L’arrêt LEVENTHAL V. KNAPEK (2001) et le statut de données personnelles dans un ordinateur professionnel - par Samuel Boccara

Les ordinateurs se multiplient sur les lieux de travail. De plus internet est devenu indispensable pour les salariés de la plupart des sociétés. Internet permet de faciliter la communication mais également de lier l’employé à son domicile, à ses amis et aux concurrents de son employeur. En outre, si internet permet d’améliorer la vitesse des transactions, c’est également une source d’improductivité redoutable pour les salariés qui butinent sur le net plutôt que de se consacrer à leurs taches. De plus l’ouverture des postes de travail à l’internet ouvre également la porte à des conduites délinquantes qui peuvent mettre en danger l’entreprise dans ses moyens de production et ses actifs. Pour ces raisons l’employeur est amené à contrôler l’usage qu’en font ses employés. Néanmoins ce contrôle se heurte au droit des employés au respect de la vie privée dans bien des cas. Le juge a dû de ce fait intervenir afin de déterminer comment procéder à une protection égale des intérêts de la société et de la vie privée du salarié.

Dans un arrêt du 26 septembre 2001, la cour d’appel fédérale du second circuit (Circuit de New York) des Etats-Unis a jugé que le fait pour un employeur de procéder à une fouille de l’ordinateur professionnel de l’un de ses employés sans son autorisation ne constituait pas une atteinte aux droits à la vie privée de ce dernier. En l’espèce, Leventhal à l’époque des faits occupait la position de Comptable en Chef (Principal Accountant) au sein du service comptable du New York State Department of Transportation (« DOT »). Il avait développé une activité parallèle de conseil fiscal. Le DOT lui avait permis de rattraper tout le temps que lui ferait perdre son activité parallèle le week-end et en dehors des heures régulières de travail. Afin d’obtenir cet aval il s’était engagé à ce que cette seconde activité « ne compromette pas la bonne exécution de son travail au DOT ». Le règlement intérieur du DOT proscrit, comme bien des règlements d’entreprises, tout acte de vol par les salariés. Aux termes de ce règlement, le mot « vol » peut être entendu comme étant une «utilisation impropre d’équipement, matériel où véhicule du DOT». Le règlement s’emploie ensuite à dresser une liste d’exemples non exhaustive de telles utilisations frauduleuses dans laquelle on peut trouver « s’affairer à des occupations personnelles pendant des heures ouvrées ; utiliser l’équipement à des fins privées, toute utilisation impropre du courrier (…) et des ordinateurs de fonction. » Précisons que ces mêmes ordinateurs peuvent être utilisés occasionnellement par d’autres que leurs utilisateurs réguliers. Ainsi, l’ordinateur de Leventhal avait été utilisé par le service technique à plusieurs reprises. Le 15 Octobre 1996, le DOT reçoit une lettre anonyme faisant état d’abus au service comptable du DOT. Cette lettre décrit le comportement de certains employés en ne se référant à eux que par leur grade. La lettre accuse entre autre un employé occupant un grade « 27 ». Leventhal étant le seul à occuper un tel grade dans le service, les inspecteurs du DOT ont tôt fait de faire le rapprochement. Ainsi, Lawrence Knapek Commissaire Assistant du DOT dépêche une enquête sur les ordinateurs de tous les employés identifiés dans la lettre. Le 25 octobre 1996, des enquêteurs pénètrent dans le bureau de Leventhal sans l’en avertir et une fois que ce dernier a terminé sa journée inspectent son ordinateur. Ils y découvrent des dossiers relatifs à la seconde activité de Leventhal. Leventhal fait alors l’objet d’une procédure disciplinaire pendant laquelle les preuves trouvées sur son ordinateur seront finalement non admises car un avocat engagé par le DOT estime qu’elles ont été obtenues en violation des droits conférés à Leventhal par l’amendement IV de la Constitution Américaine disposant que « le droit des peuples de voir leur personne, maison, documents, et biens personnels protégés de toute fouille ou saisie disproportionnées (unreasonable) doit rester inviolé" . En effet, aux termes de ce texte, nul ne peut faire l’objet de fouilles sans mandat. Les charges retenues contre Leventhal sont donc abandonnées à l’exception de certaines fautes mineures (retards, etc.). Cependant, Leventhal est rétrogradé et ne bénéficie pas d’une augmentation de son salaire contrairement à nombre de ses collègues. Le DOT argue que ces décisions ne sont pas liées aux procédures disciplinaires. Néanmoins Leventhal entame une action en justice sur la base de deux prétentions :

