icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2015-111 du 18 novembre 2015 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les traitements automatisés d’informations nominatives ayant pour finalité « Gestion de la messagerie électronique utilisée à des fins de surveillance ou de contrôle »

  • N° journal 8259
  • Date de publication 08/01/2016
  • Qualité 98.1%
  • N° de page 54
Vu la Constitution ;
Vu la Convention de sauvegarde des Droits de l’Homme et des Libertés fondamentales du Conseil de l’Europe du 4 novembre 1950, rendue exécutoire par l’ordonnance souveraine n° 408 du 15 février 2006 ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981, et son protocole additionnel ;
Vu la Recommandation du Conseil de l’Europe n° R (89) 2 du 19 janvier 1989 sur la protection des données à caractère personnel utilisées à des fins d’emploi ;
Vu les articles 341 et suivants du Code Pénal relatifs à la violation du secret des correspondances ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu la délibération n° 2012-119 du 16 juillet 2012 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les traitements automatisés d’informations nominatives ayant pour finalité « Gestion de la messagerie professionnelle » utilisées à des fins de contrôle de l’activité des employés ;
La Commission de Contrôle des Informations Nominatives,
Conformément à l’article 1er alinéa 1 de la loi n° 1.165 du 23 décembre 1993, modifiée, les traitements automatisés ou non automatisés d’informations nominatives ne doivent pas porter atteinte aux libertés et droits fondamentaux consacrés par le titre III de la Constitution.
La Commission de Contrôle des Informations Nominatives, Autorité Administrative Indépendante, a pour mission de veiller au respect de ces dispositions. A ce titre, elle est notamment habilitée à formuler toutes recommandations entrant dans le cadre des missions qui lui sont conférées par la loi.
Si la messagerie personnelle de l’employé ne peut faire l’objet d’aucune surveillance ni d’aucun contrôle nominatif de la part de l’employeur, la Commission souhaite, par la présente recommandation, préciser les grands principes de protection des informations nominatives applicables aux traitements automatisés d’informations nominatives ayant pour finalité « Gestion de la messagerie électronique » utilisés notamment à des fins de surveillance ou de contrôle de l’activité des employés.
La présente recommandation a ainsi vocation à orienter les responsables de traitement dans leurs démarches auprès de la Commission, que la messagerie électronique utilisée à des fins de surveillance ou de contrôle soit mise en œuvre sur le lieu de travail ou non.
Les principes ainsi consacrés par la présente délibération s’appliquent aux traitements soumis à autorisation :
-mis en œuvre par des personnes physiques ou morales de droit privé, visées à l’article 6 de la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
-mis en œuvre par des responsables de traitements, organismes de droit privé investis d’une mission d’intérêt général ou concessionnaires d’un service public portés sur une liste établie par arrêté ministériel, tels que mentionnés à l’article 7 de la loi n° 1.165 susmentionnée.
Ils s’appliquent également aux personnes morales de droit public ou aux Autorités publiques qui demeurent quant à elles soumises au régime de demande d’avis.
A ce titre, cette recommandation annule et remplace la délibération n° 2012-119 du 16 juillet 2012 portant recommandation sur les traitements automatisés d’informations nominatives ayant pour finalité la « Gestion de la messagerie professionnelle » utilisés à des fins de contrôle de l’activité des employés.
I. Champ d’application et qualification du traitement
Aujourd’hui, la messagerie professionnelle est devenue un outil indispensable et bien souvent nécessaire à l’accomplissement, par l’employé, de ses missions de travail.
La banalisation d’un tel dispositif de communication électronique n’exonère pas pour autant le responsable de traitement du respect des dispositions de la loi n° 1.165, modifiée. En effet, l’exploitation d’une messagerie implique la mise en œuvre d’un traitement automatisé d’informations nominatives, au sens de l’article 1er de ladite loi.
Toutefois, si le droit au respect de la vie privée et au secret des correspondances s’étend aujourd’hui au lieu de travail, ce droit dont jouissent les employés est néanmoins susceptible de connaître des limitations justifiées par le respect d’intérêts légitimes de l’employeur. Entrent alors en conflit deux intérêts apparemment contradictoires, mais néanmoins conciliables, entre lesquels il convient de trouver un juste équilibre.
