Édition Milan

Les contrôles "défensifs" des e-mails des employés: légalité et conséquences

Dans le contexte professionnel actuel, la question de la surveillance des e-mails des employés par l'employeur soulève de nombreux débats en Italie. Un équilibre délicat entre la protection des intérêts et des biens de l'entreprise.

personne utilisant son ordinateur portablepersonne utilisant son ordinateur portable
Photo de Glenn Carstens-Peters sur Unsplash
Écrit par Lablaw
Publié le 24 février 2025

Dans le contexte professionnel actuel, la question de la surveillance des e-mails des employés par l'employeur soulève de nombreux débats. Il s'agit d'un équilibre délicat entre la protection des intérêts et des biens de l'entreprise, qui sont liés à la liberté d'initiative économique, et la nécessité de préserver la dignité et la confidentialité des travailleurs. Est-il légal pour un employeur d'accéder aux e-mails de ses employés? Si oui, dans quel but cette surveillance est-elle justifiée, et jusqu'où peut-on accepter une réduction de la confidentialité? Quelles en sont les limites et les conséquences? Voici les questions les plus pertinentes d’aujourd’hui, notamment en ce qui concerne les limites des contrôles défensifs portant sur les e-mails des employés, en particulier.

Le cadre juridique italien

Tout d’abord, il convient de distinguer le contrôle visant à protéger le patrimoine de l’entreprise et le contrôle strictement défensif, qui sont régis par des normes différentes. Le premier, encadré par l’article 4 du Statut des Travailleurs (Loi n° 300/1970), nécessite un accord avec les organisations syndicales ou, à défaut, une autorisation de l’Inspection nationale du Travail. Il peut inclure différents moyens de surveillance, tels que la vidéosurveillance, la géolocalisation ou des logiciels informatiques, sous réserve d’information préalable des employés. Dans ce contexte, l'employeur doit informer clairement les salariés des modalités d'utilisation de ces outils et des éventuels contrôles effectués, conformément au Règlement général sur la protection des données (RGPD).  En revanche, le contrôle strictement défensif, comme défini par la jurisprudence italienne et par l’article 8 de la CEDH, ne peut être mis en œuvre qu’en présence de certaines conditions. En particulier, la Cour de cassation italienne, dans son arrêt n° 18168/2022, a précisé les conditions de légitimité du contrôle strictement défensif exercé par l’employeur. Elle a affirmé que ce type de surveillance ne peut être mis en œuvre qu’en présence d’un soupçon fondé, lequel doit être raisonnable et non simplement éventuel. De plus, le contrôle doit être strictement ciblé sur les éléments pertinents liés à l’enquête et ne peut s’étendre à des communications sans lien avec l’infraction supposée. L’absence d’information préalable du salarié sur la possibilité d’un tel contrôle a également été jugée comme une violation de ses droits à la confidentialité et à la dignité.

L'ordonnance de la Cour de cassation italienne n° 807/2025

La Cour de Cassation, avec l’ordonnance n° 807/2025, a récemment précisé que les contrôles défensifs ne peuvent être exercés que de manière 'ex post', c'est-à-dire après l'apparition d'un soupçon fondé d'acte illicite. « L’équilibre serait rompu si l’on permettait à l’employeur, à la lumière d’un soupçon fondé, d’étendre le contrôle défensif à toutes les données qui, jusqu’à ce moment-là, ont été collectées et conservées dans le système informatique […] on peut donc, en substance, parler de contrôle ex post uniquement lorsque, à la suite d’un soupçon fondé de l’employeur quant à la commission d’infractions par le salarié, celui-ci procède, à partir de ce moment-là, à la collecte d’informations, et seules ces informations ultérieures pourront justifier l’éventuel exercice de l’action disciplinaire. Il est en revanche interdit à l’employeur de rechercher dans le passé professionnel des éléments confirmant son soupçon et de les utiliser à des fins disciplinaires, car cela reviendrait à légitimer l’usage de preuves collectées auparavant (et archivées dans le système informatique), indépendamment de tout soupçon de comportement illicite de la part du salarié».

Cette définition stricte du contrôle ex post vise à limiter les possibilités d’investigation de l’employeur et à empêcher toute forme de surveillance généralisée des salariés, en protégeant ainsi leur droit à la confidentialité. Toutefois, pour bien comprendre le contexte dans lequel cette décision a été ainsi formulée, il est nécessaire d’analyser également l’arrêt rendu par la Cour d’appel de Milan dans la même affaire. Cet arrêt, qui constitue une étape essentielle du raisonnement juridique ayant mené à l’ordonnance, examine en profondeur la question de l’archivage des données et des fichiers de journalisation (net logs), clarifiant ainsi le cadre dans lequel la Cour de Cassation a pris sa décision.

