Vie privée et entreprise Etienne WERY – Cabinet ULYS Avocat aux barreaux de Paris et Bruxelles Chargé d’enseignement à Paris I Sorbonne etienne.wery@ulys.net Vie privée et entreprise « Vous qui arrivez ici, laissez votre vie privée au porte-manteaux … »

La ligne de partage « socio-économique » est floue Évolution des valeurs Évolution du droit Télétravail, travail à distance, travail à domicile Mobiles & mobilité Messagerie Flux tendu Contraintes La société « nomade »

La ligne de partage « juridique » est floue Droit à la vie privée Droit à l’image Droits de la personnalité Droit au respect des données à caractère personnel

Une réponse juridique ancienne mais disparate Convention européenne des droits de l’homme (art. 8) La Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (1981) Loi n° 78-17 du 6 Janvier 1978 relative à l'informatique, aux fichiers et aux libertés (dite “Informatique et Libertés ») La directive européenne du 24 octobre 1995 relative à la protection des personnes physiques à l ’égard du traitement des données à caractère personnel et à la libre circulation de ces données Directive 2002/58 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques L. 120-2 Code du travail : « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché.” Loi n° 2004-801 du 6 août 2004 modifiant la loi de 1978

Loi française 06/01/78 Deuxième génération de législations Entrée en vigueur 1978 1981 1984-1992 1995-1998 2002 2004 Loi française modifiée Convention 108 du Conseil de l’Europe 28/01/81 Directive CE 24/10/95 Directive 2002/58

L’apport de Strasbourg Affaire Niemitz/Allemagne (23/11/1992) : « Le respect de la vie privée doit aussi englober, dans une certaine mesure, le droit pour l'individu de nouer et développer des relations avec ses semblables. Il paraît n'y avoir aucune raison de principe de considérer cette manière de comprendre la notion de « vie privée » comme excluant les activités professionnelles ou commerciales : c'est dans leur travail que la majorité des gens ont beaucoup, voire le maximum d'occasions de resserrer leurs liens avec le monde extérieur ».

Un arrêt reçu 5/5 en France Arrêt “Nikon” (Cass., 2/10/2001) : “Vu l'article 8 de la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, l'article 9 du Code civil, l'article 9 du nouveau Code de procédure civile et l'article L. 120-2 du Code du travail ; Attendu que le salarié a droit, même au temps et au lieu de travail, au respect de l'intimité de sa vie privée ; que celle-ci implique en particulier le secret des correspondances ; (…)”

La recherche d’équilibre Le lien de subordination L’autorité Le respect de directives de l’employeur Le respect de la propriété de l’employeur Le droit à la vie privée Y compris sur le lieu du travail

La loi Informatique et Libertés : à la recherche de l’équilibre Etienne WERY – Cabinet ULYS Avocat aux barreaux de Paris et Bruxelles Chargé d’enseignement à Paris I Sorbonne etienne.wery@ulys.net La loi Informatique et Libertés : à la recherche de l’équilibre

Plan Le droit à la vie privée sur le lieu du travail Principes et notion de base de la loi Principe de finalité, de conformité des données et de licéité du traitement Protection accrue de certaines données Les droits des personnes concernées Les obligations du responsable du traitement

Le droit à la vie privée sur le lieu du travail (renvoi) Première partie : Le droit à la vie privée sur le lieu du travail (renvoi)

Principes et notions de base de la loi Deuxième partie : Principes et notions de base de la loi

1. Principe de base de la loi « I&L » Équilibre entre : Le droit des « ficheurs » de traiter les données personnelles Le droit des « fichés » de contrôler ce traitement

2. Notions de base Toute information Donnée à caractère personnel (art. 2 I&L) Sur une personne physique Identifiée ou identifiable

« toute information » Exemples : Information écrite ou chiffrée Information contenue dans une image, une bande son Une empreinte digitale Toute information, peu importe la forme

… identifiée … Informations relatives à une personne physique identifiée Donc la loi ne s’applique pas aux personnes morales (sauf Italie, Luxembourg, Autriche et Suisse!) La loi s’applique néanmoins aux fichiers B to B s’ils contiennent des informations sur des personnes physiques (personnel, administrateurs, directeurs etc.)

