Illicéité de la preuve obtenue via un traitement non déclaré à la CNIL

Dans un arrêt en date du 8 octobre 2014, la chambre sociale de la Cour de cassation a jugé illicite la preuve des faits invoqués à l’appui du licenciement d’une salariée, dès lors que cette preuve avait été obtenue par le biais d’un dispositif de contrôle de messagerie électronique non déclaré à la CNIL au moment des faits litigieux.

Dans l’affaire en cause, une société, souhaitant mettre un terme aux abus de certains de ses employés, avait mis en place un dispositif de contrôle individuel de la messagerie électronique mise à leur disposition à titre professionnel, afin d’être en mesure d’apprécier l’importance et le flux des messages personnels échangés par les salariés pendant leurs heures de travail.
L’employeur avait pris le soin d’informer préalablement les salariés et les organes représentatifs du personnel de son intention de mettre en place ledit système de contrôle de la messagerie au sein de l’entreprise, tout en leur rappelant que l’entreprise sanctionnerait les abus de communications personnelles des salariés.
Sans déclaration préalable à la CNIL, l’employeur a mis en œuvre le dispositif de contrôle, ce qui lui a permis de constater que l’une de ses salariés avait envoyé et/ou reçu 1228 courriels personnels pendant les mois d’octobre et de novembre 2009.
Constatant le volume important et la fréquence excessive de ces messages d’ordre privé, l’employeur a convoqué le 2 décembre 2009 la salariée à un entretien préalable, à la suite duquel la salariée a été licenciée pour utilisation excessive de la message électronique professionnelle à des fins personnelles.
Quelques jours plus tard, l’employeur déclarait à la CNIL la mise en place du dispositif de contrôle de la messagerie de ses salariés.

La procédure : entre droit social et protection des données personnelles

La salariée a saisi le Conseil de Prud’hommes d’Amiens pour contester la légitimité de son licenciement, notamment au motif que le mode de preuve utilisé par son employeur pour fonder ce licenciement était illicite, du fait de l’absence de déclaration préalable du dispositif de surveillance à la CNIL.

Le Conseil a jugé le licenciement justifié par une cause réelle et sérieuse et dépourvu de caractère vexatoire, déboutant ainsi la salariée de ses demandes de dommages et intérêts.
De même, la Cour d’appel d’Amiens, par arrêt en date du 29 janvier 2013, a motivé sa décision par les circonstances de l’espèce, s’appuyant sur le fait que la salariée était informée (i) des règles d’utilisation de sa messagerie électronique prévues dans la Charte informatique annexée au règlement intérieur de l’entreprise, (ii) de la volonté affichée de l’entreprise de sanctionner les abus commis dans l’utilisation du matériel professionnel à des fins personnelles et (iii) de l’existence du dispositif de contrôle individuel de sa messagerie par son employeur.
La Cour d’appel a relevé en outre que les listings utilisés à titre de preuve de l’usage excessif de la messagerie ne contenaient aucune information sur le contenu même des messages électroniques, de sorte que le dispositif de contrôle ne portait pas, selon elle, atteinte aux libertés individuelles et au droit à la vie privée des salariés.
Jugeant ensuite que la déclaration tardive à la CNIL n’avait pas pour conséquence de « rendre le système illicite ni davantage illicite l’utilisation des éléments obtenus » par l’employeur grâce audit système de contrôle, la Cour d’appel a admis la légalité du licenciement au motif que l’utilisation excessive de la messagerie électronique à des fins personnelles avait eu un « impact indéniablement négatif sur l’activité professionnelle déployée par la salariée ».
Or, dans l’arrêt rapporté, la Haute juridiction censure les juges du fond au motif que l’absence de déclaration à la CNIL du dispositif de contrôle individualisé des salariés au moment des faits ayant donné lieu au licenciement de la salariée rendait ce moyen de preuve illicite.
La Cour de Cassation en déduit que les informations obtenues grâce au dispositif en cause sont dénuées de toute valeur probatoire et auraient donc dus être écartées des débats.

Rappel des règles de protection des données personnelles : les précautions à prendre

La solution exposée par la Cour de cassation est conforme à la lettre de la loi dite « Informatique et libertés », qui précise en son article 23, au sein d’un chapitre intitulé « Formalités préalables à la mise en œuvre des traitements », que le responsable du traitement peut mettre en œuvre celui-ci à réception du récépissé, par la CNIL, de la déclaration dudit traitement. C’est bien dire que cette déclaration doit être effectuée avant la mise en œuvre du traitement en question.
Ce raisonnement paraîtra rigoriste à ceux qui jugent que les formalités sont, d’une manière générale, un frein à la vie économique, spécialement en France. Les autres seront rassurés de constater que l’usage des données personnelles à des fins de surveillance reste soumis à l’application de garde-fous légaux (au demeurant simples à respecter) et que la Cour de cassation veille à leur strict respect.

La transparence ainsi exigée des entreprises en contrepartie de la faculté de surveillance qui leur est reconnue (de manière légitime également), paraîtra la moindre des choses.
Notons que cette position est à rapprocher de celle de la Chambre commerciale de la Cour de cassation, qui avait jugé illicite la cession d’un fichier-client, à raison de son absence de déclaration auprès de la CNIL.
Quoiqu’il en soit, la décision devrait inciter les entreprises dépourvues de Correspondant Informatique et Libertés à (i) informer préalablement leurs salariés et les représentants du personnel du traitement automatisé de leurs données personnelles et (ii) effectuer une déclaration normale à la CNIL de l’installation d’un dispositif de surveillance individualisé des outils informatiques fournis à leurs salariés, préalablement à la mise en œuvre d’un tel dispositif.
Ces précautions éviteront aux entreprises d’encourir les sanctions de la CNIL mais aussi, au-delà, de voir privés d’efficacité leurs dispositifs de contrôle et de surveillance des outils informatiques de l’entreprise.