Stockage des données personnelles sur le disque dur
Dénommer un disque dur ‘données personnelles’ ne suffit pas à conférer à tous les fichiers un caractère privé
CEDH, 22 févr. 2018, n° 588/13
La Cour européenne des droits de l’homme valide la jurisprudence française en concluant que la dénomination « données personnelles » mentionnée sur un disque dur ne suffit pas à conférer à l’ensemble des données un caractère privé. Ceci ne porte pas atteinte au droit au respect à la vie privée et peut justifier une sanction.
L’employeur peut-il consulter les données personnelles des salariés sur leur ordinateur professionnel ? La question est classique et la jurisprudence abondante en la matière. Après la Cour de cassation, c’est au tour de la Cour européenne des droits de l’homme (CEDH) de prendre position.
La Cour de cassation a précisé dans un arrêt du 18 octobre 2006 que les dossiers et fichiers créés par un salarié sur son ordinateur de travail sont présumés être d’ordre professionnel sauf si celui-ci les identifie comme « personnels ». La CEDH valide ce principe estimant qu’il ne porte pas atteinte au respect à la vie privée du salarié.
Dans cette affaire, un cadre de la SNCF est privé de son statut à titre de sanction car il détient des fichiers à caractère pornographique ainsi que de fausses attestations sur son ordinateur dont la direction avait pris connaissance. Le salarié avait contesté cette décision devant le conseil de prud’hommes faisant valoir qu’il avait dénommé le disque dur contenant les fichiers « données personnelles ».
Son employeur ne pouvait par conséquent les ouvrir en dehors de sa présence.
La Cour d’appel d’Amiens, suivie dans son raisonnement par la Cour de cassation, considérait que la dénomination donnée au disque dur lui-même ne pouvait suffire à conférer un caractère privé aux données. En effet, la cour d’appel a estimé que le terme « données personnelles » pouvait se rapporter à des dossiers professionnels traités personnellement par le salarié. Les fichiers litigieux n’étant pas considérés comme étant privés, l’employeur avait la possibilité de les ouvrir et de fonder une sanction sur ce fondement.
Plus de 5 ans après cette décision de cassation, la Cour européenne a statué dans cette affaire, où le salarié faisant valoir une atteinte à sa vie privée en violation de l’article 8 de la convention européenne des droits de l’homme.
La CEDH rappelle qu’une restriction au droit au respect de la vie privée du salarié du salarié peut être justifiée par la protection des droits de l’employeur qui peut légitimement pouvoir s’assurer que ses salariés utilisent les équipements informatiques qu’il met à leur disposition pour leur travail.
La Cour souligne que les juridictions françaises ont bien vérifié l’existence de garanties adéquates puisque l’employeur ne peut sauf risque ou événement particulier ouvrir sans la présence du salarié des fichiers dénommées comme personnels.
Elle estime que les motifs utilisés par les juridictions françaises étaient pertinents et suffisants pour écarter la violation du droit au respect de la vie privée. Le fait de dénommer tout un disque dur « données personnelles » ou certains fichiers « rires » ne suffisait pas à conférer aux données un caractère privé.
La sanction infligée au salarié apparaissait proportionnée.
La CEDH conclue à la non-violation de l’article 8 de la Convention européenne des droits de l’homme.
A contrario, si le salarié avait nommé certains fichiers à l’intérieur du disque dur comme étant « personnels » ou « privés », la solution aurait été toute autre et l’employeur n’aurait pas pu en prendre connaissance en l’absence du salarié.
