Licenciement : les données personnelles numériques du salarié, une preuve licite sous conditions

Publié le Modifié le 25/05/2015 Vu 6 159 fois 0
Légavox

9 rue Léopold Sédar Senghor

14460 Colombelles

02.61.53.08.01

Le licenciement d’un salarié peut-il se faire sur la base de moyens de preuve obtenus grâce à un système de traitement automatisé de données personnelles avant sa déclaration à la CNIL ?

Le licenciement d’un salarié peut-il se faire sur la base de moyens de preuve obtenus grâce à un système

Licenciement : les données personnelles numériques du salarié, une preuve licite sous conditions

Le 8 octobre 2014, la Cour de cassation a jugé que l’illicéité d’un moyen de preuve doit entraîner son rejet des débats. En outre, les informations collectées par un système de traitement automatisé de données personnelles avant sa déclaration à la CNIL constituent un moyen de preuve illicite, ne pouvant justifier le licenciement d’un salarié (Cass, soc, 8 octobre 2014, pourvoi n° 13-14991). 

***

Pour mémoire, les articles 2 et 22 de la loi dite « informatique et libertés » du 6 janvier 1978 disposent :

Article 2 :

« La présente loi s’applique aux traitements automatisés de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l’exception des traitements mis en œuvre pour l’exercice d’activités exclusivement personnelles, lorsque leur responsable remplit les conditions prévues à l’article 5.

Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.

Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.

Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés.

La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l’objet du traitement ».

Article 22 :

 « I. - A l’exception de ceux qui relèvent des dispositions prévues aux articles 25, 26 et 27 ou qui sont visés au deuxième alinéa de l’article 36, les traitements automatisés de données à caractère personnel font l’objet d’une déclaration auprès de la Commission nationale de l’informatique et des libertés.

 II. - Toutefois, ne sont soumis à aucune des formalités préalables prévues au présent chapitre :

Les traitements ayant pour seul objet la tenue d’un registre qui, en vertu de dispositions législatives ou réglementaires, est destiné exclusivement à l’information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d’un intérêt légitime ;

Les traitements mentionnés au 3° du II de l’article 8.

III. - Les traitements pour lesquels le responsable a désigné un correspondant à la protection des données à caractère personnel chargé d’assurer, d’une manière indépendante, le respect des obligations prévues dans la présente loi sont dispensés des formalités prévues aux articles 23 et 24, sauf lorsqu’un transfert de données à caractère personnel à destination d’un État non membre de la Communauté européenne est envisagé.

La désignation du correspondant est notifiée à la Commission nationale de l’informatique et des libertés. Elle est portée à la connaissance des instances représentatives du personnel.

Le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions. Il tient une liste des traitements effectués immédiatement accessible à toute personne en faisant la demande et ne peut faire l’objet d’aucune sanction de la part de l’employeur du fait de l’accomplissement de ses missions. Il peut saisir la Commission nationale de l’informatique et des libertés des difficultés qu’il rencontre dans l’exercice de ses missions.

En cas de non-respect des dispositions de la loi, le responsable du traitement est enjoint par la Commission nationale de l’informatique et des libertés de procéder aux formalités prévues aux articles 23 et 24. En cas de manquement constaté à ses devoirs, le correspondant est déchargé de ses fonctions sur demande, ou après consultation, de la Commission nationale de l’informatique et des libertés.

 
IV. - Le responsable d’un traitement de données à caractère personnel qui n’est soumis à aucune des formalités prévues au présent chapitre communique à toute personne qui en fait la demande les informations relatives à ce traitement mentionnées aux 2° à 6° du I de l’article 31. 
»

Et l’article 9 du code civil dispose :

« Chacun a droit au respect de sa vie privée.

Les juges peuvent, sans préjudice de la réparation du dommage subi, prescrire toutes mesures, telles que séquestre, saisie et autres, propres à empêcher ou faire cesser une atteinte à l'intimité de la vie privée : ces mesures peuvent, s'il y a urgence, être ordonnées en référé ».

Internet est aujourd'hui un outil essentiel dans notre quotidien.

Il est même courant que les entreprises laissent libre accès à internet à leurs salariés dans l'accomplissement de leurs tâches de travail, que ce soit pour communiquer avec des clients ou pour faire des recherches professionnelles.

Toutefois, si l'utilisation d'internet par le salarié durant ses heures de travail est en principe tolérée, cette utilisation peut justifier, dans une certaine mesure, un licenciement.

En effet, il est arrivé que la chambre sociale de la Cour de Cassation valide le licenciement pour faute grave d'un salarié qui a passé près de 41 heures dans le mois sur des sites internet non professionnels (Cass, soc, 19 Mars 2009).

Néanmoins, dans  la mesure où la liste de sites internet visités par le salarié met en jeux des données à caractère personnel, l'employeur devra apporter la preuve d'une faute pour pouvoir sanctionner le salarié fautif.

A cet effet, l'employeur devra, au nom de la loyauté de la preuve, respecter une triple condition  à savoir:

  • informer le salarié de la possibilité d'une telle communication,

  • informer les représentants du personnel,

  • déclarer à la CNIL la mise en place d’un dispositif de contrôle individuel

Une fois cette triple information respectée, l'employeur pourra alors considérer les informations recueillies comme une preuve permettant de licencier le salarié.

