Car la mise en oeuvre d’un dispositif automatisé de contrôle individuel de messagerie électronique d’un salarié, sans qu’il ait été au préalable effectué la déclaration à la CNIL exigée par l’article 22 de la loi du 6 janvier 1978, est illicite et rend illicite les éléments de preuve obtenus par ce dispositif !

La Cour de cassation vient de nouveau rappeler l’importance des obligations de déclaration préalable des fichiers et données de traitement à caractère personnel auprès de la CNIL.

En pratique, les conséquences de l’absence de déclaration dépassent largement la sévère sanction pénale prévue par les articles 226-16 et suivants du Code pénal

La Chambre commerciale de la Cour de cassation avait ainsi précisé dans un arrêt du 25 juin 2013 [1] que l’absence de déclaration de fichiers clients à la CNIL avait pour conséquence de placer ce fichier hors du commerce, l’empêchant de faire l’objet d’une convention de cession de clientèle.

C’est le terrain du licenciement qui donne aujourd’hui à la Cour de cassation l’occasion de rappeler les conséquences de l’omission de déclarer préalablement les outils de traitement de données à caractère personnel.

Ainsi, la Chambre sociale de la Cour de cassation dans un arrêt du 8 octobre 2014 [2] a invalidé un licenciement pour faute fondé sur des éléments de preuve tirés d’un outil de traitement de données à caractère personnel non déclaré à la CNIL à la date du prononcé du licenciement.

L’employeur avait mis en place un dispositif de contrôle individuel permettant d’évaluer l’importance de l’usage et des flux des messageries électroniques mises à la disposition de ses salariés. Or ce dispositif n’avait pas encore été déclaré à la date du prononcé du licenciement litigieux.

Ce dispositif avait révélé qu’une salariée avait utilisé de manière excessive la messagerie électronique à des fins personnelles.

Ainsi, sur les mois d’octobre à novembre 2009 entre 607 et 621 e-mails avait été envoyés ou reçus par l’intéressée.

Une procédure de licenciement a donc été engagée et l’employeur s’est basé sur les preuves recueillies par le dispositif de surveillance des messageries électroniques, pour prononcer le licenciement de la salariée le 23 décembre 2009.

La salariée a contesté son licenciement en estimant que celui-ci n’était pas fondé sur une cause réelle et sérieuse.

Contre l’avis de la Cour d’appel, la Cour de cassation a jugé que la mise en œuvre d’un dispositif automatisé de contrôle individuel de messagerie électronique d’un salarié, sans qu’il ait été au préalable effectué la déclaration à la CNIL exigée par l’article 22 de la loi du 6 janvier 1978, est illicite et rend illicite les éléments de preuve obtenus par ce dispositif.

Ainsi, alors même que la faute était avérée, le licenciement est jugé sans cause réelle et sérieuse.

L’ironie de ce cas d’espèce, c’est que l’employeur aurait pu, à certaines conditions, accéder directement à la messagerie de la salariée pour conforter les éléments de preuve obtenus, et ne pas faire état du dispositif de contrôle automatisé. Alors il aurait pu être considéré que le licenciement reposait sur une cause réelle et sérieuse.

Quoiqu’il en soit, cette solution logique, s’inscrit dans la continuité d’une jurisprudence constante qui considère qu’un fichier informatique doit être déclaré auprès de la CNIL préalablement au traitement des données nominatives contenues dans ce fichier.

Bien qu’une déclaration postérieure à la création du fichier informatique soit toujours possible, elle est dépourvue de tout effet rétroactif et ne saurait donc valider l’utilisation illicite du fichier et des données personnelles. [3].

EN PRATIQUE :

 Faites l’inventaire de l’ensemble de vos fichiers ou systèmes de traitements de données à caractère personnel qu’ils soient automatisés ou manuels
 Pour les fichiers et traitements concernant les salariés, informez individuellement les salariés
 Attention à bien identifier les fichiers et traitements qui doivent être déclarés : badgeuses, pointeuses, vidéosurveillance, fichiers clients, outils de traitement des messageries électroniques, dispositifs de surveillance…
 Vérifiez que les déclarations ont bien été effectuées auprès de la CNIL
 A défaut, régularisez la situation : ce n’est qu’à compter de la régularisation que ces données et fichiers seront considérés comme licites
 Pour les nouveaux fichiers ou traitements : procédez systématiquement aux déclarations

Cabinet ELOQUENCE Avocats Lille et Paris www.eloquence-avocats.com