Un salarié a été licencié en 2008 par son employeur après la découverte, sur le disque dur de son ordinateur professionnel, de 1.562 fichiers à caractère pornographique et de fausses attestations réalisées à partir dudit ordinateur. Son employeur avait en effet estimé que ces faits étaient contraires à l’obligation d’exemplarité particulière qui pesait sur le salarié, en raison des fonctions qu’il exerçait (chargé de la surveillance générale de l’entreprise) ainsi que du code de déontologie et de la charte informatique de l’entreprise.
Le salarié avait saisi la juridiction prud’homale afin de contester le bienfondé de son licenciement, arguant du fait qu’il avait renommé son disque dur « données personnelles » et ainsi conféré un caractère personnel à l’ensemble des fichiers qu’il contenait.
Selon la jurisprudence française, les fichiers créés par le salarié sur son ordinateur professionnel sont présumés avoir un caractère professionnel, de sorte que l’employeur est en droit de les ouvrir en dehors de sa présence, sauf s’ils sont identifiés comme étant personnels.
Appliquant cette jurisprudence, le Conseil des Prud’hommes comme la Cour d’Appel avaient jugé que le licenciement du salarié était justifié. Le salarié avait alors saisi la Cour de Cassation sur le fondement de la violation du droit au respect de la vie privée prévu par l’article 8 de la Convention Européenne des Droits de l’Homme et de l’article 9 du Code Civil.
Son pourvoi a été rejeté au motif que « la dénomination donnée au disque dur lui-même ne peut conférer un caractère personnel à l’intégralité des données qu’il contient », confirmant ainsi la motivation de la décision d’appel selon laquelle la dénomination donnée au disque dur professionnel du salarié ne pouvait lui permettre de l’utiliser à des fins purement privées et d’en interdire ainsi l’accès à l’employeur.
Le salarié avait alors saisi la Cour Européenne des Droits de l’Homme d’une requête formée sur le fondement d’une violation de l’article 8 de la Convention Européenne des Droits de l’Homme.
La Cour de Strasbourg, après avoir examiné les faits, les arguments développés par les juridictions françaises ainsi que le droit positif français et les règles internes à l’entreprise, a à son tour jugé qu’il n’y a pas eu violation de l’article 8 de la Convention.
L’ingérence de l’employeur dans la vie privée du salarié était prévue par le droit français : par les articles L.1121-1 et L1321-3 qui disposent que les restrictions apportées aux droits des personnes et aux libertés individuelles doivent être justifiées par la nature de la tâche à accomplir et proportionnées au but recherché, ainsi que par une jurisprudence constante établissant une présomption du caractère professionnel des fichiers créés par un salarié, sauf si celui-ci les a identifiés comme étant personnels.
La charte informatique de l’entreprise précisait de la même manière que les informations à caractère privé devaient être clairement identifiées comme telles, de même que les supports recevant ces informations.
L’ingérence dans les fichiers crées par le salarié avait un but légitime puisqu’elle visait à garantir les droits de l’employeur de s’assurer d’un usage non abusif des équipements informatiques mis à la disposition de ses salariés.
L’ingérence de l’employeur s’accompagnait de garanties adéquates et suffisantes souverainement appréciées par les juridictions internes. Celles-ci ont en effet jugé que les fichiers créés n’avaient pas été dûment identifiés comme étant privés (car rassemblés dans un dossier intitulé « rires » et qu’un salarié ne pouvait pas utiliser l’intégralité d’un disque dur, censé enregistrer des données professionnelles, pour un usage privé.
Par cette décision, la Cour de Strasbourg vient conforter le dispositif juridique français encadrant l’accès de l’employeur à l’espace privé des salariés. Il est à noter qu’elle intervient 6 mois après l’arrêt Bărbulescu, portant sur la légalité d’un dispositif de surveillance systématique de la messagerie professionnelle des salariés. A cette occasion, la Cour avait considéré que l’article 8 de la Convention avait été violé, les autorités roumaines n’ayant pas protégé de manière adéquate le droit du requérant au respect de sa vie privée et de sa correspondance.
La Grande Chambre de la Cour Européenne des Droits de l’Homme avait - inspirée par l’avis exprimé par le gouvernement français en tant que tiers intervenant - dégagé 7 critères à prendre en compte pour apprécier la légalité d’un tel dispositif.
Les faits de l’affaire Libert ne sont pas en tous points comparables à ceux de l’affaire Bărbulescu puisque les uns concernent une ingérence ponctuelle et les autres une ingérence systématique de l’employeur. Mais notons que la Cour, qui compare ces deux affaires à plusieurs reprises, si elle ne reprend pas explicitement ces critères, considère que le dispositif français répond aux exigences posées par ces critères : information claire et préalable du salarié par la Charte informatique, proportionnalité au but recherché, motif légitime, garanties procédurales.
Il en ressort que le dispositif juridique français permet un équilibre entre le besoin de protection de la vie privée des salariés et l’intérêt légitime de l’employeur de s’assurer d’un usage non abusif des équipements informatiques mis à la disposition de ses salariés.
CEDH 22 février 2018 n°588/13 Libert c/ France