  • La fouille de son ordinateur constitue une violation de ses droits garantis par le IVe amendement de la Constitution.
  • Sa rétrogradation et le refus d’augmenter sa rémunération violent la « due process clause » prévu par l’amendement XIV de la Constitution.

Nous ne nous intéresserons qu’à la première de ces prétentions dans la présente étude. La Cour estime que la fouille ne viole pas les droits de Leventhal prévus par le IVe amendement de la constitution. L’utilisation exponentielle des technologies informatiques sur le lieu de travail pose de nouveaux problèmes juridiques. La nécessité de contrôle du travail du salarié se heurte au respect de sa vie privée. En effet, un sondage mené par America Online et Salary.com révélait qu’aux Etats-Unis, le salarié moyen passait 2,09 heures par journée ouvrée de 8 heures à papillonner sur Internet et ce sans compter les pauses déjeuners. Outre ces problèmes de gaspillage de temps, la responsabilité de l’employeur peut également être engagée dans certains cas pour des actes commis par son employé sur internet. Le législateur et le juge ont du intervenir pour trouver un équilibre durable entre ces deux impératifs de protection de l’intérêt social et du salarié.

En France cette question agite également les juges qui, dans un arrêt rendu par la Chambre Sociale de la Cour de Cassation le 23 mai 2007, ont estimé que le procès-verbal dressé par un huissier qui avait accédé aux données contenues dans l’ordinateur mis à la disposition d’un salarié était recevable et ne constituait pas une violation au droit à la vie privée du salarié. En l’espèce, suspectant l’un de ses salariés d’entretenir des relations avec des personnes étrangères à l’entreprise en vue de se livrer à des activités concurrentes, un employeur avait obtenu du président du TGI une ordonnance autorisant un huissier de justice à accéder aux données contenues dans l’ordinateur dudit salarié et en sa présence afin de prendre connaissance de ses messages électroniques. Cette ordonnance avait été rétractée par la cour d’appel qui estimait qu’elle portait atteinte à une liberté fondamentale. Au visa des articles 145 du nouveau code de procédure civile, 9 du code civil et L. 120-2 du code du travail, la Chambre sociale de la Cour de cassation censure l’arrêt d’appel en arguant que « le respect de la vie personnelle ne constitue pas en lui-même un obstacle à l’application des dispositions de l’article 145 du nouveau code de procédure civile dès lors que le juge constate que les mesures qu’il ordonne procèdent d’un motif légitime et sont nécessaires à la protection des droits de la partie qui les a sollicitées. »

On se demandera donc si les règles assurant la défense de l’intérêt de l’entreprise face aux risques que font peser sur elle l’utilisation des nouvelles technologies de l’information et de la communication menacent, dans un système de Common Law (les Etats Unis) et dans un système civiliste (la France) la vie privée du salarié? Afin d’effectuer une synthèse viable entre ces deux impératifs, les deux systèmes étudiés ont adopté un mécanisme globalement similaire reposant sur la représentation que peut raisonnablement se faire le salarié de l’étendue de la protection de sa vie privée sur le lieu de travail (I), l’atteinte à ce droit étant admise lorsque les circonstances le justifient (II).

