I. De l’ignorance totale au zèle excessif
A. Ignorance complète : Google piégé ?
Le géant américain se serait bien passé de cette publicité (3) : il reconnaît lui-même, tout en niant toute culpabilité, être l’ auteur de « datascooping », c’est-à dire de collecte non autorisée de données privées à partir de ses véhicules Google Street chargés de cartographier les lieux publics (photos mais aussi identifiants électroniques pour offrir des services de géolocalisation).
C’est d’autant plus embarrassant que la protection des données personnelles est un sujet actuel et politique (4).
Le coupable ? Aux dires de Google, un morceau de code écrit par un ingénieur.
“So how did this happen ? Quite simply, it was a mistake. In 2006 an engineer working on an experimental WiFi project wrote a piece of code that sampled all categories of publicly broadcast WiFi data. A year later, when our mobile team started a project to collect basic WiFi network data like SSID information and MAC addresses using Google’s Street View cars, they included that code in their software—although the project leaders did not want, and had no intention of using, payload data (5).”
Un salarié animé d’une intention de nuire ou non conscient – et non contrôlé par sa hiérarchie - de ces normes qui ne sont pas purement techniques ?
“The company blamed a rogue engineer for the operation. But the Federal Communications Commission said the engineer had worked with others and had tried to tell his superiors what he was doing. He was less a rogue than simply unsupervised, the agency said (6).”
Le mal est fait et la réputation à reconstruire.
A l’opposé, un salarié, animateur socio-éducatif, se pose un cas de conscience à propos de l’utilisation d’une nouvelle version de logiciel.
B. Zèle forcené : un salarié qui se refuse à exécuter un ordre considéré par lui comme illicite ?
C’est l’objet d’une récente décision de la Cour de cassation rendue le 23 avril 2013 (7).
Un salarié refuse de saisir des données jugées nominatives invoquant l’absence de déclaration auprès de la CNIL de la nouvelle version d’un logiciel.
L’employeur avait déjà effectué une déclaration à la Cnil d’un traitement ayant pour finalité « l’évaluation sociale des actions de prévention » le 1er septembre 2000 alors qu’il utilisait, pour collecter et traiter les données, le logiciel EVA 3.
A partir de janvier 2007, EVA 4 se substituait à la version précédente.
Le salarié récalcitrant est licencié pour insubordination réitérée et conteste judiciairement la décision.
La Cour d’appel d’Aix lui donne raison (8) mais se voit censurée par la Cour de Cassation :
« En se déterminant comme elle l’a fait sans rechercher si le passage du logiciel EVA 3 à EVA 4 en janvier 2007 n’avait pas consisté en une simple mise à jour qui ne nécessitait pas une nouvelle déclaration auprès de la CNIL, la cour d’appel a privé sa décision de base légale ".
Sur le caractère nominatif ou non des données, l’espèce révèle un échange nourri entre direction et salariés : questions/réponses entre direction et salariés lors de réunions successives, établissement d’un guide de bonnes pratiques, constat d’une diversité sur le terrain des pratiques de saisie et une réponse de la CNIL adressée en 2008 au salarié en cause rappelant le caractère non anonyme d’un certain ensemble d’informations.
Une impression de flou s’en dégage.
Qui de l’employeur ou du salarié a le dernier mot, fixe la conduite à tenir quitte à rendre des comptes à des tiers (un contrôle CNIL par exemple) (9) ?
A l’instar de l’obligation de sécurité pesant sur l’employeur (« par application des dispositions de l’article L. 230-2 du Code du travail, il y a eu violation de l’obligation générale de sécurité pesant sur l’employeur, obligation qui résulte de l’autorité et du contrôle que celui-ci exerce sur le salarié, et du fait de la subordination parallèle de l’employé qui ne peut déterminer lui-même les moyens de sa sécurité [...] » CA Versailles, 10 mai 2000 in Cass. crim., 24 avr. 2001, n° 00-84.712), il est raisonnable de penser qu’il est du ressort de l’employeur de déterminer les moyens de son exploitation en les jugeant conformes à la réglementation.
