1. Principes
généraux et règles particulières
2. Un mot sur la jurisprudence
3. A défaut de loi, une convention collective de travail…
4. Quid des modalités d'individualisation des données de communication
électroniques en réseau ?
De plus en plus, l'accès au Web et au mail est assuré dans les associations afin de permettre un gain de temps dans l'organisation du travail, une meilleure et plus rapide diffusion de l'information. Toutefois, face à la prolifération des actions en justice mettant en cause employeurs et travailleurs quant à l'utilisation du courrier électronique et du surf sur la toile, il est bon de pouvoir déterminer la limite entre vie privée et obligation professionnelle.
De façon générale, l'article 8 de la Convention européenne des Droits de l'Homme et l'article 22 de la Constitution assurent le respect de la vie privée.
Des règles spécifiques viennent également compléter le tableau juridique : Entre autre, citons l'article 109 ter D de la loi du 21 mars 1991 1 qui prohibe la prise de connaissance du contenu des communications sauf accord préalable de toutes les parties concernées; et l'article 314 bis du Code pénal qui consacre le secret de la correspondance.
A la lecture de ces principes, on se rend compte d'une chose : le contrôle des communications des travailleurs par l'employeur est impossible (entendez illégal) sauf accord des intéressés, c'est-à-dire destinataires et destinateurs. En effet, le secret de la correspondance et le respect de la vie privée empêchent tout contrôle, ce qui pourrait porter préjudice, en cas d'abus, au bon fonctionnement de l'association.
Nous ne ferons pas ici l'analyse de la jurisprudence qui existe en la matière. Sachez néanmoins que les procès concernant le licenciement d'un travailleur en raison de l'utilisation abusive des moyens de communication électronique (Web et mail) commencent à foisonner. Les décisions donnent raison tantôt à l'employeur, tantôt au travailleur selon qu'elles accordent la primauté à la protection de la vie privée ou à la nécessité de lutter contre les abus. En général, il est interdit en vertu des principes exposés plus haut de lire le contenu des mails dits personnels, toutefois, il est possible pour l'employeur de s'assurer que le travailleur ne commet pas d'abus lorsqu'il utilise Internet. Néanmoins, en raison de l'incertitude de la jurisprudence et de l'absence de règles légales clairement établies, la sécurité juridique ne peut être assurée ni pour l'employeur qui ne sait pas dans quelle mesure il peut consulter ou non les mails de ses travailleurs, ni pour le travailleur qui doit pouvoir savoir quand il commet un abus et quand il reste dans les limites.
A défaut de prise de position du législateur, les organismes représentatifs des travailleurs et des employeurs ont signé le 26 avril 2002 une convention collective de travail portant le numéro 81 relative à la protection de la vie privée des travailleurs à l'égard du contrôle des données de communication électroniques en réseau 3. Elle doit encore faire l'objet d'un arrêté royal qui la rendra obligatoire pour tous les employeurs.
La convention collective de travail rappelle dans son rapport d'introduction que son objectif n'est pas de réglementer l'accès et/ou l'utilisation par le travailleur des moyens de communication électroniques en réseau au sein de l'entreprise. En effet, il s'agit d'une prérogative attribuée à l'employeur.
L'objectif de la convention collective de travail est de garantir le respect de la vie privée sur le lieu de travail lorsqu'une collecte de données de communication électronique est organisée dans le but d'opérer un contrôle de celle-ci.
Afin de réaliser au mieux cet objectif, certains principes de base doivent être respectés:
L'employeur peut exercer un contrôle individualisé 4 des données des communications électroniques, sans autre formalité, lorsqu'il poursuit une des finalités suivantes:
Lorsque le but du contrôle consiste à veiller au respect de la bonne foi quant aux règles d'utilisation et principes d'utilisation des technologies fixées dans l'entreprise, l'employeur doit respecter une procédure dite de sonnette d'alarme. Celle-ci sert à informer les travailleurs d'une anomalie et d'une individualisation en cas de récurrence (comprenez " récidive "). Le travailleur est informé de l'anomalie d'utilisation et il aura l'occasion de s'expliquer sur l'utilisation qu'il fait des moyens de communication électronique.
Le contrôle doit revêtir un caractère adéquat, pertinent, non excessif par rapport aux finalités poursuivies. Ce contrôle ne peut constituer une ingérence dans la vie privée du travailleur. A titre d'exemple, on précise que le contrôle de sites Internet est possible (c'est-à-dire la durée des connexions par poste de travail), mais l'individualisation doit faire l'objet d'une procédure supplémentaire.
