Validité d’un licenciement versus protection des données personnelles

/, Protection des données personnelles/Validité d’un licenciement versus protection des données personnelles

La déclaration à la CNIL des traitements des données personnelles est une condition sine qua non de leur opposabilité aux salariés.

Une salariée en poste depuis mars 2007 a utilisé en excès l’adresse électronique mise à sa disposition par son employeur à des fins personnelles. Un dispositif de contrôle individuel de l’importance et des flux des messageries électroniques mis en place par l’employeur lui a permis de quantifier l’importance de ce flux : en octobre et novembre 2009, respectivement 607 et 621 messages à caractère personnel ont été envoyés par la salariée.

Un entretien préalable le 2 décembre 2009 a été suivi d’un licenciement, le 23 décembre 2009, pour cause réelle et sérieuse, pour avoir utilisé de façon excessive la messagerie électronique de l’entreprise à des fins personnelles. Dans l’intervalle, le 10 décembre, l’employeur a déclaré le système en question à la CNIL, conformément à ses obligations de responsable de traitement de données à caractère personnel.

Quid de la protection des données personnelles

Dans le cadre du litige, l’employeur avait fourni à titre de preuve les relevés du dispositif de contrôle individuel de l’importance et des flux des messageries électroniques de ses salariés. Or ce dispositif est un système de traitement automatisé des données au sens de la Loi dite « Informatique et libertés » du 6 janvier 1078 telle que modifiée. Il doit donc être déclaré à la CNIL. En l’espèce, la déclaration était postérieure aux relevés produits à titre de preuve des flux excessifs de messages personnels des mois d’octobre et novembre 2009.

La Cour d’appel avait déclaré le licenciement justifié et affirmé que de telles preuves étaient licites bien que non déclarées à la CNIL, étant donné qu’elles ne portaient pas sur le contenu des messages mais uniquement sur leur nombre et leur fréquence.

Mais au visa des articles 9 du Code civil et des articles 2 et 22 de la Loi dite « Informatique et libertés », la chambre sociale de la Cour de cassation apporte dans son arrêt du 8 octobre dernier, une réponse différente, et apprécie la licéité de la preuve sans distinguer en fonction de l’utilisation qui est faite du dispositif. La Cour affirme que « constituent un moyen de preuve illicite les informations collectées par un système de traitement automatisé de données personnelles avant sa déclaration à la CNIL ».

La cybersurveillance s’exerce donc dans un cadre légal précis, défini par la nécessité d’informer les instances représentatives du personnel, et d’effectuer les déclarations nécessaires auprès de la CNIL.

Par conséquent, afin de s’assurer de leur légalité et de leur opposabilité en cas de contentieux avec un salarié, il est fortement recommandé aux entreprises de déclarer l’ensemble des traitements des données personnelles effectués et notamment afin de s’assurer de l’opposabilité du contrôle de l’utilisation des outils informatiques aux salariés.