Pensez à déclarer vos systèmes de messagerie électronique à la CNIL !

La Cour de cassation considère qu'une déclaration tardive à la CNIL d'un système de contrôle de la messagerie électronique des salariés empêche l'employeur de se prévaloir des données collectées avant la déclaration. Une solution radicale alors qu'une déclaration tardive est toujours préférable à une absence de déclaration.

La mise à disposition d'une messagerie électronique professionnelle au bénéfice des salariés entraîne un certain nombre de conséquences juridiques, à la fois sur le plan du droit du travail et sur celui du droit relatif aux données à caractère personnel.

Par principe, la fourniture d'une adresse e-mail professionnelle à un salarié est destinée à permettre à ce dernier de correspondre avec des tiers dans un cadre professionnel, qu'il s'agisse de ses collègues de travail ou de personnes extérieures à l'entreprise qui l'emploie. La jurisprudence ne tolère une utilisation de cette messagerie à des fins personnelles qu'à condition qu'elle reste dans les limites du raisonnable, le juge restant libre d'apprécier concrètement si cette utilisation est ou non abusive.
 
Que se passe-t-il si le salarié dépasse ces limites ? L'employeur peut en principe le licencier pour faute grave. Encore faut-il que le système qui permet de constater l'outrepassement des limites du raisonnable ait été déclaré à la CNIL. C'est ce que vient de rappeler un arrêt de la Chambre sociale de la Cour de cassation du 8 octobre dernier (13-14991), dans une affaire opposant un salarié à son ancien employeur. Ce dernier reprochait à son employée d'avoir envoyé plus de 1 200 e-mails non professionnels en l'espace de deux mois, ce qui était selon lui une preuve de l'utilisation de son temps de travail à des fins privées.

Il résulte des motifs de l'arrêt rendu en appel par la Cour d'Amiens le 29 janvier 2013 que l'employeur avait adopté une charte d'utilisation de l'outil informatique en 2007, qui informait les salariés de la possibilité d'un contrôle des ressources informatiques par le chef d'entreprise, lequel se réservait le droit de sanctionner tout abus desdites ressources à des fins privées. Les motifs de l'arrêt n'indiquent pas s'il s'agissait d'un système spécifique, même si on peut le supposer, sachant que toute messagerie électronique peut a priori faire l'objet d'une surveillance générale, notamment en ce qui concerne le volume global de données reçues et envoyées.

Dans cette affaire, la Cour d'appel d'Amiens avait refusé de tenir compte du fait que l'employeur avait tardé à déclarer ce système de surveillance à la CNIL et avait validé le licenciement de la salariée, fondé sur des données collectées avant cette déclaration. La Cour de cassation est toutefois venue casser cet arrêt et considère, au visa des articles 2 et 22 de la Loi Informatique & Libertés et de l'article 9 du Code civil (qui protège la vie privée), que cette déclaration tardive privait le système de surveillance de validité et, par conséquent, que l'employeur ne pouvait pas se prévaloir des constatations réalisées.

L'absence de déclaration d'un traitement de données à caractère personnel à la CNIL est à n'en pas douter une faute au regard des dispositions de la Loi Informatique & Libertés

Cette déclaration doit intervenir avant la mise en place d'un tel traitement. En ce qui concerne la messagerie électronique des salariés, le traitement doit faire l'objet d'une déclaration simplifiée (selon la norme simplifiée n° 46 adoptée par la CNIL, qui concerne la gestion des ressources humaines des organismes publics et privés), ce qui est très simple à mettre en œuvre.
Toutefois, cette norme simplifiée ne s'applique pas lors de l'utilisation du système à des fins de contrôle individuel des salariés.

En effet, les finalités qu'elle vise portent notamment sur la "mise en œuvre de dispositifs destinés à assurer la sécurité et le bon fonctionnement des applications informatiques et des réseaux, à l'exclusion de tout traitement permettant le contrôle individuel de l'activité des employés". Cela signifie que la mise en place d'un tel système de contrôle doit faire l'objet d'une déclaration normale à la CNIL.

Ce n'est pas la première fois que la jurisprudence considère que l'absence de déclaration d'un traitement de données à la CNIL a des conséquences sur la validité d'un fait ou d'un acte juridique.
Par exemple, il a été jugé que l'installation d'un contrôle d'accès biométrique non déclaré à la CNIL privait le contrat de location de validité. La Cour d'appel de Paris a en effet jugé qu'en l'absence d'accomplissement des formalités requises, qui était seule imputable au prestataire ayant loué l'appareil, le client était fondé à solliciter la nullité des deux contrats tant d'abonnement que de location.

Le plus surprenant en l'espèce tient au fait que l'employeur avait bien déclaré le système à la CNIL, mais trop tardivement, plus de deux mois et demi après sa mise en place.
Il s'agit d'une sanction lourde, alors qu'il est raisonnable de considérer qu'une déclaration tardive est préférable à une absence de déclaration. Par ailleurs, et surtout, la salariée avait été informée de la possibilité d'une surveillance dès 2007, avec l'adoption d'une charte sur l'utilisation de l'outil informatique.