K.Pratique

Saisissez votre adresse mail pour recevoir nos articles :





Arrêt SNCF de la CEDH du 22 février 2018 : de l’importance de la Charte informatique en entreprise


Quelques mois après l’arrêt Barbulescu du 5 septembre 2017 , la CEDH s’est de nouveau prononcée sur les conditions dans lesquelles un employeur est en droit d’accéder aux fichiers « personnels » d’un collaborateur stockés dans son ordinateur professionnel pour justifier une procédure de licenciement.


Les faits et le contexte étaient toutefois substantiellement différents. Dans l’arrêt Barbulescu, la CEDH avait considéré que les juridictions roumaines avaient méconnu les dispositions de l’article 8 de la Convention européenne de sauvegarde des libertés fondamentales et des droits de l’Homme (« la Convention ») en validant le licenciement d’un salarié qui avait utilisé à des fins personnelles sa messagerie professionnelle, en violation du règlement intérieur de l’entreprise. En effet, la CEDH avait relevé dans son arrêt que le dispositif de surveillance mis en place par l’employeur et la sanction infligée au collaborateur n’étaient pas conformes aux principes de transparence, de finalité et de proportionnalité qui sous-tendent l’article 8 de la Convention.

Dans son arrêt Libert contre France du 22 février 2018 ;, la CEDH tout en considérant que la SNCF, autorité publique, s’était bien ingérée dans le droit au respect de la vie privée d’un agent licencié, a conclu que pareille ingérence poursuivait un but légitime et qu’elle constituait, en l’espèce, une mesure nécessaire dans une société démocratique, pour paraphraser l’article 8 de la Convention.

Mais dans quelles circonstances de fait cet arrêt a-t-il été rendu ? En substance, un cadre de la SNCF est suspendu de ses fonctions à la suite d’une mise en examen pour dénonciation calomnieuse. Un non-lieu est prononcé et l’intéressé émet le souhait d’être réintégré dans ses anciennes fonctions. A son retour il constate que son ordinateur a fait l’objet d’une saisie. Et pour cause, son remplaçant aurait trouvé sur son disque dur des attestations de résidence de complaisance destinées à des tiers et des fichiers à caractère pornographique, ce qu’il a signalé à sa hiérarchie.

L’agent est licencié aux motifs que ces faits sont contraires à l’obligation d’exemplarité particulière liée à ses fonctions (il était adjoint au chef d’une brigade de surveillance chargée de la sûreté ferroviaire) et aux dispositions de normes internes à la SNCF, notamment la charte des systèmes d’information.

Au terme de la procédure contentieuse qu’engage l’agent licencié, la Cour de cassation, par un arrêt du 4 juillet 2012 , donne raison aux juges du fond d’avoir reconnu le bien-fondé de son licenciement en relevant « que la Cour d’appel, qui a retenu que le dénomination « D:/données personnelles » du disque dur de l’ordinateur du salarié ne pouvait lui permettre d’utiliser celui-ci à des fins purement privées et en interdire ainsi l’accès à l’employeur, en a légitimement déduit que les fichiers litigieux, qui n’étaient pas identifiés comme étant « privés » selon la préconisation de la charte informatique, pouvaient être régulièrement ouverts par l’employeur ; […] i[que la Cour d ‘appel, qui a relevé que le salarié avait stocké 1562 fichiers à caractère pornographique […] et qu’il avait également utilisé son ordinateur professionnel pour confectionner de fausses attestations, a justement retenu que cet usage abusif et contraire aux règles en vigueur au sein de la SNCF de son instrument de travail constituait un manquement à ses obligations contractuelles ».
]i
Invoquant l’article 8 de la Convention, l’agent s’est plaint devant la CEDH d’une violation de son droit au respect de sa vie privée résultant du fait que son employeur avait ouvert, hors de sa présence, des fichiers figurant sur le disque dur de son ordinateur professionnel sous un intitulé « données personnelles ».

