non les autres données et documents enregistrés sur son ordinateur. Elle juge donc que la surveillance exercée par l’employeur était de portée limitée et qu’elle était proportionnée au but visé (voir, a contrario, Wieser et Bicos Beteiligungen GmbH c. Autriche, no 74336/01, §§ 59 et 63, CEDH 2007‑IV, et Yuditskaya et autres c. Russie, no 5678/06, § 30, 12 février 2015).

61.  De surcroît, la Cour estime que le requérant n’a pas expliqué de manière convaincante pourquoi il avait utilisé le compte Yahoo Messenger à des fins personnelles (paragraphe 30 ci-dessus).

62.  Eu égard à ce qui précède, elle conclut que rien dans la présente affaire n’indique que les autorités internes aient manqué à ménager un juste équilibre, dans le cadre de leur marge d’appréciation, entre le droit du requérant au respect de sa vie privée protégé par l’article 8 et les intérêts de l’employeur.

63.  Partant, il n’y a pas eu violation de l’article 8 de la Convention.

II.  SUR LA VIOLATION ALLÉGUÉE DE L’ARTICLE 6 DE LA CONVENTION

64.  Invoquant l’article 6 de la Convention, le requérant soutient que la procédure menée devant les juridictions internes a été inéquitable, notamment parce qu’il n’a pas pu citer de témoins.

65.  La Cour observe que le requérant a pu exposer cette thèse devant la cour d’appel, et que celle-ci a jugé, par une décision suffisamment motivée, qu’il n’aurait pas été pertinent dans l’affaire d’entendre des témoins supplémentaires (paragraphe 12 ci-dessus). La décision a été rendue à l’issue d’une audience publique contradictoire et ne paraît pas arbitraire (García Ruiz c. Espagne [GC], no 30544/96, §§ 28-29, CEDH 1999‑I).

66.  Il s’ensuit que ce grief est manifestement mal fondé et doit être rejeté en application de l’article 35 §§ 3 a) et 4 de la Convention.

PAR CES MOTIFS, LA COUR

1.  Déclare, à l’unanimité, la requête recevable en ce qui concerne le grief tiré de l’article 8 de la Convention et irrecevable pour le surplus ;

2.  Dit, par six voix contre une, qu’il n’y a pas eu violation de l’article 8 de la Convention ;

Fait en anglais, puis communiqué par écrit le 12 janvier 2016, en application de l’article 77 §§ 2 et 3 du règlement.

Fatoş AracıAndrás Sajó
Greffière adjointePrésident

Au présent arrêt se trouve joint, conformément aux articles 45 § 2 de la Convention et 74 § 2 du règlement, l’exposé de l’opinion séparée du juge Pinto de Albuquerque.

A.S.
F.A.

OPINION EN PARTIE DISSIDENTE DU JUGE PINTO DE ALBUQUERQUE

(Traduction)

1.  L’affaire Bărbulescu c. Roumanie concerne la surveillance de l’usage fait d’Internet sur le lieu de travail. La majorité admet qu’il y a eu ingérence dans le droit du requérant au respect de sa vie privée et de sa correspondance protégé par l’article 8 de la Convention européenne des droits de l’homme (« la Convention »), mais elle conclut qu’il n’y a pas eu violation de cet article car la surveillance exercée par l’employeur était de portée limitée et proportionnée au but visé. Je partage le constat de départ de la majorité, mais non sa conclusion. Par ailleurs, j’approuve sans réserve la conclusion d’irrecevabilité du grief tiré de l’article 6.

2.  Cette affaire offrait une excellente occasion à la Cour européenne des droits de l’homme (« la Cour ») de développer sa jurisprudence en matière de protection de la vie privée quant aux communications des employés sur Internet[1]. Ses particularités résident dans l’inexistence d’une politique de surveillance de l’usage d’Internet, dûment mise en œuvre et appliquée par l’employeur, dans la nature personnelle et sensible des communications de l’employé auxquelles l’employeur a accédé, et dans la large divulgation qui a été faite de ces communications au cours de la procédure disciplinaire menée contre l’employé. Ces éléments auraient dû avoir une incidence sur l’appréciation de la validité de la procédure disciplinaire et de la sanction imposée. Malheureusement, tant les juges nationaux que la majorité de la Cour ont ignoré ces aspects cruciaux de l’affaire.

L’accès à Internet en tant que droit de l’homme

3.  Comme la Grande Chambre de la Cour l’a dit récemment, la possibilité pour les individus de s’exprimer sur Internet constitue un outil sans précédent d’exercice de la liberté d’expression[2]. Grâce à son accessibilité ainsi qu’à sa capacité à conserver et à diffuser de grandes quantités de données, Internet contribue grandement à améliorer l’accès du public à l’actualité et, de manière générale, à faciliter la communication de l’information[3]. Suivant le même type de raisonnement, le Conseil constitutionnel français a dit que, « en l’état actuel des moyens de communication et eu égard au développement généralisé des services de communication au public en ligne ainsi qu’à l’importance prise par ces services pour la participation à la vie démocratique et l’expression des idées et des opinions, ce droit [le droit à la liberté d’expression] implique la liberté d’accéder à ces services »[4]. Ainsi, les États ont l’obligation positive de promouvoir et de faciliter l’accès universel à Internet, y compris en créant l’infrastructure nécessaire à la connectivité Internet[5]. Dans le cas des communications privées sur Internet, s’ajoute à l’obligation de promouvoir la liberté d’expression celle de protéger le droit au respect de la vie privée. Les États ne peuvent assurer la liberté individuelle de rechercher et de recevoir des informations et de s’exprimer s’ils ne respectent pas et ne promeuvent pas également le droit individuel au respect de la vie privée. Dans le même temps, les communications en ligne risquent assurément bien plus que la presse de porter atteinte à l’exercice et à la jouissance des droits et libertés fondamentaux, en particulier du droit au respect de la vie privée[6]. Par exemple, les États doivent lutter contre la discrimination raciale ou religieuse et le discours de haine sur Internet[7]. En d’autres termes, il peut arriver que la liberté d’expression de celui qui apporte le contenu (liberté protégée par l’article 10) entre en conflit avec le droit au respect de la vie privée (droit protégé par l’article 8) d’autres personnes, ou que la liberté d’expression et le droit au respect de la vie privée de ceux qui communiquent sur Internet entrent en conflit avec les droits et libertés de tiers. La présente affaire relève de ce second cas.

La protection des communications sur Internet des employés en droit international

4.  La surveillance de l’usage fait d’Internet sur le lieu de travail ne relève pas d’un pouvoir discrétionnaire de l’employeur. À notre époque où la technologie a estompé la frontière entre vie professionnelle et vie privée, et où certains employeurs autorisent les employés à utiliser le matériel de l’entreprise à des fins personnelles, tandis que d’autres leur permettent d’utiliser leur propre matériel à des fins professionnelles, et que d’autres encore laissent ces deux possibilités, le droit pour l’employeur de faire respecter certaines règles sur le lieu de travail et l’obligation pour l’employé de s’acquitter correctement de ses tâches professionnelles ne justifient pas un contrôle illimité de l’expression des employés sur Internet[8]. Même en cas de soupçons de cyber-flânerie, de détournement des ressources informatiques de l’employeur à des fins personnelles, de dommage aux systèmes informatiques de l’employeur, de participation à des activités illicites ou de divulgation des secrets industriels de l’employeur, le droit pour celui-ci de faire ingérence dans les communications de ses employés n’est pas illimité. Étant donné que dans les sociétés modernes, la communication sur Internet est une forme d’expression privilégiée, y compris en ce qui concerne les informations privées, des limites strictes s’appliquent à la surveillance que peut pratiquer un employeur de l’usage que ses employés font d’Internet pendant leur temps de travail, et des limites plus strictes encore s’appliquent à l’usage qu’ils en font en dehors des heures de travail, que ce soit depuis leur propre ordinateur ou depuis ceux fournis par l’employeur.