En effet, un employeur peut décider de procéder au contrôle ou à la surveillance de l’utilisation de la messagerie professionnelle mise à la disposition de ses employés.
A cet égard, la Commission indique que cette notion de contrôle ou de surveillance de la messagerie électronique se conçoit comme « toute activité qui, opérée au moyen d’un logiciel d’analyse du contenu des messages électroniques entrants et/ou sortants, consiste en l’observation, la collecte ou l’enregistrement, de manière non occasionnelle, des données à caractère personnel d’une ou de plusieurs personnes, relatives à des mouvements, des communications ou à l’utilisation de la messagerie électronique ».
Il résulte de ce postulat que dès lors que la messagerie est utilisée par le responsable de traitement soit à des fins de contrôle ou de surveillance, soit dans le cadre de « soupçons d’activités illicites », le traitement est alors soumis à l’autorisation préalable de la Commission, conformément à l’article 11-1 de la loi n° 1.165, susvisée.
A contrario, dès lors que la messagerie n’est pas utilisée par l’employeur à des fins de contrôle ou de surveillance, le traitement est soumis au régime déclaratif.
Au vu de ces éléments, la Commission estime nécessaire de retenir les principes fondamentaux ci-après exposés.
II. Principes en matière de messagerie
•Protection des correspondances privées sur le lieu de travail
La Commission rappelle que conformément à l’article 22 de la Constitution, « Toute personne a droit au respect de sa vie privée et familiale et au secret de sa correspondance ».
Elle relève par ailleurs que dans un arrêt NIEMIETZ C. ALLEMAGNE en date du 16 décembre 1992, la Cour Européenne des Droits de l’Homme a consacré le droit au respect de la vie privée sur le lieu de travail en se fondant sur l’article 8 de la Convention de sauvegarde des Droits de l’Homme et des Libertés fondamentales, aux termes duquel « Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance ».
La Commission estime donc que le respect du secret des correspondances privées est un principe intangible. Ainsi, l’employeur ne peut accéder aux contenus des messages privés de ses employés envoyés ou reçus à partir de la messagerie professionnelle, sans que ledit employé soit présent.
Toutefois, pour que les messages soient considérés comme personnels, il convient pour les employés de les identifier comme tels, par exemple :
-en précisant dans l’objet du message des mots clés comme « privé », « [PRV] » ou encore « personnel » ;
-en incluant dans l’objet du message une mention laissant manifestement supposer que ledit message est privé, telle que « vacances au Japon » ;
-en stockant les messages dans un répertoire intitulé « personnel » ou « privé ».
En conséquence la Commission considère comme excessive la pratique consistant pour l’employeur à recevoir tous les messages envoyés ou reçus par ses employés puisque cette pratique ne permet pas entre autres de distinguer entre les messages professionnels et personnels desdits employés.
Enfin, elle souhaite souligner que seule une autorisation du juge peut permettre à l’employeur d’accéder licitement aux messages privés de ses employés lorsque ces derniers n’ont pas autorisé l’employeur à lire leurs messages privés, et cela même si l’employeur a des motifs légitimes de suspecter des actes de concurrence déloyale ou toute autre atteinte portée à ses intérêts ou à la loi. Cela peut notamment prendre la forme d’une ordonnance judiciaire mandatant un huissier de justice aux fins d’accéder, voire d’enregistrer les messages privés litigieux.
•Dispositions en cas d’absence ou de départ de l’employé
Afin d’assurer la continuité des affaires de l’entreprise pendant l’absence d’un salarié (congés, maladie…), la Commission estime que l’employeur pourra avoir accès aux messages professionnels dudit salarié, en utilisant une des méthodes suivantes :
-mise en place d’une réponse automatique d’absence du bureau à l’expéditeur avec indication des personnes à contacter en cas d’urgence ;
-désignation d’un suppléant qui dispose d’un droit d’accès personnalisé à la messagerie de son collègue ;
-transfert à un suppléant de tous les messages entrants.
Dans les deux derniers cas, le salarié devra toutefois être informé de l’identité de son suppléant et ce suppléant ne devra pas lire les messages identifiés comme privés ou personnels.
