La réponse courte est : pas sans limites. Le fait que le compte de messagerie, l’ordinateur ou l’environnement Microsoft Teams appartienne à l’entreprise ne supprime ni la protection des données ni la vie privée du salarié. Inversement, cette protection ne rend pas tout accès de l’employeur illicite. Un contrôle précis et limité peut être légal s’il répond à un besoin professionnel ou juridique réel, s’il est strictement nécessaire et proportionné, et si les salariés ont reçu au préalable une information claire.
La finalité et la méthode font la différence. Rechercher un message professionnel déterminé après des indices sérieux de fuite d’informations confidentielles n’est pas comparable à la lecture systématique de toutes les conversations pour décider qui travaille « suffisamment ». Le premier contrôle peut être justifié sous conditions. Le second est bien plus difficile à concilier avec la nécessité et la proportionnalité.
Un compte professionnel n’est pas une zone sans vie privée
L’employeur administre généralement l’infrastructure technique : il crée le compte, paie la licence, fixe les règles de sécurité et peut disposer de droits d’administrateur. La possibilité technique ne constitue toutefois pas, à elle seule, une autorisation juridique. Ouvrir, rechercher, copier, exporter ou conserver des messages est un traitement de données personnelles qui exige une base juridique et une finalité définie.
Même un message strictement professionnel peut révéler des informations sur le comportement, les relations de travail, la performance, la santé, l’activité syndicale ou la situation personnelle. Les échanges contiennent aussi des données de clients, de collègues et de tiers. Le contrôle ne concerne donc pas seulement le salarié dont le compte est ouvert.
Le cadre juridique en Grèce
Le Règlement général sur la protection des données impose licéité, transparence, limitation des finalités, minimisation, durée de conservation limitée et sécurité. L’article 27 de la loi grecque 4624/2019 prévoit en outre que les données des salariés peuvent être traitées aux fins de la relation de travail lorsque cela est strictement nécessaire.
L’employeur peut invoquer un intérêt légitime, par exemple la protection des secrets d’affaires, la sécurité des systèmes, l’enquête sur une fraude, la défense de droits en justice ou la continuité d’une activité critique. L’intérêt légitime n’est pas un blanc-seing. La finalité doit être réelle, l’accès nécessaire et aucun moyen moins intrusif ne doit permettre d’obtenir le même résultat.
Le consentement du salarié constitue rarement la base la plus solide, car le lien de subordination fait douter de son caractère véritablement libre. La licéité doit reposer sur un besoin objectif, et non sur une case d’acceptation générale signée lors de l’embauche.
Quand un accès ciblé peut être justifié
- un soupçon sérieux et documenté de fuite d’un secret d’affaires ou de fichiers confidentiels ;
- l’enquête sur un incident de cybersécurité, un logiciel malveillant, une fraude ou un accès non autorisé ;
- la recherche d’une correspondance professionnelle précisément définie pour une procédure judiciaire ou une obligation réglementaire en cours ;
- la récupération d’informations critiques pendant une absence soudaine et prolongée, lorsqu’aucune solution moins intrusive ne fonctionne ;
- un contrôle de conformité connu, limité et documenté dans un secteur fortement réglementé.
Même dans ces situations, la recherche doit être limitée dans le temps, par compte, mots-clés ou catégorie de fichiers. Les métadonnées, journaux de sécurité ou dossiers professionnels peuvent parfois répondre à la question avant l’ouverture du contenu. Seules les personnes autorisées doivent accéder aux données, leurs actions doivent être journalisées et les copies doivent avoir une durée de conservation définie.
Quand la surveillance devient excessive
La surveillance permanente ou opaque du contenu est particulièrement intrusive. La curiosité, la volonté de mesurer « l’engagement », la capacité technique de l’administrateur ou une référence générale à la productivité ne suffisent pas. Sont notamment problématiques la lecture secrète et continue, la collecte massive pour noter la performance, la réutilisation pour une finalité non annoncée, l’accès à des espaces manifestement privés sans justification impérieuse et la conservation indéfinie ou la diffusion inutile.
Les orientations européennes privilégient la prévention à la surveillance continue. Des contrôles de prévention des fuites, des restrictions d’envoi, la séparation des privilèges et des alertes de sécurité peuvent souvent protéger l’organisation en portant moins atteinte au contenu des échanges.
La particularité de Teams
Les mêmes principes s’appliquent à Teams, Slack et aux plateformes comparables. Teams ne se limite pas au chat : conversations privées, canaux, pièces jointes, enregistrements de réunions, présence, calendriers et journaux d’activité peuvent, ensemble, donner une image très détaillée de la journée de travail.
La mention « conversation privée » ne signifie pas nécessairement que le message est techniquement invisible pour l’organisation. À l’inverse, l’existence d’outils eDiscovery, de conservation ou d’administration ne rend pas toute utilisation licite. L’organisation doit préciser qui peut rechercher, quelle autorisation est exigée, quel incident est examiné et comment l’accès est tracé.