5.  Le principe découlant de la Convention est que les communications sur Internet ne sont pas moins protégées sous prétexte qu’elles ont lieu pendant les heures de travail, sur le lieu de travail ou dans le contexte d’une relation de travail, ou qu’elles ont une incidence sur les activités commerciales de l’employeur ou sur l’accomplissement par l’employé de ses obligations contractuelles[9]. La protection porte non seulement sur la teneur des communications, mais aussi sur les métadonnées issues de la collecte et de la conservation des données relatives aux communications, ces métadonnées pouvant fournir des informations sur le mode de vie d’un individu, sur ses convictions religieuses ou politiques, sur ses préférences privées et sur ses relations sociales[10]. En l’absence d’avertissement de l’employeur que les communications sont surveillées, l’employé peut « raisonnablement croire à leur caractère privé »[11]. Toute atteinte par l’employeur au droit de l’employé au respect de la vie privée et de la liberté d’expression, même si elle ne consiste qu’à conserver des données à caractère personnel relatives à la vie privée de l’employé, doit dans une société démocratique être justifiée par la protection de certains intérêts précis visés par la Convention[12], à savoir la protection des droits et libertés de l’employeur ou des autres employés (article 8 § 2)[13], la protection de la réputation ou des droits de l’employeur ou des autres employés ou la prévention de la divulgation d’informations communiquées à l’employé à titre confidentiel (article 10 § 2)[14]. La recherche d’une rentabilité et d’une productivité maximales de la main d’œuvre n’est en soi un intérêt visé ni par l’article 8 § 2 ni par l’article 10 § 2, quoique le but consistant à assurer le bon accomplissement d’obligations contractuelles dans une relation de travail puisse dans une société démocratique justifier l’apport de certaines restrictions aux droits et libertés susmentionnés[15].

6.  En dehors de la jurisprudence de la Cour, les normes internationales en matière de protection des données à caractère personnel tant dans le secteur public que dans le secteur privé ont été énoncées en 1981 dans la Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel[16], premier instrument à garantir la protection des données personnelles en tant que droit distinct accordé à l’individu. On trouve aussi des règles spécifiques à la protection des données en ce qui concerne les relations de travail dans la recommandation Rec(89)2 du Comité des Ministres du Conseil de l’Europe aux États membres sur la protection des données à caractère personnel utilisées à des fins d’emploi (18 janvier 1989), récemment remplacée par la recommandation CM/Rec(2015)5 du Comité des Ministres aux États membres sur le traitement des données à caractère personnel dans le cadre de l’emploi. Les recommandations no R (99) 5 sur la protection de la vie privée sur Internet (23 février 1999) et CM/Rec(2010)13 sur la protection des personnes à l’égard du traitement automatisé des données à caractère personnel dans le cadre du profilage (23 novembre 2010) apportent aussi un éclairage précieux dans ce domaine.

7.  Le cadre juridique de l’Union européenne (UE) reconnaît le droit au respect de la vie privée et le droit à la protection des données à caractère personnel en tant que droits fondamentaux autonomes, aux articles 7 et 8 de la Charte des droits fondamentaux. L’élément central du cadre juridique de l’UE à cet égard est la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Les relations de travail ne sont expressément visées que dans le contexte du traitement des données sensibles. Le règlement (CE) no 45/2001 pose les mêmes droits et obligations au niveau des institutions et organes de la Communauté européenne. Il crée également une autorité de contrôle indépendante chargée de veiller au respect de ses dispositions. La directive 2002/58/CE concerne le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques. Elle régit des questions telles que la confidentialité, la facturation, les données relatives au trafic et les communications non sollicitées. En son article 5, elle protège la confidentialité des communications. Cet article impose aux États membres l’obligation de garantir, par la législation nationale, la confidentialité des communications effectuées au moyen d’un réseau public de communications et de services de communications électroniques accessibles au public, ainsi que la confidentialité des données relatives au trafic y afférentes. En particulier, ils doivent interdire à toute autre personne que les utilisateurs d’écouter, d’intercepter, de stocker les communications et les données relatives au trafic y afférentes, ou de les soumettre à tout autre moyen d’interception ou de surveillance, sans le consentement des utilisateurs concernés sauf lorsque cette personne y est légalement autorisée. Cette disposition ne couvre pas l’interception de communications sur les réseaux privés, notamment l’interception des communications par e-mail, par service de messagerie instantanée ou par téléphone, ni de manière générale des communications privées, car la directive vise les services de communications électroniques accessibles au public et concerne les communications effectuées au moyen d’un réseau public de communications. Une autre directive pertinente est la directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur, qui énonce que les États membres ne doivent pas imposer aux prestataires de services internet ou de services de courrier électronique une obligation générale de surveiller les informations qu’ils transmettent ou stockent, car pareille obligation constituerait une atteinte à la liberté d’information et à la confidentialité de la correspondance (article 15). Dans le cadre de l’ancien troisième pilier de l’UE, la décision‑cadre 2008/977/JHA portait sur la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale. Enfin, le groupe de travail « article 29 » a produit plusieurs textes apportant aussi une contribution importante pour l’élaboration de normes relatives à la protection des données applicables aux employés au sein de l’UE : avis 8/2001 sur le traitement des données à caractère personnel dans le contexte professionnel (13 septembre 2001)[17], document de travail concernant la surveillance des communications électroniques sur le lieu de travail (29 mai 2002)[18], document de travail relatif à une interprétation commune des dispositions de l’article 26, paragraphe 1, de la directive 95/46/CE (25 novembre 2005)[19], avis 2/2006 sur les problèmes de protection de la vie privée liés à la fourniture de services de vérification du contenu des courriers électroniques (21 février 2006)[20]. Dans son rapport annuel de 2005, il a estimé qu’il n’était « pas contesté qu’une adresse électronique assignée par une société à ses employés constitue une donnée à caractère personnel si elle permet à une personne physique d’être identifiée »[21].

8.  Enfin, les Lignes directrices de l’Organisation pour la coopération et le développement économique (OCDE) régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel (1980)[22] et le recueil de directives pratiques du Bureau international du travail (BIT) sur la protection des données personnelles des salariés (1997) énoncent des normes non contraignantes qui apportent des repères précieux aux employeurs, aux employés et aux juges.

