Skip to content

E-mails and internet use: which monitoring at work? / E-mails et utilisation d’internet : quelle surveillance sur le lieu de travail?

24 October 2016

​The uses of internet or professional e-mail accounts for private purposes during working hours, as well as the misuse of professional information by disloyal employees, are concerns that every employer may face. But to what extent can an employer monitor his employees at the workplace? What evidence can the employer draw from his findings?

L’utilisation d’internet ou de la messagerie professionnelle à des fins privées pendant les heures de travail, le détournement d’informations professionnelles par des salariés déloyaux, sont autant de préoccupations auxquelles tout employeur doit faire face. Mais dans quelle mesure un employeur peut-il surveiller ses salariés sur leur lieu de travail? Quelle preuve peut-il tirer de ses constatations?

The increasing number of court decisions demonstrates the highly regulated nature of these questions.
The employer’s monitoring power, which derives from its management powers, is strictly governed by legal provisions regarding the protection of individuals with respect to the processing of their personal data and by the principle of respect for private life, of which the secrecy of correspondence is a part.
 

A legitimate and proportionate monitoring

Litigation regarding monitoring of employees mainly revolves around the monitoring of the use of internet and e-mail.
 
The monitoring of the employees’ use of IT tools is only possible for purposes of “protecting the goods of the undertaking”. In principle, this is the only justification on which such monitoring can be based.
 
To date, every employer who envisages implementing data processing for monitoring purposes has to obtain a prior authorisation from the Luxembourg data protection authority (CNPD). The CNPD will assess the legitimate nature of the envisaged monitoring.
 
Once the authorisation has been delivered, the monitoring of internet use is restricted by the principle of proportionality. Furthermore, at a first stage, the measures taken by the employer have to be limited to occasional and global monitoring (meaning not targeting one specific employee). Later on, the monitoring can only be gradually intensified and lead to the identification of a specific employee, if evidence or suspicions of irregularities or misuse justify such intensification.
 
In light thereof, even if the employer notes or suspects unauthorised use of internet, monitoring cannot exclusively and on a regular basis focus on one employee’s workstation.
 
More specifically, regarding the monitoring of e-mails, in principle e-mails sent and received by the employee by way of an IT tool provided by the employer are assumed to be of professional nature and the employer thereby has the right to open such e-mails in the absence of the employee.
 
However, if the e-mails are marked as “private” or “confidential”, the employer cannot open them. This even applies if the employer prohibited the use of its IT tools for private purposes. The mere infringement of this principle by the employer is considered as implying a criminal intent of the person who opened the e-mail marked as “private” or “confidential” and will result in the employer’s conviction to a criminal sanction. Such conviction will apply to both the employer as a legal person and the natural persons who legally represent the employer and regardless of whether the employee suffered any harm. In addition, an exception to this principle exists if the email merely provides the appearance of being of private nature but it actually contains professional data. The principle of the secrecy of correspondence can be lifted within the framework of criminal proceedings or by a court decision.
 

Use of the collected evidence

The discovery of an abusive use of IT tools by an employee can result in the employer wishing to terminate the employment contract. The question then arises about the lawfulness of the monitoring and the evidence gathered by those means. That question is fundamental because, in case of litigation, it is up to the employer to bring the proof, in a lawful manner, of the reasons underlying the dismissal. Lacking such proof, the dismissal will ipso facto be abusive.
 
For example, in the absence of a prior authorisation from the CNPD, e-mails cannot be used as evidence in court.
 
In addition, all documents aiming at proving the employee’s misbehaviour, but relying on personal data of the employee, would be considered as unlawful evidence.
 
Evidence resulting from the exclusive monitoring of one workstation on a regular basis would also be rejected.
 
Furthermore, affidavits would be rejected if they relate exclusively to the results of an unlawful processing of data. Nevertheless, affidavits from persons who have personally witnessed the misuse and which are limited exclusively to such personal observations, are lawful evidence.
 

A lawful infringement of the employee’s private life?

