La Grande Chambre de la Cour européenne des droits de l’homme (CEDH) a rendu, mardi 5 septembre, un arrêt qui précise les principes du respect de la vie privée et de la correspondance des salariés. L’affaire concerne Bogdan Mihai Barbulescu, ingénieur roumain licencié en 2007. Son employeur avait enregistré à son insu des échanges personnels qu’il avait eus sur sa messagerie professionnelle, en infraction avec le règlement intérieur. Des juridictions nationales ont débouté cet ingénieur qui contestait son licenciement, suivies, le 12 janvier 2016, par la CEDH, qui estimait la surveillance de l’employeur « raisonnable ».

Mais la Grande Chambre, instance d’appel, juge que l’article 8 de la Convention européenne des droits de l’Homme, relatif au droit au respect de la vie privée et de la correspondance, a été violé : « Les instructions d’un employeur ne peuvent réduire à néant l’exercice de la vie privée et sociale sur le lieu de travail » et les juridictions roumaines n’ont pas vérifié qu’il y avait un « juste équilibre » entre les intérêts en jeu. Pour cela, tout employé doit être informé, à l’avance, de la nature de la surveillance, de son étendue et de ses raisons.

Dans l’Hexagone, la Cnil et le droit du travail permettent cette protection. « Les salariés français sont invités à indiquer “personnel et confidentiel” dans l’objet des mails qui le seraient », explique Me Maria Lancri, avocate au cabinet GGV. Si leur employeur a un soupçon, il doit le justifier et ne pourra ouvrir ces mails qu’en leur présence ou celle d’un huissier nommé par référé au conseil de prud’hommes.

Pour Me Albane Lafanechère (Colbert Avocats), cet arrêt anticipe l’entrée en application, en mai 2018, du règlement européen sur la protection des données personnelles adopté en mai 2016, qui va plus loin (lire Entreprise & Carrières n° 1341). « Les employeurs devront désormais vérifier, par une analyse d’impact documentée, si leur système de surveillance est proportionné au risque d’atteinte à la vie privée de leurs salariés », explique-t-elle. La tenue d’un registre des activités de traitement sera obligatoire au-delà de 250 salariés. « Mais toute entreprise devrait le faire, assure Me Lafanachère, d’autant que la Cnil aura un pouvoir de contrôle et de sanction accru. »