Par ailleurs, en cas de départ définitif de l’entreprise, l’employeur devra avertir l’employé de la date de fermeture de son compte afin de lui permettre de vider sa messagerie de ses messages personnels. Il devra également désactiver l’adresse électronique nominative de l’employé conformément aux durées prévues au point VII de la présente délibération.
III. Personnes concernées et fonctionnalités du traitement
•Personnes concernées
Les personnes concernées par ce type de traitements sont l’ensemble des expéditeurs et destinataires des communications électroniques échangées par le biais de la messagerie mise à disposition par le responsable de traitement.
•Fonctionnalités
La Commission considère qu’un traitement automatisé ayant pour finalité « Gestion de la messagerie électronique utilisée à des fins de contrôle ou de surveillance » est susceptible d’avoir, notamment, les fonctionnalités suivantes :
-échange de messages électroniques en interne ou avec l’extérieur ;
-historisation des messages électroniques entrants et sortants ;
-gestion des contacts de la messagerie électronique ;
-gestion des dossiers de la messagerie et des messages archivés ;
-établissement et lecture de fichiers journaux ;
-gestion des habilitations d’accès à la messagerie ;
-gestion de l’agenda ;
-mise en place d’une procédure de contrôle gradué ;
-contrôle au moyen d’un logiciel d’analyse du contenu des messages électroniques entrants ou sortants ;
-établissement de preuves en cas de litige avec un client/employé (en cas de contestation d’un ordre, etc..).
IV. Licéité du traitement : principe de proportionnalité du contrôle
Conformément à l’article 11-1 de la loi n° 1.165, modifiée, les traitements ayant pour finalité « Gestion de la messagerie électronique utilisée à des fins de surveillance ou de contrôle » doivent, pour être licites, être « nécessaires à la poursuite d’un objectif légitime essentiel et [respecter] les droits et libertés mentionnés à l’article premier des personnes concernées (…) ».
A ce titre, la Commission considère tout d’abord qu’il revient au responsable de traitement, ou à son représentant, de mettre en place une procédure de contrôle adaptée au niveau de risque auquel il est confronté. Ainsi, les mesures prises doivent être strictement nécessaires au but recherché et être détaillées dans la demande d’autorisation.
Enfin, la Commission rappelle que toute surveillance nominative permanente est interdite.
V. Justification du traitement
En application de l’article 10-2 de la loi n° 1.165, modifiée, la Commission considère qu’un traitement automatisé d’informations nominatives ayant pour finalité « Gestion de la messagerie électronique utilisée à des fins de surveillance ou de contrôle » peut être justifié par :
•Le respect des obligations légales du responsable de traitement
La Commission prend acte des obligations particulières de vigilance ainsi que de traçabilité des opérations effectuées imposées à certains établissements. Ainsi, pour les établissements bancaires ou assimilés, de telles obligations sont prévues, entre autres, par les textes suivants :
-la loi n° 1.338 du 7 septembre 2007 sur les activités financières et son ordonnance souveraine d’application ;
-la loi n° 1.362 du 3 août 2009 relative à la lutte contre le blanchiment de capitaux, le financement du terrorisme et la corruption, et son ordonnance souveraine d’application ;
-la loi n° 1.314 du 29 juin 2006 relative à l’exercice d’une activité de conservation ou administration d’instruments financiers ;
-l’arrêté ministériel n° 2012-199 du 5 avril 2012 relatif aux obligations professionnelles des établissements de crédit teneurs de comptes-conservateurs d’instruments financiers.
La Commission estime donc qu’afin de respecter leurs obligations, ces responsables de traitement ou leurs représentants peuvent mettre en place des procédures de surveillance ou de contrôle des messageries électroniques, dans le strict respect toutefois des principes définis par la présente délibération, notamment les principes de proportionnalité et de transparence.
•La réalisation d’un intérêt légitime poursuivi par le responsable de traitement ou son représentant
La Commission considère qu’une procédure de surveillance ou de contrôle des messageries électroniques peut également être justifiée par un intérêt légitime du responsable de traitement ou de son représentant, tel que :
-l’optimisation de l’accomplissement des missions de travail de ses employés ;
-la sécurité et le bon fonctionnement technique du réseau ou système informatique ;
-le contrôle du respect des règles internes d’usage des outils de communication électronique, du règlement intérieur, (…) ;
-la préservation des intérêts économiques, commerciaux ou financiers du responsable de traitement ou de son représentant ;
-la protection contre tout acte susceptible d’engager sa responsabilité civile ou pénale, ou de lui porter préjudice ;
-la prévention de faits illicites.