Et les outils ne manquent pas pour redonner l’initiative cette fois à l’employeur : formation ad hoc, « data compliance officer », CIL (Correspondant Informatiques & Libertés)…
II. L’employeur, « celui qui sait, celui qui porte les risques »
« Ou aurait dû avoir conscience » (10). Toujours est-il qu’il tire – espère tirer – profit de son activité. A lui de supporter les risques de son entreprise (11).
Mais quid des outils à sa disposition pour encadrer rigoureusement l’activité de son salarié ?
En réservant la voie disciplinaire, ponctuelle, risquée (recherche d’une faute), plus curative que préventive, son rôle de responsable de l’application des normes revient en force via la proposition de formations destinées à ses salariés, la désignation d’un référent interne ou d’un correspondant informatique & libertés.
A. Formation
Il est d’usage de distinguer les formations accroissant les compétences (promotion) des formations actualisant les connaissances (employabilité) (12) sans oublier bien évidemment celles dédiées précisément à la conformité.
Pour apaiser les réactions, et certainement prévenir d’autre problèmes de même nature, Google n’a pas hésité à s’engager :
« Google will also be required to run – for at least 10 years – a training program for employees about privacy and confidentiality of user data, and will conduct a public service advertising campaign aimed at educating consumers about steps they may take to better secure their personal information while using wireless networks”(13).
Il s’agit en premier lieu d’un document intitulé « Assurance of voluntary compliance » (14) signé entre Google et les autorités américaines. On relèvera tout particulièrement les points 13 & 14 :
“13. Google continued and updated training of its employees regarding Google’s privacy principles and Code of Conduct.
14. Google enhanced the core training for engineers with a particular focus on privacy and security of data, including a security awareness program.”
Suivre une formation devrait conduire le salarié à une attitude plus prudente, plus conforme.
En matière de sécurité, la part de l’employeur reste cependant prépondérante dans l’appréciation et le partage des responsabilités : « « Si l’accident survenu au chauffeur d’un poids-lourd chargé d’hydrogène liquide résulte partiellement d’un manquement aux règles de sécurité alors qu’il disposait de la formation nécessaire pour apprécier les risques encourus, ni les autorités, ni l’employeur n’ayant pris la mesure de ces risques et de l’inadaptation du site à ce type de chargement, le licenciement pour faute grave est requalifié en licenciement pour cause réelle et sérieuse ».(15)
Etre formé ne délivre pas non plus un blanc-seing à l’employé. Toujours en s’inspirant du domaine de la sécurité « L’obligation salariale de sécurité est relative et conditionnée : elle dépend de « ses possibilités », « de sa formation » et des « instructions de son employeur ». Or, le chef d’entreprise demeure celui qui doit informer et former les salariés à l’hygiène et à la sécurité. C’est encore lui qui donne les ordres à suivre pour le respect des règles de sécurité. L’obligation de sécurité à la charge du salarié est en quelque sorte « dépendante » de celle de l’employeur ». (16)
B . Référent interne : le “Data Compliance Officer” (17)
Si le « compliance officer » (18) a de beaux jours devant lui, son domaine d’intervention est de nature à s’étendre au-delà des seuls impératifs de conformité financière pour traiter des problématiques de données personnelles et d’entreprise ou de réglementation en matière de santé publique (19).
C . Correspondant Informatique & Libertés
La littérature est dense et de qualité (20). On s’y reportera. Il est à noter quelques caractéristiques intéressantes :
Le CIL est « chargé d’assurer d’une manière indépendante le respect des obligations prévues par la loi de 1978, tout en exonérant l’entreprise de l’obligation de déclaration préalable des traitements ordinaires et courants. Il peut être un salarié de l’entreprise ou une personne extérieure (consultant, expert-comptable, avocat) »
« La CNIL offre une écoute privilégiée aux CIL qui ont des interlocuteurs habituels. Le décret d’application n° 2005-1309 du 20 octobre 2005 prévoit la possibilité pour les correspondants de saisir la CNIL de toute difficulté rencontrée à l’occasion de l’exercice de leurs missions ».
