L’accès aux courriels des salariés par l’employeur est-il toujours licite ?

Le courrier électronique du salarié constitue sans doute une ressource indispensable pour la communication à l’intérieur et à l’extérieur de l’entreprise, mais son utilisation et son contrôle est souvent source d’incertitude de la part de l’employeur, quant à la protection de la sphère personnelle et des données de ses salariés.

Dans cet article on va analyser comment le courriel du salarié est-il qualifié au sens de la législation italienne, pour traiter ensuite la distinction entre les mails professionnels et les mails privés, sachant que, dans un cas le contrôle est légitime, dans le respect dans certaines conditions, dans l’autre il est interdit.

Enfin, on va voir une récente décision de 2023 de l’Autorité italienne de protection des données (« Garante per la protezione dei dati personali - GPDD »), qui s’est prononcée sur le temps de conservation des mails du salarié.

Le courriel du salarié comme « instrument utilisé pour la réalisation du travail »

En droit italien le contrôle à distance de l’activité du salarié est réglementé par l’Article 4 de la Loi n° 300 de 1970 (Statut des travailleurs), qui a été modifié en 2015.

En particulier, le premier paragraphe de l’Article 4 précise les finalités (organisation et production, sécurité du travail et protection des biens de l'entreprise) qui légitiment le contrôle à distance de la part de l’employeur, à travers l’installation d’équipements audiovisuels ou d’autres instruments.

Le mail fait sans doute partie des « instruments utilisés par le salarié pour effectuer son travail ».

Ces précisions faites, il faut souligner que, de manière générale, le mail est assimilé à la correspondance épistolaire et, par conséquence, il est considéré comme inviolable, au sens de l’Article 15 de la Constitution italienne, qui affirme l'inviolabilité de la liberté et du secret de la correspondance et de toute autre forme de communication (Communiqué du GPDP du 12 juillet 1999 - en Italien « Garante Privacy »).

Dans sa décision, l’Autorité italienne a rappelé que les messages qui circulent dans le mail du salarié doivent être considérés de la même manière que la correspondance privée et ils ne peuvent être interceptés abusivement, soit qu’il s’agit de véritables mailing lists ou de newsgroups dont l'accès est conditionné par la disponibilité d'un mot de passe fourni à une pluralité de personnes déterminées.

Les mails professionnels du salarié : contrôle légitime, mais à certaines conditions

Dans sa décision du 1° mars 2007 l’Autorité italienne de protection des données s’est prononcée sur les caractères du contrôle légitime des courriers professionnels du salarié par son employeur.

Pour que ce contrôle soit légitime, il doit respecter deux conditions :
•    Il doit respecter les principes de pertinence et de non-excessivité ;
•    Il ne doit pas être massif, généralisé, excessivement invasif ou se réaliser sans aucun discernement.

Si ces conditions sont remplies, alors l’employeur peut lire les mails professionnels du salarié.

À ce titre, la conduite d'un employeur qui avait accédé sans aucun discernement aux courriers électroniques ou aux données à caractère personnel contenues dans les smartphones fournis au personnel, soit pendant la relation du travail soit après la cessation de celle-ci, a été jugé comme illégitime (Autorité italienne de protection des données, décision du 17 février 2017, n° 424).

Reste entendu que l’employeur doit nécessairement désactiver le courrier du salarié, une fois que sa relation de travail a cessé.

La décision de 2007 mentionnée ci-dessous est particulièrement importante, car elle énonce les obligations que l’employeur doit remplir, afin que le contrôle exercé sur les mails soit légitime, c’est-à-dire :

a)    Informer préalablement les salariés, de manière détaillée, sur les modalités d’utilisation des courriels électroniques et surtout sur les modalités de contrôle effectué. Telle obligation peut être remplie avec l’adoption d’un cahier des charges interne (en Italien « disciplinare »), rédigé de manière claire et dépourvu de formules génériques, qui doit faire l'objet d'une publicité adéquate (auprès des salariés individuels, dans le réseau interne ou par le biais d'affiches sur le lieu de travail, selon des modalités similaires à celles prévues à l'article 7 du Statut des travailleurs).

b)    Adopter des mesures organisationnelles, comme la mise à disposition des adresses partagées par plusieurs salariés, éventuellement à côté d'adresses individuelles, l’attribution au salarié d’une adresse différente pour son usage privé, ou l’utilisation des messages de réponse automatique en cas d’absence du salarié.