I. Les « attentes raisonnables » du salarié comme délimitation de la sphère privée

Dans l’arrêt Leventhal v. Knapek, 266 F.3d 64 (Ct. App 2001), la Cour d’Appel fédérale du second circuit estime qu’« au regard des faits particuliers de cette affaire, Leventhal pouvait raisonnablement s’attendre à ce que le contenu de son ordinateur soit considéré comme partie intégrante de sa vie privée » (reasonable expectation of privacy). Ainsi, l’un des critères décisifs aux Etats-Unis pour déterminer s’il y a eu atteinte à la vie privée est ce à quoi le salarié pouvait raisonnablement s’attendre. Un critère similaire existe en France, il se fonde sur l’obligation de loyauté dans les rapports contractuels et dans l’obtention de la preuve. Dans le cadre de l’exécution loyale de ses obligations envers le salarié, il appartient donc à l’employeur de mettre son salarié en mesure de déterminer la où s’arrête sa sphère privée. Ainsi l’étude de la « reasonable expectation of privacy » (A) sera complétée par l’étude de l’information comme élément essentiel des attentes raisonnables du salarié (B)

A. La « Reasonable exprectation of privacy » au cœur de la protection du salarié

Dans l’arrêt Leventhal v. Knapek, 266 F.3d 64 (Ct. App 2001), le juge américain s’interroge sur le fait de savoir si en espèce Leventhal pouvait raisonnablement s’attendre à ce que le contenu de son ordinateur soit considéré comme relevant de sa vie privée. En l’espèce la Cour va relever que Leventhal occupait un bureau personnel avec une porte, qu’il avait un usage exclusif de son ordinateur.

Dans un autre arrêt United State v. Simons, 206 F.3d 392 (Ct. App 2000), la Cour d’Appel Fédérale du quatrième circuit des Etats-Unis avait estimé que pour établir « une violation de ses droits garantis par le IVème amendement », Simons devait tout d’abord prouver qu’il pouvait raisonnablement s’attendre à agir dans le cadre de sa sphère privée « reasonable expectation of privacy ». En l’espèce, le service technique de la société qui employait Simons, avait effectué un contrôle général de l’usage d’internet au sein de la société. En tapant le mot « sex » dans la base de données, le service technique avait trouvé un grand nombre de résultats provenant de l’ordinateur de Simons. Apres une enquête révélant qu’il était possible que l’ordinateur de Simons contienne des photos à caractères pédophiles, l’ordinateur de Simons fut fouillé en son absence et sans son autorisation. De fait, des photos de nature érotique de mineurs y furent trouvées. Simons tenta de plaider que ces preuves n’étaient pas recevables car elles avaient été obtenues de manière frauduleuse en violation de son droit à la vie privée. Néanmoins, la cour estime que la recherche n’avait pas été faite en violation des Ier et IVeme amendements. Le juge donne une définition intéressante, de la « reasonable expectation of privacy » : en effet cette dernière est établie si celui qui s’en prévaut démontre que « son « expectation of privacy » subjective était objectivement raisonnable pour l’ensemble de la société. En l’espèce, Simons ne pouvait se prévaloir raisonnablement d’une telle attente puisque le règlement intérieur de sa société prévoyait formellement que la société conduirait des audits, des enquêtes et modèrerait l’utilisation d’internet par ses employés. Les juges américains emploient donc une méthode casuistique fondée sur une appréciation objective de la situation pour évaluer si ce premier critère trouve un écho dans les faits.

