L’accès par l’employeur aux messages WhatsApp de l’employé
Une employeuse qui accède aux messages privés d’un employé porte atteinte à la personnalité de l’employé. La nécessité de recueillir des preuves en prévision d’un procès ne permet pas de s’affranchir des principes généraux de la LPD. L’employeur doit ainsi procéder d’abord à des moyens d’investigations moins intrusifs.
L’employeuse qui partage avec plusieurs personnes des éléments de la sphère privée, voire intime (en particulier des éléments à caractère sexuel), d’un employé peut être condamnée au paiement d’une indemnité pour tort moral (art. 49 CO).
Faits
En septembre 2013, une société qui exploite des centres de formation linguistique engage un employé comme directeur des opérations. Elle lui remet un téléphone et un ordinateur portables qu’il doit utiliser exclusivement à des fins professionnelles.
En septembre 2016, les relations entre l’employé et le directeur général se dégradent. En novembre, la société résilie le contrat de travail. L’employé rend son téléphone et son ordinateur portables après avoir préalablement réinitialisé le téléphone. Il forme opposition contre le congé qu’il estime abusif.
En décembre 2016, après que l’employé est tombé en dépression, et qu’il est donc en incapacité de travailler, la société résilie le contrat avec effet immédiat pour rupture du lien de confiance.
En avril 2017, l’employeuse réussit à accéder au compte personnel iCloud de l’employé, protégé par un mot de passe, afin de récupérer les données contenues dans le téléphone portable remis par l’employé. Ce contenu comprend en particulier des conversations WhatsApp privées de l’employé avec ses proches et ses collègues.
L’employé assigne la société devant le Tribunal des prud’hommes genevois. Parmi les diverses prétentions invoquées, le Tribunal lui octroie une indemnité pour tort moral de CHF 5’000.-.
La Cour de justice confirme l’octroi de cette indemnité. En effet, même si le téléphone ne devait être utilisé qu’à des fins professionnelles, l’employeuse savait que l’employé en faisait un usage privé. Le fait de récupérer les données du téléphone sans autorisation constituerait non seulement une atteinte particulièrement grave à la personnalité, mais aussi une violation du principe de la bonne foi. Par ailleurs, les données récupérées ne relevaient pas seulement de la sphère privée de l’employé, mais aussi de sa sphère intime, notamment sexuelle. Enfin, certaines données avaient même été portées à la connaissance de tiers tels que des employés de l’entreprise, des personnes de la famille du directeur ou encore des personnes ayant eu accès à la procédure, dont les employés de l’assurance chômage (CAPH/163/2020).
Saisi par l’employeuse, le Tribunal fédéral est notamment amené à examiner la licéité de la récupération par l’employeuse des données du téléphone portable de l’employé.
Droit
L’art. 328 al. 1 CO prévoit que l’employeur protège et respecte, dans les rapports de travail, la personnalité du travailleur. Selon l’art. 328b CO, l’employeur ne peut traiter des données concernant le travailleur que dans la mesure où ces données portent sur les aptitudes du travailleur à remplir son emploi ou sont nécessaires à l’exécution du contrat de travail.
L’art. 328b in fine CO dispose que les dispositions de la LPD sont en outre applicables. En particulier, tout traitement de données doit être licite et effectué conformément aux principes de la bonne foi et de la proportionnalité (art. 4 al. 1 et 2 LPD). Une atteinte à la personnalité est illicite à moins d’être justifiée par le consentement de la victime, par un intérêt prépondérant privé ou public, ou par la loi (art. 13 al. 1 LPD).
Le Tribunal fédéral commence par rappeler que les notions de données personnelles et de traitement de données sont très larges. L’accès par l’employeuse aux messages de l’employé constitue ainsi un traitement de données personnelles.
Dès lors que la LPD est applicable, le Tribunal fédéral examine si ce traitement constitue une atteinte à la personnalité de l’employé.
Il souligne que l’irruption d’un tiers dans la sphère privée ou intime d’une personne, notamment pour rassembler des informations, constitue une atteinte à la personnalité. Or les informations de nature personnelle transmises au moyen de la messagerie électronique font partie de la sphère privée, voire intime. Partant, en l’espèce, l’accès par l’employeuse aux messages de l’employé constitue bel et bien une atteinte à la personnalité de ce dernier. Il convient ensuite d’examiner si celle-ci est licite.
