Face aux difficultés d’interprétation de la législation et de la jurisprudence actuelle en la matière, l'Autorité de Protection des données (ci-après : APD), anciennement Commission pour la protection de la vie privée, a émis le 2 mai 2012 une recommandation.
Dans cette recommandation, l'APD analyse tout d’abord l’état de la législation et de la jurisprudence actuelles, pour ensuite suggérer aux employeurs quelques bonnes pratiques, qui doivent leur permettre d’exercer un certain contrôle des moyens de communication électronique, tout en respectant la vie privée de leurs travailleurs.
Cette recommandation n’est pas contraignante. Elle pourra toutefois servir de ligne directrice aux Cours et Tribunaux appelés à se prononcer sur des dossiers de cyber-surveillance.
A titre de recommandation générale de base, l'APD conseille à l’employeur d’élaborer au maximum des règles préventives ainsi que des procédures préventives (par exemple pour le classement de courriers électroniques privés/professionnels, de documents, de fichiers) afin d’éviter que l’employeur ne doive accéder à des informations personnelles des travailleurs.
Dans sa liste de bonnes pratiques, l'APD recommande par ailleurs :
- D’informer correctement les travailleurs à propos des règles applicables dans l’entreprise
- d’exclure des activités certaines opérations dangereuses (blocage de sites "dangereux", …)
- de ne pas prendre de décision importante à l’encontre du travailleur sur la seule base des informations collectées lors d’un contrôle
- Ou encore de prévoir des règles de fonctionnement en cas d’absence du travailleur ou lorsqu’un travailleur quitte l’entreprise
La liste complète de toutes les bonnes pratiques suggérées par l'APD peut être consultée dans sa recommandation, publiée sur son site internet[1].
[1] Recommandation 08/2012 du 2 mai 2012. Vous pouvez la consulter sur le site de l'Autorité de Protection des Données.