… ou identifiable Article 2 : Est réputée identifiable une personne : « qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres » Pour déterminer si une personne est identifiable : « il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne  »

« Traitement de données » Collecte Enregistrement, organisation, modification, consultation, utilisation, transmission, diffusion, Interconnexion Traitement de données Destruction

Traitements Automatisés Non automatisés 3 conditions : 4 conditions Un traitement Automatisé Effectué sur des données Non automatisés 4 conditions Un traitement Non automatisé Effectué sur des données Destinées à un fichier

Notion de « responsable du traitement » Critère : celui qui détermine les finalités et moyens. Personne physique ou morale, association de fait ou administration. Il peut y avoir plusieurs responsables si détermination conjointe des finalités et moyens. Difficulté pratique : Qui détermine les finalités et moyens au sein d’un groupe d’entreprises (une entité juridique décide pour les autres ou décision provenant de plusieurs entités)?

Notion de « sous-traitant » C’est celui qui traite les données pour le compte du responsable Doit être de « qualité » Par exemple : Le prestataire informatique Le secrétariat social Le gestionnaire marketing des clients

Champ d’application de la loi Exclusions totale partielles Traitements liés à des activités exclusivement personnelles (art. 2) Traitements effectués à des fins de sécurité publique Traitements effectués à des fins de journalisme ou d’expression littéraire et artistique

Application territoriale Le responsable est établi sur le territoire français Etabli ? « Le responsable d’un traitement qui exerce une activité sur le territoire français dans le cadre d’une installation, quelle que soit sa forme juridique, y est considéré comme établi » Le responsable sans être établi sur le territoire français ou sur celui d’un autre État membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français, à l’exclusion des traitements qui ne sont utilisés qu’à des fins de transit sur ce territoire ou sur celui d’un autre État membre de la Communauté européenne. Notion de « moyen de traitement ». Cookies ? Formulaire ? Collecte ? Le lieu d’exercice effectif et réel d’une activité au moyen d’une installation stable

Troisième partie : Principes de finalité et de licéité du traitement ; Principe de conformité des données

Principe de licéité (art. 6) Principe de légitimité: Finalité déterminée (précise) et explicite (pas secrète) Finalité légitime : le but ne peut induire une atteinte disproportionnée aux intérêts des personnes Principe de conformité : Utilisation des données en conformité avec la finalité légitime déclarée Données adéquates, pertinentes et non excessives par rapport à la finalité déclarée

Finalité légitimite (art. 7) 1) Consentement de la personne concernée Libre Éclairé Spécifique forme libre 2) Nécessaire au contrat ou à la négociation d’un contrat

Finalité légitimite (art. 7) 3) Nécessaire au respect d’obligations légales (ex : congés de maternité, etc.) 4) Nécessaire sauvegarde de l’intérêt vital (ex : santé) 5) Mission d’intérêt public/autorité publique (ex : police) 6) Intérêt légitime du responsable du traitement sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés de la personne concernée

La balance des intérêts Texte français La réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée Texte européen Le traitement est est nécessaire à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l'intérêt ou les droits et libertés fondamentaux de la personne concernée

Compatibilité des finalités Une fois annoncée, la finalité doit être respectée Les données ne peuvent être utilisées de manière incompatible avec la finalité annoncée

Exemples d’incompatibilité Utilisation à des fins commerciales des données collectées en vue de la réalisation d’un annuaire téléphonique Utilisation des photos d’un badge d’identification pour la réalisation d’une brochure de présentation de l’entreprise Utilisation du fichier clientèle à des fins de prospection marketing tout à fait différente

Quid en cas d’incompatibilité? 2 théories: Si la nouvelle finalité est incompatible, il y a un nouveau traitement qui doit satisfaire à l’ensemble des conditions de la loi pour être admissible Aucune finalité incompatible n’est admissible sans le consentement de la personne concernée

La conformité (art. 6) Données adéquates, pertinentes et non excessives par rapport au but recherché Il faut examiner au cas par cas quelles données sont vraiment nécessaires pour réaliser l’objectif poursuivi. Durée de conservation des données limitée. La durée de conservation ne peut excéder celle nécessaire à la réalisation de la finalité.

