Gérard Lommel, président de la CNPD, lors d'une conférence sur la protection de la vie privée au travail. (Photo: CJBL)

Gérard Lommel, président de la CNPD, lors d'une conférence sur la protection de la vie privée au travail. (Photo: CJBL)

Il y a deux semaines, Gérard Lommel, président de la Commission nationale de protection des données, était l’invité de la Conférence du jeune barreau luxembourgeois pour parler de la législation luxembourgeoise réputée très protectrice de la vie privée au travail et rappeler la ligne jaune à ne pas dépasser par les employeurs en matière de cybersurveillance sur le lieu de travail. Jeudi, un grain de sable est venu enrayer la belle mécanique des droits à la protection de la correspondance électronique privée des salariés au Luxembourg. Un jugement vient en effet d’ouvrir une brèche dans le droit à l’immixtion d’un patron à ouvrir les courriels de ses salariés, quand bien même ces mails sont assortis de la mention «privé et confidentiel». C’est une révolution dans le monde du travail.

Car, si tout courriel entrant ou sortant depuis l’ordinateur d’un employés est présumé être reçu ou envoyé dans le cadre de la relation professionnelle, «c’est-à-dire que le destinataire ou l’expéditeur est réputé être l’employeur», le message peut avoir le caractère d’une correspondance privée et il est couvert de ce fait par le secret des correspondances, inviolable, sauf ordonnance d’un juge d’instruction ou décision de justice. «L’employeur», lit-on sur le site internet de la CNPD, «ne peut pas ouvrir les courriers électroniques personnels de ses salariés, sous peine de violer le secret des correspondances, ce qui constitue une infraction pénale».

14.000 euros de préjudice moral invoqué

C’est donc fort de ces principes ancrés dans la législation sur la protection de la vie privée (lois du 2 août 2002 et du 30 mai 2005 sur la protection de la personne à l’égard du traitement des données à caractère personnel dans le secteur des communications électroniques) et dans le droit du travail qu’une ex-employée de la société de fonds d’investissement Vistra (Luxembourg) a attaqué, dans le cadre d’une citation directe, son ancien employeur et deux de ses chefs de service pour avoir ouvert des mails à caractère privé. Son avocat réclamait 14.000 euros de préjudice moral.

La dame avait signé un contrat à durée indéterminée avec Vistra en août 2010, résilié le 13 octobre 2011 avec un préavis de deux mois que l’employée fut dispensée de prester, comme c’est très souvent le cas dans les entreprises du secteur financier. L’accès à son lieu de travail, et donc à ses e-mails professionnels, lui a été refusé à partir du 13 octobre. Elle fut informée que ses emails avaient été consultés par ses employeurs.

Selon les indications de la CNPD, en cas de départ définitif du salarié, l’employeur doit s’engager à bloquer tous les comptes informatiques et à effacer sa ou ses boîtes aux lettres «dès son départ». Rien n’est précisé en cas de préavis non presté par l’employé. Les emails professionnels doivent être redirigés vers les responsables de la société pour qu’ils en assurent le suivi, mais les messages «strictement privés qui, même après un licenciement, et même après avoir été redirigés vers un responsable de la société, ne doivent pas être ouverts», souligne le jugement dont paperJam.lu a pris connaissance.

La plaignante citait trois cas de violation de ses emails. Un premier courriel du 1er décembre ne contenait aucun titre et venait d’une salariée de la banque ING, banque avec laquelle la société Vistra «entretient des relations d’affaires». Les deux responsables qui l’ont ouverts «n’étaient pas censés savoir qu’il s’agissait d’un mail privé. Au contraire, tout portait à croire qu’il s’agirait d’un mail professionnel auquel il y avait lieu de donner une suite», notent les juges en concluant «qu’il existe pour le moins un doute quant à l’intention des cités directs à vouloir intentionnellement violer» la loi.

Un léger doute

Un deuxième mail du 15 décembre (un jour après la cessation du contrat) était intitulé «Privé-Drink Nouvel an», mais cette indication ne serait pas suffisante pour tomber sous la protection de la vie privée, selon les juges. «Même si», soutiennent-ils, «le courriel litigieux porte le titre ‘Privé’, les termes ‘Drink Nouvel an’ y immédiatement adjoints font croire qu’il s’agit d’une invitation officielle destinée à plusieurs personnes. Rien du titre ne laisse donc présager qu’il s’agit d’un mail privé exclusivement destiné à (la plaignante)».

Le tribunal précise que l’expéditeur du mail travaille pour une société de transports entretenant des relations professionnelles avec Vistra. Là encore, il «existe pour le moins un doute quant à la volonté des employeurs» de bafouer la réglementation, «d’autant plus que ce mail semble avoir été envoyé à une multitude de destinataires et non pas de façon exclusive et personnelle» à l’ancienne employée.

Le troisième courriel provenant d’une salariée de RBC Dexia IS potrait la mention «Private confidential». Pas de chance, là non plus pour la dame, car RBC Dexia IS est un institut bancaire avec lequel la société Vistra entretient des liens professionnels. «C’est donc pour assurer le suivi et la continuité du travail (…) que l’employeur a procédé à l’ouverture de celui-ci», soutiennent les juges qui font très fort en ajoutant que «nonobstant l’inscription ‘private confidential’, (…), il existe un doute, si léger soit-il, qu’en ouvrant ce mail provenant d’un professionnel en relation d’affaires continues avec la société Vistra (…) que le responsable de la société (…) ait voulu porter atteinte à la vie privée de (l’ex-employée)».

Du coup, les deux cadres ainsi que la société de fonds d’investissement ont été aquittés ce jeudi.

Contactés par paperJam.lu, les avocats de Vistra, Me François Prum et Aurore Merz-Spet (étude Turk&Prum) se déclarent «satisfaits de constater que le jugement rendu le 20 mars 2014 par la XIIème chambre correctionnelle va à contre-courant d’une jurisprudence trop sévère à l’égard des employeurs, en matière de protection de la vie privée du salarié en entreprise». «Les juges ne condamnent plus ipso facto l’employeur qui reçoit des emails d’un salarié et les ouvre, mais analysent les faits de l’espèce expliquant la réception et l’ouverture de certains courriels destinés au salarié par l’employeur» soulignent-ils.

Les deux avocats disent «critiquable, sous couvert de l’application très restrictive de la loi du 11 août 1982 concernant la protection de la vie privée ainsi que la loi du 30 mai 2005 relative à la protection de la personne à l’égard du traitement des données à caractère personnel dans le cadre des communications à caractère électronique, de condamner les employeurs alors même que de facto un doute sérieux existait quant au véritable destinataire de l’email».

«Les juges», précisent-ils, «se sont attachés cette fois-ci aux autres caractéristiques de l’email, tel que par exemple l’expéditeur pour décider que dès lors qu’il existait un doute, si léger soit-il, aucune responsabilité pénale de l’employeur ne pouvait être retenue.»

Un appel de ce jugement, qui fera date, est possible.