En ce qui concerne le contrôle de l'usage du courrier électronique, la collecte de données du nombre et de volume de courrier sortant par poste de travail est possible, mais la phase d'identification du travailleur fait l'objet d'une procédure supplémentaire.
La convention prévoit les procédures d'information et de consultation des travailleurs lors de l'installation du système de contrôle.
D'une part est mis en place un système d'information collective :
L'employeur qui souhaite installer un système de contrôle des données de communication électroniques en réseau doit en avertir le conseil d'entreprise, à défaut le comité pour la prévention et la protection au travail, à défaut la délégation syndicale ou, enfin, à défaut les travailleurs.
D'autre part est mis en place un système d'information individuelle :
L'employeur qui installe un système de contrôle des données de communication électroniques en réseau devra également avertir les travailleurs concernés de l'existence de ce contrôle. L'employeur décide des modalités d'exécution de son obligation d'information. Par exemple, il peut s'agir de circulaires, d'avis affichés, de mentions dans le règlement du travail ou dans le contrat de travail ou encore de messages qui s'afficheraient à chaque utilisation de l'outil (à l'allumage du poste de travail par exemple).
L'information collective ou individuelle porte sur la politique de contrôle ainsi que les prérogatives de l'employeur et du personnel de surveillance; la ou les finalités poursuivies; le fait que des données personnelles soient ou non conservées et le lieu et la durée de conservation; le caractère permanent ou non de contrôle.
Et plus particulièrement, l'information individuelle porte sur l'utilisation de l'outil mis à la disposition des travailleurs pour l'exécution de leur travail, les droits et devoirs, obligations des travailleurs, les interdictions éventuelles de l'utilisation des moyens de communication électronique, les sanctions prévues dans le règlement du travail en cas de manquement.
Lorsque les données collectées ont un caractère professionnel non contesté, l'employeur pourra les consulter sans respecter une procédure particulière.
La procédure d'individualisation devra être respectée uniquement en ce qui concerne les données de nature privée.
Par individualisation des données de communication électroniques en réseau, la convention collective de travail vise l'opération qui consiste à traiter les données de communication électronique en réseau collectées lors d'un contrôle afin de les attribuer à un travailleur particulier. Cette individualisation a lieu soit dans le cadre d'une procédure directe, soit d'une procédure indirecte (dite indirecte car dans ce cas-là, il y a une phase préalable d'information).
Quoi qu'il arrive, l'individualisation doit avoir lieu en conformité avec la finalité poursuivie.
L'individualisation directe peut avoir lieu lorsque le contrôle poursuit l'une des 3 premières finalités mentionnées ci-dessus. Donc l'employeur qui constate une anomalie dans l'utilisation des moyens de communication électroniques peut procéder à l'individualisation immédiatement et ainsi retrouver l'identité des travailleurs responsables de l'anomalie.
L'individualisation indirecte a lieu lorsque le contrôle poursuit la 4ème finalité. Dans ce cas, elle pourra avoir lieu moyennant le respect d'une phase préalable d'information. Cette information consiste à prévenir les travailleurs qu'une anomalie a été repérée et qu'une individualisation aura lieu lorsqu'une seconde anomalie de même nature aura été constatée.
Une fois que cette individualisation aura eu lieu, le travailleur aura un entretien avec l'employeur. Cet entretien lui permettra de se justifier avant que toute décision le concernant ne soit prise et ceci dans le but d'éviter d'éventuels malentendus.
Cette convention collective de travail a le mérite de poser les grands principes applicables quant à l'utilisation du mail et du Web sur le lieu de travail afin d'assurer la sécurité juridique de tous.
Catherine Merolla
Pour de plus amples informations, visitez le site de la Commission de la protection
de la vie privée : http://privacy.fgov.be
Et pour une étude complète: www.droitbelge.be
1 Loi du 21 mars 1991 portant réforme de certaines entreprises publiques
économiques, M.B., 27 mars 1991, appelée communément " loi Belgacom ".
2 Toutes les décisions de justice concernant
le respect de la vie privée (en Belgique ou ailleurs en Europe) sont disponibles
sur le site http://www.droit-technologie.org/
3 Elle est disponible sur le site du Conseil
national du Travail : http://www.cnt-nar.be/
4 Pour une définition de l'individualisation,
voyez plus bas.
5 Il peut s'agir d'actes de piratage informatique,
la consultation de sites à caractère pornographique ou pédophile ou de sites
incitant au racisme et à la xénophobie ou à la discrimination en général.
6 Il peut s'agir d'acte de publicité dénigrante,
de divulgation de fichiers ou de violation des secrets d'affaire, processus
de fabrication ou toute autre donnée de nature confidentielle.
Mise à jour de cette page sur www.coj.be le 8 mai 2008