« L’avocat CIL ne dénoncera pas son client à la CNIL ; si le responsable de traitements commet des manquements graves à la loi Informatiques & Libertés en contrariété avec les recommandations de son avocat CIL, ce dernier devra mettre fin à son mandat »
Conclusion
Quelle option pour l’association ADSEA 06, employeur du salarié licencié ?
Des formations, un référent interne sont un luxe.
Reste le CIL externe dont la désignation est portée à la connaissance des instances représentatives du personnel (art 22 III aliéna 2 de la Loi 1978 visé par ailleurs par la décision du 23 avril 2013). De quoi apaiser les scrupules d’éthique des salariés ?
NOTES
(1) Rappelons brièvement la responsabilité du commettant du fait de son préposé :
« En application de l’article 1384, alinéa 5, du Code civil, l’employeur est responsable de plein droit envers les tiers du fait de son préposé, sous réserve qu’il n’ait pas agi en dehors de ses fonctions. Le salarié bénéficie alors d’une immunité civile, interdisant toute action en responsabilité exercée contre lui par la victime, sauf s’il a commis une infraction intentionnelle »
La Semaine Juridique Social n° 50, 13 Décembre 2011, 1565
« Harcèlement entre salariés et responsabilité sans faute de l’employeur »
Etude par Yannick Pagnerre, maître de conférences à l’université Panthéon-Assas (Paris II)
(2) Nous ne traiterons pas ici de la prise d’acte, une initiative réservée au salarié. La prise d’acte est-elle le fruit d’une savante appréciation par le salarié des éléments tendant à prouver un manquement de son employeur ou d’un coup de tête qu’il risque de regretter dans l’hypothèse d’une requalification en simple – et peu lucrative – démission ?
La Semaine Juridique Social n° 17, 30 Avril 2013, 1182
« Comportement agressif de l’employeur en dehors du temps et du lieu de travail et prise d’acte »
Commentaire par Damien Chenu, maître de conférences à l’université d’Orléans
« Classiquement, la Cour de cassation exige que les faits à l’initiative de la prise d’acte soient « suffisamment graves » pour que la rupture produise les effets d’un licenciement sans cause réelle et sérieuse. Cette gravité peut s’apprécier soit dans l’acte lui-même soit dans ses conséquences ».
La Semaine Juridique Social n° 14, 6 Avril 2010, 1141
« Les conséquences indemnitaires de la prise d’acte »
Commentaire par Jean-Yves Frouin Conseiller à la Cour de cassation, professeur associé à l’université François-Rabelais de Tours
« En premier lieu, la prise d’acte désigne « toute rupture par le salarié imputée » à l’employeur, quelle qu’en soit la dénomination et notamment même si cette rupture est qualifiée de démission : « lorsqu’un salarié démissionne en raison de faits qu’il reproche à son employeur, cette rupture constitue une prise d’acte (...)
En second lieu, la question de savoir si des manquements de l’employeur étaient suffisamment graves pour justifier la prise d’acte par le salarié relève de l’appréciation souveraine des juges du fond. Cela avait été rappelé dans une décision récente rendue par la formation plénière de la chambre sociale (Cass. soc., 14 oct. 2009, n° 08-40.723 : JurisData n° 2009-049894)
Et les arrêts fondateurs :
« Lorsqu’un salarié prend acte de la rupture (...), cette rupture produit, soit, les effets d’un licenciement sans cause réelle et sérieuse si les faits invoqués la justifiaient, soit dans le cas contraire, les effets d’une démission » (Cass. soc., 25 juin 2003, n° 01-42.335 : JurisData n° 2003-019644).
