Hi, How Can We Help You?

Blog

Franc Muller   →  Blog sur le droit du travail   →  Messageries, Internet, nouvelles technologies   →  L’évolution du traitement des données à caractère personnel : de la déclaration obligatoire à la CNIL au RGPD
Avocat droit des salariés
Posted on Author By Franc Muller

L’évolution du traitement des données à caractère personnel : de la déclaration obligatoire à la CNIL au RGPD

Franc Muller – Avocat droit du travail, Paris

 

Le droit du travail impose souvent des exigences formelles

En matière juridique, le formalisme revêt souvent un caractère déterminant.

Il n’est pas rare que faute de répondre aux exigences formelles requises par la loi ou par un accord collectif, une décision prise par un employeur soit privée d’effet, la forme primant le fond.

C’est ainsi par exemple, que lorsqu’une convention collective prévoit qu’un employeur qui envisage de prendre une sanction disciplinaire à l’égard d’un salarié, celui-ci doit préalablement à sa décision, recueillir l’avis d’un organisme consultatif, comme c’est notamment le cas de nombreux groupes du secteur bancaire, le défaut de consultation de cet organisme a pour effet qu’un licenciement prononcé dans de telles conditions sera dépourvu de cause réelle et sérieuse.

La Cour de cassation juge en effet avec une parfaite constance que la consultation d’un organisme chargé en vertu d’une disposition conventionnelle de donner son avis sur la mesure disciplinaire envisagée par l’employeur constitue une garantie de fond et, faute d’y satisfaire, la décision prise par l’employeur sera dénuée d’effet (27 mars 2013 n° 11-20737, Cass. soc 16 sept. 2008 n° 07-41532).

On serait tenté d’établir un parallèle avec le raisonnement adopté par les magistrats s’agissant exigences prévues par la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés individuelles.

L’obligation de déclarer les traitements de données personnelles à la CNIL

Cette loi fait obligation aux utilisateurs de traitements automatisés de données à caractère personnel, de déclarer ces traitements à la CNIL (Commission Nationale de l’Informatique et des Libertés).

La Cour de cassation a jugé en 2004 :

A défaut de déclaration par l’employeur d‘un traitement automatisé d’informations nominatives concernant un salarié, le refus de ce dernier de déférer à une exigence de son employeur impliquant la mise en œuvre d’un tel traitement, ne peut lui être reproché (Cass. soc 6 avril 2004 n° 01-45227).

Faute donc pour l’employeur de déclarer les traitements de données à caractère personnel à la CNIL, le salarié ne peut se voir reprocher un manquement relatif à l’application de ce dispositif.

La situation antérieure, pas de déclaration = licenciement injustifié

Cette affaire concernait une entreprise dans laquelle l’employeur avait mis en place un système de badges permettant d’identifier les salariés lors de leur entrée et de leur sortie des locaux.

Un salarié récalcitrant avait refusé de se soumettre à ce procédé à 19 reprises sur une période de deux mois et avait été licencié pour ce motif.

La Chambre sociale de la Cour de cassation avait considéré que son licenciement était dépourvu de cause réelle et sérieuse, nonobstant le fait qu’une disposition du règlement intérieur fasse obligation aux salariés d’utiliser le badge.

Les magistrats ont considéré que le licenciement était injustifié en raison du fait que l’employeur n’avait pas déclaré préalablement ce traitement automatisé de données à la CNIL.

Cette solution vient d’être reprise récemment.

L’affaire combinait au demeurant l’utilisation de la messagerie électronique d’une salariée à des fins personnelles, et le traitement automatisé de données à caractère personnel.

Une solution constante

Un employeur avait mis en place dans l’entreprise un dispositif de contrôle individuel mesurant les flux des messageries électroniques des salariés, qui avait révélé qu’une salariée avait envoyé et reçu un nombre extrêmement élevé de messages électroniques à caractère personnel à partir de sa messagerie professionnelle (plus de 600 messages envoyés et autant reçus, sur une période de deux mois).

L’intéressée avait été licenciée pour cause d’utilisation excessive de sa messagerie électronique professionnelle à des fins personnelles.

