Le licenciement d’un salarié peut-il se faire sur la base de moyens de preuve obtenus grâce à un système de traitement automatisé de données personnelles avant sa déclaration à la CNIL ?

Le 8 octobre 2014, la Cour de cassation a jugé que l’illicéité d’un moyen de preuve doit entraîner son rejet des débats. En outre, les informations collectées par un système de traitement automatisé de données personnelles avant sa déclaration à la CNIL constituent un moyen de preuve illicite, ne pouvant justifier le licenciement d’un salarié (Cass, soc, 8 octobre 2014, pourvoi n° 13-14991). 

Pour mémoire, les articles 2 et 22 de la loi dite « informatique et libertés » du 6 janvier 1978 disposent :

Article 2 :

« La présente loi s’applique aux traitements automatisés de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l’exception des traitements mis en ½uvre pour l’exercice d’activités exclusivement personnelles, lorsque leur responsable remplit les conditions prévues à l’article 5.

Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.

Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.

Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés.

La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l’objet du traitement ».

Article 22 :

 « I. - A l’exception de ceux qui relèvent des dispositions prévues aux articles 25, 26 et 27 ou qui sont visés au deuxième alinéa de l’article 36, les traitements automatisés de données à caractère personnel font l’objet d’une déclaration auprès de la Commission nationale de l’informatique et des libertés.

 II. - Toutefois, ne sont soumis à aucune des formalités préalables prévues au présent chapitre :

Les traitements ayant pour seul objet la tenue d’un registre qui, en vertu de dispositions législatives ou réglementaires, est destiné exclusivement à l’information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d’un intérêt légitime ;

Les traitements mentionnés au 3° du II de l’article 8.

III. - Les traitements pour lesquels le responsable a désigné un correspondant à la protection des données à caractère personnel chargé d’assurer, d’une manière indépendante, le respect des obligations prévues dans la présente loi sont dispensés des formalités prévues aux articles 23 et 24, sauf lorsqu’un transfert de données à caractère personnel à destination d’un État non membre de la Communauté européenne est envisagé.

La désignation du correspondant est notifiée à la Commission nationale de l’informatique et des libertés. Elle est portée à la connaissance des instances représentatives du personnel.

Le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions. Il tient une liste des traitements effectués immédiatement accessible à toute personne en faisant la demande et ne peut faire l’objet d’aucune sanction de la part de l’employeur du fait de l’accomplissement de ses missions. Il peut saisir la Commission nationale de l’informatique et des libertés des difficultés qu’il rencontre dans l’exercice de ses missions.

En cas de non-respect des dispositions de la loi, le responsable du traitement est enjoint par la Commission nationale de l’informatique et des libertés de procéder aux formalités prévues aux articles 23 et 24. En cas de manquement constaté à ses devoirs, le correspondant est déchargé de ses fonctions sur demande, ou après consultation, de la Commission nationale de l’informatique et des libertés.

 
IV. - Le responsable d’un traitement de données à caractère personnel qui n’est soumis à aucune des formalités prévues au présent chapitre communique à toute personne qui en fait la demande les informations relatives à ce traitement mentionnées aux 2° à 6° du I de l’article 31. 
»

Et l’article 9 du code civil dispose :

« Chacun a droit au respect de sa vie privée.

Les juges peuvent, sans préjudice de la réparation du dommage subi, prescrire toutes mesures, telles que séquestre, saisie et autres, propres à empêcher ou faire cesser une atteinte à l'intimité de la vie privée : ces mesures peuvent, s'il y a urgence, être ordonnées en référé ».

Internet est aujourd'hui un outil essentiel dans notre quotidien.

Il est même courant que les entreprises laissent libre accès à internet à leurs salariés dans l'accomplissement de leurs tâches de travail, que ce soit pour communiquer avec des clients ou pour faire des recherches professionnelles.

Toutefois, si l'utilisation d'internet par le salarié durant ses heures de travail est en principe tolérée, cette utilisation peut justifier, dans une certaine mesure, un licenciement.

En effet, il est arrivé que la chambre sociale de la Cour de Cassation valide le licenciement pour faute grave d'un salarié qui a passé près de 41 heures dans le mois sur des sites internet non professionnels (Cass. Soc. 19 Mars 2009).

Néanmoins, dans  la mesure où la liste de sites internet visités par le salarié met en jeux des données à caractère personnel, l'employeur devra apporter la preuve d'une faute pour pouvoir sanctionner le salarié fautif.

A cet effet, l'employeur devra, au nom de la loyauté de la preuve, respecter une triple condition  à savoir:

  • informer le salarié de la possibilité d'une telle communication,
  • informer les représentants du personnel,
  • déclarer à la CNIL la mise en place d’un dispositif de contrôle individuel

Une fois cette triple information respectée, l'employeur pourra alors considérer les informations recueillies comme une preuve permettant de licencier le salarié.

Le présent arrêt offre l’occasion de rappeler ces règles.

En l’espèce, une assistante en charge de l’analyse financière a été licenciée par son employeur qui lui reprochait une utilisation excessive de la messagerie électronique à des fins personnelles.

L’employeur s’était fondé uniquement sur des éléments de preuve obtenus à l’aide d’un système de traitement automatisé d’informations personnelles avant qu’il ne soit déclaré à la CNIL pour justifier ce licenciement.

Considérant ce moyen de preuve illicite, la salariée a alors formé une demande de dommages intérêts pour licenciement sans cause réelle et sérieuse et pour licenciement vexatoire.

Une Cour d’appel avait rejeté sa demande au motif que « la déclaration tardive à la Commission nationale informatique et libertés (CNIL) le 10 décembre 2009 de la mise en place d’un dispositif de contrôle individuel de l’importance et des flux des messageries électroniques n’a pas pour conséquence de rendre le système illicite ni davantage illicite l’utilisation des éléments obtenus ».

Les juges d’appel ont donc estimé que la déclaration tardive à la CNIL, de la mise en place d’un dispositif de contrôle individuel, ne rend pas un système de traitement automatisé de données personnelles illicite et n’entache pas non plus d’illicéité les moyens de preuve obtenus par ce moyen.

Cependant, la Cour de cassation a cassé et annulé l’arrêt en estimant que :

«constituent un moyen de preuve illicite les informations collectées par un système de traitement automatisé de données personnelles avant sa déclaration à la CNIL ;  

Qu’en statuant comme elle l’a fait, en se fondant uniquement sur des éléments de preuve obtenus à l’aide d’un système de traitement automatisé d’informations personnelles avant qu’il ne soit déclaré à la CNIL, alors que l’illicéité d’un moyen de preuve doit entraîner son rejet des débats, la cour d’appel a violé les textes susvisés »

La Haute Cour a ainsi posé le principe selon lequel les moyens de preuve obtenus par le biais d’un système de traitement automatisé de données personnelles avant sa déclaration à la CNIL constituent un moyen de preuve illicite ne pouvant justifier un licenciement pour cause réelle et sérieuse. 

La Cour de cassation consacre ainsi le principe du respect de la vie privée du salarié et du secret des correspondances.

Par Me Anthony Bem

Avocat à la Cour

106 rue de Richelieu - 75002 Paris

01 40 26 25 01

[email protected]

www.cabinetbem.com

Source