CEDH 22 février 2018 « Libert contre France »

Télécharger la dernière version du guide de la jurisprudence

La Cour européenne des Droits de l’Homme (CEDH) a rendu un arrêt le 22 février 2018 dans une affaire opposant un employé de la SNCF à l’Etat pour violation de son droit à la vie privée, garanti à l’article 8 de la Convention européenne des droits de l’Homme (CEDH aussi). Cet arrêt intervient peu de temps avant celui de l’affaire Barbulescu contre Roumanie qui précise la jurisprudence de la CEDH en matière de surveillance sur le lieu de travail et des obligations positives des Etats en matière de garantie du droit à la vie privée, est intéressant à bien des égards et aboutit à un résultat bien différent, pour le sieur Libert, qu’il ne l’avait finalement été, après avoir toutefois dû faire appel, pour le sieur Barbulescu.

 

1. Résumé de l’arrêt

Dans son arrêt « Libert contre France » du 22 février ^[1]CEDH 22 février 2018 « Libert contre France » Req. 588/13, la CEDH, confirme sa jurisprudence « Barbulescu » tout en concluant en l’espèce à la non-violation de l’article 8 de la CEDH. L’affaire concernait de façon similaire un différend entre le requérant et son employeur, la SNCF. Cette dernière est qualifiée d’autorité publique par la CEDH^[2]CEDH 22 février 2018 « Libert contre France » Req. 588/13, pt. 38, si bien que « la présente affaire se distingue donc de l’affaire Barbulescu […] dans laquelle l’atteinte à l’exercice du droit au respect de la vie privée et de la correspondance dénoncée par un employé était le fait d’un employeur relevant strictement du secteur privé » ^[3]CEDH 22 février 2018 « Libert contre France » Req. 588/13, pt. 40. Mais comme dans l’affaire Barbulescu ^[4]CEDH 5 septembre 2017 « Barbulescu contre Roumanie » Req. 61496/08 l’affaire portait sur l’accès par un employeur à des données personnelles d’un employé sans que celui-ci ait été informé de cette surveillance ni qu’il ait pu être présent au moment de l’ouverture de ses documents stockés sur son ordinateur de fonction.

Pour rappel, dans l’arrêt Barbulescu, la CEDH avait précisé que, de façon générale, « les juridictions internes doivent s’assurer que la mise en place par un employeur de mesures de surveillance […] s’accompagne de garanties adéquates et suffisantes contre les abus » ^[5]CEDH 5 septembre 2017 « Barbulescu contre Roumanie » Req. 61496/08, pt. 120, et indique que, pour procéder à cette évaluation, six facteurs doivent être pris en compte  ^[6]CEDH 5 septembre 2017 « Barbulescu contre Roumanie » Req. 61496/08, pt. 121 :

• L’employé a-t-il été informé de façon suffisamment claire de la possibilité qu’une surveillance soit mise en œuvre à son encontre ?
• Quelle a été l’étendue de la surveillance mise en œuvre ? Cette étendue doit tendre à la minimisation tant sur le plan qualitatif (la surveillance porte-t-elle sur les seuls flux ou y compris sur le contenu?) que quantitatif (par exemples, y a-t-il eu des limitations dans le temps ou dans l’espace).
• L’employeur peut-il faire état de motifs légitimes (voir la partie sur l’intérêt légitime du responsable de traitement) justifiant la mesure de surveillance ?
• Aurait-il été possible de mettre en place un système moins intrusif atteignant les mêmes finalités légitimes ?
• Quelles ont été les conséquences de la surveillance pour l’employé, et ces conséquences sont-elles compatibles avec la finalité légitime de la mesure de surveillance ?
• L’employé surveillé a-t-il bénéficié de garanties adéquates, permettant notamment d’empêcher que l’employeur accède au contenu des communications sans son information préalable ?

Le fait que la CEDH n’ait pas conclu à la violation de l’article 8 de la CEDH protégeant la vie privée dans l’arrêt Libert tient en ce que le droit positif français, c’est-à-dire une combinaison des articles L 1121-1 et L 1321-3 du Code du travail et de la jurisprudence de la Cour de cassation, crée en France un cadre dans lequel un employeur a, par défaut, accès aux données personnelles d’un employé sauf si celui-ci a marqué celles-ci comme étant privées. La CEDH a par ailleurs validé le raisonnement de la Cour de cassation française qui, en l’espèce, avait jugé qu’un dossier marqué « données personnelles » « pouvait se rapporter à des dossiers professionnels traités professionnellement par le salarié et ne désignait donc pas de façon explicite des éléments relevant de la vie privée » ^[7]CEDH 22 février 2018 « Libert contre France » Req. 588/13, pt. 51. La raison invoquée est une règle interne à la SNCF précisant que seuls les dossiers marqués comme « privé » peuvent bénéficier d’une protection au titre du droit à la vie privée des employés ^[8]CEDH 22 février 2018 « Libert contre France » Req. 588/13, pt. 52.

