RGPD et surveillance des emails personnels des salariés

Pouvez-vous surveiller les mails de vos salariés qui utilisent leur adresse professionnelle pour échanger des messages personnels ?

Une importante décision a été rendue par la CEDH¹ (Cour Européenne des Droits de l’Homme) concernant l’utilisation par un salarié de la messagerie électronique de son entreprise à des fins personnelles. La décision arrive quelques mois seulement avant la mise en application du Règlement Général Européen sur la Protection des Données (RGPD) et aura sans doute une incidence sur la gestion des données personnelles de vos salariés !

L’usage privé de la messagerie est possible mais limité

Les emails échangés par le biais de la messagerie professionnelle d'un salarié sont présumés avoir un caractère professionnel et l'employeur peut les consulter même lorsque le salarié est absent. Toutefois, afin de concilier vie privée et vie professionnelle, il existe des tempéraments à ce principe : le salarié a le droit de transmettre son adresse e-mail professionnelle à son entourage privé et il devra identifier l'objet de ses mails personnels comme étant privés. Dans ce cas de figure, l’employeur n’est pas autorisé  à les consulter.

CEDH : la surveillance des mails privés porte atteinte à la vie privée des salariés

Dans cette affaire, un ingénieur roumain a été licencié par son employeur qui en surveillant ses emails, a constaté qu’il avait utilisé la messagerie de la société à des fins personnelles. Suite à des recours internes non concluants pour le salarié, il saisit la Cour Européenne des Droits de l’Homme sur la question de l’atteinte à la vie privée et la surveillance de sa messagerie professionnelle utilisée à des fins personnelles. La haute juridiction  considère que la surveillance des mails privés du salarié par l’employeur et son licenciement ont porté atteinte à sa vie privée. Et plus largement, la Cour a précisé que le "respect de la vie privée et la confidentialité des communications" s'imposaient en milieu professionnel, même si des limitations sont parfois nécessaires.

RGPD et communications privées sous surveillance

Toutes les entreprises ayant au moins un salarié traitent des données personnelles décrites à l’article 4 du RGPD. En cas de contrôle, tout employeur doit être en mesure de justifier la finalité du traitement des données de ses salariés et ce par le biais du registre des activités de traitement obligatoire depuis le 25 mai 2018 (art 30 RGPD).  Alors que les communications privées correspondent à la définition des données personnelles, les entreprises doivent prouver qu’elles ont des raisons légitimes de collecter et surveiller ces données.

Sachez que la collecte et le traitement de données personnelles ne sont licites que si un des fondements juridiques prévus par le Règlement justifie le traitement : un contrat avec la personne (contrat de travail par exemple), conformité avec une obligation légale, intérêt vital (protéger l’intégrité d’une personne par exemple), mission d’ordre public,  intérêt légitime qui ne doit pas porté atteinte aux droits et libertés des salariés (par exemple l'atteinte à la vie privée), le consentement du salarié clair et non équivoque.

Pour vous accompagner dans la gestion des données personnelles de vos salariés,  nous vous proposons notre registre des activités de traitement conforme au RGPD et prêt à l'emploi.

¹ CEDH, 5 sept. 2017, n° 61496/08, Bărbulescu c. Roumanie

->Le droit du travail vous assomme ? Simplifiez-vos démarches avec notre service d'accompagnement juridique à destination des entreprises (PME, commerces, associations, artisans ...)