Le Tribunal fédéral se penche alors sur la controverse doctrinale relative à l’art. 328b CO. Une majorité de la doctrine considère que cette norme concrétise les principes de proportionnalité et de finalité ancrés à l’art. 4 al. 2 et 3 LPD. Cela étant, le Tribunal fédéral considère que cette norme crée plutôt une présomption de licéité lorsque les données « portent sur les aptitudes du travailleur à remplir son emploi ou sont nécessaires à l’exécution du contrat de travail » (art. 328b CO). Cette disposition concrétise ainsi un motif justificatif de traitement de données dans les rapports de travail.
Le Tribunal fédéral expose ensuite les avis doctrinaux concernant l’application des principes généraux de la LPD dans les rapports de travail. La doctrine considère en particulier que le traitement qui n’entre pas dans le cadre de l’art. 328b CO est présumé illicite et doit pouvoir se fonder sur un autre motif justificatif au sens de l’art. 13 LPD. Par ailleurs, la marge de manœuvre de l’employeur serait plus large lorsqu’il a interdit l’utilisation privée de ces moyens de communication, parce qu’il est alors légitimé à contrôler si l’employé respecte ses directives.
Enfin, selon plusieurs auteurs, la notion de données « nécessaires à l’exécution du contrat de travail » viserait aussi les données nécessaires à la conduite d’un procès portant sur un litige relatif aux rapports de travail. Le Tribunal fédéral nuance cette remarque. Même si l’accès aux messages privés et leur consultation s’inscrivent dans le champ d’activités a priori autorisées par l’art. 328b CO, ces traitements de données restent assujettis aux principes généraux de la LPD.
En l’espèce, un procès entre l’employeuse et l’employé était prévisible. Cela étant, la Cour de justice a considéré que d’autres méthodes moins intrusives auraient permis à l’employeuse de sauvegarder ses intérêts, notamment en récoltant des informations auprès des employés qui avaient travaillé avec l’employé et en demandant leur audition en tant que témoins. Ainsi, selon la pesée d’intérêts effectuée par la Cour, l’intérêt de l’employeuse à récolter des preuves pour se défendre ne serait pas prépondérant dans cette affaire de nature patrimoniale et ne justifierait pas pareille intrusion dans la vie intime de l’employé.
Tout en confirmant que la Cour de justice n’a pas abusé de son pouvoir d’appréciation, le Tribunal fédéral en rajoute une couche : « en jetant en pâture jusque dans son recours des pans de la vie intime de l’employé pour défendre ses intérêts financiers, l’employeuse ne réussit qu’à démontrer son absence totale d’égard pour la personnalité de l’intimé ».
L’atteinte à la personnalité de l’employé étant illicite, le Tribunal fédéral examine si celle-ci justifie une indemnité pour tort moral au sens de l’art. 49 al. 1 CO. En particulier, l’atteinte doit avoir une certaine gravité objective et doit avoir été ressentie par la victime, subjectivement, comme une souffrance morale suffisamment forte pour qu’il apparaisse légitime qu’une personne, dans ces circonstances, s’adresse au juge pour obtenir réparation.
En l’espèce, la gravité objective a déjà été démontrée. Quant à l’aspect subjectif, il est évident. En effet, l’employeuse a partagé avec plusieurs personnes des aspects de la vie intime et sexuelle de l’employé. Le Tribunal fédéral souligne que les comportements importuns à caractère sexuel sur le lieu de travail avant la résiliation de son contrat ne privent pas pour autant l’employé du droit au respect de sa sphère privée et intime. Par ailleurs, l’employeuse ne peut légitimer a posteriori son intrusion par ce qu’elle prétend avoir découvert ou l’interprétation qu’elle en livre. Le fait d’avoir partagé les éléments découverts avec des tiers, qui seraient victimes d’atteinte à l’honneur en raison du contenu des messages de l’employé, ne saurait ainsi amoindrir cette intrusion.
Partant, le Tribunal fédéral confirme que l’employé a droit à CHF 5’000.- d’indemnité pour tort moral.
Note
La partie de l’arrêt résumé ci-dessus emporte conviction. Nous nous permettons d’y ajouter quelques remarques.
