Le contrôle à distance des comportements des employés est devenu fréquent, en raison notamment du développement des nouvelles technologies. Mais à quelles conditions et dans quelles limites l’employeur peut-il surveiller les courriels de ses employés ?
Les juges italiens sont de plus en plus occupés à résoudre les problématiques juridiques liées à la surveillance des employés en entreprise.
En Italie il convient de faire la distinction entre le contrôle effectué dans le but de protéger le patrimoine de l’entreprise et le contrôle strictement défensif, car ils sont réglés en manière différente.
Le contrôle pour la protection du patrimoine de l’entreprise
Ce type de contrôle peut être effectué en utilisant des systèmes de surveillance, à condition que leur installation soit précédée par un accord avec les organisations syndicales (article n. 4 du statut des employés). En l’absence d’un accord, les systèmes envisagés peuvent être installés avec une autorisation de l’Inspection National du Travail.
Il existe plusieurs types de système de surveillance : des plus traditionnels comme la vidéosurveillance ou la géolocalisation, aux programmes informatiques installés sur l’ordinateur du travailleur.
De plus, les informations obtenues par ces moyens peuvent être utilisé à d’autres fins, à condition que les employés soient renseignés de cette possibilité. Par exemple, l’employeur a le droit de les exploiter pour améliorer la productivité et l’organisation de son entreprise, pour assurer la sécurité du lieu du travail ou même à des fins disciplinaires.
Le contrôle strictement défensif
Le recours au contrôle strictement défensif est soumis à une règlementation différente : la jurisprudence, même européenne, a identifié les limites de son utilisation pour éviter les abus (arrêt n. 25732/2021).
Tout d’abord, le contrôle doit être ciblé, ce qui signifie que l’enquête doit être limitée à des éléments spécifiques, liés à l’enquête en question.
Ensuite, il doit exister un soupçon fondé sur le fait que des actes illicites ont été commis. Dans ce cas, l’employeur est chargé de prouver leur l’existence. S’il ne parvient pas à le faire, les informations obtenues ne pourront pas être utilisées, conformément à la réglementation sur la protection des données.
De plus, l’employeur ne peut effectuer le contrôle qu’après que les actes en question se sont déroulés (le contrôle ex post) ou après que le soupçon est né.
La Cour européenne (arrêt n. 61496/08) a également souligné l’importance de respecter un équilibre entre l’intérêt de l’employeur à mener ce type d’enquête et la protection du droit à la confidentialité et à la dignité du travailleur (article n. 8 CEDH)
Enfin, le salarié doit être informé dès le début de son contrat de la possible mise en place d’une procédure de contrôle, en conformité avec la réglementation pour la protection des données.
« Contrôle défensif », l’arrêt de la Cour de cassation
La Cour de cassation italienne s’est récemment penchée sur la question du contrôle strictement défensif (arrêt n. 18168/2022).
Il s’agissait d’un cas de licenciement à la suite d’un contrôle effectué sur les courriels d’un salarié. Une banque avait décidé de mettre fin au contrat de travail d’un dirigeant en raison de ses contacts avec des entreprises concurrentes, découverts grâce à une activité d’investigation sur ses courriels professionnels. L’enquête a été menée avec l’utilisation d’instruments technologiques (« digital forensics »), qui ont la fonction de collecter de preuves.
La Cour d’Appel avait néanmoins déclaré le licenciement du dirigeant illégitime en raison de la violation des règles de l’enquête. En effet, la banque n’a jamais expliqué les raisons de l’investigation, bien qu’elle soit tenue de prouver l’existence d’un « soupçon fondé ». Selon le juge de Milan, celui-ci doit être « raisonnable » et pas « moindre », surtout car il s’agit d’un contrôle invasif effectué par l’employeur. Le juge a ainsi permis l’utilisation d’un principe du droit pénal dans une procédure du travail.
De plus, le contrôle n’était pas jugé comme « ciblé », puisque les courriels ont été contrôlés dans leur totalité, même ceux qui n’étaient pas liés à l’objectif de l’enquête.
En outre, la banque n’avait pas renseigné le dirigeant de la possibilité d’une procédure de surveillance, violant ainsi ses droits à la confidentialité et à la dignité.
La Cour de cassation a confirmé la décision du tribunal, expliquant que le juge de Milan avait utilisé les mêmes critères établis par la Cour européenne et la Cour de Cassation italienne (détaillés ci-avant).
La portée novatrice de cette décision a été l’affirmation de l’incompatibilité entre le contrôle strictement défensif et la règlementation de l’article 4 du Statut, même après les modifications intervenues en 2015. Les limites de ce type d’instrument sont donc fixées par les principes de la jurisprudence.
Le pouvoir de contrôle par l’employeur des courriels professionnels de ses employés n’est donc pas illimité, même si étayé par un soupçon raisonnable, mais il doit de tout façon se conformer aux règles relatives au traitement des données personnelles.
L'annuaire à Milan
L'agenda à Milan