9.  De ce cadre juridique international, on peut tirer un ensemble consolidé et cohérent de principes pour la création, la mise en œuvre et l’application de règles relatives à l’usage d’Internet dans le cadre d’une relation de travail[23]. Toute information relative à un employé identifié ou identifiable qui est collectée, détenue ou utilisée par l’employeur aux fins de la relation de travail, y compris les informations relatives aux communications électroniques privées, doit être protégée afin que soient respectés les droits de l’employé au respect de sa vie privée et à la liberté d’expression[24]. En conséquence, tout traitement de données à caractère personnel aux fins du recrutement, de la vérification du respect des obligations contractuelles, de la gestion du personnel, de la planification et de l’organisation du travail ou de la cessation de la relation contractuelle, tant dans le secteur public que dans le secteur privé, doit être encadrée par la loi, par une convention collective ou par le contrat de travail[25]. Certaines formes de traitement des données à caractère personnel, par exemple en ce qui concerne l’usage fait par les employés d’Internet et des communications électroniques sur le lieu de travail, appellent une réglementation détaillée[26].

10.  Il faut donc mettre en place un ensemble complet de règles régissant l’usage d’Internet au travail, y compris des règles spécifiques sur l’usage du courrier électronique, des messageries instantanées et des réseaux sociaux, sur la tenue de blogs et sur la navigation sur le web. Ces règles peuvent être adaptées aux besoins de chaque branche d’activité et de chaque entreprise de cette branche, mais les droits et les obligations des employés doivent être énoncés clairement, dans des règles transparentes précisant comment Internet peut être utilisé, comment la surveillance est appliquée, comment les données sont sécurisées, utilisées et détruites, et qui y a accès[27].

11.  Une interdiction générale pour les employés d’utiliser Internet à des fins personnelles est inadmissible[28], de même que toute politique de contrôle généralisé, automatique et continu de l’usage que les employés font d’Internet[29]. Les données à caractère personnel portant sur l’origine raciale, les opinions politiques ou religieuses ou les autres convictions, ainsi que les données à caractère personnel concernant la santé, la vie sexuelle ou les condamnations pénales sont considérées comme des « données sensibles » appelant une protection spéciale[30].

12.  Les employés doivent être informés des règles appliquées à l’usage qu’ils font d’Internet sur leur lieu de travail, hors de leur lieu de travail et hors des heures de travail à partir de moyens de communication appartenant à l’employeur, à eux-mêmes ou à des tiers[31]. Tous les employés devraient être informés personnellement de ces règles et consentir expressément à ce qu’elles leur soient appliquées[32]. Avant qu’une politique de contrôle ne soit mise en place, les employés doivent être informés des buts, de la portée, des moyens techniques et des heures de ce contrôle[33]. De plus, ils doivent avoir le droit d’être avisés régulièrement des données à caractère personnel détenues à leur sujet et du traitement de ces données, le droit d’accéder à toutes ces données, le droit de les examiner et d’en obtenir une copie, et le droit d’exiger que les données à caractère personnel erronées ou incomplètes et celles recueillies ou traitées contrairement aux règles applicables à l’entreprise soient supprimées ou rectifiées[34]. En cas de violations alléguées des règles appliquées en matière d’utilisation d’Internet par les employés, ceux-ci devraient avoir la possibilité de se défendre dans le cadre d’une procédure équitable, soumise au contrôle du juge.

13.  L’application de règles relatives à l’utilisation d’Internet sur le lieu de travail devrait être guidée par les principes de la nécessité et de la proportionnalité, afin d’éviter que des données à caractère personnel recueillies dans le cadre de politiques organisationnelles ou informatiques légitimes ne soient utilisées pour contrôler le comportement des employés[35]. Avant de mettre en œuvre quelque mesure de surveillance que ce soit, l’employeur devrait vérifier si les avantages d’une telle mesure l’emportent sur l’atteinte au droit à la vie privée des employés concernés et des tiers qui communiquent avec eux[36]. En l’absence de consentement préalable, la collecte des données et métadonnées de communication des employés, l’accès à ces données et métadonnées et leur analyse ne peuvent être permis qu’exceptionnellement, sur autorisation d’un juge, car les employés soupçonnés de violer les règles de l’entreprise et susceptibles de faire l’objet d’une procédure disciplinaire ou civile ne doivent pas être traités moins équitablement que les suspects d’une infraction pénale. Seule une surveillance ciblée pour les soupçons fondés de violations des règles est admissible, tandis qu’une surveillance générale et sans restriction constitue une intrusion manifestement excessive dans la sphère privée des employés[37]. Il faut préférer le moyen de contrôle le moins invasif[38]. Le blocage des communications Internet étant une mesure de dernier recours[39], on peut considérer que les mécanismes de filtrages sont plus appropriés, à supposer que de telles mesures soient nécessaires, pour éviter les violations des règles[40]. Les données recueillies ne peuvent être utilisées à aucune autre fin que celle pour laquelle elles ont été collectées, et elles doivent être protégées de toute modification, de tout accès non autorisé et de toute autre forme de mésusage[41]. Par exemple, elles ne doivent pas être mises à la disposition d’autres employés qu’elles ne concernent pas. Lorsqu’elles ne sont plus nécessaires, les données à caractère personnel recueillies devraient être supprimées[42].

14.  Les violations des règles internes exposent à la fois l’employeur et l’employé à des sanctions. S’il fait un usage non autorisé d’Internet, l’employé doit d’abord se voir délivrer un avertissement oral. La sévérité de la sanction doit ensuite augmenter progressivement : réprimande écrite, pénalité financière, rétrogradation, et enfin, pour les récidivistes les plus graves, licenciement[43]. Si la surveillance que fait l’employeur de l’usage d’Internet viole les règles internes relatives à la protection des données ou le droit ou la convention collective applicables, l’employé peut être fondé à mettre fin à la relation contractuelle et à demander la requalification de la démission en licenciement et une indemnisation pour dommage matériel et moral.

15.  Par ailleurs, en l’absence de telles règles, la surveillance de l’usage fait d’Internet risque d’être utilisée de manière abusive par les employeurs, qui agiraient en Big Brother méfiant regardant par-dessus l’épaule de leurs employés, comme si ceux-ci ne leur avaient pas seulement vendu leur travail, mais aussi leur vie. Afin d’éviter cette marchandisation du salarié, les employeurs ont la responsabilité de mettre en place et d’appliquer de manière cohérente une politique de l’usage d’Internet répondant aux critères énoncés ci-dessus. Ce faisant, ils agiront conformément à l’approche de droit international fondée sur des principes en vertu de laquelle on considère que la liberté d’accès à Internet est un droit de l’homme[44].

L’absence de règles relatives à l’usage d’Internet sur le lieu de travail

16.  Le Gouvernement argue que le règlement interne de l’entreprise interdisait d’utiliser les ordinateurs à des fins personnelles. Cela est vrai, mais non pertinent, car le règlement interne en question n’indiquait nullement qu’une politique de surveillance de l’utilisation d’Internet était mise en œuvre sur le lieu de travail. À cet égard, il ne faut pas oublier que le Gouvernement se réfère aussi à l’avis 2316 du 3 juillet 2007, indiquant que celui-ci « soulignait qu’un autre employé avait été licencié pour avoir utilisé Internet, le téléphone et les photocopieurs à des fins personnelles » et « rappelait que l’employeur contrôlait et surveillait l’activité des employés, et réaffirmait expressément que ceux-ci ne devaient pas utiliser Internet, les téléphones ou les télécopieurs pour des activités non liées à leur travail ». En d’autres termes, l’avis « rappelait » l’existence d’une politique de surveillance de l’activité sur Internet dans l’entreprise[45]. Toujours selon le Gouvernement, les employés avaient été informés de cet avis, et celui-ci avait même été signé par le requérant. L’intéressé conteste ces allégations. La majorité elle-même reconnaît que les parties ne s’entendent pas sur le point de savoir si le requérant avait été avisé de la politique de surveillance de l’activité sur Internet qu’appliquait l’entreprise avant qu’il ne soit fait ingérence dans ses communications en ligne[46]. Malheureusement, elle ne va pas plus loin sur cet aspect crucial.

