Les dossiers et fichiers créés par un salarié grâce à l’outil informatique mis à sa disposition par son employeur pour l’exécution de son travail sont présumés, sauf si le salarié les identifie comme étant personnels, avoir un caractère professionnel de sorte que l’employeur peut y avoir accès hors sa présence (Cass. soc., 18 octobre 2006, n° 04-48.025).

Un employeur peut donc accéder aux fichiers du salarié non identifiés comme « personnels » en dehors de la présence de ce dernier. Mais qu’en est-il si le salarié a sur son ordinateur professionnel renommé le disque dur « Données personnelles » ? Est-ce que l’employeur peut contrôler les fichiers stockés sur cet ordinateur ? C’est la question à laquelle a dû répondre en 2012 la Cour de cassation.

Rappel des faits

Un employé de la SNCF avait été radié des cadres pour avoir stocké sur son ordinateur professionnel un très grand nombre de fichiers à caractère pornographique ainsi que de fausses attestations.

Le salarié avait alors contesté la rupture du contrat de travail en soutenant que les fichiers contenus sur le disque dur de son ordinateur devaient être considérés comme ayant un caractère personnel dans la mesure où le disque dur avait été renommé « données personnelles ». Ainsi, selon ses arguments l’employeur ne pouvait pas consulter ces fichiers en dehors de sa présence.

Pour l’employeur, le disque « D » était dénommé par défaut « D:/données » et servait traditionnellement aux agents à stocker leurs documents professionnels.

Décision de la Cour de cassation

La Cour avait alors rejeté le pourvoi du salarié en retenant que :

  • Les fichiers créés par le salarié à l’aide de l’outil informatique mis à sa disposition par l’employeur pour les besoins de son travail sont présumés avoir un caractère professionnel, de sorte que l’employeur est en droit de les ouvrir en dehors de sa présence, sauf s’ils sont identifiés comme étant personnels, la dénomination donnée au disque dur lui-même ne peut conférer un caractère personnel à l’intégralité des données qu’il contient ;
  • La dénomination « D:/données personnelles » du disque dur de l’ordinateur du salarié ne pouvait lui permettre d’utiliser celui-ci à des fins purement privées et en interdire ainsi l’accès à l’employeur, en a légitimement déduit que les fichiers litigieux, qui n’étaient pas identifiés comme étant « privés » selon les préconisations de la charte informatique, pouvaient être régulièrement ouverts par l’employeur.

Le salarié avait alors saisi la Cour Européenne des Droits de l’Homme d’un recourt contre cet arrêt de la chambre sociale de la Cour de cassation (Cass. soc. 4-7-2012 n° 11-12.502 F-D).

Décision de la Cour européenne des droits de l’Homme

Le salarié s’est alors plaint d’une violation de son droit au respect de sa vie privée résultant du fait que son employeur a ouvert en-dehors de sa présence des fichiers personnels figurant sur le disque dur de son ordinateur professionnel. Il invoque l’article 8 de la Convention européenne des droits de l’homme qui dispose que :

  1. Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance.
  2. Il ne peut y avoir ingérence d’une autorité publique dans l’exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu’elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l’ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d’autrui.

La Cour a considéré :

  • Qu’un salarié ne pouvait « utiliser l’intégralité d’un disque dur, censé enregistrer des données professionnelles, pour un usage privé » ;
  • Qu’« en tout état de cause, le terme générique de « données personnelles » pouvait se rapporter à des dossiers professionnels traités personnellement par le salarié et ne désignait donc pas de façon explicite des éléments relevant de la vie privée ».

Elle confirme ainsi la jurisprudence de la Cour de cassation. Il n’y a donc pas eu violation de l’article 8 de la Convention. Le fait de renommer un disque dur sur un ordinateur professionnel « Données personnelles », ne confère donc pas à celui-ci un caractère personnel.

CEDH 22-2-2018 n° 588/13