Les nouvelles technologies investissent de plus en plus les lieux de travail, avec le risque pour les travailleurs de voir leur vie privée bousculée. Connaître ses droits en la matière permet cependant de fermer la porte à tous les abus.
Ordinateur, badge et messagerie électronique font partie de vos outils de travail ? S’ils sont mis à votre disposition par votre employeur, il est normal que ce dernier surveille l’utilisation qui en est faite. Pas n’importe comment, cependant :
un cadre juridique très strict existe.
Cadre juridique fondamental
Les articles 124 et 125 de la loi du 13 juin 2005 garantissent le droit au respect de la vie privée. Il est ainsi interdit, pour toute personne, de prendre connaissance de données de communication électronique d’une autre personne, de manière intentionnelle. Cela comprend les conversations téléphoniques, les échanges de mails, les visites sur Internet, de même que l’identification des émetteurs des destinataires, du moment et de la durée de la communication. Cette interdiction peut toutefois être levée, moyennant l’accord de la personne concernée.
La CCT n°81 sur le contrôle des données de communication électronique
L’objectif de cette CCT est de transposer dans la sphère de la relation de travail entre l’employeur et le travailleur, les dispositions générales relatives au respect de la vie privée à l’égard du contrôle de données de communications électroniques transmises ou reçues par un travailleur et transitant par le réseau de l'entreprise.
Cependant, en aucun cas, la CCT ne réglemente l’accès et/ou l’utilisation par le travailleur des moyens de communication électroniques en réseau au sein de l’entreprise, ce point restant une prérogative de l’employeur.
Pour bien comprendre la portée de cette CCT, il est essentiel de fixer les notions suivantes :
• données de communication électroniques en réseau : les données relatives aux communications électroniques transitant par réseau, entendues au sens large et indépendamment du support par lequel elles sont transmises ou reçues par un travailleur, dans le cadre de la relation de travail.
• données : l’identité de l’émetteur et du destinataire, l’objet, le moment, la durée et la nature de la communication. En aucun cas, le contenu de la communication ne constitue une donnée, ce qui signifie qu’aucun contrôle ne peut être fait à cet égard.
Limites du contrôle
L’employeur ne peut exercer un contrôle sur les données de communications électroniques qu’en respectant trois principes :
1. le principe de finalité
Le contrôle de l’employeur n’est autorisé que s’il porte sur :
• la prévention de faits illicites ou diffamatoires, de faits contraires aux bonnes mœurs ou susceptibles de porter atteinte à la dignité d’autrui ;
• la protection des intérêts économiques, commerciaux et financiers de l’entreprise auxquels est attaché un caractère de confidentialité ainsi que la lutte contre les pratiques contraires ;
• la sécurité et/ou le bon fonctionnement technique des systèmes informatiques en réseau de l’entreprise, en ce compris le contrôle des coûts y afférents, ainsi que la protection physique des installations de l'entreprise ;
• le respect de bonne foi des principes et règles d’utilisation des technologies en réseau fixés dans l’entreprise.
L’employeur doit s’appuyer de manière claire et explicite sur un des quatre motifs pour justifier le contrôle qu’il souhaite exercer dans son entreprise.
2. le principe de proportionnalité
Ce principe a pour objectif d’éviter le caractère excessif du contrôle de l’employeur par une intrusion dans la vie privée. Il se traduit par :
•l’interdiction de collecter des données non nécessaires au contrôle. Le contrôle doit donc porter sur des données globales ne permettant pas d’identifier l’ordinateur disposant des données, ni l’émetteur ou le destinataire. Ces données globales peuvent être la fréquence et le nombre de courriers électroniques reçus ou transmis, le volume ou la taille des messages, le format des pièces jointes, de tous les travailleurs.
•l’interdiction d’individualisation systématique et préalable du contrôle permettant d’identifier un ou plusieurs travailleurs. L’individualisation ne peut se faire que lorsque l’employeur constate une anomalie et après enquête complémentaire. Il ne peut cependant, en aucun cas, porter sur le contenu des données de communications tel que le contenu des e-mails, par exemple.
3. le principe de transparence
Ce principe garantit aux travailleurs l’information sur les finalités et les modalités de contrôle de l’employeur. Pour ce faire, deux obligations incombent à l’employeur :
• une obligation d’information collective au conseil d’entreprise, au C.P.P.T ou à la délégation syndicale sous la forme d’un document écrit reprenant :
- la politique de contrôle et les prérogatives de l’employeur et du personnel de surveillance ;
- les finalités précises poursuivies par l’employeur ;
- la conservation ou non des données, le lieu de cette conservation, ainsi que sa durée ;
- le caractère permanent ou provisoire du contrôle. Une évaluation permanente doit être assurée par le CE, le CPPT ou la DS.
