La Chambre sociale de la Cour de cassation vient rappeler, dans un arrêt du 8 octobre 2014 (n°13-14991), l’importance de la déclaration des traitements de données personnelles à la CNIL préalablement à leur mise en œuvre.

L’article 22 de la loi n°78-17 du 6 janvier 1978 (la « Loi Informatique et libertés« ) prévoit en effet que « …les traitements automatisés de données à caractère personnel font l’objet d’une déclaration auprès de la Commission nationale de l’informatique et des libertés« . Le titre du Chapitre IV de la même loi précise que cette formalité doit intervenir préalablement à la mise en œuvre du traitement.

La Cour de cassation juge que l’information obtenue à partir d’un fichier de données personnelles non déclaré à la CNIL au moment des faits reprochés ne peut constituer une preuve licite. Elle ne peut donc justifier un licenciement.

En l’espèce, une employée avait été licenciée le 23 décembre 2009, après convocation à un entretien préalable le 2 décembre, son employeur lui reprochant une utilisation excessive de la messagerie électronique à des fins personnelles. L’employeur établissait que la salarié avait reçu et envoyé un nombre de messages électroniques à caractère personnel extrêmement élevé au cours des mois d’octobre et de novembre 2009 (respectivement 607 et 621).

La salariée avait contesté le caractère réel et sérieux de la cause de son licenciement, en arguant de la déclaration tardive auprès de la CNIL du dispositif de contrôle individuel de l’importance et des flux des messageries électroniques utilisé pour contrôler son usage de la messagerie. En effet, le dispositif de traitement n’avait été déclaré par l’employeur que le 10 décembre 2009, soit plusieurs jours après la convocation de l’employée à l’entretien préalable. La cour d’appel d’Amiens avait cependant rejeté cette argumentation, ainsi que les demandes de dommages-intérêts formulées par la salariée, considérant que la déclaration tardive du traitement n’avait pas pour conséquence de rendre le système et l’utilisation des informations obtenues par la mise en œuvre du dispositif de contrôle illicites. La Cour estimait que l’usage de la messagerie par la salariée ne pouvait être considéré comme un usage raisonnable dans le cadre des nécessités de la vie courante et quotidienne de l’outil informatique mis à sa disposition par l’employeur et que la salariée avait été suffisamment informée de la mise en place du dispositif de contrôle.

Il est en effet intéressant de noter que le dispositif avait été porté à la connaissance des salariés dès le mois de septembre, au cours d’un comité de direction dont le compte-rendu avait été diffusé à l’ensemble des salariés, les informant de l’intention de l’employeur de mettre en œuvre, afin de lutter contre les abus, des mesures de contrôle renforcé de l’usage du matériel de l’entreprise. Ces mesures avaient été rappelées le 29 septembre aux représentants du personnel qui étaient informés de leur mise en œuvre à compter du 1er octobre. L’employeur ne pouvait donc se voir reprocher le défaut d’information des personnes concernées par le traitement.

Néanmoins, la Cour de cassation juge que les éléments de preuve ayant été obtenus au moyen d’un système de traitement automatisé d’informations personnelles avant qu’il ne soit déclaré à la CNIL, doivent être rejetés des débats en raison de leur illicéité.

En conséquence, elle casse et annule la décision de la cour d’appel d’Amiens ayant débouté la salariée de ses demandes de dommages-intérêts pour licenciement sans cause réelle et sérieuse.

L’article 6 de la Loi Informatique et libertés impose que les données à caractère personnel soient traitées de manière loyale et licite. En l’occurrence, l’employeur ayant informé les salariés de la mise en œuvre du traitement ne pouvait se voir reprocher d’avoir mis en œuvre le traitement de manière déloyale. En revanche, l’absence de déclaration à la CNIL suffit à caractériser l’illicéité.

Anne-Laure Villedieu, avocat associée en de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.