En France, la Chambre Sociale de la Cour de Cassation dans un arrêt dit « Nikon » rendu le 2 octobre 2001 estime « que le salarié a droit, même au temps et au lieu de travail, au respect de l’intimité de sa vie privée ; que celle-ci implique en particulier le secret des correspondances ; que l’employeur ne peut dès lors sans violation de cette liberté fondamentale prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail et ceci même au cas où l’employeur aurait interdit une utilisation non professionnelle de l’ordinateur . Dans un autre arrêt de la Chambre Sociale de la Cour de Cassation du 17 mai 2006, les juges avaient considéré que « l’employeur ne peut ouvrir les fichiers identifiés par le salarié comme personnels contenus sur le disque dur de l’ordinateur mis à sa disposition qu’en présence de ce dernier ou celui-ci dument appelé. » Cette décision très favorable pour le salarié est certainement dictée par la jurisprudence de la CEDH (Cours Européenne des Droits de l’Homme) . En effet, la Cour de Strasbourg tend à donner une acceptation très large de ce que contient l’article 9 de la CEDH garantissant le droit à la vie privée. Dans un arrêt, « Niemietz » du 16 décembre 1992, la CEDH a considéré « qu’il serait trop restrictif de limiter (la vie privée) à un cercle intime il n’y a aucune raison de principe d’en exclure les activités professionnelles ou commerciales. » En France c’est donc d’avantage au salarié de tracer le pourtour de sa sphère privée au sein de la sphère professionnelle en identifiant là un courriel, là un fichier comme étant personnel. Notons néanmoins qu’un arrêt de la Chambre Sociale rendu le 18 octobre 2006 rééquilibre la balance en considérant que les documents détenus par le salarié dans les bureaux de l’entreprise sont présumés avoir un caractère professionnel. Il incombe donc à l’employé d’identifier de manière explicite les documents qu’il souhaite voir demeurer privés. La chambre sociale de la cour de cassation dans un arrêt du 21 octobre 2009 a estimé que « les fichiers créés par le salarié à l’aide de l’outil informatique mis à sa disposition par l’employeur pour les besoins de son travail sont présumés avoir un caractère professionnel, sauf si le salarié les identifie comme étant personnels ». Pour prévenir à de tels conflits juridiques, la meilleure garantie demeure la prévention sous forme d’information du salarié.

B.L’Information : mécanisme de prévention essentiel pour l’employeur

Dans l’arrêt Leventhal v. Knapek, 266 F.3d 64 (Ct. App 2001), la cour estime que le règlement intérieur de la DOT « n’interdisait pas le simple stockage d’éléments personnels dans l’ordinateur de service. » En revanche dans l’arrêt United State v. Simons, 206 F.3d 392 (Ct. App 2000) c’est précisément parce que le règlement intérieur de la société de Simons avertissait tous les salariés que leurs données informatiques seraient examinées que Simon ne pouvait se prévaloir d’un « reasonable expectation of privacy ». Ainsi pour limiter les possibilités d’une perception raisonnable pour le salarié d’agir dans le cadre de sa sphère privé, il est recommandé à l’employeur d’annoncer que les outils informatiques mis au service des salariés pourront être inspectés à tout moment. Plus le règlement est précis sur le fait que l’utilisation exclusive par le salarié de son ordinateur ne neutralise pas le droit de l’employeur d’en inspecter le contenu, plus ce règlement a de chances d’être efficace en cas de litige.

Ce devoir d’information en France trouve son fondement davantage sur le terrain de la loyauté que sur le point de la vie privée. Ainsi l’article L1222-4 dispose que « Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n'a pas été porté préalablement à sa connaissance.” La Cour de cassation a donc considéré à de nombreuses reprises que même si l’employé a effectivement commis des fautes, l’employeur ne peut en apporter la preuve par des moyens dissimulés. Ainsi l’employeur ne peut recourir à une société de surveillance à l’insu de ses salariés (Chambre Sociale 15 mai 2001), de même il ne peut recourir à des détectives privés sans en avertir le salarié surveillé (Chambre Sociale 23 novembre 2005) ni installer des cameras de surveillance sans en avoir informé le personnel (Chambre Sociale 7 juin 2006). Cette exigence de loyauté et d’information est également repérable dans l’attendu de principe de la Cour de cassation dans l’arrêt précité du 17 mai 2005. En effet les juges avaient estimé dans cet arrêt qu’un fichier intitulé « perso » pouvait faire l’objet d’une fouille par l’employeur en présence toutefois de l’employé concerné ou si ce denier a été dument appelé. La présence de l’employé semble donc déterminante pour la licéité de la fouille.

