Dans un arrêt du 22 février 2018 Libert c. France, la Cour européenne des droits de l’homme (« CEDH ») a confirmé qu’un employeur pouvait consulter les fichiers d’un ordinateur professionnel, en l’absence du salarié, lorsqu’ils ne sont pas dûment identifiés par le salarié comme étant « privés ».
Le requérant travaillait à la SNCF et fut suspendu en 2007. Lors de sa réintégration en 2008, il constata la saisie de son ordinateur professionnel. Convoqué par sa hiérarchie, il fut informé qu’on y avait trouvé entres autres des attestations de changement de résidence rédigées à l’entête de la brigade et au bénéfice de tiers et de nombreux fichiers contenant des images et des films à caractère pornographique. Il fut révoqué le 17 juillet 2008.
Le recours du requérant a échoué devant l’ensemble des juridictions françaises. Les juridictions internes se sont fondées sur (i) la finalité professionnelle du disque dur dans lequel les fichiers étaient enregistrés, (ii) l’insuffisance de la dénomination du disque dur par le terme « données personnelles » pour désigner des éléments relevant de la vie privée et (iii) l’existence de la charte d’utilisateur de la SNCF prévoyant des dispositions spécifiques en matière de dénomination des éléments relevant de la vie privée, pour rejeter le recours du requérant. Par conséquent le requérant a saisi la CEDH sur le fondement de l’article 8 (droit au respect de la vie privée et familiale).
Dans le cadre de son arrêt, la CEDH a reconnu que la SNCF, autorité publique, s’était bien ingérée dans le droit au respect de la vie privée du requérant, mais a conclu qu’une pareille ingérence était prévue par la loi (1) et poursuivait un but légitime dans une société démocratique (2). Elle a par conséquent rejeté la demande du requérant en confirmant l’analyse des juridictions françaises : les fichiers n’étaient pas privés (3).
L’ingérence était prévue par la loi
Comme le rappelle la CEDH, à l’époque des faits, le droit positif français prévoyait que l’employeur pouvait ouvrir les fichiers figurant sur l’ordinateur professionnel d’un employé sauf s’ils étaient identifiés comme « personnels » ou « privés ».
L’ingérence invoquée avait donc bien une base légale reposant sur une jurisprudence constante et permettant aux employeurs de savoir suffisamment dans quelles circonstances et sous quelles conditions ceux-ci pouvaient avoir accès aux fichiers d’un salarié stockés sur son ordinateur.
L’ingérence poursuivait un but légitime dans une société démocratique
La Cour a indiqué que l’ingérence visait à garantir la protection des droits d’autrui, soit ceux de l’employeur. Elle considère ainsi que l’employeur peut légitimement vouloir s’assurer que ses salariés utilisent les équipements informatiques qu’il met à leur disposition en conformité avec leurs obligations contractuelles et la réglementation applicable.
L’absence de caractère privé des fichiers
La CEDH retient que les juridictions nationales ont pu, sans méconnaitre l’article 8 de la Convention, valider la mesure de radiation du requérant, en ce que les fichiers n’étaient pas identifiés comme « privés ». Selon elle, les juridictions internes ont fait application du droit positif en retenant des motifs suffisants et pertinents. La CEDH justifie cette solution par deux éléments :
- L’existence de la Charte d’utilisateur pour l’usage du système d’information de la SNCF indiquant spécifiquement que « les informations à caractère privé doivent être clairement identifiées comme telles (option « Privé » dans les critères Outlook ») et qu’il en est de même des supports recevant ces informations (répertoire « PRIVÉ »))».
- La capacité importante du disque dur utilisée par le salarié pour stocker les fichiers litigieux (1 562 fichiers représentant un volume de 787 mégaoctets)
La solution des juridictions internes validée par la CEDH peut sembler sévère puisqu’elle parait imposer l’obligation pour le salarié d’indiquer nécessairement le terme « privé » sur ses fichiers personnels. Une dénomination contenant le terme « personnel » serait ainsi insuffisante, le terme « données personnelles » ayant ici été jugé insuffisant. Cependant, une telle interprétation de cet arrêt est à relativiser. En effet, la CEDH reconnait qu’« en usant du mot « personnel » plutôt que du mot « privé », le requérant a utilisé le même terme que celui que l’on trouve dans la jurisprudence de la Cour de cassation, selon laquelle l’employeur ne peut en principe ouvrir les fichiers identifiés par le salarié comme étant « personnels ». Par conséquent, la CEDH affirme implicitement que le terme « données personnelles » équivaut au terme « privé ». Si en l’espèce, l’identification des fichiers personnels requérait nécessairement l’utilisation du terme « privé », c’est uniquement parce que la Charte d’utilisateur de la SNCF le prévoyait expressément.
En l’absence de charte, il est fort probable que la décision aurait été différente. Néanmoins, la subtilité de la situation réside dans le fait que la dénomination « personnel » porte sur le disque dur lui-même et non sur les fichiers contenus. La Cour de cassation a d’ailleurs pris en compte cet élément en indiquant que la dénomination donnée « au disque dur lui-même ne peut conférer un caractère personnel à l’intégralité des données qu’il contient ».
L’arrêt de 22 février 2018 confirme donc la construction jurisprudentielle française relative à la consultation des fichiers identifiés comme « privé » ou « personnel » par l’employeur. Il met également en exergue l’importance pour les entreprises de détenir des documents régulant l’usage des outils technologiques, notamment par le biais de la conclusion d’une Charte.