Enfin, la Commission rappelle qu’eu égard à l’existence d’un lien de subordination ou d’un lien contractuel entre l’employeur et l’employé, le consentement de ce dernier ne peut constituer une justification à la mise en œuvre de ce type de traitement.
VI. Catégories d’informations traitées
Conformément aux dispositions de l’article 10-1 de la loi n° 1.165, modifiée, la Commission considère que les catégories d’informations suivantes peuvent être collectées et traitées :
-identité : nom, prénom, identifiant ;
-messages : contenu, objet, dossiers de classement ou d’archivage ;
-gestion des contacts : nom, prénom, raison sociale, (…) ;
-informations temporelles : date, heure ;
-données d’identification électronique : adresse de messagerie électronique ;
-logs d’accès : logs de connexion des personnels habilités à avoir accès au traitement ;
-fichiers journaux : nombre de messages entrants et sortants, de messages nettoyés, de spams ; volume, format, pièces jointes, noms de domaine expéditeurs de messages, (…) ;
-gestion des alertes : réception des alertes automatiques en fonction des niveaux hiérarchiques concernés ;
-habilitations : identité des personnes habilitées à avoir accès à la messagerie, type de droits conférés, historisation des habilitations.
VII. Durée de conservation
La Commission rappelle que conformément à l’article 10-1 de la loi n° 1.165, modifiée, les informations nominatives objets du traitement ne peuvent être conservées que pendant une durée n’excédant pas celle nécessaire à la réalisation de la finalité pour laquelle elles sont exploitées.
Ainsi, au regard des fonctionnalités énumérées au point III de la présente délibération, la Commission demande au responsable de traitement de prévoir les durées de conservation de données suivantes :
-s’agissant de l’administration de la messagerie électronique (compte individuel et carnet d’adresses) : 3 mois maximum après le départ de l’utilisateur ;
-s’agissant du contenu des messages émis et reçus la Commission demande qu’une politique d’archivage soit mise en place jusqu’à ce que la conservation desdits messages ne soit plus nécessaire ;
-s’agissant des données de connexion (logs, horodatage, fichiers journaux….) : 1 an maximum, en fonction de l’activité exercée.
En tout état de cause, elle recommande, lorsque cela est possible, d’adopter une durée de conservation moindre, dès lors que les données traitées ne sont plus nécessaires à la réalisation de la finalité pour laquelle elles ont été initialement collectées, conformément à l’article 10-1 susvisé.
Enfin, la Commission rappelle que dans le cadre de l’ouverture d’une procédure contentieuse, toute information nécessaire issue du traitement pourra être conservée jusqu’à la fin de ladite procédure.
VIII. Information des personnes concernées
•Mentions obligatoires
La Commission rappelle que les personnes concernées par l’exploitation de leurs informations nominatives doivent être informées des mentions visées à l’article 14 de la loi n° 1.165, modifiée.
Ces modalités d’information seront toutefois différentes selon les personnes concernées (utilisateurs ou tiers destinataires).
•Modalités d’information des utilisateurs
La Commission appelle tout d’abord l’attention du responsable de traitement sur la nécessité de responsabiliser les utilisateurs à la protection de leurs informations nominatives.
D’autre part, dans un souci de transparence envers les utilisateurs, ainsi que de loyauté dans la collecte et le traitement des informations nominatives, elle recommande au responsable de traitement ou à son représentant de mettre en place une charte d’usage des outils de communication électronique, venant préciser, notamment :
-les procédures de contrôle et de surveillance mises en œuvre, suivant les règles posées au point IV de la présente délibération ;
-la ou les finalités de ces procédures ;
-les personnes habilitées à avoir accès au traitement ;
-la durée de conservation des données collectées ;
-les modalités d’exercice par les personnes de leurs droits d’accès à leurs données.
