Dans un arrêt du 6 avril 2004, la Chambre sociale de la Cour de cassation avait jugé qu’ « à défaut de déclaration à la CNIL d’un traitement automatisé d’informations nominatives concernant un salarié, son refus de déférer à une exigence de son employeur impliquant la mise en œuvre d’un tel traitement ne peut lui être reproché » [1]. Le licenciement du salarié devait, partant, être déclaré dépourvu de cause réelle et sérieuse. En l’espèce, un salarié refusait d’utiliser une badgeuse pour le calcul de son temps de travail.
Par cet arrêt, la Cour de cassation venait préciser, en la renforçant, la portée de l’accomplissement des formalités préalables auprès de la CNIL et les conséquences du défaut d’accomplissement de ces formalités notamment au regard de licéité des preuves invoquées à l’appui d’un licenciement.
S’agissant du premier point, l’on rappellera un arrêt retentissant du 25 juin 2013 par lequel la Cour de cassation déclarait qu’un fichier client non déclaré à la CNIL n’avait aucune valeur juridique et ne pouvait pas être valablement cédé. Aux termes de cet arrêt, « tout fichier informatisé contenant des données à caractère personnel doit faire l’objet d’une déclaration auprès de CNIL […] la vente par la société B d’un tel fichier qui, n’ayant pas été déclaré, n’était pas dans le commerce, avait un objet illicite » [2].
S’agissant du second point, à la suite de l’arrêt du 6 avril 2004, nombres d’autres arrêts sont venus confirmer l’illégalité de licenciements lorsque l’employeur n’avait pas accompli les formalités préalables auprès de la CNIL et n’avait pas respecté les dispositions de la loi Informatique et libertés en n’informant pas les salariés notamment.
Ainsi, la Cour d’appel de Dijon a jugé le 14 septembre 2010 que l’information transmise par une note de service dont les destinataires n’étaient pas personnellement identifiés, ne permet pas de s’assurer que tous les employés destinataires du traitement avaient bien été informés de la mise en place du dispositif de géolocalisation et des droits dont ils jouissent. Ce défaut d’information du salarié viciait le licenciement (Pour une autre condamnation pour défaut d’information sur la finalité du traitement, Voir, Cour d’appel de Lyon, 13 mars 2013, John X contre Société Y).
Par ailleurs, selon la Cour d’Appel, « les informations relatives à la conduite et à l’utilisation de son véhicule par l’intimé ayant été obtenues par l’employeur par des procédés dont la licéité n’est pas établie, les griefs qui en découlent ne sauraient être considérés comme avérés ». En effet, le traitement des données n’avait pas été déclaré à la CNIL.
Dans cette lignée, la Cour d’appel de Grenoble avait condamné un employeur le 25 janvier 2012. Il s’agissait ici d’une société de transport qui utilisait un système de géolocalisation satellitaire qui enregistrait le temps de service et de repos des chauffeurs routiers. Cette dernière licenciera un de ses salariés à qui elle reprochait d’avoir manipulé frauduleusement son chronotachygraphe pour majorer son temps de travail et sa rémunération. Faute pour l’employeur d’avoir effectué une déclaration du traitement à la CNIL et d’en avoir informé ses salariés, la Cour d’appel avait considéré que les enregistrements effectués n’étaient pas opposables [3]. Et partant, le licenciement du salarié devait être déclaré sans cause réelle et sérieuse.
C’est cet arrêt que la Cour de cassation a cassé le 14 janvier 2014 en admettant qu’un employeur puisse se servir des informations résultant d’un chronotachygraphe pour licencier un salarié (un camionneur) quand bien même ce dispositif technologique n’avait pas été déclaré à la CNIL [4]. En l’occurrence, la Cour considère que dans la mesure où l’utilisation de ce dispositif était imposée à l’employeur par un règlement communautaire (20/12/1985), le défaut de déclaration à la CNIL ne s’opposait pas à ce que l’employeur puisse se prévaloir des informations qui en étaient issues. Par ailleurs, selon la Cour, le salarié, qui avait dix ans d’expérience, ne pouvait ignorer l’existence de ce dispositif.
Revirement de jurisprudence ? Il serait difficile de l’affirmer. Cependant, cet arrêt ne peut manquer de susciter quelques interrogations s’agissant de l’obligation de déclaration des traitements de données à caractère personnel auprès de la CNIL et de l’obligation d’information des personnes concernées par le traitement, en l’occurrence les salariés.
S’agissant de l’obligation de déclaration des traitements auprès de la CNIL
Sauf à relever d’une autre formalité, à en être dispensé ou à ne pas relever des dispositions de la loi Informatique et libertés, tout traitement automatisé de données à caractère personnel doit, en principe, faire l’objet d’une déclaration auprès de la CNIL [5].