17.  Étant donné que l’existence d’un avertissement préalable était alléguée par le Gouvernement et contestée par le requérant, il incombait au Gouvernement d’apporter la preuve de son allégation, ce qu’il n’a pas fait[47]. De plus, le seul exemplaire de l’avis 2316 versé au dossier n’est même pas signé par l’employé[48]. Il n’y a donc pas suffisamment d’éléments dans le dossier pour démontrer que les employés de l’entreprise en général, et le requérant en particulier, avaient connaissance du fait que l’employeur avait installé un logiciel de contrôle qui enregistrait en temps réel les communications passées par les employés à partir des ordinateurs de l’entreprise, produisait des données statistiques de l’usage que faisait chaque employé d’Internet et transcrivait la teneur des communications échangées par les employés, communications qu’il pouvait même bloquer[49].

18.  Même à supposer que l’avis 2316 ait existé et ait effectivement été communiqué aux employés, y compris le requérant, avant les faits en cause, cela ne suffirait pas à justifier le licenciement de l’intéressé, compte tenu du caractère extrêmement vague de cet avis. Une simple communication de l’employeur aux employés indiquant que « leur activité était surveillée »[50] ne suffisait évidemment pas à les informer clairement de la nature, de la portée et des conséquences du programme de surveillance de l’activité sur Internet mis en œuvre[51]. Une « règle » si médiocrement énoncée, à supposer qu’elle ait existé, ne protégeait guère les employés. Malgré l’importance cruciale pour l’issue de l’affaire de l’avis qui aurait averti les employés de la politique de surveillance appliquée par l’entreprise, la majorité n’a pas estimé utile d’examiner les termes dans lesquels cet avis était rédigé. Compte tenu des éléments présentés à la Cour, je ne peux que considérer pour ma part qu’il ne précisait pas les éléments minimum d’une politique d’usage et de surveillance d’Internet, notamment le type d’utilisation non autorisée qui était contrôlé, les moyens techniques de surveillance utilisés et les droits des employés quant au contenu faisant l’objet de la surveillance.

La nature personnelle et sensible des communications de l’employé

19.  Le caractère délicat de la présente affaire est grandement renforcé par la nature de certains des messages du requérant, où étaient mentionnés des problèmes de santé sexuelle dont souffraient sa fiancée et lui[52]. Ce sujet se trouve au cœur de la vie privée du requérant et appelle la protection la plus élevée en vertu de l’article 8. En dehors de ces informations sensibles, les messages traitaient également d’autres éléments personnels, tels que le malaise de l’employé face à l’hostilité à laquelle il était confronté au travail. L’employeur a accédé non seulement au compte professionnel créé par le requérant sur Yahoo Messenger mais aussi au compte personnel de l’intéressé[53]. Or le compte Yahoo Messenger de l’employé n’appartenait pas à l’employeur, même si celui-ci était propriétaire de l’ordinateur utilisé par l’employé[54]. De plus, l’employeur savait que certaines des communications du requérant étaient échangées avec un compte intitulé « Andra t’aime », de sorte qu’elles n’avaient manifestement aucun rapport avec l’accomplissement par l’intéressé de ses tâches d’ordre professionnel[55]. Pourtant, il a consulté la teneur de ces communications et en a fait des transcriptions contre la volonté expresse du requérant et sans y avoir été autorisé par un juge[56].

L’absence de nécessité pour l’employeur de faire ingérence dans les communications privées de l’employé

20.  De surcroît, l’ingérence de l’employeur a eu de graves conséquences sociales pour le requérant, puisque les transcriptions de ses messages ont été mises à la disposition de ses collègues, qui en ont même discuté[57]. Même si l’on devait admettre que l’atteinte portée au droit du requérant au respect de sa vie privée était justifiée en l’espèce, ce qui n’était pas le cas, il n’en resterait pas moins que l’employeur n’a pas pris les mesures de précaution nécessaires pour faire en sorte que la divulgation de ces messages hautement sensibles se cantonne au cadre de la procédure disciplinaire. En d’autres termes, son ingérence est allée bien au-delà de ce qui était nécessaire[58].

21.  Cela étant dit, le licenciement du requérant ne pouvait reposer sur des éléments de preuve qui ne respectaient pas les normes de protection de la vie privée des employés au regard de la Convention. En validant la mesure de licenciement, les juridictions internes ont admis comme preuve de la faute professionnelle du requérant des transcriptions de communications privées qui appelaient une protection en vertu de la Convention et qui ont néanmoins été consultées, utilisées et rendues publiques par l’employeur, en violation des normes découlant de la Convention[59]. De plus, on peut difficilement dire que le licenciement du requérant ait été en lui-même une mesure proportionnée, compte tenu du fait qu’il n’a pas été prouvé que l’intéressé ait causé à son employeur un réel préjudice ni qu’il ait eu le même type de comportement sur une longue période[60] .

Conclusion

22.  « Les salariés n’abandonnent pas leur droit à la vie privée et à la protection des données, chaque matin, en franchissant le seuil de leur lieu de travail »[61]. Les nouvelles technologies rendent les intrusions dans la vie privée de l’employé à la fois plus faciles à réaliser pour l’employeur et plus difficiles à détecter pour l’employé, ce risque étant en outre aggravé par l’inégalité consubstantielle à la relation de travail. Une approche de l’usage d’Internet au travail centrée sur les droits de l’homme appelle un cadre réglementaire interne transparent, une politique de mise en œuvre cohérente et une stratégie d’application par les employeurs proportionnée aux buts visés. Ce cadre, cette politique et cette stratégie étaient totalement absents en l’espèce. L’ingérence portée dans le droit du requérant au respect de sa vie privée a été le résultat d’une décision de licenciement prise sur la base d’une mesure de surveillance des activités sur Internet adoptée par l’employeur de manière ad hoc, avec des conséquences drastiques sur la vie sociale du requérant. La sanction disciplinaire imposée à l’intéressé a ensuite été confirmée par les juridictions internes sur la base des éléments même qui avaient été réunis au moyen de cette mesure de surveillance contestée. L’impression claire qui se dégage du dossier est que les juridictions locales se sont montrées disposées à tolérer le fait que l’employeur se soit saisi de l’utilisation abusive d’Internet pour justifier de manière opportuniste le licenciement d’un employé non désiré dont l’entreprise n’était pas en mesure de se séparer par des moyens licites.

23.  Les droits et libertés protégés par la Convention ont un effet horizontal : ils ne sont pas seulement directement contraignants pour les entités publiques au sein des États contractants, ils sont aussi indirectement contraignants pour les personnes ou entités privées, l’État contractant étant responsable de la prévention et de la réparation des violations de la Convention commises par ces personnes ou entités. Il y a là une obligation de résultat, et non pas seulement une obligation de moyens. Les juridictions internes n’ont pas respecté cette obligation en l’espèce lorsqu’elles ont apprécié la régularité de la mesure de licenciement prise par l’employeur dans le cadre de la procédure disciplinaire dirigée contre l’employé. Elles auraient pu remédier à la violation du droit au respect de la vie privée subie par le requérant, mais elles ont choisi de la confirmer. Notre Cour n’a pas non plus apporté la réparation nécessaire. Pour cette raison, je ne suis pas d’accord avec la conclusion de la majorité.