En outre, afin de limiter l’atteinte portée à la vie privée des utilisateurs, la Commission recommande au responsable de traitement ou à son représentant de définir dans la charte susmentionnée :
-les modalités d’identification des messages privés ;
-la procédure d’accès à la messagerie électronique par les personnes habilitées, en cas d’absence temporaire ou définitive de l’utilisateur, et ce afin d’assurer la continuité des activités.
•Modalités d’information des tiers destinataires
La Commission recommande l’insertion d’une mention d’information au bas de tout message électronique sortant, afin d’informer les tiers destinataires de la finalité du traitement, ainsi que de leurs droits.
Par exemple : Vos informations nominatives sont exploitées par [Nom du responsable de traitement ou de son représentant] dans le cadre du traitement ayant pour finalité « Gestion de la messagerie électronique utilisée à des fins de surveillance ou de contrôle ». Conformément à la loi n° 1.165, modifiée, vous disposez d’un droit d’accès, de rectification et de suppression en écrivant [adresse du responsable de traitement ou de son représentant].
IX. Personnes ayant accès aux informations et destinataires
•Personnes ayant accès aux informations
La Commission considère que l’accès aux informations objets du traitement doit être limité aux seules personnes qui, dans le cadre de leurs attributions, peuvent légitimement en avoir connaissance au regard de la finalité du traitement ou du but recherché. Ces accès devraient être définis dans la charte mentionnée au point VIII de la présente délibération.
En ce qui concerne les traitements visés aux articles 11 et 11-1 de la loi n° 1.165, modifiée, elle rappelle que conformément aux dispositions de l’article 17-1 de ladite loi, le responsable de traitement ou son représentant doit « déterminer nominativement la liste de personnes autorisées qui ont seules accès, pour les stricts besoins de l’accomplissement de leurs missions, aux locaux et aux installations utilisés pour les traitements, de même qu’aux informations traitées ».
•Destinataires
Enfin, la Commission rappelle que les Autorités Judiciaires et Administratives peuvent, dans le cadre exclusif des missions qui leur sont légalement conférées, être rendues destinataires de données objets du traitement, notamment pour la recherche de preuves ou la constatation d’infractions.
Dans ce cas, des mesures de sécurité particulières devront être prises, concernant notamment le support sur lequel ces informations sont transmises, ainsi que la procédure de transfert, conformément aux dispositions du point X de la présente délibération.
X. Confidentialité et mesures de sécurité
La Commission rappelle qu’en application des articles 17 et 17-1 de la loi n° 1.165, modifiée, le responsable de traitement ou son représentant doit prendre toutes mesures utiles pour préserver la sécurité des informations objets du traitement.
A cet égard, elle préconise que l’authentification soit effectuée par un identifiant et un mot de passe individuel réputé fort régulièrement renouvelé.
Par ailleurs, les accès des personnes mentionnées au point IX devront faire l’objet d’une journalisation.
La Commission demande en outre à ce que les personnes habilitées à avoir accès au traitement, et notamment au contenu des messages électroniques professionnels, soient astreintes à une obligation de confidentialité particulièrement stricte, précisée par écrit (par exemple dans la charte informatique ou le contrat de travail).
Enfin, elle admet que des données puissent être extraites et/ou copiées sur un support distinct en vue d’une communication aux Autorités Administratives ou Judiciaires légalement habilitées. Elle rappelle que dans ce cas, toute copie ou extraction de ces données devra être chiffrée sur son support de réception.
Après en avoir délibéré, la Commission :
Rappelle que :
-l’exploitation d’une messagerie électronique utilisée à des fins de surveillance ou de contrôle implique la mise en œuvre d’un traitement automatisé d’informations nominatives, au sens de l’article 1er de la loi n° 1.165, modifiée ;
-tous les traitements ainsi exploités devront remplir les conditions fixées par la loi n° 1.165 du 23 décembre 1993, modifiée, telles que précisées dans le cadre de la présente délibération ;
-la délibération n° 2012-119 du 16 juillet 2012 portant recommandation sur les traitements automatisés d’informations nominatives ayant pour finalité « Gestion de la messagerie professionnelle » utilisés à des fins de contrôle de l’activité des employés est annulée et remplacée par la présente délibération.


Le Président de la Commission
de Contrôle des Informations Nominatives.
Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14