La première question était de savoir si la SNCF pouvait être regardée comme une « autorité publique » au sens de l’article 8 de la Convention qui, pour mémoire, dispose qu’il ne peut y avoir d’ingérence d’une autorité publique dans l’exercice du droit au respect de la vie privée que pour autant que cette ingérence soit prévue par la loi et qu’elle constitue une mesure qui, dans une société démocratique, est notamment nécessaire à la prévention des infractions pénales ou encore à la protection des droits et libertés d’autrui.

Le Gouvernement français contestait l’applicabilité de l’article 8 de la Convention au motif que la SNCF est un Etablissement public industriel et commercial, que son personnel relève du droit privé, que les décisions non réglementaires qui régissent le personnel en question sont des actes de droit privé et qu’enfin les litiges le concernant relèvent du juge judiciaire.

La CEDH n’a pas été convaincue par la démonstration en retenant que la SNCF était bien une personne morale de droit public, placée sous la tutelle de l’Etat, dont la direction est nommée par lui, qui assure un service public, qui détient un monopole et qui bénéficie d’une garantie implicite de l’Etat.

L’ingérence alléguée était donc bien le fait d’une autorité publique et il convenait en conséquence d’analyser les griefs du requérant sous l’angle des obligations négatives de l’Etat (la SNCF a-t-elle empiété ou limité l’exercice par le requérant du droit au respect de sa vie privée ?). Dans l’affaire Barbulescu précitée, du nom d’un ressortissant roumain licencié par une société de droit privée, il s’agissait au contraire d’analyser les griefs sous l’angle des obligations positives de l’Etat : la législation roumaine contenait-elle des mesures nécessaires et raisonnables visant à protéger le droit au respect de la vie privée des salariés ? (Pour une analyse fine des obligations positives et négatives en vertu de la Convention, lire l’article éponyme de Jean-François Akandji-Kombe dans Précis sur les droits de l’Homme n°7 – Editions du Conseil de l’Europe 2006).

Ce point de droit étant purgé, la CEDH estime qu’il y a bien eu ingérence de la SNCF dans la vie privée de l’agent requérant mais que cette ingérence n’invalide pas le licenciement contesté puisqu’elle était prévue par la loi (1) et poursuivait un but légitime dans une société démocratique (2), pour reprendre, dans les deux cas, le texte de l’article 8 de la Convention.

(1) Selon la Cour, l’ingérence de la SNCF était prévue par la loi car :

• D’une part, les articles L 1121-1 et L 1321-3 du Code du travail indiquent qu’au sein de l’entreprise nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives des restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnée au but recherché et que le règlement intérieur établi par l’employeur doit respecter les mêmes limites

• D’autre part, la Cour de cassation a jugé de longue date que les dossiers et fichiers créés par un salarié grâce à l’outil informatique mis à sa disposition par l’employeur étaient présumés avoir un caractère professionnel de sorte que l’employeur pouvait y avoir accès hors sa présence, sauf si le salarié les identifiait comme étant personnels.

Pour la CEDH donc, l’ingérence dénoncée avait bien une base légale constituée de dispositions du Code du travail, certes très générales, mais utilement interprétées par la jurisprudence et permettant aux employeurs de savoir suffisamment en quelles circonstances et sous quelles conditions la mesure querellée pouvait être mise en œuvre.

(2) Cette ingérence était par ailleurs justifiée par un but légitime et poursuivait un but légitime dans une société démocratique

Contrairement à ce que soutenait le gouvernement français, le but légitime n’était pas ici, selon la CEDH, la prévention des infractions pénales (qui figure expressément dans l’énoncé de l’article 8) dans la mesure où il n’avait jamais été établi que le contenu des fichiers litigieux pouvait être susceptible de caractériser une infraction pénale (les images pornographiques peut-être, mais les fausses attestations, c’est plus discutable…).

Quoiqu’il en soit, la CEDH a retenu que l’employeur avait un intérêt légitime à assurer le bon fonctionnement de l’entreprise et qu’il pouvait légitimement vouloir s’assurer que ses salariés utilisaient les équipements informatiques mis à leur disposition en conformité avec leurs obligations contractuelles et la réglementation applicable.