[1].  Cette jurisprudence demeure limitée (Copland c. Royaume-Uni, no 62617/00, CEDH 2007-I, et Peev c. Bulgarie, no 64209/01, 26 juillet 2007).

[2].  Delfi AS c. Estonie [GC], no 64569/09, §§ 110 et 118, 16 juin 2015, faisant suite à Ahmet Yıldırım c. Turquie, no 3111/10, § 48, CEDH 2012, et Times Newspapers Ltd (nos 1 et 2) c. Royaume-Uni, nos 3002/03 et 23676/03, § 27, CEDH 2009.

[3].  Ahmet Yıldırım, précité, § 48, et Times Newspapers Ltd, précité, § 27.

[4].  Conseil constitutionnel, décision no 2009-580 DC, 10 juin 2009, paragraphe 12.

[5].  Voir, au niveau régional, la recommandation CM/Rec(2007)16 du Comité des Ministres aux États membres sur des mesures visant à promouvoir la valeur de service public de l’Internet (7 novembre 2007), et, surtout, la recommandation CM/Rec(2011)8 du Comité des Ministres aux États membres sur la protection et la promotion de l’universalité, de l’intégrité et de l’ouverture de l’Internet (21 septembre 2011), ainsi que les autres résolutions, recommandations et déclarations du Conseil de l’Europe, et la Convention sur la criminalité et son Protocole additionnel mentionnés dans mon opinion séparée jointe à l’arrêt Ahmet Yildirim précité. Au niveau mondial, voir la Déclaration du Millénaire des Nations unies adoptée par la résolution 55/2 de l’Assemblée générale (18 septembre 2000, A/RES/55/2), la Déclaration de principes de Genève adoptée par l’Union internationale des télécommunications le 10 décembre 2003 lors de son sommet mondial sur la société de l’information (« détermination [à] édifier une société de l’information à dimension humaine, inclusive et privilégiant le développement, une société de l’information dans laquelle chacun ait la possibilité de créer, d’obtenir, d’utiliser et de partager l’information et le savoir »), le paragraphe 6 de la déclaration conjointe sur la liberté d’expression et de l’internet adoptée par le rapporteur spécial des Nations unies sur le droit à la liberté d’opinion et d’expression, le Représentant de l’OSCE pour la liberté des médias, le rapporteur spécial de l’OEA pour la liberté d’expression et le Rapporteur Spécial de la Commission Africaine des Droits de l’Homme et des Peuples sur la Liberté d’Expression et l’Accès à l’Information le 1er juin 2011, et, pour ce qui est par exemple des travaux des comités des Nations unies, le paragraphe 12 de l’Observation générale no 34 du 12 septembre 2011 du Comité des droits de l’homme (Article 19 : Liberté d’opinion et liberté d’expression, CCPR/C/GC/34) et les paragraphes 168 et 197 (conclusions relatives à la Chine) du supplément no 2 (E/2006/22) au rapport du Comité des droits économiques, sociaux et culturels sur ses trente-quatrième et trente-cinquième sessions (25 avril-13 mai 2005, 7-25 novembre 2005).

[6].  Delfi AS, précité, § 133, et Comité de rédaction de Pravoye Delo et Shtekel c. Ukraine, no 33014/05, §§ 63-64, CEDH 2011.

[7].  Delfi AS, précité §§ 136 et 162. Voir aussi la recommandation XXX concernant la discrimination contre les non ressortissants adoptée par le Comité pour l’élimination de la discrimination raciale le 20 août 2004 (document A/59/18, paragraphe 12, page 95) et le paragraphe 87 du rapport du 7 septembre 2012 établi par le Rapporteur spécial sur la promotion et la protection du droit à la liberté d’opinion et d’expression, Frank La Rue (A/67/357).

[8].  J’ai donc du mal à adhérer à l’affirmation très large faite par la majorité au paragraphe 58 de l’arrêt.

[9].  Dans les arrêts Niemietz c. Allemagne (16 décembre 1992, Série A no 251-B, § 28), Halford c. Royaume-Uni (25 juin 1997, Recueil 1997-III, § 44) et Amann c. Suisse [GC] (no 27798/95, § 43, CEDH 2000-II), la Cour a eu à examiner des ingérences faites dans les communications et la correspondance dans le cadre du travail ou de l’entreprise au regard du droit au respect de la vie privée et de la correspondance protégé par l’article 8. Elle n’a alors pas fait de distinction entre la communication et la correspondance privées et la communication et la correspondance professionnelles. Elle a rejeté par ailleurs la thèse d’un requérant qui invoquait son droit à la vie privée pour se plaindre du fait que son employeur l’avait licencié au motif d’un comportement qu’il avait eu hors de son lieu de travail (Pay c. Royaume-Uni (déc.), no 32792/05, 16 septembre 2008).

[10].  S’inspirant de l’arrêt Malone c. Royaume-Uni (2 août 1984, § 84, Série A no 82), la Cour a dit dans l’arrêt Copland (précité, § 43) que même le fait que la surveillance ne porte que sur la date et la durée de conversations téléphoniques et sur les numéros composés ainsi que sur l’usage fait des e-mails et d’Internet, et non sur la teneur des communications, « ne met pas obstacle à la constatation d’une violation des droits garantis par l’article 8 » de la Convention. La Cour de justice de l’Union européenne a adopté le même point de vue dans les affaires jointes C-293/12 et C-594/12, Digital Rights Ireland et Seitlinger e.a. (arrêt du 8 avril 2014, paragraphes 26-27 et 37), de même que le Haut‑Commissaire des Nations unies aux Droits de l’homme dans son rapport du 30 juin 2014 sur le droit à la vie privée à l’ère du numérique (A/HRC/27/37, paragraphe 19).

[11].  Halford, précité, §§ 44 et 45, Copland, précité, §§ 41 et 42, et Peev, précité, § 39. Ce que la Cour voulait dire par là n’est pas tout à fait clair, car elle mentionne plusieurs facteurs tels que l’absence d’avertissement, la fourniture d’un espace privé et l’assurance de pouvoir utiliser de manière privée les outils de communication de l’employeur, mais elle ne précise pas l’importance relative de ces différents facteurs, ni s’ils sont essentiels ou propres à l’affaire. Ainsi, elle néglige en l’espèce la valeur normative du critère du caractère raisonnable, laissant l’impression que le respect de la vie privée de l’employé au travail doit toujours céder devant des intérêts purement managériaux, comme si l’employeur pouvait toujours décider en dernier ressort quel type d’activité sur le lieu de travail peut ou non être considéré comme relevant de la vie privée. Pire encore, elle ne précise pas quels sont les intérêts que l’employeur peut invoquer au regard de l’article 8 § 2 pour justifier les atteintes à la vie privée de l’employé. Le problème de cette notion vient de la manière dont elle a été formée dès le départ. Le fait que l’employé peut s’attendre à voir sa vie privée respectée dans le cadre des « réalités pratiques sur le lieu de travail » a été reconnu par la Cour suprême des États-Unis dans l’arrêt O’Connor v. Ortega (480 US 709 (1983)), où la question a été traitée du point de vue de l’affaire uniquement, de sorte qu’il n’a pas été énoncé de principes applicables de manière générale, comme l’a aussi noté le juge Scalia dans son opinion concordante où il critique cette faiblesse de l’arrêt. À mon avis, le critère de l’« attente raisonnable » mélange un critère objectif et un critère subjectif, car d’une part la personne doit réellement avoir cru (subjectivement) que le caractère privé de sa conduite serait protégé, mais d’autre part il faut aussi que cette croyance ait été raisonnable (objectivement). On ne peut faire abstraction de cet aspect objectif et normatif du critère.  