En l’occurrence, le traitement n’a pas été déclaré sans que puisse être invoqué une quelconque dispense. Pourtant, la Cour en admet la licéité au motif que la mise en œuvre du traitement relevait d’une obligation pour l’employeur en application d’un règlement communautaire. L’obligation de l’employeur était particulièrement renforcée, en l’espèce, dans la mesure où le règlement imposait aux employeurs de chauffeurs longue distance d’effectuer des enregistrements des déplacements et ce, sous peine de sanctions pénales.
Toutefois, à vouloir appliquer les dispositions de la loi Informatique et libertés de façon juridiquement rigoureuse, l’existence de ce règlement ne devrait pouvoir servir que comme fondement de la légitimité du traitement de données en cause.
En effet, conformément à l’article 7. 1° de la loi, « un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l’une des conditions suivantes :
1° le respect d’une obligation légale incombant au responsable du traitement ». En vertu d’un tel fondement légitime, le recueil du consentement de la personne concernée – ici le salarié – ne s’impose, par exemple, plus de façon légale. De même, son droit d’opposition peut être écarté par une application conjointe des articles 7. 1° et 38 de la loi Informatique et libertés. Selon ce dernier texte, en effet, « toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement […] Les dispositions du premier alinéa ne s’appliquent pas lorsque le traitement répond à une obligation légale ou lorsque l’application de ces dispositions a été écartée par une disposition expresse de l’acte autorisant le traitement ».
Cependant, pour légitime, le traitement n’en demeurait pas moins soumis aux formalités préalables requises. Un traitement de données, même légitime, doit en principe être déclaré. On peut, en effet, dénombrer nombres de traitements de données dont la création est prévue par une loi mais dont les responsables restent tenus de l’accomplissement auprès de la CNIL des formalités exigées. C’est ainsi par exemple que la CNIL a adopté une délibération portant création d’une autorisation unique concernant les traitements de données à caractère personnel relatifs à la consultation du répertoire national d’identification des personnes physiques (RNIPP) et à l’utilisation du numéro d’inscription au répertoire (NIR) mis en œuvre par les organismes d’assurance, de capitalisation, de réassurance, d’assistance, les intermédiaires d’assurance et par l’AGIRA [6]. De tels traitements peuvent notamment avoir pour fondement légitime la loi du 17 décembre 2007 qui permet la recherche des bénéficiaires des contrats d’assurance sur la vie non réclamés.
Outre qu’il doive être déclaré ou être autorisé, la mise en œuvre d’un traitement de données, même légitime, nécessite, en principe, l’information des personnes concernées – le salarié en l’occurrence.
S’agissant de l’obligation d’information du salarié par l’employeur
Comme la déclaration des traitements, l’obligation d’information des personnes concernées est également posée comme principe [7]. En l’occurrence, il n’est pas allégué que l’employeur ait satisfait à cette obligation ; la Cour de cassation se contentant de ce que le salarié ne pouvait ignorer l’existence de ce dispositif. S’orienterait-on alors désormais vers une présomption de connaissance ou de non-ignorance de l’existence d’un traitement de données pour considérer que le responsable du traitement, l’employeur en l’occurrence, n’est pas tenu de procéder à l’information du salarié ; que le responsable du traitement n’est tenu d’informer les personnes concernées ?
Une telle présomption serait plutôt défavorable au salarié notamment face à un employeur qui chercherait à imposer un traitement de données. Il n’est, en effet, pas rare que l’employeur se retranche derrière l’argument selon lequel le salarié ne pouvait ignorer l’existence du traitement ; lequel n’aura, souvent, simplement fait l’objet que d’un banal et discret affichage au sein de l’entreprise.
Au-delà de la relation employeur/salarié, le présent arrêt peut avoir des répercussions sur tout l’édifice de la protection des données personnelles si l’on devait s’en tenir à la légitimité d’un traitement de données comme exigence légale exclusive ou prépondérante. Or tel n’est pas le mécanisme de protection qui résulte de la loi Informatique et libertés modifiée encore moins du projet de règlement européen relatif à la protection des données à caractère personnel [8].
Il y a donc tout lieu d’affirmer que, sauf exception, un traitement automatisé de données à caractère personnel doit être déclaré à la CNIL. Le fondement légal de la mise en œuvre traitement n’est, en principe, pas une dispense à l’accomplissement de cette formalité, quand bien même il s’agirait d’un règlement européen d’application directe. De même, la connaissance présumée d’un traitement de données ne saurait se substituer à l’obligation d’information qui pèse sur le responsable du traitement.