Premièrement, on peut encore s’étonner, malgré une certaine habitude, des montants particulièrement bas octroyés pour les atteintes (graves) au droit de la personnalité. La faiblesse de ces montants est-elle vraiment justifiée ?
Deuxièmement, l’aspect important de la partie de l’arrêt résumé ci-dessus, sur la portée de l’art. 328b CO, mérite d’être à nouveau souligné. La doctrine débattait entre deux solutions possibles (cf. Guisan Alexandre/Hirsch Célian, La surveillance secrète de l’employé, RSJ 2019 709). Cela étant, le Tribunal fédéral prend singulièrement une troisième voie : l’art. 328b CO créerait une présomption de licéité du traitement dans la mesure où les données de l’employé portent sur ses aptitudes à remplir son emploi ou sont nécessaires à l’exécution du contrat de travail.
Le Tribunal fédéral prétend qu’il avait déjà adopté cette approche dans l’ATF 130 II 425. Or, dans cet arrêt, le Tribunal fédéral a considéré que « les données personnelles qui, selon les termes de [l’art. 328b CO], “portent sur les aptitudes du travailleur à remplir son emploi ou sont nécessaires à l’exécution du contrat de travail”, bénéficient de la présomption légale qu’elles ne portent pas atteinte à la personnalité du travailleur ». La présomption concernait ainsi l’absence d’atteinte, et non celle de la licéité du traitement. La présomption légale d’absence d’atteinte s’applique de manière générale, tant en droit de la personnalité qu’en protection des données. Elle n’est en rien spécifique à l’art. 328b CO.
Malheureusement, nous peinons à comprendre ce que cette présomption implique. Une hypothèse serait la suivante : l’atteinte à la personnalité de l’employé n’est pas présumée illicite lorsque le traitement correspond à celui mentionné à l’art. 328b CO. Cela renverserait la présomption d’illicéité prévue par l’art. 13 al. 1 LPD. Pour rappel, selon cette norme, toute atteinte à la personnalité est illicite, en particulier si le traitement viole les principes de l’art. 4 LPD, sauf s’il existe un motif justificatif. Partant, dans le cadre des traitements prévu par l’art. 328b CO, il appartiendrait à l’employé de prouver que son intérêt prévaut à celui de l’employeur (renversement de la présomption que toute atteinte est illicite). Malgré l’atteinte, l’employé devrait ainsi encore prouver l’illicéité.
Par ailleurs, le Tribunal fédéral ne tranche pas la question de la portée de la notion de « données nécessaires à l’exécution du contrat de travail ». Cela étant, il ne contredit pas la doctrine qui considère que sont comprises dans cette notion les données nécessaires à la conduite d’un procès portant sur un litige relatif aux rapports de travail.
Troisièmement, l’employeuse avait expressément prévu que le téléphone portable devait exclusivement être utilisé à des fins professionnelles. Toutefois, elle savait que l’employé l’utilisait à des fins privées. Partant, il semblerait qu’il ne suffit pas de prévoir, dans un règlement interne, que les ordinateurs et téléphones portables doivent être utilisés exclusivement à des fins professionnelles. L’employeur qui est conscient d’une utilisation privée ne devrait pas la tolérer, à défaut de quoi il ne peut ensuite plus se prévaloir de son règlement.
Enfin, nos lectrices et lecteurs curieux peuvent parcourir l’arrêt genevois ACPR/900/2020 qui porte sur la plainte pénale déposée par le fils du directeur général en raison des propos dénigrants tenus à son encontre dans les messages WhatsApp de l’employé. En résumé, la Cour de justice a considéré que les messages avaient été recueillis de manière illicite et qu’ils étaient inexploitables (à ce sujet, cf. LawInside.ch/998/). Par ailleurs, la Cour considère, de façon convaincante, que le Ministère public ne peut pas non plus recueillir, grâce à la première preuve inexploitable, des preuves dérivées afin de poursuivre son instruction (cf. ég. art. 141 al. 4 CPP).
L’arrêt du Tribunal fédéral porte également sur l’exploitabilité des e-mails et messages WhatsApp dans la procédure civile (art. 152 al. 2 CPC). Cette partie a fait l’objet d’un second résumé : LawInside.ch/1103/.
Proposition de citation : Célian Hirsch, L’accès par l’employeur aux messages WhatsApp de l’employé, in : www.lawinside.ch/1098/