[12].  Amann, précité, § 65, et Copland, précité, § 43. Dans un contexte plus large, voir aussi mon opinion séparée jointe à l’arrêt Yildirim c. Turquie (no 3111/10, 18 décembre 2012).

[13].  La poursuite des intérêts consistant à assurer la sécurité nationale, la sûreté publique et le bien-être économique du pays, la défense de l’ordre et la prévention des infractions pénales, ainsi que la protection de la santé et de la morale ne relève pas de la compétence de l’employeur, et ne justifie donc pas une atteinte à un droit garanti par la Convention. Il serait dès lors inapproprié, par exemple, qu’un employeur privé surveille ses employés pour des motifs de sécurité publique. Je pars ici du principe que des règles différentes doivent s’appliquer dans tous les cas aux opérations de surveillance mises en œuvre par l’État pour assurer la sûreté publique, la défense et la sécurité nationale (y compris le bien‑être économique de l’État lorsque l’opération de traitement a trait à des questions de sécurité nationale) et aux activités de l’État dans le domaine pénal. On retrouve la même démarche au paragraphe 1.5 de la recommandation no R (89)2 du Conseil de l’Europe et à l’article 3 § 2 de la directive UE 95/46/CE.

[14]. La poursuite des intérêts consistant à assurer la sécurité nationale, l’intégrité territoriale ou la sûreté publique, la défense de l’ordre et la prévention du crime, la protection de la santé et de la morale, et la garantie de l’autorité et de l’impartialité du pouvoir judiciaire ne relève pas des compétences de l’employeur et ne justifie donc pas qu’il porte atteinte à un droit garanti par la Convention.

[15].  Voir par exemple, sur le terrain de l’article 10, Palomo Sánchez et autres c. Espagne, nos 28955/06, 28957/06, 28959/06 and 28964/06, 12 septembre 2011.

[16].  STE no 108.

[17].  5062/01 FR/Final.

[18].  5401/01/FR/Final.

[19].  2093-01/05/FR.

[20].  00451/06/FR.

[21].  D’importantes décisions ont été rendues dans ce domaine par la Cour de justice de Luxembourg, notamment dans les affaires Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) et Federación de Comercio Electrónico y Marketing Directo (FECEMD) contre Administración del Estado (affaires jointes C-468/10 et C‑469/10, 24 novembre 2011), qui portait sur la mise en œuvre en droit national de l’article 7, sous f), de la directive relative à la protection des données, Deutsche Telekom AG contre Bundesrepublik Deutschland (C-543/09, 5 mai 2011), qui portait sur la nécessité d’obtenir une nouvelle fois le consentement de la personne concernée par les données, College van burgemeester en wethouders van Rotterdam contre M.E.E. Rijkeboer (C‑553/07, 7 mai 2009), qui portait sur le droit pour toute personne d’accéder aux données la concernant, et Dimitrios Pachtitis contre Commission européenne (F-35/08, 15 juin 2010) et V contre Parlement européen (F-46/09, 5 juillet 2011), qui portaient toutes deux sur l’usage des données personnelles dans le contexte de l’emploi dans les institutions de l’UE.

[22].  Ces lignes directrices ont été mises à jour en 2013, mais je me référerai aux deux versions, compte tenu de la date des faits de la présente affaire. 

[23].  Même si ce modèle est dans une certaine mesure local, la Cour devrait adopter une perspective universelle, c’est-à-dire rechercher une approche des communications sur Internet fondée sur un ensemble de principes. Un tel cadre international vertical, imposé par la Cour lorsque certains éléments fondamentaux sont en jeu, ne remettrait pas en question la gouvernance libre et multipartite d’Internet. Au contraire, elle la garantirait. À mon avis, la Cour ne devrait pas oublier la nature hautement politique d’Internet en tant qu’élément aplanisseur des inégalités sociales et qu’instrument d’avancement des droits de l’homme, qui fait intervenir des intérêts privés dans les décisions publiques. Pareille omission se révélerait particulièrement regrettable dans le contexte du droit du travail, dont le but premier est de contrebalancer l’inégalité entre les employés, qui sont vulnérables, et les employeurs, qui sont en position de force, dans leurs relations contractuelles.  

[24].  Le paragraphe 14.4 de la recommandation Rec (2015)5 du Comité des Ministres du Conseil de l’Europe se lit ainsi : « En aucun cas le contenu, l’envoi et la réception de communications électroniques privées dans le cadre du travail ne devraient faire l’objet d’une surveillance ». Le paragraphe 15.1 de la même recommandation énonce ceci : « L’introduction et l’utilisation des systèmes et technologies d’information ayant pour finalité directe et principale le contrôle de l’activité et du comportement des employés ne devraient pas être permises. »

[25].  Cependant, la simple existence d’un code du travail ou d’un droit général du travail régissant la relation entre employeurs et employés ne suffit pas s’il n’est pas prévu un ensemble spécifique de règles sur la protection des données à caractère personnel des employés, y compris des règles régissant l’usage d’Internet sur le lieu de travail.   

[26].  Dans son observation générale no 34 sur l’article 19, le Comité des droits de l’homme a souligné la nécessité de plus tenir compte de la liberté d’expression sur Internet et dans les modes d’expression électroniques (CCPR/C/GC/34, 12 septembre 2011, paragraphe 12).

[27].  Paragraphe 6.14(1) du recueil de directives pratiques du BIT de 1997 sur la protection des données personnelles des travailleurs et paragraphe 15 des lignes directrices de l’OCDE révisées en 2013, où est introduite la notion de programme de gestion de la vie privée et où sont exposés les éléments essentiels de ce programme.

[28].  Document de travail du groupe de travail « article 29 » concernant la surveillance des communications électroniques sur le lieu de travail, pages 4 et 24. Comme il est noté dans le Manuel de droit européen en matière de protection des données (2014), « une telle interdiction générale pourrait être disproportionnée et irréaliste ».

[29].  Document de travail du groupe de travail « article 29 » concernant la surveillance des communications électroniques sur le lieu de travail, page 17, et, précédemment Office of the Australian Federal Privacy Commissioner, Guidelines on Workplace E-mail, Web Browsing and Privacy, 30 mars 2000.

[30].  Voir l’article 6 de la Convention du Conseil de l’Europe de 1981, le paragraphe 10.1 de la recommandation No R (89)2 du Conseil de l’Europe, le paragraphe 6.5 du recueil de directives pratiques du BIT de 1997 et le paragraphe 9.1 de la recommandation Rec (2015)5 du Conseil de l’Europe. 