La question de l’archivage des données et des fichiers de journalisation (net logs)

Les net logs sont des fichiers journaux qui enregistrent l’activité des utilisateurs sur un réseau informatique, notamment les connexions internet, l’accès aux applications et l’envoi ou la réception d’e-mails. Dans l'affaire examinée, la Cour d’appel de Milan, par son arrêt du 14 mars 2022 (n° 235), a constaté que l’employeur avait procédé à un contrôle rétroactif en analysant des données archivées avant même l’apparition du soupçon d’acte illicite. Cette pratique a été jugée contraire à l’article 4 du Statut des travailleurs, entraînant ainsi l’annulation de la procédure disciplinaire. 

Cette décision met en lumière une problématique essentielle : l’archivage des données et la durée de leur conservation. Contrairement à d’autres formes de surveillance, comme la vidéosurveillance, dont la conservation est strictement limitée dans le temps, les net logs peuvent être stockés sur de longues périodes sans qu’une réglementation précise n’en définisse la durée ni les conditions d’utilisation. Cette absence de cadre clair ouvre la porte à des usages potentiellement abusifs, permettant aux employeurs d’accéder à des données collectées bien avant l’apparition d’un soupçon légitime. 

À titre de comparaison, la réglementation italienne en matière de vidéosurveillance est bien plus stricte. L’article 4 du Statut des travailleurs interdit l’installation de caméras permettant un contrôle à distance des salariés, sauf en cas de nécessité organisationnelle, productive, de sécurité ou de protection du patrimoine de l’entreprise. Même dans ces cas, l’employeur doit obtenir un accord avec les représentants syndicaux ou une autorisation de l’Inspection du Travail. En ce qui concerne la conservation des enregistrements, le Garant pour la protection des données personnelles italien a fixé, dans son arrêté général du 8 avril 2010, une durée maximale de conservation de 24 heures, extensible à 48 heures en cas de nécessité spécifique.
Le besoin d'un équilibre entre protection des intérêts de l'entreprise et respect des droits des travailleurs
En l’absence d’un cadre juridique clair sur ces questions, on peut comprendre pourquoi la Cour de Cassation a adopté une définition "rigide" du contrôle ex post sur les courriels professionnels. Sans une telle limite, un employeur pourrait en effet exploiter à tout moment des données accumulées bien avant l’apparition d’un soupçon, ce qui reviendrait à contourner les principes de proportionnalité et de nécessité en matière de contrôle disciplinaire.

Toutefois, cette approche restrictive présente aussi des limites. En interdisant tout recours aux données archivées avant l’apparition d’un soupçon, la jurisprudence peut, dans certains cas, priver les employeurs de moyens de preuve essentiels, notamment lorsque les infractions commises par le salarié ont eu lieu avant que des indices ne permettent de les suspecter.

Cette problématique souligne la nécessité d’une évolution législative adaptée aux nouvelles technologies (on pense par exemple également aux nouvelles technologies liées à l'IA). Les outils numériques modernes permettent une collecte et un archivage des données à une échelle sans précédent, posant de nouveaux défis en matière de protection de la vie privée et de surveillance au travail. Il est donc crucial que le cadre juridique évolue pour définir des règles claires concernant la durée de conservation des données, les conditions d'accès et les modalités de contrôle, afin de protéger à la fois les droits des travailleurs et les intérêts légitimes des employeurs. Un tel cadre juridique permettrait de garantir un équilibre plus juste entre la protection des droits des travailleurs et les besoins légitimes des employeurs, tout en tenant compte des défis posés par la digitalisation croissante des environnements professionnels.

 

avocat angelo quarto milan

 

Sur le même sujet

Lablaw
Écrit par Lablaw
Publié le 24 février 2025, mis à jour le 24 février 2025

Les plus lus

1.

Quand l’intelligence artificielle peut générer des discriminations de genre

Peut-on confier à une machine la prise de décisions qui influencent notre quotidien? L’intelligence artificielle (AI) est omniprésente, intervenant dans des choix tels que l’octroi de crédits, l’accès aux services,...

2.

Les plus belles chansons italiennes qui racontent Milan

3.

L’Italie, meilleure élève d’Europe pour le tri sélectif des déchets

4.

Trois italiennes parmi les dix meilleures « villes des 15 minutes »

Flash infos

    L'annuaire à Milan

    + Ajouter une adresse
    Voir tout

    L'agenda à Milan

    + Ajouter un évènement
    Voir tout
    Pensez aussi à découvrir nos autres éditions

    © lepetitjournal.com 2025

    Suivez-nous sur les réseaux

    Je soutiens lepetitjournal.com
    Réalisé par Plop.