Les mails privés du salarié : contrôle interdit

Si l’employeur peut consulter/contrôler les mails professionnels du salarié, dans le respect des conditions mentionnées auparavant (note d’information donnée aux salariés avant d’effectuer tout contrôle, principes de pertinence et de non-excessivité), en revanche, il ne peut pas consulter les mails personnels ou privés, qui restent couverts par le secret des correspondances.

Concernant les mails personnels, en droit français on rappelle le célèbre arrêt Nikon, par lequel la Cour de cassation avait interdit à l’employeur de consulter les fichiers personnels présents sur l’ordinateur professionnel du salarié, en se fondant sur le respect de la vie privée du salarié sur son lieu de travail (Cour de cassation, chambre sociale, 2 octobre 2001, n° 99-42.942, Société Nikon France c/ M. Frédéric Onof).

En droit italien, les mêmes conclusions ont été partagés par la Cour d’appel de Milan, dans un arrêt de 2020, dans lequel elle a affirmé le principe selon lequel les mails personnels du salarié sont inaccessibles, sous peine d'infraction pénale et de violation des règles constitutionnelles sur le secret de la correspondance, ce qui n'est pas le cas des courriers professionnels de l'entreprise (Cour d’appel de Milan, 8 septembre 2020, n. 36).

Enfin, en droit européen, il faut mentionner le célèbre arrêt dit « Bărbulescu II », ayant pour objet le licenciement intimé à un ingénieur dans une entreprise privée roumaine, qui avait utilisé à des fins personnelles, plus précisément pour échanger des messages avec son frère et sa fiancée, pendant les heures de travail, le compte de courrier électronique l'entreprise.
Dans cet arrêt, la Grande Chambre de la Cour européenne des droits de l’homme, en condamnant la Roumanie pour ne pas avoir respecté le droit à la vie privée du salarié, en violation de l’article 8 de la Convention EDH, a affirmé que les courriers du travail sont assimilés à la maison et à la correspondance privée, en se fondant sur une notion extensive de « vie privée », qui comprend le droit de mener une « vie sociale privée », c'est-à-dire la possibilité pour l'individu de développer son identité sociale, y compris dans le lieu de travail (Cour européenne des droits de l’homme, Grande chambre, 5 septembre 2017, n. 61496).

Pour combien de temps la conservation des mails du salarié est-elle possible ?

Pour une période maximale de 7 jours, qui peut être prolongée de 48 heures en cas de besoin avéré.

Avec le document d'orientation n° 642 du 21 décembre 2023, publié dans la lettre d'information du 6 février 2024, le GPDP italien s’est prononcée sur les temps de conservation des mails du salarié et des données qu’y sont contenues (les « métadonnées », c’est-à-dire le jour, l’heure, l’expéditeur, le destinataire, l’objet et la taille des mails).

En particulier, le GPDP a prévu que les employeurs, publics et privés, qui utilisent des programmes et des services informatiques pour gérer les mails des salariés - surtout s'ils sont fournis en mode cloud ou as-a-service - peuvent conserver les métadonnées des courriels jusqu'à un maximum de 7 jours, prolongeable - en présence de besoins avérés - de 48 heures supplémentaires.
En fait, le temps pour conserver les métadonnées doit être proportionné aux finalités légitimes poursuivies (par exemple, finalités liées à la sécurité de l'information et à la protection du patrimoine informationnel).

Si, en revanche, l’employeur a la nécessité de collecter et de stocker ces données pendant une période plus longue de celle exposée ci-dessous, il doit nécessairement demander un accord avec les organisations syndicales ou une autorisation de l’Inspectorat du Travail (Article 4 du Statut des travailleurs).

En suivant la même ligne, le GPDP avait sanctionné la Région du Latium, après avoir constaté qu’elle n’avait pas vérifié les métadonnées des courriers électroniques des salariés, en l’absence de toute protection adéquate de la confidentialité et en violation des règles limitant le contrôle à distance des salariés.
En particulier, la Région du Latium avait été condamné à une amende de 100.000 Euros et à l’interdiction de poursuivre les traitements en cours (Autorité italienne de protection des données, décision du 19 décembre 2022).

On suggère donc à l’employeur de faire particulière attention à ne pas dépasser le temps de conservation des données, pour ne pas encourir en sanctions.