Quatrième partie : Protection accrue de certaines données

1. Données particulières Données « sensibles » : révèlent l’origine raciale ou ethnique, les opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données relatives à la santé, données liées à la vie sexuelle. Données judiciaires : relatives à des suspicions, poursuites, condamnations pénales ou administratives

Données sensibles Principe : interdiction de traiter les données Exception : sauf si : consentement exprès données rendues publiques par la personne concernée associations à finalité politique, religieuse,... et pas de communication à des tiers constatation, exercice ou défense d’un droit en justice données anonymisées à bref délai, sous surveillance de la CNIL aux fins de médecine préventive, de diagnostic médicaux, de l’administration de soins, et le traitement est effectué sous la surveillance d’un professionnel des soins de santé L’obligation légale (p.e. droit du travail) est-elle implicite ?

Données judiciaires Principe : traitement réservé à : aux autorités policières/judiciaires auxiliaires de justice … et aux personnes morales (L. 3211 et 331-1 CPI)

Cinquième partie: Les droits des personnes concernées

1. Droit d’être informé De quoi? Au moins : identité resp. du traitement, finalités, caractère obligatoire ou facultatif des réponses et conséquences du refus, destinataire des données, Et de ses droits au terme de la loi : droit de s’opposer au traitement à fins de « direct marketing », existence droit d’accès et rectification, etc.

Droit d’être informé Exception : Quand ? Lors de la collecte, si informations collectées auprès de la personne concernée Lors de l’enregistrement ou de la communication Exception : Impossible ou efforts disproportionnés : il faut justifier et indiquer les motifs dans la déclaration ; idéalement il faudra informer dès le premier contact avec la personne concernée

Droit d’être informé Exemples : Insertion d’une clause type dans un questionnaire, courrier, sur un site web Dans une relation contractuelle : insertion de l’information dans le contrat ou dans les conditions générales Information orale par téléphone Note interne aux employés de l’entreprise Via des formulaires (! Art. 32 !)

2. Droit d’accès Quoi ? Forme ? Confirmation que des données sont ou non traitées Données contenues à son sujet Origine Connaissance de la logique du traitement Information sur les recours Forme ? Justifier de son identité (p.e. courrier daté et signé avec une photocopie de la carte d’identité)

3. Droit de rectification Quand ? Si les données sont : Inexactes Incomplètes Équivoques Périmées Dont le traitement est interdit Que faire ? Selon le cas, exiger que les données soient : Rectifiées Complétées Mises à jour Verrouillées Effacées

4. Droit d’opposition Sur demande datée et signée, droit de s’opposer : A tout traitement, mais seulement en justifiant de raisons sérieuses et légitimes Aux traitement à fins « direct marketing », sans aucune justification

Sixième partie : Les obligations du responsable du traitement

1. Déclaration du traitement Auprès de la CNIL (www.cnil.fr) Ce n’est pas une procédure d’autorisation : c’est une obligation purement administrative de déclaration. Mais, certains traitement sons soumis un régime d’autorisation (données sensibles et judiciaires notamment, et les traitements de l’Etat) Accusé de réception sans délai Procédure simplifiée pour certaines catégories de traitement désignées par la CNIL / Dispense de déclarations pour certains traitements fréquents en entreprise (voir les listes de la CNIL)

2. Sécurité et confidentialité Mesures techniques et organisationnelles requises en tenant compte : de l’état de la technique, de la nature des données à protéger des risques présentés par le traitement Pour préserver la sécurité des données, dont : Empêcher qu’elles soient déformées/endommagées Que des tiers y aient accès Prévention contre les risques externes Prévention contre les risques internes