Précisons également qu’un règlement ou une charte ne confèrent pas une protection absolue à l’employeur désireux de contrôler l’activité de ses salariés. Ainsi dans l’arrêt Nikon l’employeur avait mis en garde son salarié contre les usages extra-professionnels ce qui n’avait pas empêché la Cour de statuer contre lui. Afin d’être complètement protégé il eut fallu qu’il souligne également qu’il se réservait un droit de contrôle spontané. Ce règlement ou cette charte doit faire, en France, l’objet d’une communication et d’une consultation du comité d’entreprise aux termes de l’article L2323-13 du Code du Travail. Ce type d’actes se multiplie et certains contestent l’utilité de ces chartes parce qu’elles ne sont pas mises en œuvre par les chefs d’entreprise, souvent par laxisme.. Néanmoins par la menace qu’ils font peser sur les salariés ils restent dissuasifs et permettent un droit de regard de l’employeur. Pour l’employeur non prévoyant qui empiète sur le terrain de la vie privée de son salarié afin de protéger les intérêts de son entreprise, il existe certaines dérogations.

II. La nécessité pour l’employeur d’adapter ses mesures aux risques encourus

Dans l’arrêt Leventhal v. Knapek, 266 F.3d 64 (Ct. App 2001), le juge estime que nonobstant le fait que Leventhal avait une « reasonable expectation of privacy », la fouille de son ordinateur ne peut constituer une violation de son droit au respect de la vie privée puisque la fouille est justifiée par les circonstances et d’ampleur raisonnable compte tenue de ses objectifs.

A l’instar des juges américains, la Cour de cassation a dans un arrêt du 23 mai 2007 considéré que l’employeur qui avait fait fouiller l’ordinateur de son salarié par un huissier n’avait pas méconnu ses droits puisqu’il « avait des motifs légitimes de suspecter une concurrence déloyale ». Il semble donc que le motif de la fouille s’il est légitime puisse la valider. On étudiera cette notion de fouille justifiée aux Etats-Unis et les impératifs expliquant une telle exception (A), puis l’on se tournera vers les motifs légitimes Français (B).

A. Les impératifs justifiant la fouille de l’ordinateur d’un salarié par son employeur

Dans l’arrêt Leventhal v. Knapek, 266 F.3d 64 (Ct. App 2001), le juge estime que la fouille est raisonnable puisqu’il y avait des « raisons valables de penser que la fouille allait permettre de prouver que l’employé était coupable d’un écart de conduite ». La cour s’empresse de préciser qu’il ne s’agit pas pour l’employeur de démontrer qu’il avait de bonnes raisons de soupçonner son employé mais simplement de démontrer que l’ampleur de la fouille était adaptée aux circonstances. En d’autres termes, il lui faudra établir que la fouille « était raisonnablement proportionnée à son objectif et qu’elle n’était pas excessivement envahissante compte tenue de la nature de l’écart de conduite suspecté. » En l’espèce la Cour estime que la fouille de l’ordinateur de Leventhal est raisonnable car elle s’inscrit dans le cadre de l’enquête commencée suite à la réception de la lettre anonyme.

Aux Etats-Unis, les employeurs invoquent généralement trois raisons pour justifier leurs fouilles : éviter de voir leur responsabilité engagée pour le fait de leur préposé, assurer la productivité de leurs salariés (à l’instar de l’arrêt étudié) et se prémunir contre une concurrence déloyale. En effet, un employeur peut voir sa responsabilité engagée pour le mauvais usage que pourrait faire un employé de son ordinateur de fonction. Cette responsabilité peut se voir engagée sur le terrain délictuel, contractuel, de la propriété intellectuelle, et même au pénal. De facto, la plupart des affaires engagent la responsabilité délictuelle des employeurs. Il faudra pour cela que le plaignant démontre que le salarié agissait dans le cadre de son contrat de travail et que l’employeur était au courant ou aurait du être au courant du fait du salarié. Ainsi la négligence de l’employeur peut emporter des conséquences juridiques graves et il est donc dans son intérêt de bien surveiller l’activité électronique de son salarié.

