Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

L’absence de déclaration d’un traitement de données personnelles à la CNIL n’interdit pas pour autant son utilisation à titre de preuve dans le cadre d’une procédure

juin 2017 par Fabien Honorat, Avocat associé, Péchenard & Associés

C’est ce qu’a jugé la Cour de Cassation le 1er juin dernier dans une affaire opposant un salarié à son ancien employeur. Il avait été licencié pour insuffisance professionnelle et l’employeur pour justifier ce licenciement avait produit des courriers tirés de la boîte emails professionnelle du salarié.

Ces emails étaient enregistrés sur le serveur de la société. Ils constituent une donnée personnelle au sens de la loi Informatiques et libertés et il incombe au responsable de traitement (à savoir l’employeur) de respecter les obligations issues de cette règlementation.

L’une de ces obligations impose de déclarer préalablement tout traitement de fichiers à la CNIL. Pour le traitement des données du personnel, la CNIL a édicté une norme simplifiée (n°46) précisant le cadre autorisé (type de données, finalités, destinataires, information du personnel, durée de conservation …)

La société n’avait pas effectué de déclaration à la CNIL ce qui en théorie peut être sanctionné pénalement (3 ans d’emprisonnement et une amende maximum de 300.000 euros) et administrativement (amende de 3 millions d’euros maximum). Cette absence de déclaration par un employeur constitue une faute susceptible de causer un préjudice aux instances syndicales et aux salariés, comme l’avait déjà reconnu la Cour de Cassation (Arrêt du 7 juin 1995).

En l’espèce, la question n’était pas sur le terrain de la faute ou de la responsabilité mais sur celui de la preuve : le salarié arguait du fait que l’absence de déclaration à la CNIL rendait illicite la production de ces emails dans le cadre d’une procédure prud’homale.

La Cour de Cassation répond de façon très claire que "l’absence de déclaration simplifiée d’un système de messagerie électronique professionnelle non pourvu d’un contrôle individuel de l’activité des salariés, qui n’est dès lors pas susceptible de porter atteinte à la vie privée ou aux libertés au sens de l’article 24 de la loi « informatique et libertés », ne rend pas illicite la production en justice des courriels adressés par l’employeur ou par le salarié dont l’auteur ne peut ignorer qu’ils sont enregistrés et conservés par le système informatique".

Elle accepte donc la production de ces emails à titre de preuve et ce, peu importe le non-respect des dispositions de la loi Informatique et Libertés.

Cette décision assez favorable aux employeurs va toutefois devenir rapidement obsolète dans la mesure où le Règlement Européen sur les données personnelles (RGDP), qui doit entrer en vigueur en mai 2018, supprime les obligations de déclarations préalables et les remplace par un système de mise en conformité à l’initiative de chaque responsable de traitement.

Lire la décision : https://www.legifrance.gouv.fr/affi...




Voir les articles précédents

    

Voir les articles suivants