Sécurité et confidentialité Choix du sous-traitant et garanties contractuelles Choix d’un sous-traitant qui offre des garanties suffisantes quant à la sécurité Contrat doit fixer responsabilité du sous-traitant, indiquer que le sous-traitant ne peut agir que sur instructions du responsable et comporter les indications incombant au sous-traitant Le responsable du traitement est toujours … le coupable

La cybersurveillance des travailleurs : Mise en œuvre Etienne WERY – Cabinet ULYS Avocat aux barreaux de Paris et Bruxelles Chargé d’enseignement à Paris I Sorbonne etienne.wery@ulys.net La cybersurveillance des travailleurs : Mise en œuvre

Plan Quelques dispositions phares du Code du travail La jurisprudence de la CNIL Les grands arrêts des cours d’appel et de cassation Les constats d’huissier sur l’internet

Quelques dispositions phares du Code du travail Première partie : Quelques dispositions phares du Code du travail

1. Principe de proportionnalité Article 120-2 CT : “Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché.”

2. Information individuelle Article 121-8 CT : “Aucune information concernant personnellement un salarié ou un candidat à un emploi ne peut être collectée par un dispositif qui n'a pas été porté préalablement à la connaissance du salarié ou du candidat à un emploi.”

3. Information collective Article 432-2-1 CT : “Le comité d'entreprise est informé, préalablement à leur utilisation, sur les méthodes ou techniques d'aide au recrutement des candidats à un emploi ainsi que sur toute modification de ceux-ci. Il est aussi informé, préalablement à leur introduction dans l'entreprise, sur les traitements automatisés de gestion du personnel et sur toute modification de ceux-ci.”

4. Discussion collective Article 432-2 CT : “Le comité d'entreprise est informé et consulté, préalablement à tout projet important d'introduction de nouvelles technologies, lorsque celles-ci sont susceptibles d'avoir des conséquences sur l'emploi, la qualification, la rémunération, la formation ou les conditions de travail du personnel. Les membres du comité reçoivent, un mois avant la réunion , des éléments d'information sur ces projets et leurs conséquences quant aux points mentionnés ci-dessus” Article 432-2-1 CT : “Le comité d'entreprise est informé et consulté, préalablement à la décision de mise en oeuvre dans l'entreprise, sur les moyens ou les techniques permettant un contrôle de l'activité des salariés.”

Représentation syndicale Article 412-8 CT : “Un accord d'entreprise peut autoriser la mise à disposition des publications et tracts de nature syndicale, soit sur un site syndical mis en place sur l'intranet de l'entreprise, soit par diffusion sur la messagerie électronique de l'entreprise. Dans ce dernier cas, cette diffusion doit être compatible avec les exigences de bon fonctionnement du réseau informatique de l'entreprise et ne pas entraver l'accomplissement du travail. L'accord d'entreprise définit les modalités de cette mise à disposition ou de ce mode de diffusion, en précisant notamment les conditions d'accès des organisations syndicales et les règles techniques visant à préserver la liberté de choix des salariés d'accepter ou de refuser un message.”

La jurisprudence de la CNIL Deuxième partie : La jurisprudence de la CNIL

Quelques idées fausses Le PC n’est pas en tant que tel protégé par la loi Il est la propriété de l’entreprise Sa finalité est d’abord professionnelle, et subsidiairement privée Le mot de passe est une mesure de sécurité, et non d’intimité Une limitation de l’usage du PC n’est pas, en soi, une atteinte à la vie privée L’entreprise fait ce qu’elle veut si elle informe les travailleurs La loi I&L peut très bien limiter la volonté de l’entreprise (ex. le contrôle d’accès via empreinte digitale)

Contrôler l’accès/l’usage de l’internet Interdiction générale semble disproportionnée Le filtrage est une mesure de prévention -> information Certaines mesures semblent proportionnées L’interdiction de téléchargement L’interdiction de connexion à des forums ou “chat” L’interdiction d’accès à un webmail Contrôle a posteriori doit privilégier une restitution globale. L’individualisation doit rester l’exception. Doit être signalé préalablement Le contrôle individuel doit être déclaré à la CNIL. La durée de conservation est critique.

