Le fait d’utiliser son matériel informatique personnel pour travailler a des implications importantes, à la fois en matière de respect de la vie privée pour le salarié et de secret des affaires pour l’entreprise. Maître Eric A. Caprioli du cabinet d’avocats Caprioli & Associés expose un cas récemment tranché par la Cour afin de présenter les conditions de recevabilité d’une preuve dite « illicite ».
Certaines pratiques d’entreprises peuvent leurs causer de graves préjudices en termes de violation de la confidentialité des données internes. Tel peut être le cas de l’usage du BYOD (Bring Your Own Device), à savoir l’utilisation des équipements personnels du salarié à titre professionnel. Cette pratique met en lumière la difficile conciliation entre le droit des salariés au respect de la vie privée et le secret des affaires de l’entreprise. La Cour de cassation (Chambre sociale, 25 septembre 2024, n°23-13.992) a rendu un arrêt sur cette délicate question juridique.
Le contexte juridique
En autorisant l’usage d’équipements personnels dans le cadre du travail des salariés, l’employeur s’expose au risque de se voir déclarer avoir renoncé (en tout ou partie) au contrôle du matériel informatique dédié aux tâches professionnelles.
Une telle situation soulève des interrogations, notamment lorsque l’accès aux dossiers personnels d’un salarié par son employeur constitue une atteinte à sa vie privée. La Cour de Cassation, dans un arrêt remarqué, avait consacré ce droit fondamental dans les relations de travail (Cour de cassation, Chambre sociale, 2 octobre 2001, n°42-42.942) imposant de différencier les fichiers professionnels des fichiers « privés ».
Dans ce type de litiges, les juges se sont exprimés à plusieurs reprises sur le cas particulier de la consultation de clés USB par l’employeur. La connexion d’une clé USB à un poste de travail professionnel laisse présumer de son utilisation professionnelle (Chambre sociale, 12 février 2013, n°11-28.649) et les fichiers non labelisés comme étant personnels peuvent être consultés hors la présence du salarié. En revanche, la consultation du contenu de la clé USB personnelle d’un salarié par l’employeur requiert la présence dudit salarié, ce dernier étant tenu d’en assurer l’accès (Cour de cassation, Chambre sociale, 5 juillet 2017, n°16-12.386).
Selon les dispositions du Code du travail (Article L. 1121-1 du Code du travail) et une jurisprudence bien établie de la Cour de cassation, il a récemment été reconnu par cette dernière qu’il y a atteinte à la vie privée d’une salariée lorsque son employeur accède aux fichiers enregistrés sur une clé USB non connectée à un ordinateur en son absence. Or, le licenciement pour faute de la salariée a été confirmé en estimant recevable la preuve issue de la clé litigieuse dans un contexte spécifique (Cour de cassation, Chambre sociale, 25 septembre 2024, n°23-13.992). Cet arrêt interroge quant à la recevabilité d’une preuve illicite selon les dispositions du Code civil (Article 9) et du Code de Procédure civile (Article 9).
La décision de la Cour de cassation
En l’espèce, après avoir été alerté par ses équipes d’un comportement suspect d’une salariée, un employeur a consulté des clés USB lui appartenant, posées sur le bureau de cette dernière. Il a constaté une violation de l’obligation de discrétion incombant aux employés de la société, étant précisé que des informations ayant trait à la fabrication des produits avaient été copiées sur l’ordinateur de la dirigeante de l’entreprise alors qu’il n’y avait pas de justification professionnelle, ni d’autorisation de le faire. Par conséquent, la salariée est licenciée pour faute, après avoir copié de nombreux fichiers sensibles sur plusieurs clés USB.
Cette dernière saisie alors le conseil des prud’hommes pour contester son licenciement. Elle relève que la consultation des clés litigieuses a eu lieu en son absence et que celles-ci n’étaient pas connectées au poste de travail. Elle estime ainsi illicites les preuves utilisées pour justifier son licenciement.
Déboutée en appel (CA Lyon, 25 janvier 2023, n°19/06601), la chambre sociale de la Cour de cassation s’intéresse ici au droit à la preuve de l’employeur. Bien qu’une atteinte à la vie privée de la salariée soit constatée, les juges effectuent une mise en balance des intérêts du demandeur/employeur et de ceux de la salariée. Selon le droit de la preuve garanti par la Convention européenne des droits de l’homme (art. 6, CEDH), un élément obtenu de manière illicite ou déloyal peut être recevable dès lors qu’il est légitime, indispensable et proportionné au but poursuivi.
En ce sens, la Cour de cassation relève que la volonté de la direction de l’entreprise de préserver la confidentialité de ses affaires répond à une finalité légitime. Par ailleurs, les témoignages des collègues de bureaux sur le comportement suspect de la salariée justifiaient le contrôle des clés USB. La présence d’un expert au cours de la consultation de la clé démontre également du caractère proportionné de la collecte de la preuve. A juste titre, elle souligne que l’intervention d’un commissaire de justice pour extraire seulement les données litigieuses de la clé USB constitue une garantie de recevabilité des éléments de preuve.
Dès lors, la présente décision précise les contours du pouvoir légitime de surveillance de l’employeur et s’inscrit comme une nouvelle illustration de l’exception de recevabilité de la preuve illicite. Malgré la reconnaissance d’une atteinte à la vie privée du salariée, la Cour de cassation exerce un contrôle de proportionnalité mesuré, visant à trouver un compromis entre les intérêts divergents de l’entreprise et de la salariée. En privilégiant la confidentialité des affaires dans son analyse, la Cour de cassation écarte les problématiques relatives à la présomption de l’utilisation personnelle d’une clé USB non connectée au poste de travail, concentrant son analyse sur le principe de proportionnalité.
A l’heure où les postes de travail évoluent vers l’utilisation de services de cloud computing avec des accès contrôlés, cette décision rappelle l’importance des mesures atténuant les atteintes à la vie privée du salarié dans le cadre de la collecte des preuves. Afin de concilier la protection des données sensibles et le respect de la vie privée des salariés, l’adoption de politiques claires par les entreprises, notamment par l’élaboration d’une charte informatique définissant les usages autorisés et les mesures de sécurité à appliquer, se présente comme une solution optimale pour garantir la sécurité du patrimoine informationnel de l’entreprise et le respect des droits individuels des salariés.
Sources:
Eric A. Caprioli, avocat à la Cour de Paris
Caprioli & Associés, société d’avocats membre du réseau JurisDéfi
Les avis d’experts sont publiés sous l’entière responsabilité de leurs auteurs et n’engagent en rien la rédaction