B. Les motifs justifiant une fouille en France

Dans un arrêt récent précité du 23 mai 2007, la Chambre sociale de la Cour de cassation semble adopter une approche similaire à celle du juge américain. En effet, en l’espèce, voilà un salarié qui entretient sur son lieu de travail par voie de courriels des relations « constitutives de manœuvres déloyales tendant à la constitution d’une société concurrente ». L’employeur obtient du tribunal de grande instance une ordonnance autorisant un huissier de justice à accéder aux données contenues dans l’ordinateur mis à la disposition du salarie. Ce dernier conteste la validité de cette fouille arguant qu’elle porte atteinte à l’une de ses libertés fondamentales : son droit à la vie privée. La Cour d’appel lui donne raison. Néanmoins, la Cour de cassation considère dans son arrêt de principe « que l’employeur avait des motifs légitimes de suspecter des actes de concurrence déloyale et qu’il résultait de ses constatations que l’huissier avait rempli sa mission en présence du salarié » et que donc la fouille était justifiée.

Le risque pour l’entreprise doit néanmoins être sérieux et plausible. Ainsi dans l’arrêt précité du 17 mai 2005, la Cour avait estimé que ne constituait pas un tel risque la découverte de photos érotiques dans le tiroir d’un salarié. Le risque doit menacer les intérêts de l’entreprise : virus informatique, concurrence déloyale... Le principe de proportionnalité tend donc à s’appliquer dans ce genre de litige. Tout comme aux Etats-Unis, l’immixtion de l’employeur ne devra pas être trop contraignante et surtout devra être adaptée aux risques pour les intérêts de l’entreprise que fait peser le comportement suspecté.

Il est intéressant de noter que le simple fait que l’employé soit présent permette une immixtion relativement importante de l’employeur dans la sphère privée du salarié puisqu’il pourra alors contrôler les courriels de ce dernier. Cet arrêt procède certainement d’une volonté de rééquilibrage des « armes » suite à l’arrêt Nikon. Cet arrêt semblait en effet accorder une protection très favorable au salarié. Aux termes de cet arrêt, le salarié pouvait protéger des manœuvres contraires aux intérêts de son employeur en se soustrayant volontairement du cadre de la sphère professionnelle et en entourant sa mauvaise conduite du voile protecteur de la vie privée.

Il apparaît, au terme de cette réflexion, que la solution aux problèmes posés par le développement de la technologie et de l’informatique sur le lieu de travail passe par la prévention. L’élaboration d’une charte de bonne conduite sur internet et dans l’utilisation générale du matériel informatique réservant un droit de contrôle permanent à l’employeur semble primordiale pour prévenir de tels litiges. La solution passe donc par une contractualisation accrue du comportement des parties.

BIBLIOGRAPHIE

Sources Françaises :

  • Droit du Travail – Jean Pélissier ; Alain Supiot ; Antroine Jeammaud. Edition Dalloz.
  • « Vers un assouplissement des conditions de licéité de la surveillance des salariés »- Jean-CLaude Planque ; Recueil Dalloz 2002 p.2292s
  • « La preuve hors la loi ou comment, grâce aux nouvelles technologies, progresse la « vie privée » des salariés »- Pierre-Yves Gautier- Recueil Dalloz 2001 p.3148s
  • « Intérêt de l’entreprise et vie privée du salarié : une protection inégale ? » - René de Quenaudon ; Revue de droit du travail 2007 p.590s
  • « Les incursions de la Cour européenne des droit de l’homme en droit du travail : une œuvre encore en demi-teinte »- Jean-Pierre Marguenaud, Jean Mouly ; Revue de droit du travail 2008 p. 16
  • « Courrier électronique et vie privée au travail » - Philippe Langlois ; Recueil Dalloz 2001 p.3286s
  • « L’intimité de la vie privé du salariée dans l’univers de l’internet » - Christophe Caron ; Recueil Dalloz 2002 p.2296s

Sources Américaines :

  • Employment Law – Robert N. Covington ; West
  • « Employer liability for employée misuse of internet »- Monique C.M. Leahy - American Jurisprudence
  • « Expectation of Privacy in Internet Communications »- Mitchell Waldman- American Law Report
  • « Risky business : e-mail at work for personal purposes »- Watchell, Lipton, Rosen, Katz, Grossman- Practising Law Institute
  • « Searches of employee’s computer and computer files » - Employment Coordinator Section 56 :2.50.