• une obligation d’information individuelle à chaque travailleur de l’entreprise reprenant l’ensemble de l’information collective reprise ci-dessus, ainsi que :
- l’utilisation de l’outil mis à sa disposition et les limitations à cet usage ;
- les droits, devoirs, obligations et interdictions du travailleur dans l’utilisation des moyens de communication ;
- les sanctions prévues dans le règlement de travail en cas de manquement.
Cette information peut se faire par directive, circulaire, mention dans le règlement de travail ou le contrat de travail, ou consignes.
Quid en cas de manquement ou d’anomalies constatées par l’employeur ?
1. Individualisation directe
Si l’employeur constate un manquement à la prévention de faits illicites ou diffamatoires, de faits contraires aux bonnes mœurs ou susceptibles de porter atteinte à la dignité d’autrui ou à la protection des intérêts économiques, commerciaux et financiers de l’entreprise auxquels est attaché un caractère de confidentialité, des pratiques contraires à la sécurité et/ou au bon fonctionnement technique des systèmes informatiques en réseau de l’entreprise, il peut individualiser les données globales dont il dispose pour identifier le ou les travailleurs responsables de l’anomalie, sans autre procédure.
2. Individualisation indirecte
Si l’employeur constate un manquement aux principes et règles d’utilisation des technologies en réseau fixées dans l’entreprise, il doit préalablement en informer l’ensemble des travailleurs, les rappeler à l’ordre sous peine d’investigations plus fortes et d’individualisation des travailleurs responsables. Si l’anomalie persiste, l’employeur peut individualiser les données et convoquer le travailleur identifié en vue de l’entendre avant de prendre éventuellement des sanctions. Le travailleur peut, à cette occasion, être accompagné d’un délégué syndical. Cependant, rien dans la CCT n° 81, ni dans la législation, n’est prévu en terme de sanction.
Que faire en cas de contrôle dans votre entreprise ?
Préalablement, posez-vous les questions suivantes :
• Le contrôle dont il est question est-il lié à la relation de travail ?
• Le contrôle porte-t-il sur des éléments légitimes, c’est-à-dire des éléments que l’employeur a le droit de connaître et qui le concernent ?
• La méthode suivie est-elle adaptée au but poursuivi et n’en existe-t-il pas de plus simples et de moins invasives ?
• Le contrôle répond-il aux exigences de transparence :
- a-t-il fait l’objet d’une discussion collective ?
- le travailleur a-t-il été averti de l’éventualité de ce contrôle ?
- quels sont les arguments collectifs et individuels que l’on peut tirer des défauts de la procédure de contrôle ?
En cas de discussion sur ces principes, plusieurs textes peuvent être invoqués pour convaincre l’employeur que ces « principes généraux » ne sont pas de pieux souhaits, mais bien des règles de droit en bonne et due forme :
• Les interdictions légales visant au respect de la vie privée :
- l’article 314bis du code pénal prévoyant l’interdit des écoutes téléphoniques ;
- la loi sur le traitement des données à caractère personnel du 8 décembre 1992 (modifiée par la loi du 11 décembre 1998) indique de quelle manière il est permis de traiter des données de nature personnelle. En gros, elle organise l’information obligatoire des personnes contrôlées, les limites du traitement de l’information, le droit de rectification, les obligations de transparence. L’intérêt de cette législation est qu’elle consacre un droit fondamental (sa violation aboutirait donc d’autant plus facilement à une interdiction, notamment en cas de recours au tribunal) et fait l’objet de sanctions pénales (ce qui renforce la sanction et les possibilités d’action des délégations syndicales).
• La législation sur le règlement de travail prévoit trois axes à invoquer obligatoirement, par ordre croissant d’importance :
- l’obligation de faire figurer au règlement de travail la liste des fautes graves ;
- l’obligation d’y faire figurer les pénalités et sanctions, ainsi que la procédure pour les infliger ;
- l’obligation d’y mentionner explicitement les droits et les obligations du personnel de contrôle.
Ce sera le plus souvent votre argument le plus fort pour contraindre l’employeur à la discussion.
En conclusion
Chaque fois qu’il sera question de mettre sur pied un système de surveillance, un examen approfondi des alternatives envisageables permettra de contrôler avec la même efficacité, mais en préservant mieux la vie privée du travailleur. Car celui-ci ne cesse pas d’être un homme ou une femme une fois le seuil de l’entreprise franchi. Et il est de l’intérêt de l’employeur lui-même d’aménager, autant que possible, un environnement de travail qui favorise l’informel et le convivial.
|