[31].  On trouve des règles relatives à la transparence du traitement des données à caractère personnel des employés au paragraphe 12 des lignes directrices de 1980 de l’OCDE, au paragraphe 3.1 de la recommandation No R (89)2 du Conseil de l’Europe, au paragraphe 5.8 du recueil de directives pratiques du BIT de 1997, aux pages 4-5 et 13, 14, 22 et 25 du document de travail du groupe de travail « article 29 » concernant la surveillance des communications électroniques sur le lieu de travail, et aux paragraphes 10.1 à 10.4 et surtout 14.1 et 21 a) de la recommandation Rec(2015)5 du Conseil de l’Europe.

[32].  Le principe du consentement éclairé et exprès a été énoncé au paragraphe 7 des lignes directrices de 1980 de l’OCDE, au paragraphe 3.2 de la recommandation No R (89)2 du Conseil de l’Europe, aux paragraphes 6.1 à 6.4 du recueil de directives pratiques du BIT de 1997, aux pages 3 et 23 de l’avis 8/2001 du groupe de travail « article 29 », à la page 21 du document de travail du groupe de travail « article 29 » concernant la surveillance des communications électroniques sur le lieu de travail, et aux paragraphes 14.3, 20.2 et 21 b) et c) de la recommandation Rec(2015)5 du Conseil de l’Europe. Selon cette recommandation, les employeurs doivent informer préalablement les employés de l’introduction de systèmes automatisés de traitement de leurs données à caractère personnel ou de contrôle de leur activité ou de leur productivité. Au niveau de l’UE, le groupe de travail sur la protection des données a analysé l’importance du consentement en tant que base juridique du traitement des données dans le cadre de l’emploi et il a conclu que le déséquilibre économique entre l’employeur qui demande le consentement et l’employé qui donne son consentement fait souvent naître un doute quant au point de savoir si le consentement est librement donné. Dès lors, les circonstances dans lesquelles le consentement a été sollicité devraient être soigneusement examinées au moment d’apprécier la validité de ce consentement dans le contexte de la relation de travail.

[33].  Commentaire sur le paragraphe 6.14 du recueil de directives pratiques du BIT de 1997, et page 25 de l’avis 8/2001 du groupe de travail « article 29 ».

[34].  Paragraphe 13 des lignes directrices de 1980 de l’OCDE, article 8 de la Convention du Conseil de l’Europe de 1981, paragraphes 11 et 12 de la recommandation No R (89)2 du Conseil de l’Europe, paragraphes 11.1 à 11.3 et 11.9 du recueil de directives pratiques du BIT de 1997, et paragraphes 11.1 à 11.9 de la recommandation Rec (2015)5 du Conseil de l’Europe.

[35].  Voir mon opinion séparée dans l’arrêt Yildirim (précité), qui portait sur les critères minimum que doit respecter pour être compatible avec la Convention une loi prévoyant des mesures de blocage d’Internet, ainsi que le paragraphe 8 des lignes directrices de 1980 de l’OCDE, l’article 5 c) et d) de la Convention du Conseil de l’Europe de 1981, le paragraphe 4.2 de la recommandation No R (89)2 du Conseil de l’Europe, les paragraphes 5.1 à 5.4 du recueil de directives pratiques du BIT de 1997, la page 25 de l’avis 8/2001 du groupe de travail « article 29 », les pages 17 et 18 du document de travail du groupe de travail « article 29 » concernant la surveillance des communications électroniques sur le lieu de travail, et les paragraphes 4.1, 5.2 et 5.5 de la recommandation (2015)5 du Conseil de l’Europe.

[36].  Page 13 du document de travail du groupe de travail « article 29 » concernant la surveillance des communications électroniques sur le lieu de travail, et paragraphe 20.1 de la recommandation Rec(2015)5 du Conseil de l’Europe.

[37].  Paragraphe 6.14.2 du recueil de directives pratiques du BIT de 1997.

[38].  Pages 4 and 25 de l’avis 8/2001 du groupe de travail « article 29 », et paragraphe 14.3 de la recommandation Rec (2015)5 du Conseil de l’Europe.

[39].  Voir mon opinion séparée dans l’affaire Yildirim (arrêt précité), qui portait sur les critères minimum que doit respecter pour être compatible avec la Convention une loi prévoyant des mesures de blocage d’Internet.

[40].  Paragraphe 14.2 de la recommandation Rec(2015)5 du Conseil de l’Europe. Comme on peut le lire à la page 24 du document de travail du groupe de travail « article 29 » concernant la surveillance des communications électroniques sur le lieu de travail, « il est davantage dans l’intérêt de l’employeur de prévenir l’utilisation abusive de l’Internet par des moyens techniques plutôt que de consacrer des ressources à sa détection. »

[41].  Paragraphe 13 de la recommandation No R (89)2 du Conseil de l’Europe, et paragraphe 12.1 de la recommandation Rec(2015)5 du Conseil de l’Europe.

[42].  Paragraphe 14 de la recommandation No R (89)2 du Conseil de l’Europe, et paragraphe 13.1 de la recommandation Rec(2015)5 du Conseil de l’Europe.

[43].  À ce stade, il est intéressant de rappeler le seuil exigeant posé par la Cour pour l’admission du licenciement dans l’arrêt Vogt c. Allemagne (no 17851/91, 26 septembre 1995), où elle a jugé excessif le licenciement prononcé à titre de sanction contre un employé qui avait participé à des activités politiques en dehors de son travail sans que cela n’ait d’incidence sur son activité professionnelle, et dans l’arrêt Fuentes Bobo c. Espagne (no 39293/98, 29 février 2000), où, compte tenu de l’ancienneté de l’employé, elle a aussi jugé trop sévère le licenciement prononcé à titre de sanction pour des déclarations offensantes faites par l’employé à la radio sur son employeur.

[44].  Voir aussi mon opinion séparée jointe à l’arrêt Yildirim précité ; ainsi que OIT, Conditions of Work Digest, volume 12, Part I, Monitoring and Surveillance in the Workplace (1993), p. 77 ; la déclaration conjointe adoptée le 21 décembre 2005 par le rapporteur spécial des Nations unies sur le droit à la liberté d’opinion et d’expression, le Représentant de l’OSCE pour la liberté des médias et le rapporteur spécial de l’OEA pour la liberté d’expression ; et les rapports du Rapporteur spécial du Conseil des droits de l’homme sur la promotion et la protection du droit à la liberté d’opinion et d’expression, Frank La Rue, en date du 16 mai 2011 (A/HRC/17/27) et du 10 août 2011 (A/66/290), en particulier celui du 10 août 2011, sur l’accès à l’information en ligne (section III) et l’accès à une connexion Internet (section IV).

[45].  Page 2 des observations du Gouvernement. 

[46].  Paragraphe 41 de l’arrêt.

[47].  Paragraphe 27 de l’arrêt.

[48].  Paragraphes 33 et 43 de l’arrêt. Je trouve étrange, à tout le moins, que le tribunal départemental ait indiqué (au paragraphe 10 de son jugement) que l’avis 2316 avait été signé, mais que le Gouvernement ne soit pas en mesure de produire devant la Cour une copie de cet élément de preuve contesté.

[49].  L’employeur utilisait Wfilter d’IMFirewall Software pour intercepter les communications du requérant. Ce logiciel enregistre les communications en temps réel et permet de bloquer les messages (voir le paragraphe 13 des observations du requérant, qui n’a pas été contesté par le Gouvernement).

