Dispositif de contrôle de l’activité des salariés non déclaré à la CNIL est illicite

4. Soc, 8 octobre 2014 avril, N° 13-14.991.

Les informations collectées par un système de traitement automatisé de données à caractère personnel avant sa déclaration à la CNIL constituent un moyen de preuve illicite qui doit être rejeté des débats sur le licenciement d’une salariée, alors même que lesdites formalités ont été accomplies avant son licenciement.

Le manquement à une des exigences requises pour que le contrôle de l’activité d’un salarié soit licite suffit à rendre ce contrôle et la preuve qui en découle irrecevable. L’arrêt du 8 octobre 2014 de la chambre sociale de la Cour de cassation en apporte un nouvel exemple. Dans les faits, une salariée avait été convoquée à un entretien préalable à un licenciement le 2 décembre 2009 puis licenciée le 23 décembre 2009 pour cause réelle et sérieuse en raison d’un usage abusif de sa messagerie électronique à titre privé. Celle-ci avait envoyé et reçu 607 et 621 messages privés durant les mois d’octobre et novembre 2009 en contradiction avec la charte informatique annexée au règlement intérieur de l’entreprise.

Le Conseil de prud’hommes et la Cour d’appel validaient la cause réelle et sérieuse considérant que la déclaration tardive, le 10 décembre 2009, à la Commission nationale informatique et libertés (CNIL) du dispositif de contrôle individuel de l'importance et des flux des messageries électroniques ne remettait pas en cause la licéité du contrôle et des preuves qui en étaient issues. La salariée avait été avertie à plusieurs reprises du refus de l’entreprise de tolérer les abus d’utilisation à titre privé et de la mise en place du dispositif de contrôle (compte rendu du comité de direction, information du directeur par courrier électronique, etc.). De plus, ces mesures avaient été portées à la connaissance des représentants du personnel. Les juges d’appel relevaient également que les listings ne faisaient pas état du contenu des messages mais uniquement du « […] moment de leur envoi ou réception, [du] destinataire ou expéditeur et [de] l'objet figurant dans le titre » avant de confirmer l’usage abusif de la messagerie électronique qui avait nui à la productivité de la salariée.

Se fondant sur les articles 2 et 22 de la loi dite « informatique et libertés » du 6 janvier 1978 modifiée et sur l’article 9 du Code civil, la Cour de cassation invalide partiellement la décision d’appel et retient que « constituent un moyen de preuve illicite les informations collectées par un système de traitement automatisé de données personnelles avant sa déclaration à la CNIL ». La Cour d’appel qui s’est fondée uniquement sur des éléments de preuve obtenus à l'aide d'un système qui, au moment du contrôle, n’était pas déclaré à la CNIL, aurait du rejeter la preuve des débats, ou à tout le moins faire droit aux demandes de dommages et intérêts de la salariée objets de la cassation (le licenciement lui-même n’ayant pas été invalidé par la haute Cour)

La Cour de cassation fait donc une application stricte des exigences à remplir préalablement à la mise en œuvre d’un contrôle :

• Information des salariés (art. L. 1222-4 du Code du travail),
• Information du comité d’entreprise (art. L. 2323-13 et L. 2323-32 du Code du travail) et du comité d’hygiène, de sécurité et des conditions de travail (art. L. 4612-9 du Code du travail),
• Accomplissement des formalités administratives auprès de la CNIL (art. 22 et suivants de la loi du 6 janvier 1978).

Le non-respect d’une de ces exigences suffit pour que le contrôle soit invalidé ainsi que la sanction qui en résulte et ce même si l’employeur a, comme c’était le cas dans cette décision, respecté les autres exigences, une condition ne primant pas sur les autres. Le respect de ces conditions s’apprécie au moment où le contrôle est effectué et non à la date du licenciement du salarié. En agissant trop rapidement, l’employeur a privé le licenciement d’effets juridiques alors même que l’usage abusif de la messagerie électronique était caractérisé conformément à la jurisprudence (CA Rennes, 6 décembre 2013, n°11/07157, Numéro JurisData : 2013- 028607 qui a validé le licenciement pour faute grave d’une salariée qui avait envoyé 2 000 mails privés sur deux périodes de 6 mois), ainsi qu’à la charte informatique.

Afin de prévenir toute contestation, les procédures de contrôle doivent donc respecter minutieusement les exigences légales et jurisprudentielles. Ce respect implique notamment l’établissement d’une charte informatique, annexée au règlement intérieur ou insérée en son sein, et reposant sur des procédures opérationnelles permettant d’assurer la traçabilité des actions effectuées sur le système d’information. Ces procédures doivent être documentées sous peine de ne pouvoir rapporter la preuve de ce respect et de n’apporter qu’une protection illusoire à l’entreprise lorsqu’elle voudra mettre en œuvre des sanctions disciplinaires.

Arrêt de la chambre sociale de la Cour de cassation du 8 octobre 2014