L’information préalable doit être utile
L’autorité hellénique de protection des données indique que les salariés doivent être informés au préalable, de manière claire et appropriée, des méthodes, finalités et procédures de contrôle. Une politique utilisable doit préciser si un usage personnel occasionnel est permis, quelles données techniques sont journalisées, pendant combien de temps, dans quelles circonstances exceptionnelles le contenu peut être consulté, qui autorise l’accès et où le salarié peut exercer ses droits.
Une formule vague selon laquelle « l’entreprise peut tout surveiller » ne rend pas une surveillance excessive licite. La politique doit être précise, accessible et appliquée de manière cohérente.
Ce que montre la décision 43/2019
Dans une affaire concernant l’accès de l’employeur à des e-mails professionnels, l’autorité grecque a jugé le contrôle concerné licite parce que le règlement interne interdisait l’usage privé et prévoyait des contrôles internes, tandis que des éléments justifiaient l’enquête. Cette décision n’était pas une autorisation générale de surveillance. Dans la même affaire, l’autorité a constaté d’autres violations, dont une vidéosurveillance illicite et le non-respect du droit d’accès du salarié.
La leçon pratique est que chaque mesure est appréciée séparément. Un contrôle d’e-mail justifié ne légalise pas tous les autres dispositifs et ne libère pas l’employeur de son obligation de répondre aux droits du salarié.
Absence, maladie et départ
La continuité de l’activité n’exige pas automatiquement l’ouverture de toute la boîte aux lettres. Une bonne organisation vient d’abord : boîtes fonctionnelles partagées, répartition des dossiers, réponse automatique, remplacement autorisé et stockage des documents professionnels dans un espace commun plutôt que seulement dans une boîte personnelle.
Après le départ du salarié, le compte doit être désactivé selon une procédure contrôlée. L’accès aux anciens échanges reste limité aux affaires professionnelles en cours. Le transfert automatique de tous les nouveaux messages pendant une longue période crée des risques supplémentaires ; il est généralement préférable d’informer l’expéditeur et d’indiquer une nouvelle adresse de contact.
Les messages supprimés peuvent subsister
La suppression depuis la boîte de réception ou Teams ne signifie pas toujours un effacement immédiat et définitif. Une politique de conservation, une sauvegarde ou une obligation de gel peut préserver une copie. Cela ne rend pas toute récupération licite : la finalité, la base juridique, la nécessité, le contrôle des accès et la durée de conservation doivent toujours être examinés.
Ce que le salarié peut faire
- Lire les politiques. Demandez la charte d’utilisation, la notice de confidentialité des salariés et les règles relatives aux e-mails, à Teams et aux journaux.
- Poser des questions précises. Quelles données ont été consultées, pour quelle finalité et sur quelle base, par qui, à qui ont-elles été communiquées et combien de temps seront-elles conservées ?
- Écrire à l’employeur ou au DPO. Une demande calme et ciblée crée une trace claire et permet à l’organisation de répondre.
- Exercer les droits applicables. Le droit d’accès doit respecter les droits des tiers, mais il ne peut pas être simplement ignoré.
- Ne pas copier massivement les données d’autrui. Les preuves doivent être préservées légalement. Exporter les échanges de clients ou de collègues sans conseil peut créer un nouveau problème de confidentialité.
- Obtenir rapidement une aide spécialisée. Une procédure disciplinaire, un licenciement, une divulgation de données sensibles ou une surveillance grave nécessitent une analyse individuelle. Une plainte peut aussi être adressée à l’autorité grecque de protection des données.
Liste de contrôle pour l’employeur
- La finalité exacte et la base juridique sont-elles documentées ?
- Existe-t-il des faits concrets rendant l’accès nécessaire ?
- Les métadonnées, les journaux ou une méthode moins intrusive suffisent-ils ?
- Le personnel a-t-il été clairement informé au préalable ?
- La période, les comptes et les mots-clés sont-ils étroitement limités ?
- Existe-t-il une autorisation, une séparation des rôles et un journal d’audit ?
- Une durée de conservation et une suppression sécurisée sont-elles prévues ?
- Une analyse d’impact est-elle nécessaire, notamment pour une surveillance systématique ou à haut risque ?
Conclusion
L’employeur n’obtient pas un droit illimité de lecture simplement parce qu’il fournit l’e-mail ou Teams. Un accès déterminé peut répondre à une finalité licite, mais l’employeur doit démontrer nécessité, proportionnalité, transparence et sécurité. Le salarié ne doit ni supposer que chaque message professionnel est totalement privé, ni accepter l’idée que « puisque cela appartient à l’entreprise, tout est permis ». La réponse dépend de la politique, des circonstances réelles et de la manière dont le contrôle a été effectué.
Sources officielles
- Autorité grecque : questions sur la surveillance au travail
- Décision 43/2019 sur l’accès aux e-mails professionnels
- Règlement (UE) 2016/679 (RGPD)
- Loi grecque 4624/2019, article 27
Photo : Karola G / Kaboompics via Pexels. Les personnes représentées ne sont pas liées à Nomika Epilekta.
Cet article fournit des informations générales fondées sur les sources disponibles le 14 juillet 2026. Il ne remplace ni un conseil juridique individuel ni l’examen de la politique, des faits et des preuves du dossier concerné.
Commentaires
Share your thoughts about this article.
Aucun commentaire pour le moment. Soyez le premier à commenter.
Envoyer un commentaire