Les juges du fond avait validé le licenciement, la Cour d’appel estimant que la salariée avait fait un usage excessif de l’outil informatique mis à sa disposition par l’employeur pour l’accomplissement de son travail, et qu’il en résultait un impact négatif sur son activité professionnelle, en utilisant une part très importante de son temps de travail à des occupations privées.

La Cour de cassation, esquivant le fond de l’affaire, juge au contraire que ce licenciement était injustifié.

Plaçant le débat sur le terrain de la preuve, elle énonce que

« Constituent un moyen de preuve illicite les informations collectées par un système de traitement automatisé de données personnelles avant sa déclaration à la CNIL »

Elle ajoute qu’il n’était pas possible de se « fonder uniquement sur des éléments de preuve obtenus à l’aide d’un système de traitement automatisé d’informations personnelles, avant qu’il ne soit déclaré à la CNIL, alors que l’illicéité d’un moyen de preuve doit entraîner son rejet des débats » (Cass. soc 8 oct. 2014 n° 13-14991).

Cette décision a le mérite de la simplicité, le mode de preuve utilisé par l’employeur était illicite dés lors que le dispositif n’avait pas été préalablement déclaré à la CNIL, en sorte que l’examen des faits eux-mêmes est inutile.

La carence de l’employeur à satisfaire à l’obligation déclarative qui s’imposait à lui le prive donc de la possibilité de sanctionner les fautes de la salariée tels que révélées par le dispositif litigieux.

Mais depuis mai 2018, une obligation allégée par le RGPD

Le RGPD (règlement général sur la protection des données) a cependant modifié les exigences légales, dispensant l’employeur de procéder à une déclaration préalable à la CNIL.

Ce règlement communautaire consacre un droit fondamental des personnes physiques à la protection à l’égard du traitement des données à caractère personnel.Absence de consentement du salarié et mode de preuve illicite

Il comporte notamment des obligations strictes ayant un effet contraignant sur les entreprises.

En particulier, le traitement par l’employeur de données à caractère personnel du salarié nécessite qu’il ait préalablement obtenu le consentement de l’intéressé.

Dans ce cadre, les données à caractère personnel recueillies doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée, selon l’article 5 du RGPD.

Le traitement des données personnelles sans le consentement de l’intéressé et à fin de contrôle individuel de son activité constitue un mode de preuve illicite

Dans ce qui semble être une première décision depuis l’application du RGPD, la Cour de cassation a sanctionné un employeur ayant méconnu les exigences liées au traitement des données à caractère personnel.

Un salarié, qui était en litige avec son employeur, est licencié pour faute grave, celui-ci lui reprochant d’avoir supprimé plus de 4000 fichiers du serveur de l’entreprise et de s’être envoyé une centaine de mails.

Le salarié conteste son licenciement et fait valoir que le mode de preuve utilisé par l’employeur, à savoir le recueil d’informations par huissier de justice provenant des fichiers et leur recoupement avec les messages envoyés de l’adresse IP attribuée, est illicite.

La cour d’appel (d’Agen) le déboute et valide son licenciement pour faute grave (10 janvier 2023 n° 21/00755).

La Cour de cassation censure cette décision et juge, au contraire, que le licenciement reposait sur un mode de preuve illicite.

Son raisonnement est articulé sur les dispositions du RGPD.

Elle précise tout d’abord que les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée et collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités (article 5 du RGPD).

Le traitement n’est licite que si la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques (article 6 du RGPD).

Il en résulte que les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, au sens de l’article 4 du RGPD, de sorte que leur collecte par l’exploitation du fichier de journalisation constitue un traitement de données à caractère personnel qui n’est licite que si la personne concernée y a consenti.

En l’espèce, l’exploitation des fichiers de journalisation par l’employeur avait été traité, sans le consentement de l’intéressé, et à à une autre fin, à savoir le contrôle individuel de son activité, que celle pour laquelle elles avaient été collectées, ce dont il résultait que la preuve était illicite (Cass. soc. 9 avril 2025 n° 23-13159).