Les outils informatiques de collecte des données des salariés doivent faire l’objet de formalités préalables auprès de la CNIL. En pratique cela signifie que lorsque l’entreprise installe une badgeuse, une caméra de vidéosurveillance ou simplement un logiciel de contrôle des systèmes informatiques, elle doit impérativement faire une déclaration à la CNIL.
La jurisprudence était déjà constante sur ce sujet. Mais, le 8 octobre dernier, une étape importante a été franchie par la Cour de cassation : la déclaration de ces dispositifs doit être PREALABLE à leur mise en œuvre. C’est ce que rappelle un arrêt de la Chambre sociale de la Cour de cassation du 8 octobre 2014 qui a invalidé un licenciement au motif que les preuves de la faute du salarié sont issues d’un « outil » qui a été tardivement déclaré à la CNIL.
Contexte de l’affaire : Dans cette affaire, une salariée a été licenciée pour faute car elle avait reçu et envoyé de sa messagerie professionnelle près de 1 200 emails personnels sur 60 jours. Elle a été licenciée pour utilisation personnelle excessive de sa messagerie professionnelle, en violation du règlement intérieur et après nombres d’avertissements. Pour le prouver, l’entreprise a fourni les rapports informatiques d’un outil permettant de surveiller la messagerie électronique (messages envoyés/reçus, leur date, heure, destinataire et objet). Mais à la date de ces rapports informatiques, l’outil n’avait pas encore été déclaré à la CNIL. En conséquence, la Cour de cassation a invalidé le licenciement car les preuves de la faute étaient illicites car issues d’un outil non encore déclaré à la CNIL.
Cette jurisprudence est aujourd’hui l’occasion de revenir sur quelques questions relatives à la CNIL dans l’entreprise.
Pourquoi le traitement des données des salariés par leur propre employeur doit être déclaré à la CNIL ?
Les données relatives aux salariés sont, au sens de la loi, des données à caractère personnel. Or, tout traitement de données à caractère personnel doit faire l’objet d’une déclaration préalable à la CNIL. Il s’agit par exemple du traitement de gestion des badges d’accès aux locaux, de la messagerie électronique, le cas échéant, la vidéosurveillance ou encore tout traitement ayant pour finalité le contrôle de l’activité des salariés.
Que se passe-t-il si une entreprise ne fait pas de déclaration préalable à la CNIL pour ses fichiers de données ?
Risque pénal : L’entreprise et son représentant légal sont alors soumis à un risque de sanction pénale allant jusqu’à 5 ans de prison et 300 000 euros d’amende
Risque financier et en terme d’image : L’entreprise peut être condamnée par la CNIL à des amendes allant jusqu’à 150 000 euros ou même à la publication (presse, site internet) des manquements à la loi constatés au sein de l’entreprise
Risque en droit social : Impossibilité d’utiliser les données collectées par l’entreprise dans le cadre d’une procédure de licenciement d’un salarié
Risque pour le dirigeant de voir reprocher une mauvaise gestion de l’entreprise
Pour parer à ces risques, il est recommandé de :
Vérifier que les déclarations à la CNIL sont faites ;
Si les déclarations sont faites : assurerez-vous notamment que les salariés sont bien informés de la mise en place du traitement de leurs données conformément à l’article 32 de la loi Informatique et libertés ;
Si les déclarations ne sont pas faites : faire les déclarations appropriées à la CNIL ou désigner un Correspondant Informatique et libertés. Sachant que les données collectées avant la régularisation des formalités auprès de la CNIL ne seront pas acceptées en justice, il est impératif de régulariser la situation au plus vite ;
Dans tous les cas, prévoir un processus interne de conformité pour vérifier que la mise en place d’outils informatiques corresponde à une déclaration à la CNIL (soit ce sera couvert par une ancienne déclaration, soit il faut faire une nouvelle déclaration).
Discussion en cours :
De nombreuses et précieuses informations, pour une praticienne du droit du travail.
Merci