In some cases, labour courts held that, if the interest of the employing undertaking so required and under certain conditions, it should be allowed to the employer to infringe the employee’s private life. This conclusion was based on the reasoning that a complete inviolability of private correspondence would risk to encourage employees to hide professional information in e-mails marked as “private” or “confidential”.
 
Unfortunately, the Court of appeal did not specify the concept of “interest of the employing undertaking” or the conditions that have to be satisfied in order to justify an infringement of the employee’s private life.
 
The assessment of the legality of an infringement of the employee’s private life certainly has to cover the necessity and the proportionality of the monitoring measures as well as the respect of the employee’s personal and private data. Also, an analysis of the balance between the employee’s right to respect of his/her private life and correspondence and the interests of the employer has to be made on a case by case basis.
 
It should be noted that the employee’s consent does not render monitoring at the workplace lawful. However, the employer has to inform the affected employees and the employee representative bodies in advance about the projected processing of their data, which must have been previously authorised by the CNPD.
 
It is strongly recommended for employers to request the CNPD authorisation in a pre-emptive manner, so as to be in a position to monitor the employees’ use of e-mails and internet in case of a suspicion and thereby to be able to gather evidence.
 
A bill of law was presented on 24 August 2016 aiming to abolish the requirement of prior CNPD authorisation for data processing for monitoring purposes in the workplace. However, the legislative process may take months and the new regime will only apply to future cases so that evidence collected under the current legal framework as a result of monitoring measures lacking prior CNPD authorisation will no longer be legal. Furthermore, the exemption of prior CNPD authorisation will not abolish the obligation to notify the CNPD of data processing for monitoring purposes and acts of monitoring will remain possible but within the applicable limits.
 

 
Le nombre croissant de décisions de justice montre le caractère étroitement règlementé d’une telle question.
 
En effet, le pouvoir de surveillance de l’employeur, dérivé de son pouvoir de direction, est strictement encadré par les dispositions légales relatives à la protection des personnes à l’égard du traitement de leurs données à caractère personnel et par le principe de respect de la vie privée, dont le secret des correspondances fait partie.
 

Une surveillance légitime et proportionnée

Le contentieux en la matière tourne principalement autour du contrôle de l’utilisation d’internet et du courrier électronique.
 
La surveillance de l’usage des outils informatiques des salariés ne peut être mise en œuvre que «pour les besoins de protection des biens de l’entreprise». Celle-ci est en principe la seule justification sur laquelle une telle surveillance peut reposer.
 
Tout employeur qui envisage de mettre en œuvre un traitement à des fins de surveillance doit aujourd’hui solliciter une autorisation préalable auprès de la Commission nationale pour la protection des données (ci-après CNPD). Celle-ci appréciera le caractère légitime de la surveillance envisagée.
 
Même une fois l’autorisation acquise, le contrôle de l’utilisation d’internet est limité par le principe de proportionnalité. Aussi, les mesures mises en place par l’employeur doivent d’abord se limiter à une surveillance ponctuelle et globale (c.à.d. ne visant pas un salarié en particulier). Une graduation dans l’intensification de la surveillance qui peut mener jusqu’à une identification d’un salarié en particulier, n’est ensuite possible que lorsqu’elle est justifiée par des indices et des soupçons d’irrégularité ou d’abus.
 
Ainsi, même si l’employeur constate ou soupçonne l’usage non-autorisé d’internet, la surveillance ne pourra pas porter exclusivement et de manière régulière sur le poste d’un salarié.
 
Plus particulièrement, quant au contrôle du courrier électronique, par principe, les courriels adressés et reçus par le salarié à l’aide de l’outil informatique mis à sa disposition par l’employeur sont présumés avoir un caractère professionnel de sorte que l’employeur est en droit de les ouvrir hors présence de l’intéressé.
 