Mais si l’arrêt « Libert contre France » valide un droit d’accès a priori d’un employeur aux données personnelles de ses employés, sauf si ceux-ci ont fait valoir un dipositif d’opt-out en marquant leurs données comme étant « privées » de façon explicite, cela repose sur des éléments de droit positif français qui peuvent ne pas être identiques dans d’autres pays parties à la Convention européenne des droits de l’Homme. Il n’est donc pas évident que la solution adoptée dans cet arrêt soit valable pour d’autres pays et qu’elle « fasse jurisprudence » pour d’autres pays que la France.

Notons d’ailleurs que, de façon surprenante, il n’est fait aucune mention dans cet arrêt de la loi informatique et libertés ou de n’importe quel autre texte relatif à la protection des données personnelles. Même la Convention 108 du Conseil de l’Europe est passée sous silence. Cela explique-t-il en partie la solution adoptée ?

2. Droit à la vie privée ou à la protection des données ?

L’arrêt « Libert contre France » soulève la question des différences entre la protection offerte par l’article 8 de la CEDH et celle offerte par le droit de l’Union européenne en matière de protection des données personnelles.

Là où le cadre de la CEDH repose exclusivement sur le droit au respect de la vie privée ^[9]Art. 8 CEDH, celui de l’UE repose à la fois sur ce droit ^[10]Art. 7 Charte des droits fondamentaux de l’UE et le droit fondamental à la protection des données à caractère personnel ^[11]Art. 8 Charte des droits fondamentaux de l’UE. Ces deux droits ne sont pas identiques ^[12]Gonzalez Fuster, Gloria. 2014. « Fighting For Your Right to What Exactly? The Convoluted Case Law of the EU Court of Justice on Privacy and/or Personal Data Protection ». Birkbeck Law Review 2 (2): … Continue reading. La CJUE rappelé que la notion de donnée relative à la vie privée était à distinguer de la notion de donnée à caractère personnelle ^[13]CJUE 16 juillet 2015 « ClientEarth contre EFSA » Aff. C-615/13P, pt. 32. Ce n’est pas parce qu’une donnée personnelle ne relève pas du droit à la vie privée qu’elle ne bénéficie d’aucune protection au titre du droit à la protection des données et donc de la directive 95/46/CE, demain du Règlement général de protection des données (RGPD).

Or, la directive 95/46/CE comme le RGPD posent des conditions minimales à respecter pour le traitement de données personnelles. Dans le cadre d’une relation employeur-employé, ce dernier ne peut se prévaloir d’un consentement de son employé, qui par définition ne saurait être considéré comme libre, mais doit faire valoir un intérêt légitime à collecter des données personnelles sur ses employés.

La politique de confidentialité interne à l’entreprise doit faire l’objet d’une information préalable aux employés, comme cela est d’ailleurs prévu dans le Code du travail français.

En l’espèce, la SNCF avait bel et bien communiqué sur le fait qu’elle accèderait aux documents des ordinateurs de ses employés sauf si ceux-ci les marquent comme « privés ». Mais s’ils étaient marqués comme étant « personnels », n’est-ce pas un synonyme ? Les employés ont-ils été informés du fait que leurs documents devaient porter la mention « privé » à l’exclusion de tout synonyme pour bénéficier d’une protection ?

Il s’agit bien entendu d’une question d’interprétation, et il est tout à fait possible que la CJUE ait adopté, si la question lui avait été soumise, une solution, en pratique, similaire à celle de la CEDH. Cependant, le raisonnement de la Cour de cassation cité dans l’arrêt de la CEDH selon lequel « les dossiers et fichiers créés par un salarié grâce à l’outil informatique mis à sa disposition par son employeur pour l’exécution de son travail [sont] présumés, sauf si le salarié les [identifie] comme personnels, avoir un caractère professionnel » ^[14]Voir au point 44 de l’arrêt de la CEDH est incorrect. Les fichiers professionnels d’un employé sont des données personnelles dont il est la personne concernée dès lors qu’ils contiennent une référence directe ou indirecte à un employé identifié ou identifiable. Cela découle de la définition de ce qu’est une donnée à caractère personnel.

Cela ne signifie pas qu’un employeur n’a jamais le droit d’y avoir accès. Mais contrairement à ce que suggère la formulation de la Cour de cassation, validée par la CEDH, il convient tout de même de vérifier si le droit relatif à la protection des données a bien été respecté.