[50].  Paragraphe 10 de l’arrêt, où est mentionnée la description de l’avis faite par le tribunal départemental.

[51].  C’est exactement ce qu’a noté le groupe de travail « article 29 » dans son document de travail concernant la surveillance des communications électroniques sur le lieu de travail : « Certains interprètent l’arrêt en soulignant qu’il semble laisser entendre (sans pour autant l’établir explicitement) que si l’employeur avertit préalablement le salarié que ses communications sont susceptibles d’être interceptées, le salarié peut perdre le droit de croire au caractère privé de ses appels, de sorte que leur interception ne constituerait pas une violation de l’article 8 de la Convention. Le groupe de travail n’est pas d’avis qu’un avertissement préalable du salarié suffit à justifier une violation de ses droits en matière de protection des données » (page 9).

[52].  Paragraphe 45 de l’arrêt.

[53].  Le paragraphe 5.3 de la recommandation (2015)5 du Conseil de l’Europe énonce clairement que « [l]es employeurs devraient s’abstenir d’exiger ou de demander à un employé ou à un candidat à l’emploi d’avoir accès à des informations que celui-ci partage avec d’autres en ligne, notamment sur des réseaux sociaux ». Comme l’a dit la High Court anglaise dans l’affaire Smith v. Trafford Housing Trust (2013) IRLR 86, l’obligation pour l’employeur de ne pas promouvoir des convictions religieuses ne s’étend pas aux publications faites sur Facebook par l’employé, et un employé chrétien peut exprimer son point de vue sur le mariage gay sur les réseaux sociaux sans commettre une faute professionnelle. En revanche, un employé peut être licencié pour les activités commerciales qu’il mène sur eBay en dehors de ses heures de travail lorsque celles-ci concernent des vidéos auxquelles l’employeur est opposé (Cour suprême des États-Unis, San Diego v. Roe, 543 US 77 (2004)).

[54].  L’argument de la propriété n’est pas dépourvu d’attrait logique, mais il doit être pris avec prudence. On peut se demander s’il est approprié de traiter la question en décidant que tout est tout blanc ou tout noir, et en considérant que l’employé ne peut plus s’attendre à voir sa sphère privée respectée dès lors qu’il utilise des outils informatiques appartenant à son employeur et que, à l’inverse, l’employeur peut avoir une telle attente lorsqu’il utilise ses propres outils informatiques. Il faut adopter une approche plus nuancée, comme l’explique le groupe de travail « article 29 » dans son document de travail concernant la surveillance des communications électroniques sur le lieu de travail (page 20) : « De toute façon, la location et la propriété des moyens électroniques utilisés n’excluent pas le secret des communications et de la correspondance, tel que fixé par les droits fondamentaux et les constitutions. » Récemment, la Cour suprême canadienne a souligné la même idée, reconnaissant qu’un employé pouvait raisonnablement s’attendre à voir respecter le caractère privé des informations personnelles qu’il avait enregistrées sur du matériel appartenant à l’entreprise (R. c. Cole, (2012) CSC 53). De même, l’argument relatif aux heures de travail, selon lequel le temps passé par un individu au travail n’est pas du « temps privé », de sorte qu’il n’y aurait pas de droit à la protection de la vie privée sur le lieu de travail, est trompeur. Pour reprendre les mots du juge Blackmun rédigeant l’opinion de la minorité dans l’arrêt O’Connor v. Ortega (précité), « la réalité du travail à l’époque moderne, que ce soit celui des employés du secteur public ou celui des employés du secteur privé, montre pourquoi l’attente d’un employé du secteur public que sa sphère privée soit protégée sur son lieu de travail doit être soigneusement protégée et non écartée à la légère. Malheureusement, il n’est que trop vrai que le lieu de travail est devenu un second domicile pour la plupart des Américains actifs. Bien des employés passent l’essentiel de leurs journées et une bonne partie de leurs soirées au travail (...) En conséquence, les distinctions strictes (évoquées par la majorité) entre le lieu de travail et les affaires professionnelles d’une part, et les biens personnels et les activités privées d’autre part, n’existent pas dans la réalité. »  

[55].  Ainsi, l’explication fournie par l’employeur, et admise par la majorité au paragraphe 57, selon laquelle il a accédé au compte du requérant « en partant du principe qu’il contenait des messages professionnels », n’est pas convaincante. Qui plus est, la majorité se contredit lorsqu’elle dit au paragraphe 58 que « [l]a Cour estime (…) que la teneur des communications n’a pas joué un rôle déterminant dans les conclusions des juridictions internes ». D’une part, elle considère que l’ingérence portée dans le droit de l’employé au respect de sa vie privée était « légitime » car, « comme les juridictions internes l’ont conclu », l’employeur a agi « en partant du principe que les informations [en question] relevaient d’activités professionnelles », et d’autre part, elle dit que la nature privée de la communication n’a pas été déterminante dans la validation par les juridictions internes du licenciement. Cela n’a aucun sens. Les juridictions internes ont dit que c’était précisément la nature privée, non professionnelle, des communications qui était l’élément déterminant leur conclusion selon laquelle la faute disciplinaire de l’employé était établie. 

[56].  En fait, l’employeur a aussi accédé aux communications échangées entre le requérant et le compte Yahoo messenger de son frère, « meistermixyo », et où étaient évoquées, par exemple, un accident de voiture subi par le frère (voir le paragraphe 11 des observations du requérant, qui n’a pas été contesté par le Gouvernement).

[57].  Paragraphe 4 des observations du requérant, qui n’a pas été contesté par le Gouvernement, et paragraphe 31 de l’arrêt.

[58].  Cela était manifestement contraire aux règles applicables à l’usage interne des données personnelles énoncées au paragraphe 10 des lignes directrices de 1980 de l’OCDE, au paragraphe 6.1 de la recommandation No R (89)2 du Conseil de l’Europe, au paragraphe 10.6 du recueil de directives pratiques du BIT de 1997, et au paragraphe 6.1 de la recommandation (2015)5 du Conseil de l’Europe.

[59].  En d’autres termes, l’atteinte portée au droit de l’employé au respect de sa vie privée, eu égard en particulier au caractère sensible des données recueillies, était si intolérable qu’elle entachait d’irrecevabilité les preuves recueillies, de sorte que le critère Schenk ne trouve pas à s’appliquer en l’espèce (Schenk c. Suisse, no 10862/84, 12 juillet 1988). La Cour constitutionnelle portugaise a adopté une approche similaire dans son arrêt no 241/2002, concernant la nullité d’éléments de preuve recueillis dans une affaire de licenciement sur la base d’une demande faite par le tribunal du travail à Telepac et Portugal Telecom aux fins de la communication de données relatives au trafic et d’informations de facturation concernant la ligne téléphonique du domicile de l’employé. 

[60] Il faut rappeler que s’il est posé à un salarié des questions incompatibles avec l’interdiction pour l’employeur de recueillir des données sur la vie sexuelle des employés, et que l’intéressé donne une réponse fausse ou incomplète, cette réponse ne peut entraîner la cessation de la relation de travail ni aucune autre mesure disciplinaire (paragraphe 6.8 du recueil de directives pratiques du BIT de 1997).

[61].  Document de travail du groupe de travail « article 29 » concernant la surveillance des communications électroniques sur le lieu de travail, page 4.