Autre initiative et en extension aujourd’hui : le droit d’alerte du salarié. Plus étendue en effet par l’article L.4133-1 du Code du Travail :
« Le travailleur alerte immédiatement l’employeur s’il estime, de bonne foi, que les produits ou procédés de fabrication utilisés ou mis en œuvre par l’établissement font peser un risque grave sur la santé publique ou l’environnement ». L. n° 2013-316, 16 avr. 2013 : Journal Officiel 17 Avril 2013
Prise d’acte et droit d’alerte semblent bien encadrés. Quant aux autres initiatives…
(3) Les faits remontent à la période 2008-2010, le solde des comptes intervenant en 2013.
Dès 2011« en France, la Commission nationale de l’informatique et des libertés avait condamné Google à une amende de 100 000 euros pour la collecte de données des réseaux Wi-Fi à proximité par les voitures de son service Street View ».
Le Monde 12 Mars 2013
« L’équivalent britannique de la CNIL va ouvrir une enquête sur le service Street View de Google, après que la société a reconnu avoir bel et bien collecté "par erreur" des URL, des adresses mail et des mots de passe. En mai dernier, Google avait déjà admis avoir enregistré des données privées lors des tournées de ses véhicules en Europe et en Amérique ».
Le Monde 25 Octobre 2010
L’objet du “délit” :
“The Payload Data may include URLs of requested Web pages, partial or complete email communications, or any other information, including any confidential or private information being transmitted to or from the network user”.
(4) « Internet : une loi pour renforcer la protection des données personnelles » Le Monde 28 Février 2013
"Projet de règlement européen : un enjeu majeur pour la France" CNIL 26 avril 2013
Cahiers de droit de l’entreprise n° 2, Mars 2012, prat. 10
« Anticiper sur les nouvelles obligations légales pour protéger les données personnelles dans l’entreprise »
Etude Cahier pratique rédigé par : Merav Griguer, Avocat à la Cour Feral-Schuhl Sainte-Marie.
Le groupe de l’article 29 (This Working Party was set up under Article 29 of Directive 95/46/EC. It is an independent European advisory body on data protection and privacy) a rendu le 27 février 2013 un avis sur les applications pour smartphones et tablettes « Opinion 02 /2013 on apps on smart devices ». Cet avis, contient des directives et recommandations pour les développeurs d’applications ainsi que pour les autres intervenants que sont les app stores, producteurs de systèmes d’exploitation et de terminaux mobiles ou encore les agences et régies publicitaires.
(5) Google Official Blog, 14 Mai 2010, Alan Eustace, Senior VP, Engineering & Research, Google
(6) New York Times 12 mars 2013
(7) La Semaine Juridique Entreprise et Affaires n° 20, 16 Mai 2013, act. 365
Cass. soc., 23 avr. 2013, n° 11-26.099, FS-P+B, ADSEA 06 c/ M. C. : JurisData n° 2013-007921
La Semaine Juridique Social n° 19, 7 Mai 2013, act. 225 Veille par Lydie Dauxerre
"Au visa des articles 2 et 22 de la loi n° 78-17 du 6 janvier 1978, ainsi que des articles L. 1234-1, L. 1234-9 et L. 1232-1 du Code du travail, la Cour de cassation énonce que « seule une modification substantielle portant sur les informations ayant été préalablement déclarées doit être portée à la connaissance de la CNIL ; qu’une simple mise à jour d’un logiciel de traitement de données à caractère personnel n’entraîne pas l’obligation pour le responsable du traitement de procéder à une nouvelle déclaration ».