L’arrêt « Libert » pourrait peut-être, si d’autres exemples de ce type abondent en ce sens, nous aider à comprendre la distinction entre le droit à la privée et celui à la protection des données à caractère personnel, qui juridiquement ont dans le droit de l’Union des fondements juridiques distincts.

Mais ce n’est pas si évident. Car si dans l’arrêt « Libert » le droit relatif à la protection des données personnelles est totalement passé sous silence, l’arrêt en Grande chambre dans l’affaire « Barbulescu » lui avait consacré de longs développements.

Un « oubli » de la part de l’avocat ? De la Cour de cassation ? Des juges composant la cinquième section de la CEDH, qui ont adopté cet arrêt ?

3. L’informatique sauce Kamoulox de la Cour d’appel d’Amiens

La Cour d’appel d’Amiens confondait manifestement de nombreuses notions informatiques basiques telles que les mots «dossier», «fichier» et «partition», sans que ni la Cour de cassation, ni la CEDH, ne relèvent ensuite d’erreur manifeste d’appréciation. On ne peut s’empêcher de penser au jeu du «Kamoulox» en lisant les lignes suivantes :

« Attendu qu’il ressort du rapport de la SEF que les photos et vidéos [litigieuses] ont été trouvées dans un fichier dénommé “rires” contenu dans un disque dénommé “D:/données personnelles” ;

Attendu que la SNCF explique sans être contredite que le disque D est dénommé par défaut “D:/données” et sert traditionnellement aux agents à stocker leurs documents professionnels »

Alors, bien sûr, on peut imaginer un fichier “rires.zip” ou “rires.tar.gz” contenant plusieurs fichiers. Et il est effectivement possible de nommer des partitions ^[15]On parle alors de « labels », mais pourquoi dans ce cas-là rajouter un “/“, qui, d’ailleurs, sous Windows aurait dû être noté “\” ? ^[16]Le “/“ étant plutôt utilisé par les systèmes d’exploitation respectant la norme POSIX, comme GNU/Linux, auquel cas le disque dur n’aurait pas été noté D: ou X: mais /dev/sdXX s’il … Continue reading De plus, il paraît improbable que le requérant ait procédé lui-même au renommage du label de sa partition, l’opération n’étant pas très courante ni, de façon générale, particulièrement utile.

Cela ne remet pas nécessairement en question le fond du jugement, mais interroge tout de même sur la capacité de la justice à juger des affaires impliquant un usage de l’informatique. Nous sommes tout de même en 2018, 53 ans après la première utilisation du terme de « dossier » en informatique … ^[17]Voir l’article qui a défini ces éléments en 1965

4. La CEDH respecte-t-elle le droit à la vie privée des requérants ?

Enfin notons que dans l’arrêt d’espèce, la Cour ne respecte pas le droit à la vie privée des parties au procès.

Si l’anonymisation des décisions de justice est devenue la norme dans nombre de pays européens, cette pratique n’a toujours pas été adoptée par les juridictions européennes, qu’il s’agisse de la CJUE ou de la CEDH.

Ainsi, dans l’arrêt « Google contre Espagne » sur le droit à l’oubli ^[18]CJUE 13 mai 2014 « Google contre Espagne » Aff. C-131/12, le sieur Costeja, qui avait obtenu à faire valoir son droit au déréférencement des moteurs de recherche pour faire oublier une affaire qui le concernait et qui avait fait l’objet d’une publication dans la presse, est désormais bien plus connu qu’il ne l’était avant la décision de la CJUE.

En l’espèce l’absence d’anonymisation est d’autant plus gênante que la CEDH identifie le requérant par son nom, son emploi, sa date de naissance et son lieu de résidence, puis raconte en détail le type de fichiers présents sur le disque dur de son ordinateur professionnel, dont certains étaient à caractère pornographique. En quoi la publication de type d’information, qui peut porter un préjudice grave à l’intéressé, est-elle nécessaire et proportionnée ? La CEDH respecte-t-elle elle-même sa jurisprudence limitant les ingérences à la vie privée des personnes à ce qui est « nécessaire dans une société démocratique » ? Manifestement non, étant donné le préjudice grave qu’elle fait subir à la réputation d’une personne qui lui a fait confiance pour protéger ses droits fondamentaux.

Le plus gênant est que cela peut avoir un important effet dissuasif pour les justiciables qui y réfléchiront à deux fois avant de saisir la CEDH pour faire valoir leurs droits si ce remède est pire que le mal initial. A quoi bon bénéficier d’un arrêt de la CEDH protégeant sa vie privée si c’est pour que cette même cour divulgue à un public encore plus large les informations personnelles voire privées que le requérant ou la requérante souhaitait garder confidentielles ?

 

Télécharger la dernière version du guide de la jurisprudence