La vie privée sur l’ordinateur de l’employeur

Vous faites partie de ceux qui croit qu’un employé ne devrait pas pouvoir invoquer son droit à la vie privée lorsqu’il utilise l’ordinateur portable que lui fournit son employeur? Ou à l’inverse, vous croyez qu’un employeur ne devrait pas, à moins d’un motif extrêmement grave, examiner le contenu d’un tel ordinateur? Que vous soyez dans un camp ou dans l’autre, la décision rendue récemment par la Cour d’appel de l’Ontario dans l’affaire R. v. Cole, [2011] O. J. 1218, risque de vous intéresser.

Dans cette affaire de nature criminelle, l’accusé, un professeur d’une école secondaire avait accès à un ordinateur portable qui lui était fourni par la Commission scolaire (la « Commission ») notamment pour l’enseignement des technologies de communications. À titre de membre du comité technologique, il avait également accès au contenu des autres ordinateurs du réseau de l’école incluant ceux des étudiants. En utilisant ce privilège, le professeur a découvert dans le compte courriel d’un étudiant des photographies pornographiques d’une étudiante mineure. Il les a alors copiées sur l’ordinateur portable qui lui était fourni par la Commission.

Un technicien informatique qui avait également accès aux ordinateurs de l’école a constaté un volume anormal d’activités sur l’ordinateur portable en question. Procédant à une analyse de cet ordinateur, le technicien a découvert, dans un fichier caché, les photographies de l’étudiante. Ayant été informé de l’existence de ces photographies par le technicien, le directeur de l’école a demandé au professeur de lui remettre l’ordinateur. Le même jour, un autre technicien a procédé à la fouille de l’ordinateur et a découvert un très grand nombre d’images pornographiques sur les fichiers internet temporaires de l’ordinateur. La Commission a par la suite congédié le professeur et remis l’ordinateur à la police qui, après avoir analysé, sans mandat, le disque dur de l’ordinateur, a décidé de porter des accusations notamment de possession de pornographie juvénile.

Dans le cadre de sa décision, la Cour examine notamment les deux (2) questions suivantes :

1) Le professeur avait-il une expectative raisonnable de vie privée sur l’ordinateur qui lui était fournit?

2) Le cas échéant, le technicien, le directeur ou la Commission ont-ils violés cette expectative raisonnable de vie privée du professeur?

Répondant à la première question, la Cour conclut que le professeur avait une expectative raisonnable de vie privée :

« Although this was a work computer owned by the school board and issued for employment purposes with access to the school network, the school board gave the teachers possession of the laptops, explicit permission to use the laptop for personal use and the permission to take the computers homes on evenings, weekends and summer vacation. The teachers used their computers for personal use, they employed passwords to exclude others from their laptops, and they stored personal information on their hard drives. There was no clear and unambiguous policy to monitor, search or police the teachers’ use of their laptops. »

La Cour note au passage que le professeur avait d’ailleurs enregistré des photos de sa conjointe sur l’ordinateur en question. Expectative raisonnable de vie privée ou non, c’est tout de même une drôle d’idée sachant que tous les membres du comité technologique pouvait y avoir accès.

Examinant la politique de la Commission, la Cour note qu’elle ne contenait pas de disposition claire concernant la vie privée ou le droit de surveiller ou de fouiller l’ordinateur des professeurs. Les dispositions de la politique concernant le droit d’accès prévoyait plutôt que l’équipe administrative pouvait ouvrir des courriels personnels si cela apparaissait nécessaire pour la santé du système ou si une utilisation inappropriée était suspectée. Elle prévoyait également que si l’accès au compte d’usager était nécessaire pour fins de réparation du système, on devait tout d’abord tenter d’obtenir l’autorisation de l’usager concerné. Commentant sur ce droit d’accès des techniciens, la Cour conclut qu’il n’avait pas pour effet d’éliminer l’expectative raisonnable de vie privée du professeur :

« Finally, the fact that a computer technician could access the hard drives of the laptops does not negate a reasonable expectation of privacy, just as the existence of a master key does not destroy the reasonable expectation of privacy in a rented appartment or in a bus locker. »

Ayant établi cette expectative raisonnable de vie privée du professeur, la Cour examine ensuite la deuxième question et conclut que le technicien, le directeur et la Commission n’ont pas enfreint cette expectative. Pour en arriver à cette conclusion, la Cour indique tout d’abord que la question n’est pas de savoir si le technicien avait des motifs raisonnables et probables de fouiller l’ordinateur mais plutôt de savoir si le technicien a agit dans le but d’assurer l’intégrité du système. La Cour indique que si tel est le cas, le technicien demeurait dans le cadre de son droit implicite d’accès.

Concluant que le technicien a effectivement accédé au fichier en question sur la base d’un motif spécifique lié à son rôle de maintenir l’intégrité du système, la Cour indique qu’il n’y a pas eu violation de l’expectative raisonnable de vie privée du professeur. Ayant découvert des photos sexuellement explicites d’une personne qu’il croyait être une étudiante mineure, le technicien était justifié, selon la Cour, de contacter le directeur. Quant au directeur et à la Commission, la Cour conclut que leur obligation d’assurer la santé et la sécurité des étudiants avait priorité sur l’expectative raisonnable de vie privée du professeur et qu’une fois informés de l’existence des photographies, ils n’avaient d’autre choix que de prendre action.

Cela étant dit, la Cour conclut qu’il en va autrement des actions de la police qui ne jouit pas des mêmes pouvoirs. Qualifiant la fouille d’à première vue déraisonnable, la Cour conclut que la Couronne n’a pas réussi à démontrer que cette fouille sans mandat était raisonnable et que la Commission ne pouvait légalement consentir à la fouille même si elle était propriétaire de l’ordinateur. En conséquence, la Cour exclut cette preuve du dossier.

Cette décision illustre l’importance d’avoir des politiques claires quant à la vie privée des employés lorsqu’ils utilisent l’ordinateur qui leur est fourni par leur employeur. Comme l’enseigne la Cour, le simple fait que l’employeur soit propriétaire de l’ordinateur et du réseau, qu’il fournisse l’ordinateur pour les fins du travail et qu’il conserve un droit d’accès pour maintenir l’intégrité du système n’est pas suffisant pour lui permettre, outre ce cadre spécifique, de fouiller le contenu de l’ordinateur.

Cette décision vient par ailleurs clarifier la question du droit de l’employeur d’utiliser l’information obtenue lors d’une filature ou d’une fouille lorsque cette information n’est pas celle initialement recherchée par l’employeur. À titre d’exemple, il vous est peut-être arrivé de procéder à une filature relative à de possibles activités incompatibles et de découvrir non pas de telles activités mais plutôt que l’employé vole l’employeur ou travaille pour un concurrent. Ou encore de fouiller l’ordinateur d’un employé parce que vous avez des motifs raisonnables de croire qu’il envoie des informations à un concurrent et de découvrir des images pornographiques. Sur la base de cette décision, il est possible de soutenir, comme le fait la Cour, que dans la mesure où le motif initial de fouille et de filature est justifié, l’employeur peut utiliser l’information qu’il obtient même si elle n’est pas directement liée au motif initial.