En l’espèce, la CEDH a constaté que les juridictions internes avaient, dans un but légitime, fait application du principe prévu par la loi et la jurisprudence selon lequel si l’employeur peut ouvrir les fichiers professionnels qui se trouvent sur le disque dur des ordinateurs professionnels de ses salariés, il ne pouvait, en revanche, sauf risque ou évènement particulier, ouvrir subrepticement les fichiers identifiés comme « personnels ».

Mais alors par quel raisonnement la Cour rejette-t-elle la requête de l’agent SNCF qui avait précisément pris soin de qualifier les données litigieuses de « personnelles » ?

C’est là toute l’importance de cet arrêt qui, alors même que l’agent avait pris cette précaution, retient que les juridictions nationales ont pu, sans méconnaître l’article 8 de la Convention, valider le licenciement de l’intéressé. La Cour justifie cette solution par le fait :

• que la Charte d’utilisateur pour l’usage du système d’information de la SNCF indiquait expressément que les informations à caractère privé devaient être clairement identifiées comme telles (option « privé » dans les critères Outlook) ;

• et qu’en outre, en constatant que le requérant avait utilisé une partie très importante des capacités de son ordinateur professionnel pour stocker les fichiers en cause, « la SNCF et les juridictions internes [étaient fondées] à examiner sa cause avec rigueur ».

Quels enseignements peut-on tirer de cet arrêt ? Sonne-t-il le glas de la mention « personnel » au profit de la mention « privé » ? Ce serait aller vite en besogne.

En effet, la CEDH ne cesse, tout au long de son arrêt, de rappeler que des données considérées comme « personnelles » ne peuvent être analysées à l’insu du salarié. Si, en l’espèce, l’identification de fichiers personnels, relevant donc de la vie privée de l’agent concerné, requérait nécessairement l’utilisation du terme « privé » c’est uniquement parce que la Charte SNCF le prévoyait expressément. En d’autres termes, dans le silence de la Charte, il n’est pas douteux que la SNCF se serait mise en torts si elle ne s’était pas arrêtée aux bornes de la mention « personnel » . (1)

Plus gênante en revanche et n’apportant rien au raisonnement est la référence à l’importance quantitative des fichiers stockés et la rigueur dans l’appréciation de la situation qui y est attachée. L’on voit mal en quoi la taille des fichiers, surtout en raison de la taille exponentielle des mémoires des disques durs, pourrait servir de guide, sauf bien entendu à ce que la Charte informatique prévoit elle-même des limites.

(1) Il convient toutefois de réserver le cas où, comme en l’espèce, le salarié a qualifié de personnel l’intégralité de son disque dur. Dans notre affaire, la Cour de cassation avait retenu que « la dénomination donnée au disque dur lui-même ne peut conférer un caractère personnel à l'intégralité des données qu'il contient ». En qualifiant les motifs adoptés par les juges nationaux de « pertinents et suffisants », la CEDH semble s’être ralliée à ce point de vue.

L’arrêt du 22 février 2018 souligne une fois de plus l’importance pour les entreprises de se doter d’instruments performants de régulation de l’usage des outils numériques, instruments dont la Charte informatique – dont on rappellera qu’elle constitue une adjonction au règlement intérieur et qu’elle doit, notamment, faire l’objet d’une information individuelle de chaque salarié – constitue le support de prédilection. L’absence d’une telle charte peut, en effet, conduire à invalider un licenciement. Les faits à l’origine de l’arrêt du 22 février en fournissent un exemple topique. Tel serait encore le cas par exemple d’un salarié licencié à la suite de l’exploitation de sa correspondance électronique sans qu’il ait été informé dans la Charte du fait que cette dernière était surveillée et/ou de la nature et de l’étendue des moyens d’investigation numériques mis en œuvre par son employeur.

Rédigé par Stéphane Bloch, Fabien Crosnier le Lundi 26 Février 2018

        

Nouveau commentaire :
Facebook Twitter


Une publication du cabinet


S'abonner

Saisissez votre adresse mail pour recevoir nos articles




Nous suivre en ligne

Facebook
Twitter
Rss
iPhone

KGA Avocats sur votre mobile

Store

Facebook + Twitter


Recherche


NOS CHRONIQUES