Fichier non déclaré à la CNIL : preuve illicite

preuve illicite

La preuve de la faute d’un salarié est illicite et donc irrecevable lorsqu’elle est fondée sur un traitement de données personnelles non déclaré à la CNIL.

Les technologies de l’information et de la communication génèrent de nombreuses données personnelles facilement exploitables grâce aux progrès des logiciels, notamment les moteurs de recherche. La création et le traitement de données personnelles (numéro d’identifiant, nom, adresse, numéro de téléphone…) sont soumis à des obligations destinées à protéger la vie privée des personnes fichées et les libertés individuelles. Elles varient selon la nature du fichier et la finalité des informations recueillies : déclaration normale ou simplifiée ou demande d’autorisation auprès de la CNIL. Il existe aussi des obligations de sécurité, de confidentialité et d’information.

Selon l’article 2 de la loi 78-17 en date du 6 janvier 1978, dite « Informatique et Libertés », les données sont considérées « à caractère personnel » dès lors qu’elles concernent des personnes physiques identifiées directement ou indirectement.

Une personne est identifiée lorsque par exemple son nom apparaît dans un fichier. Une personne est identifiable lorsqu’un fichier comporte des informations permettant indirectement son identification (ex. : adresse IP, nom, n° d’immatriculation, n° de téléphone, photographie, éléments biométriques tels que l’empreinte digitale, ADN, numéro d’Identification Nationale Étudiant (INE), ensemble d’informations permettant de discriminer une personne au sein d’une population (certains fichiers statistiques) tels que, par exemple, le lieu de résidence et profession et sexe et age,….).

Outre les sanctions pénales (amende, emprisonnement, article 226-16 du Code pénal), la conséquence d’un traitement de données personnelles n’ayant pas fait l’objet de déclaration ou d’une autorisation préalable est de rendre le fichier illicite. La Cour de Cassation a ainsi annulé la vente d’un fichier informatisé contenant des données à caractère personnel non déclaré à la CNIL pour illicéité de l’objet (Chambre Commerciale, 25 juin 2013, n°12-17037). Le présent arrêt poursuit cette analyse en retenant que la preuve de la faute d’un salarié fondée sur un fichier de même type non déclaré est illicite.

En l’espèce, une salariée a été engagée en qualité d’assistante en charge de l’analyse financière de dossiers. Cette salariée a été licenciée pour cause réelle et sérieuse, son employeur lui reprochant une utilisation excessive de sa messagerie électronique professionnelle à des fins personnelles. Par arrêt en date du 29 janvier 2013, la Cour d’Appel d’Amiens a confirmé que ce licenciement était fondé sur une cause réelle et sérieuse. Elle a retenu que la déclaration tardive du fichier de contrôle individuel des flux des messageries électroniques auprès de la CNIL n’avait pas pour conséquence de rendre ce système de contrôle illicite et la salariée avait fait un usage excessif de sa messagerie professionnelle à des fins personnelles (sur deux mois, elle avait envoyé 607 e-mail personnels et en avait reçu 621). La salariée a formé un pourvoi en cassation.

Par arrêt en date du 8 octobre 2014, la Cour de Cassation (Chambre Sociale, pourvoi n°13-14991) a cassé l’arrêt de la Cour d’Appel d’Amiens. Elle rappelle que :

« […] constituent un moyen de preuve illicite les informations collectées par un système de traitement automatisé de données personnelles avant sa déclaration à la CNIL ».

Ainsi, pour justifier le caractère réel et sérieux du licenciement, la Cour d’Appel s’est fondée sur des moyens de preuve illicite. L’arrêt est cassé pour violation des articles 2 et 22 de la loi du 6 janvier 1978 quand bien même ces articles ne prévoient pas une telle sanction.

En conséquence, la Cour de Cassation souligne une fois de plus toute l’importance de l’obligation de déclarer à la CNIL un traitement de données à caractère personnel et ses conséquences civiles en cas d’inobservation : illicéité du moyen de preuve utilisé par l’employeur pour justifier un licenciement après avoir dans une autre affaire déclarée nulle la vente de tels fichiers informatisés pour illicéité de l’objet. La Cour de Cassation s’attache donc à observer si au moment de la collecte de la preuve, le fichier avait été ou non déclaré à la CNIL. En l’espèce, même si l’employeur avait informé les salariés de l’existence de ces contrôles individuels de messagerie après avoir consulté les représentants du personnel, les éléments de ce fichier n’en restent pas moins illicites dès lors que ce dernier n’a pas respecté les obligations de déclaration préalable à la CNIL.

Les conséquences civiles de la non observation des obligations de déclarations préalables à la CNIL sont donc majeures. Cette décision renforce la portée juridique de la loi « Informatique et Liberté » dont les dispositions rayonnent sur les autres branches du droit.

Design Downloaded from free wordpress themes | free website templates | Free Textures