(8) Cour d’appel Aix-en-Provence -Chambre 17- 6 Septembre 2011 Numéro de rôle : 10/12618
Voir aussi un commentaire dans 01 Business & Techno - 5 janvier 2012
(9) « Les missions de contrôle sont encadrées par les articles 11-2°- f et 44 de la loi du 6 janvier 1978 modifiée le 6 août 2004, et par les articles 61 à 69 du décret du 20 octobre 2005 modifié par le décret du 25 mars 2007 » Site CNIL
(10) Arrêts « amiante » du 28 février 2002
"Le manquement à cette obligation (de sécurité de résultat) a le caractère d’une faute inexcusable, au sens de l’article L. 452-1 du Code de la sécurité sociale, lorsque l’employeur avait ou aurait dû avoir conscience du danger auquel était exposé le salarié »
(11) « La responsabilité du salarié dans l’exécution du contrat de travail ne peut être retenue qu’exceptionnellement, ce qui par ailleurs peut s’expliquer par des considérations travaillistes tenant au fait que le salarié est placé sous l’autorité et la subordination de l’employeur dans l’exécution de la prestation de travail et que sa faute constitue pour l’employeur un risque d’entreprise. »
La Semaine Juridique Social n° 46, 10 Novembre 2009, 1516. Etude par Jean-Yves Frouin Conseiller à la Cour de cassation, professeur associé à l’université François Rabelais de Tours
(12) Article L6321-1 du Code du Travail
« L’employeur assure l’adaptation des salariés à leur poste de travail.
Il veille au maintien de leur capacité à occuper un emploi, au regard notamment de l’évolution des emplois, des technologies et des organisations ».
L’employabilité s’entend comme la capacité d’un salarié à conserver ou obtenir un emploi, dans sa fonction ou dans une autre fonction, à son niveau hiérarchique ou à un autre niveau, dans son entreprise ou dans une autre entreprise.
(13) Corporate Crime Reporter 12 Mars 2013
Il est notable que l’entreprise CISCO (73 000 salariés en majorité techniciens et travaillant à distance) a opté récemment pour un code de conduite électronique interactif afin d’assurer un « top-down ethics messaging » efficace. « Cisco E-Book Delivers Ethics on the Go, Cisco systems converts its Code of Business Conduct to an e-book so its 73,000 employees get quick advice.” Law Technology News 21 mai 2013 Ruth Savolaine
Document disponible à l’adresse suivante http://at.law.com/LTNCiscoCOBC
“Like many organizations, Cisco has found that evolving technologies mean more employees want to bring their own devices to work. That’s why our team looks at the new realities of providing ethics content on a wide range of devices. This is especially important in managing our foundational Code of Business Conduct.”
Morale : plus la technologie se diversifie, se complexifie, plus l’introduction de règles de conduite s’avère pressant.
(14) Voir aussi la mise en place d’un "Privacy Program" point n°16. Au demeurant, un ensemble assez précis d’engagement :
(…) e. regular employee training that is designed to :
3-
(1) inform new employees about the importance of user privacy and their
role in helping maintain it ;
(2) offer further privacy education to Google employees with
responsibilities materially relating to the privacy or confidentiality of
user data ;
(3) make privacy certification programs available to key employees, such
as the Certified Information Privacy Professional Certification ("CIPP")
or similar certifications demonstrating mastery of a widely recognized
body of privacy knowledge ; and
(4) provide in-house counsel privacy awareness refresher training for
counsel advising product teams.
(…)
(15) CAppel de Douai, 18 février 2011, n° 10/00921 : JurisData n° 2011-006042
(16) « L’article L. 230-3 (nouveau Article L4122-1) prévoit que l’obligation salariale de sécurité doit être appréciée en fonction de sa « formation », de ses « possibilités » et « conformément aux instructions qui lui sont données par l’employeur ». Comme l’a fait remarquer Mme Maggi-Germain, l’obligation salariale de sécurité apparaît « encadrée et conditionnée » ; elle « consiste en une obligation de discernement mise à la charge du salarié. Il lui faut être capable de reconnaître, d’identifier une situation dangereuse, de faire preuve de bon sens dans des limites qui varient selon les situations et les individus ». Obligation de sécurité encadrée ainsi que droit d’initiative.
