L’arrêt très attendu de la CEDH a rapidement fait le tour des pays européens et en particulier des autorités de protection des données, comme la CNPD au Luxembourg. Contacté par Paperjam.lu, Thierry Lallemang, l’un des trois membres effectifs de la CNPD, ne cache pas sa satisfaction.

«La CNPD salue cet arrêt dans la mesure où il reflète clairement notre position concernant la surveillance sur le lieu de travail», indique-t-il. «L’arrêt ne fait que confirmer ce que dit la directive de 1995 et notre loi de 2002 qui la transpose: il faut informer les salariés préalablement à la mise en place d’une surveillance. En l’occurrence, la CEDH a dit que le salarié n’était pas au courant de la nature et de l’étendue de la surveillance» au sein de la société.

La CEDH va même plus loin en précisant que, quand bien même un règlement intérieur encadrerait ou interdirait les communications privées sur le lieu de travail, «les instructions d’un employeur ne peuvent pas réduire à néant l’exercice de la vie privée sociale sur le lieu de travail».

La jurisprudence luxembourgeoise est souvent contradictoire.

Thierry Lallemang, membre de la CNPD

De quoi mettre les points sur les «i» alors que la directive de 1995 est diversement interprétée par les tribunaux nationaux, en particulier au Luxembourg. «La jurisprudence luxembourgeoise est souvent contradictoire, même au sein de la Cour d’appel, surtout quand il s’agit d’un licenciement sur la base d’une preuve tirée de la vidéosurveillance.»

La législation luxembourgeoise impose aux entreprises de solliciter l’autorisation de la CNPD dès qu’elles veulent introduire une surveillance de leurs salariés sur leur lieu de travail. Toutefois, «les tribunaux ne sont souvent pas formalistes et ont déjà validé l’utilisation de moyens de preuve tirés d’une surveillance illicite», à savoir sans autorisation de la CNPD ou sans information préalable des salariés.

Dans une autre jurisprudence, datant de novembre 2015, la Cour d’appel a donné raison à un employeur qui avait licencié une salariée à laquelle il reprochait d’avoir joué de manière abusive sur internet sur son ordinateur professionnel. La Cour s’est appuyée sur la surveillance des sites consultés mise à jour en permanence par un logiciel tout en considérant que la surveillance n’était qu’occasionnelle puisque que la liste des sites internet n’était pas consultée tous les jours. «Nous disons qu’il s’agit là d’une surveillance permanente et systématique», souligne Thierry Lallemang.

Six principes à suivre

L’arrêt de la CEDH – «une bonne nouvelle pour la vie privée et la protection des données», estime M. Lallemang – donnera ainsi un argument supplémentaire aux défendeurs de salariés surveillés à leur insu. Mais de fait, seuls le pourvoi d’une affaire luxembourgeoise devant la CEDH ou un renvoi préjudiciel à la Cour de justice de l’UE permettraient de vérifier si les tribunaux luxembourgeois appliquent correctement la directive de 1995 sur la protection des données personnelles.

La CEDH rappelle d’ailleurs dans son arrêt les principes fixés par cette directive «régissant la surveillance de l’utilisation faite d’internet et du courrier électronique sur le lieu de travail, notamment les suivants:

• principe de nécessité: la surveillance doit être nécessaire pour parvenir à un but donné.
• principe de finalité: les données doivent être collectées à des fins spécifiques, explicites et légitimes. 
• principe de transparence: l’employeur doit fournir aux employés toutes les informations relatives à la surveillance.
• principe de légitimité: les opérations de traitement des données ne peuvent avoir lieu que dans un but légitime. 
• principe de proportionnalité: les données personnelles qui font l’objet de la surveillance doivent être pertinentes et adéquates par rapport au but indiqué. 
• principe de sécurité: l’employeur est tenu de prendre toutes les mesures de sécurité visant à garantir que les données collectées ne soient pas accessibles aux tiers.»