Un employeur ne peut pas installer un logiciel espion destiné à surveiller l'activité de l'employé à son insu

Selon un arrêt du Tribunal fédéral du 17 janvier 2013 (8C_448/2012, arrêt en italien), un employeur qui soupçonne un de ses employés de faire un usage abusif des moyens informatiques ne peut pas installer à son insu un logiciel espion destiné à surveiller son activité.

L’affaire a eu lieu au Tessin. Un suppléant du commandant d’une organisation régionale de la protection civile a été licencié avec effet immédiat. Cet employé était soupçonné d’utiliser exagérément l’installation informatique de l’employeur à des fins non professionnelles. Afin de confirmer ces soupçons, l’employeur a installé un logiciel espion (spyware) qui a fonctionné plus de trois mois et a révélé ce que faisait l’employé (notamment, les sites visités et les e-mails, mais aussi des captures d’écran d’opérations confidentielles comme l’e-banking, ou privées). L’employeur s’est rendu compte que le temps consacré à ces activités non professionnelles était important, ce qui a conduit au licenciement immédiat de l’employé.

La Première Cour de droit social du Tribunal fédéral a confirmé le jugement du Tribunal administratif tessinois, estimant que l’utilisation du logiciel espion était illicite dans ces circonstances. En effet, l'art. 26 de l’Ordonnance 3 du 18 août 1993 relative à la loi sur le travail (OLT 3) interdit d’utiliser des systèmes de surveillance dans le but de surveiller le comportement des travailleurs à leur poste de travail. Le Tribunal fédéral a jugé que la mesure était disproportionnée. Il a confirmé que l’employeur a un intérêt légitime à s’assurer des performances de ses employés et à lutter contre les abus. Cependant, il a rappelé qu’il existe des moyens moins intrusifs pour atteindre ces buts : le blocage de certains sites, l’analyse du trafic Internet et des e-mails. La protection des données doit toutefois être respectée.

Complément d’information

Le Préposé fédéral à la protection des données et à la transparence a émis les recommandations suivantes.

Concernant la vidéosurveillance, l’employeur est tenu de protéger et de respecter la santé et la personnalité du travailleur (art. 328 du Code des obligations, CO). L’art. 26 OLT 3 doit en outre être respecté. Par exemple, la vidéosurveillance est autorisée pour des motifs d’organisation, de sécurité ou de contrôle de la production. (Il faut noter que l’art. 26 OLT 3 n’est pas applicable si la surveillance est exercée sans système de surveillance.)

Plus d’informations ici.

Concernant la surveillance des télécommunications (navigation Internet, e-mails), il revient à l’employeur de décider d’autoriser ou non les employés à utiliser ces moyens à des fins privées (art. 321 CO). Il est recommandé pour l’employeur d’établir un règlement sur cette surveillance et de le faire lire, comprendre et signer par chaque employé. La surveillance continue d’un employé réalisée par l’analyse des journaux (logs) est interdite ; quant aux programmes permettant de scanner le contenu des e-mails, le risque d’atteinte à la personnalité est évident. Les messages privés annoncés comme tels ne peuvent pas être scannés.

Par contre, une analyse globale et anonyme des journaux (logs), dans le but de contrôler que le règlement est respecté, est autorisée. Cependant, une surveillance personnelle est possible si le règlement la prévoit quand un abus a été constaté ou qu’on soupçonne qu’il y en a un (tenter d’accéder à un site bloqué n’est pas considéré comme un abus).

Il faut encore se rendre compte qu’en cas d’absence de règlement, l’employé peut quand même commettre un abus et violer son devoir de loyauté envers son employeur.

Plus d’informations ici.

(Sources : Neue Zürcher Zeitung, Tribunal fédéral, Préposé fédéral à la protection des données et à la transparence)