La Semaine Juridique Social n° 7, 12 Février 2008, 1094 « L’obligation salariale de sécurité est-elle une obligation de sécurité ? » Etude par Caroline André Docteur en droit privé, avocat, chargée d’enseignement à la Faculté de droit et à l’IUT de Reims Professeur à la Reims Management School.
(17) Data Protection Compliance Officer
“The Data Protection Compliance Officer is an appointed individual who advises implications of Data Protection law and develops the company’s privacy and data protection policies”.
(18) "La compliance : un métier d’avenir" Les Echos, Entreprises & Marchés 10 mai 2012 Amélie Lobry
(19) Pour une offre d’emploi postée le 8 mai 2013 par une grande entreprise. « PRIVACY COMPLIANCE OFFICER Job
Assumes lead role in privacy to be the privacy compliance Officer of the … companies in France for the French data protection Authority (CNIL) and to ensure that . France complies with all applicable EU and French data protection laws, regulations as well as … privacy policies.(…) Monitors privacy compliance by advising the … France Boards and senior management, conducting regular audits to assess compliance programs effectiveness, putting corrective plans in place and providing training and appropriate tools for the employees of the different companies - « en proposant des formations ainsi que des outils appropriés aux employés des différentes sociétés » - in coordination with the EMEA privacy compliance organization
Une autre offre parle de « Conformité en soin de santé » (Health Care Compliance) faisant référence notamment aux processus d’enregistrement (préparation et suivi de dossiers) de type Autorisation de Mise sur le Marché.
(20) Sur le CIL (l’article 22, III de la loi de 1978) et le rôle des avocats
La Semaine Juridique Edition Générale n° 43, 22 Octobre 2012, 1125 « Avocat-CIL, en un battement ? » Florence Creux-Thomas
"Depuis 2004 a été mis en place par la Cnil un réseau de correspondants à la protection des données personnelles dénommés CIL. Alors que certains y voyaient « l’oeil de Moscou de la Cnil », la fonction s’est progressivement installée dans les entreprises.
L’avocat peut tenir le rôle de CIL sur simple candidature auprès de la Cnil. Sur 3 200 CIL déployés dans 11 000 organismes (entreprises, associations, institutions). 50 sont avocats (...) En pleine expansion, le métier de CIL évolue vers celui de compliance officer chargé de gérer les risques « informatique et libertés "
La Semaine Juridique Edition Générale n° 11, 15 Mars 2010, 304
Les avocats : des correspondants informatique et libertés potentiels
Veille par Aurélie Taschon
Cahiers de droit de l’entreprise n° 2, Mars 2010, dossier 9
Le CIL, quel bilan ?
Etude Article rédigé par : Christiane Féral-Schuh
avocat à la Cour, associée du cabinet Feral-Schuhl / Sainte-Marie et Merav Griguer avocat à la Cour, cabinet Feral-Schuhl / Sainte-Marie
Communication Commerce électronique n° 11, Novembre 2006, alerte 228
CNIL - Premier bilan pour le « Correspondant Informatique et Libertés » :
Veille par Marc-Antoine LEDIEU
La Semaine Juridique Entreprise et Affaires n° 25, 22 Juin 2006, act. 294
Le Correspondant Informatique et Libertés (CIL)
Recherche thématique par Catherine Colle
analyste juridique, LexisNexis Doctrine
A. Bensoussan, Le correspondant à la protection des données à caractère personnel : un maillon important de la ré-forme : Gaz. Pal. 2004, 2, doctr. p. 3013.
M.-P. Fenoll-Trousseau, Le correspondant informatique et liberté : JCP E 2005, 1771.
C. Crépin, Correspondant informatique et libertés : un encadrement juridique incomplet ? : Expertises 2006, p. 21.
D. Jourdan, Le correspondant « informatique et libertés » : JCP S 2005, infra. 1002
S. Rozenfeld, Protection des données personnelles : huit spécialistes en quête de correspondant : Expertises 2004, p. 323.
La Semaine Juridique Entreprise et Affaires n° 20, 20 Mai 2010, 1470
Droit de l’informatique