Le présent arrêt offre l’occasion de rappeler ces règles.

En l’espèce, une assistante en charge de l’analyse financière a été licenciée par son employeur qui lui reprochait une utilisation excessive de la messagerie électronique à des fins personnelles.

L’employeur s’était fondé uniquement sur des éléments de preuve obtenus à l’aide d’un système de traitement automatisé d’informations personnelles avant qu’il ne soit déclaré à la CNIL pour justifier ce licenciement.

Considérant ce moyen de preuve illicite, la salariée a alors formé une demande de dommages intérêts pour licenciement sans cause réelle et sérieuse et pour licenciement vexatoire.

Une Cour d’appel avait rejeté sa demande au motif que « la déclaration tardive à la Commission nationale informatique et libertés (CNIL) le 10 décembre 2009 de la mise en place d’un dispositif de contrôle individuel de l’importance et des flux des messageries électroniques n’a pas pour conséquence de rendre le système illicite ni davantage illicite l’utilisation des éléments obtenus ».

Les juges d’appel ont donc estimé que la déclaration tardive à la CNIL, de la mise en place d’un dispositif de contrôle individuel, ne rend pas un système de traitement automatisé de données personnelles illicite et n’entache pas non plus d’illicéité les moyens de preuve obtenus par ce moyen.

Cependant, la Cour de cassation a cassé et annulé l’arrêt en estimant que :

«constituent un moyen de preuve illicite les informations collectées par un système de traitement automatisé de données personnelles avant sa déclaration à la CNIL ;  

Qu’en statuant comme elle l’a fait, en se fondant uniquement sur des éléments de preuve obtenus à l’aide d’un système de traitement automatisé d’informations personnelles avant qu’il ne soit déclaré à la CNIL, alors que l’illicéité d’un moyen de preuve doit entraîner son rejet des débats, la cour d’appel a violé les textes susvisés »

La Haute Cour a ainsi posé le principe selon lequel les moyens de preuve obtenus par le biais d’un système de traitement automatisé de données personnelles avant sa déclaration à la CNIL constituent un moyen de preuve illicite ne pouvant justifier un licenciement pour cause réelle et sérieuse. 

La Cour de cassation consacre ainsi le principe du respect de la vie privée du salarié et du secret des correspondances.

Je suis à votre disposition pour tout action ou information (en cliquant ici).

Anthony Bem
Avocat à la Cour
27 bd Malesherbes - 75008 Paris

01 40 26 25 01
abem@cabinetbem.com

www.cabinetbem.com

Vous avez une question ?
Blog de Anthony BEM

Anthony BEM

249 € TTC

1435 évaluations positives

Note : (5/5)

Posez gratuitement toutes vos questions sur notre forum juridique. Nos bénévoles vous répondent directement en ligne.

Publier un commentaire
Votre commentaire :
Inscription express :

Le présent formulaire d’inscription vous permet de vous inscrire sur le site. La base légale de ce traitement est l’exécution d’une relation contractuelle (article 6.1.b du RGPD). Les destinataires des données sont le responsable de traitement, le service client et le service technique en charge de l’administration du service, le sous-traitant Scalingo gérant le serveur web, ainsi que toute personne légalement autorisée. Le formulaire d’inscription est hébergé sur un serveur hébergé par Scalingo, basé en France et offrant des clauses de protection conformes au RGPD. Les données collectées sont conservées jusqu’à ce que l’Internaute en sollicite la suppression, étant entendu que vous pouvez demander la suppression de vos données et retirer votre consentement à tout moment. Vous disposez également d’un droit d’accès, de rectification ou de limitation du traitement relatif à vos données à caractère personnel, ainsi que d’un droit à la portabilité de vos données. Vous pouvez exercer ces droits auprès du délégué à la protection des données de LÉGAVOX qui exerce au siège social de LÉGAVOX et est joignable à l’adresse mail suivante : donneespersonnelles@legavox.fr. Le responsable de traitement est la société LÉGAVOX, sis 9 rue Léopold Sédar Senghor, joignable à l’adresse mail : responsabledetraitement@legavox.fr. Vous avez également le droit d’introduire une réclamation auprès d’une autorité de contrôle.

Rechercher
A propos de l'auteur
Blog de Anthony BEM

Avocat contentieux et enseignant, ce blog comprend plus de 3.000 articles juridiques afin de partager mes connaissances et ma passion du droit.

Je peux vous conseiller et vous représenter devant toutes les juridictions, ainsi qu'en outre mer ou de recours devant la CEDH.

+ 1400 avis clients positifs

Tel: 01.40.26.25.01 

En cas d'urgence: 06.14.15.24.59 

Email : abem@cabinetbem.com

Consultation en ligne
Image consultation en ligne

Posez vos questions juridiques en ligne

Prix

249 € Ttc

Rép : 24h max.

1435 évaluations positives

Note : (5/5)
Retrouvez-nous sur les réseaux sociaux et sur nos applications mobiles