Le 22 août 2012, la Commission de la Protection de la Vie Privée (CPVP) a publié sur son site internet un dossier « cybersurveillance » reprenant quelques recommandations sur l’accès de l’employeur aux communications électroniques de son personnel et sur le contrôle de celles-ci.
A ce sujet, la Commission de la Protection de la Vie Privée estime à l’instar des recommandations formulées pendant l’année 2000, que l’employeur ne peut utiliser son infrastructure informatique comme outil de contrôle des courriers électroniques de ses travailleurs. Par contre, elle estime aujourd’hui de manière plus explicite que la simple utilisation de cette infrastructure informatique par les travailleurs ne peut pas empêcher l’employeur de contrôler les communications électroniques de son personnel ou d’y avoir accès.
Ci-après, nous essayons de tracer les grandes lignes de ces nouvelles recommandations. A noter toutefois qu’il s’agit seulement de recommandations et non de règles juridiques.
1. Recommandations de base
- La Commission de la Protection de la Vie Privée recommande aux employeurs d’élaborer des règles préventives (sur le plan juridique, en lien avec le management et sur le plan technique; par exemple, l’interdiction d’envoyer des courriers personnels) ainsi que des procédures préventives (par exemple pour le classement d’e-mails, de documents, de fichiers) afin d’éviter que survienne le besoin dans le chef de l'employeur de contrôler et d’accéder à des informations personnelles des travailleurs;
- Un devoir de rigueur incombe également aux travailleurs (par exemple, ceux-ci doivent veiller à d’avantage protéger les données à caractère personnel à l’égard de tiers).
2. Recommandations en cas de contrôle de l’utilisation du courrier électronique et en cas de surveillance par caméras
- La Commission de la Protection de la Vie Privée recommande à l’employeur de s’assurer du principe de légitimité; (par exemple, ne contrôler des données à caractère personnel que dans les cas autorisés par la Loi sur la Vie Privée (LVP)).
- Elle recommande également de limiter les ingérences possibles dans la vie privée des travailleurs (par exemple, chaque intrusion dans les données à caractère personnel doit être motivée) et d’encadrer les opérations de surveillance et de contrôle (par exemple, prévoir des règles particulières pour l’accès et l’utilisation par le gestionnaire du système).
- Il est également recommandé d’assurer le respect des règles et de renforcer la sécurité de la surveillance et du contrôle (par exemple, faire entretenir et gérer les outils et les réseaux par un prestataire externe)
3. Recommandations pour l’établissement de règles de conduites pratiques afin de tenir compte de la Loi sur la vie privée
La Commission de la Protection de la vie privée propose les règles de conduite suivantes:
- Séparez au maximum les informations professionnelles des informations privées (par exemple, en précisant dans la politique ICT, les informations qui ont un caractère purement privé).
- Bannissez certaines opérations dangereuses (par exemple, par le blocage de l’accès à certains sites internet).
- Encadrez l'accès aux communications personnelles (utilisez par exemple des répertoires spécifiques et s’il y a des messages à sélectionner, désignez une personne de confiance neutre soumise au devoir de confidentialité et habilitée à apprécier la qualité du message).
- Limitez la surveillance aux données nécessaires et ne réutilisez pas des données collectées (par exemple, examinez de manière globale les logs, les journaux et les traces avant de procéder à un examen individuel).
- Instaurez des incompatibilités dans les droits d'accès pour une même personne. Un utilisateur ne devrait pas pouvoir dissimuler ses actions illicites par exemple, en pouvant modifier les traces générées par ses actions.
- Gérez des traces (instauration par exemple, de la possibilité de contrôler le respect de la bonne exécution des procédures)
- Définissez de règles de fonctionnement (par exemple, définir des règles à appliquer pour l’"Out of Office").
Nous pouvons donc conclure que l’accès au courrier électronique ou aux informations extraites des réseaux internet n’est pas simplement une question de surveillance mais concerne aussi la gestion et l’organisation des activités de l’employeur.
Bien que l’employeur ait un droit légitime d’accès à ces informations, il devra toujours tenir compte de la protection de la vie privée du travailler bien que cela concerne son activité professionnelle. Ce principe est imposé par les dispositions légales que l’employeur qui souhaite prendre connaissance du courrier et des communication électroniques dont l’utilisation par les travailleurs est de plus en plus généralisée, doit respecter.
Cette procédure peut être évitée en demandant aux travailleurs d'utiliser une adresse e-mail personnelle pour leurs e-mails privés, et non l'adresse e-mail mise à leur disposition pour pouvoir exécuter leurs activités professionnelles. Si l'employeur a précisé dans sa politique ICT que le double usage de son système d'e-mails (professionnel et privé) est interdit, il peut en principe considérer que les e-mails ont un caractère professionnel, en particulier pour les messages émis par le travailleur.
L’employeur devra par contre agir avec plus de circonspection lorsqu’il s’agit d’e-mails entrants étant donné que le travailleur n’en est pas l’auteur. Si l'employeur tombe néanmoins sur un e-mail privé lors d’un accès direct, il en prend connaissance de manière légitime. Cela ne signifie pas pour autant qu'un e-mail privé dont l'employeur prend ainsi connaissance puisse ensuite être utilisé pour un but quelconque (par exemple, l’utilisation dans une intention frauduleuse ou en vue de nuire au travailleur ou à un tiers). Une utilisation ultérieure de cet e-mail devra également respecter les exigences de la Loi sur la vie privée.
Lorsque les employeurs ne peuvent ou ne veulent pas abandonner la double utilisation de leur système d'e-mails, ils devront inévitablement accepter qu'un membre du personnel puisse faire valoir des attentes supérieures en matière de vie privée à l'égard de sa boîte aux lettres électroniques. On peut en effet difficilement défendre une interdiction absolue d'utiliser le système d'e-mails à des fins privées, même de manière limitée.
Des informations supplémentaires sont disponibles sur le site http://www.privacycommission.be sous la rubrique « Thèmes de vie privée ».