Toutefois, si les messages sont marqués comme «privés» ou «personnels», l’employeur ne pourra les ouvrir. Cette interdiction s’applique même lorsque l’employeur a proscrit l’utilisation des outils informatiques à titre privé. La simple transgression de cette interdiction par l’employeur implique l’intention coupable de celui qui aura consulté un message identifié comme «privé» ou «personnel» et entrainera la condamnation de l’employeur, tant personne morale que personne physique, à des peines pénales, même en l’absence de tout préjudice dans le chef du salarié. Une exception à ce principe existe si le message donne juste l’apparence d’être de nature privé mais contient en réalité des données professionnelles. Le principe du secret des correspondances peut être levé dans le cadre d’une instruction pénale ou par une décision de justice.
 

Utilisation des preuves recueillies

Le constat d’une utilisation abusive de l’outil informatique par le salarié peut amener l’employeur à vouloir résilier le contrat de travail. Se pose alors la question de la licéité de la surveillance et de la preuve ainsi recueillie. Cette question est fondamentale alors qu’en cas de litige, il appartient à l’employeur de rapporter la preuve, de manière licite, des motifs gisant à la base d’un licenciement, faute de quoi il serait ipso facto abusif.
 
Ainsi, par exemple, en l’absence d’une autorisation préalable de la CNPD, la production de courriels électroniques à titre de preuves serait impossible.
 
Par ailleurs, tout document tendant à prouver des agissements fautifs du salarié mais reposant sur des données à caractère personnel et privé du salarié constituerait une preuve illicite.
 
Des preuves résultant de la mise d’un poste de travail sous un contrôle exclusif et régulier seraient également écartées.
 
De même, des attestations testimoniales, dans la mesure où elles se rapporteraient uniquement au résultat d’un traitement illicite de données, seraient écartées, constituant alors des éléments de preuve résultant d’une voie illégale. Au contraire, des attestations testimoniales émanant de personnes ayant constaté de visu les abus et se limitant à relater leurs constatations seront des preuves licites.
 

Une atteinte licite à la vie privée du salarié?

Les juridictions du travail ont considéré dans certaines affaires que si les intérêts de l'entreprise l'exigeaient et sous certaines conditions, il devait être permis à l'employeur de porter atteinte à la vie privée de son salarié, au motif qu’une inviolabilité absolue des correspondances privées risquait d'inciter des salariés indélicats à y loger des dossiers qui ne devraient pas s’y trouver.
 
Malheureusement, la Cour d’Appel n’a toutefois pas précisé la notion d’intérêt de l’entreprise et les conditions à remplir pour légitimer l’atteinte à la vie privée du salarié.
 
L’appréciation de la licéité d’une atteinte à la vie privée du salarié doit certainement porter sur la nécessité et la proportionnalité des mesures de surveillance ainsi que sur le respect des données à caractère personnel et privé du salarié. Aussi, une analyse de l’équilibre entre le droit du salarié au respect de sa vie privée et de sa correspondance et les intérêts de l’employeur s’impose au cas par cas.
 
A noter que le consentement des salariés n’est pas de nature à légitimer une surveillance sur le lieu de travail. L’employeur doit cependant informer ses salariés et la représentation du personnel, en amont, qu’un traitement de leurs données, préalablement autorisé par la CNPD, a lieu.
 
Il est en tout état de cause plus que recommandé aux employeurs de demander de manière préventive une autorisation à la CNPD, qui permettra, le cas échéant, de procéder à des vérifications informatiques en cas de soupçons et de pouvoir se prémunir, le moment venu, de preuves.
 
Un projet de loi a été déposé le 24 août dernier visant notamment à supprimer cette exigence d’autorisation préalable pour les traitements à des fins de surveillance sur le lieu de travail. Toutefois, le processus législatif peut durer plusieurs mois, et le nouveau régime ne sera applicable que pour l’avenir de sorte que des preuves recueillies – sous le régime actuel – après une mesure de surveillance sans que l’autorisation préalable n’ait été obtenue ne seront pas légales. L’exemption de l’autorisation préalable ne supprimerait toutefois pas l’obligation de notification à la CNPD qui resterait donc maintenue et les actes de surveillance resteront possible mais toujours dans les limites applicables à ce jour.