Protection des données des employés en relation avec les PC de service

Dans son jugement du 07.02.2020, le tribunal du travail de Cologne a décidé qu'un employeur pouvait licencier sans préavis son employé qui, contrairement à un accord préalable, utilisait son ordinateur portable de service de manière excessive à des fins privées pendant les heures de travail (numéro de dossier 4 Sa 329/19). Dans le cas jugé, il s'agissait de plusieurs mois au cours desquels l'employé utilisait plusieurs jours de suite et pendant plusieurs heures à chaque fois l'ordinateur portable de service pour des recherches privées sur Internet, des échanges privés de courriels et d'autres activités en dehors de sa relation de travail.

D'un point de vue purement pratique, il est bien sûr compréhensible qu'une fraude aussi étendue sur le temps de travail constitue une raison particulière, comme celle requise pour un licenciement sans préavis. Mais lors du procès, la question s'est également posée de savoir si l'employeur pouvait consulter l'historique du navigateur et des e-mails de l'employé et l'utiliser comme preuve devant le tribunal.

Interdiction procédurale d'utiliser des preuves ?

L'exploitation de l'historique du navigateur et des courriels du travailleur pourrait être interdite par une interdiction procédurale d'exploitation des preuves. Les interdictions procédurales d'exploitation des preuves interdisent, en vertu du droit procédural applicable, l'exploitation de certaines preuves existantes en tant que telles.

Lorsque l'employé et l'employeur s'affrontent devant un tribunal, le code de procédure civile et la loi sur les tribunaux du travail sont appliqués. Dans ces lois, les interdictions d'utiliser des preuves ne sont que des exceptions qui doivent être justifiées. En d'autres termes, tout ce qui est présenté comme preuve par l'une des parties peut être utilisé lors du procès, sauf si le contraire est justifié.

L'exploitation de l'historique de navigation et de messagerie devrait donc être interdite par une loi spéciale, sinon elle peut être utilisée comme preuve.

Interdiction constitutionnelle d'exploitation ?

L'interdiction de l'exploitation pourrait résulter de la violation des droits fondamentaux du travailleur.

L'historique du navigateur et des e-mails sont des données à caractère personnel au sens du RGPD. Après tout, l'historique du navigateur permet de savoir quand l'utilisateur a consulté quelle page Internet. Un ordinateur portable de service peut également être attribué à une personne déterminée, de sorte qu'il existe un lien personnel identifiable. Dans le cas de l'historique des courriels, cela résulte bien entendu déjà des données relatives au destinataire et à l'expéditeur.

Les données à caractère personnel sont protégées en premier lieu par le droit fondamental à l'autodétermination en matière d'information. Dans le cadre de celui-ci, l'intérêt de l'employeur à l'exploitation et au bon fonctionnement de l'administration de la justice doit toutefois l'emporter sur l'intérêt à la protection du droit fondamental à l'autodétermination informationnelle de l'employé pour que l'employeur ait été autorisé à exploiter les données. La gravité de l'atteinte doit également être prise en compte.

Si l'employeur traite les données en secret, cela plaide pour une violation considérable du droit fondamental de l'employé. Il en va de même si l'employeur a un intérêt purement probatoire dans le traitement. Il faut que les autres circonstances démontrent justement que le mode de collecte des informations et des preuves est justifié et donc qu'il a besoin de protection pour qu'il puisse utiliser les données.

Si l'employeur traite l'historique du navigateur et des e-mails de l'employé précisément pour prouver une fraude sur le temps de travail (pur intérêt de preuve), le droit fondamental à l'autodétermination en matière d'information est ici injustement violé. Par conséquent, les données ne devraient pas être utilisées comme preuve.

Justification au regard de la protection des données ?

S'il s'agit, comme dans le cas présent, du traitement de données à caractère personnel, la législation sur la protection des données pourrait apporter une solution. Après tout, cette loi prévoit un certain nombre d'éléments de justification pour le traitement des données.

par consentement ?

Il faut tout d'abord penser à un consentement au sens de l'article 6 I 1 lettre a du RGPD. Dans l'affaire jugée, l'employé et l'employeur avaient convenu dans un contrat de mise à disposition de l'ordinateur portable que "l'employeur vérifie et évalue les données se trouvant sur les outils de travail à des fins d'affectation à des opérations professionnelles ou privées". Ce "consentement" est toutefois formulé de manière trop imprécise et trop large. L'employé ne pouvait pas se rendre compte de la portée de la déclaration, car il n'était pas clair quelles données seraient examinées et si, par exemple, les e-mails privés étaient également concernés.

Le consentement n'est pas juridiquement valable.

... par un autre élément d'autorisation ?

L'employeur pourrait fonder le traitement de l'historique du navigateur et des courriels sur l'article 26 I BDSG.

En vertu de cette disposition, les données à caractère personnel d'un employé peuvent être collectées, traitées ou utilisées aux fins de la relation de travail si cela est nécessaire pour décider de l'établissement d'une relation de travail ou, après l'établissement d'une relation de travail, pour l'exécution ou la fin de celle-ci.

Grâce à l'accord signé sur la cession d'utilisation, il était clair que des données devaient être enregistrées à des fins de contrôle. Les données enregistrées sont ensuite soumises à un contrôle d'abus, afin de déterminer par exemple les utilisations privées qui ne respectent pas l'accord contractuel. Ainsi, le stockage et l'analyse des données sont nécessaires à l'exécution de la relation de travail. L'employeur a un intérêt légitime à collecter ces données.

L'employeur peut fonder le traitement sur l'article 26 I de la loi fédérale sur la protection des données (BDSG) et introduire les données dans le processus également à titre de preuve.

Conclusion

Lorsqu'un employé se voit confier des moyens par lesquels l'employeur collecte des données à caractère personnel, il convient de tenir compte de nombreux pièges juridiques (en matière de protection des données). Dans tous les cas, des règles explicites concernant l'utilisation et le contrôle des moyens devraient être consignées. Certaines dispositions et domaines juridiques s'imbriquent ici. Un conseil d'expert est indispensable à cet égard.