Contrôler la messagerie Une tolérance privée doit être admise. Une interdiction pure et simple serait inopérante car malgré tout cela n’autorise pas la lecture de courriels privés. Un courriel envoyé/reçu est présumé professionnel sauf indication contraire manifeste (« sujet » « répertoire ») Scanner tout le disque alors que l’employé à préalablement demandé d’enlever des courriels privés rend le constat illégal Les outils de mesure de la fréquence ou de la taille des fichiers transmis peuvent avoir un fondement sécuritaire justifié. Tout message rejeté doit suivre des règles d’archivage claires et transparentes. Toute mesure de contrôle individuel est soumise à déclaration préalable à la CNIL

L’administrateur-réseau Fonction de base = sécurité et continuité du système. La prise de connaissance et l’indiscrétion sont inhérentes à la fonction. La loi I&L ne s’y oppose pas. Les outils de « prise de main à distance » sont aussi inhérents à la fonction si la mise en œuvre est raisonnable. Le contrôle du caractère raisonnable est opéré a posteriori, selon un principe de la voie la moins dommageable. La réutilisation pour des finalités autres que la sécurité et la continuité du système est contraire à la loi I & L, même sur ordre hiérarchique. Il y a une obligation de confidentialité à l’égard des informations privées et du secret de la correspondance dès que l’on sort du cadre de la fonction de l’administrateur. Le contrat devrait prévoir des critères permettant à l’administrateur de faire son calcul d’équilibre des valeurs

Les droits collectifs L’article 412-8 CT a été modifié par la loi du 4 mai 2004 : “Un accord d'entreprise peut autoriser la mise à disposition des publications et tracts de nature syndicale, soit sur un site syndical mis en place sur l'intranet de l'entreprise, soit par diffusion sur la messagerie électronique de l'entreprise. Dans ce dernier cas, cette diffusion doit être compatible avec les exigences de bon fonctionnement du réseau informatique de l'entreprise et ne pas entraver l'accomplissement du travail. L'accord d'entreprise définit les modalités de cette mise à disposition ou de ce mode de diffusion, en précisant notamment les conditions d'accès des organisations syndicales et les règles techniques visant à préserver la liberté de choix des salariés d'accepter ou de refuser un message.” Définir les mesures garantissant la confidentialité des échanges

La prise de main Principe général de « suspicion » Si le but est le contrôle, il semble disproportionné et contraire à la loi I & L Si le but est de permettre à l’administrateur de faire son travail, cela semble proportionné et acceptable, moyennant conditions : L’information préalable et l’accord de l’utilisateur pour donner la “main à l’administrateur” (ex.: validation d’un message-requête) La traçabilité des opérations de maintenance (ex.: tenue d’un registre des interventions) La clarification et la responsabilisation via le contrat de l’administrateur ou du sous-traitant Ces outils ne sont pas soumis à déclaration si le seul but est la maintenance informatique

Les fichiers de journalisation Fichier de journalisation = mesure de sécurité, qui identifie et enregistre toutes les connexions ou tentatives de connexion à un système automatisé d’informations C’est non seulement légal mais recommandé quand cela protège des informations personnelles En tant que tel, l’outil n’est pas soumis à déclaration ; il l’est parfois : s’il est associé à des traitement d’informations nominatives comme corolaire d’un traitement principal soumis à déclaration Si l’analyse du journal permet des traitement nominatifs La mise en œuvre doit être transparente ; la durée de conservation est cruciale

Accès aux données informatiques en cas d’absence d’un employé Le droit du travail requiert de communiquer tout ce qui est nécessaire à la continuité de l’entreprise Il faut une réflexion a priori et une transparence dans les mesures prises Dans la mise en œuvre il faut choisir la voie la moins dommageable

Les grands arrêts Des cours d’appel et de cassation Troisième partie : Les grands arrêts Des cours d’appel et de cassation

Cass. 2/10/2001 (Nikkon) Monsieur O., employé auprès de la s.a. Nikon, est licencié pour motifs graves. L'une des fautes reprochées est l'usage, à des fins personnelles, du matériel mis à sa disposition par la société dans un but professionnel (en l'espèce, un ordinateur). Pour établir les faits reprochés, l'employeur avait, en l'absence du travailleur et sans l'en avertir, ouvert et reproduit sur disquette le fichier intitulé "Personnel" de l'ordinateur mis à disposition du travailleur. La Cour de cassation se penche sur le droit à la vie privée sur les lieux du travail. Elle en confirme l'existence dans des termes tranchés

CA Toulouse, 6/2/2003 “Il a ainsi été jugé que constitue une violation du secret des correspondances privées la lecture par l’employeur d’un message qui, bien que ne comportant pas expressément dans son objet la mention « personnel », est classé automatiquement dans un dossier qualifié de « personnel » et fait référence dans son objet aux vacances, avec une formulation et une orthographe familières. Avant d’accéder à un courriel, l’employeur doit donc vérifier que l’objet du message ne lui confère pas un caractère manifestement personnel.” (Extrait du site de la CNIL)

CA Versailles, 2/4/2003 “Une solution identique a été retenue lorsque l’employeur, pour établir que le salarié a créé une société concurrente, se fonde sur le seul contenu des messages qu’il a découverts en se faisant remettre par un huissier l’ordinateur portable du salarié et en examinant l’ensemble du disque dur sans satisfaire à la demande préalable de restitution de ses fichiers personnels émise par ce dernier.” (Extrait du site de la CNIL)

CA Paris, 17/12/2001 “La préoccupation de la sécurité du réseau justifiait que les administrateurs de systèmes et de réseaux fassent usage de leurs positions et des possibilités techniques dont ils disposaient pour mener les investigations et prendre les mesures que cette sécurité imposait - de la même façon que la poste doit réagir à un colis ou une lettre suspecte. Par contre, la divulgation du contenu des messages, et notamment du dernier qui concernait le conflit latent dont le laboratoire était le cadre, ne relevait pas de ces objectifs.”

Cass., 6/2/2001 “L’obligation de loyauté impose à l’employé absent de son poste de travail en raison d’un congé ou d’un « arrêt maladie » à communiquer à l’employeur qui en fait la demande tout document nécessaire à la poursuite de l’activité de l’entreprise.”

Cass., 18/3/2003 “La jurisprudence impose au salarié de communiquer son mot de passe ou les fichiers en sa possession lorsque le bon fonctionnement de son entreprise dépend des données détenues par cet employé.” (Extrait du site de la CNIL)

Cass., 17/5/2005 Pour la cour de cassation, sauf risque ou événement particulier, l’employeur ne peut ouvrir les fichiers identifiés par le salarié comme personnels contenus sur le disque dur de l’ordinateur mis à sa disposition qu’en présence de ce dernier ou celui-ci dûment appelé. En l'espèce, la cour de cassation estime que la cour d'appel, en statuant comme elle l’a fait, alors que l’ouverture des fichiers personnels, effectuée hors la présence de l’intéressé, n’était justifiée par aucun risque ou événement particulier, a violé la loi.

Les constats d’huissier sur l’internet Quatrième partie : Les constats d’huissier sur l’internet

7 règles d’or Décrire le matériel qui a servi aux constatations : hardware et software. Préciser qui intervient : le requérant ou l’huissier (recommandé) En cas d’accès à une information à diffusion restreinte (p.e. forum), expliquer comment l’accès a eu lieu. Mentionner l’adresse IP de l’ordinateur à partir duquel les constatation sont faites. Purger préalablement les répertoires de stockage temporaires (mémoire cache) et le confirmer dans le constat. Utiliser une connexion sans Proxy et le confirmer dans le constat. Vider l’historique de navigation et l’ensemble des cookies et le confirmer dans le constat.