Courriels professionnels : l’absence de déclaration à la CNIL n’en rend pas la production en justice illicite
23 août 2017
En retenant que le défaut de déclaration d’un système de messagerie électronique dépourvu d’outils de contrôle des salariés n’en rend pas moins licite la production devant les juridictions prud’homales, des courriels échangés entre un employé et sa hiérarchie, pour justifier du licenciement de ce dernier (Cass., Soc. 1er juin 2017, n°15-23.522), la chambre sociale de la Cour de cassation adopte une position surprenante, dont la solution opportune mais discutable va à contre-courant de sa ligne jurisprudentielle classique.
La messagerie professionnelle : un traitement de données soumis au régime déclaratif
L’arrêt rendu par la chambre sociale de la Cour de cassation le 1er juin 2017 s’inscrit dans le cadre d’une procédure de licenciement pour insuffisance professionnelle. En vue de s’en justifier, l’employeur a produit aux débats des courriels échangés entre le salarié et ses supérieurs par le biais de leur messagerie professionnelle. En appel, ces pièces ont été déclarées illicites, du fait de la défaillance de l’employeur à l’égard de son obligation de déclaration préalable au traitement de données personnelles opéré au sein de son entreprise.
Préalablement à sa mise en œuvre, tout traitement de données personnelles doit, outre la consultation du comité d’entreprise et l’information des salariés respectivement exigées par les articles L. 2323-47 et L. 1222-4 du Code du travail, faire l’objet d’une déclaration à la CNIL, conformément à la loi n°78-17 du 6 janvier 1978 dite « Informatique et Libertés ». La notion de donnée personnelle est définie en son article 2 comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement » notamment par référence à « un ou plusieurs éléments qui lui sont propres ». Un traitement, quant à lui, s’entend d’opération(s) portant sur de telles données, et ce, dès leur collecte, ce qu’a a minima fait l’employeur, sans qu’aucun détail ne soit donné à ce sujet dans le présent arrêt. S’il n’est pas fourni plus de précisions quant aux types de données concernées, la finalité d’un traitement portant sur la mise à disposition d’outils informatiques permet aisément d’en deviner la nature (données d’identification de l’employé telles que son nom, prénom, matricule, etc.).
Cependant, sans aller jusqu’à considérer que la messagerie électronique professionnelle n’est pas susceptible d’être qualifiée de traitement (CA Paris, 22 octobre 2015, RG n°12/06166), la Haute Juridiction ne tire aucune conséquence de ce défaut de déclaration, jusqu’alors uniquement justifié par le jeu d’exceptions légales (Cass., Soc., 14 janvier 2014, n°12-16.218). Pourtant, selon l’article 226-16 du Code pénal, le non-respect de cette obligation est rigoureusement sanctionné, les peines pouvant aller jusqu’à cinq ans d’emprisonnement et 300 000 euros d’amende.
L’absence de contrôle individuel de l’activité du salarié : un critère distinctif
La clémence de la chambre sociale à l’égard de l’employeur s’explique par le fait que d’une part, le système déclaratif mis en place par la loi Informatique et Libertés répond à une logique selon laquelle le déclarant s’engage à ce que son traitement satisfasse aux exigences légales. Dès lors s’instaure une présomption de conformité, qui pourra être renversée en cas de contrôle de la CNIL. De surcroît, sont distinguées au sein de ce système, les déclarations dites « normales », et les déclarations dites « simplifiées ». De ces dernières dépendent les traitements dont le potentiel liberticide est moindre, voire inexistant. Aussi, le traitement objet de la présente décision étant tant courant que commun, la CNIL a édité une norme simplifiée (norme simplifiée n°46, délibération n°2005-002 du 13 janvier 2005 modifiée par la délibération n°2005-277 du 17 novembre 2005), visant à alléger et simplifier l’obligation de déclaration qui pèse sur les entreprises en tant que responsables de ce type de traitement. Ceci explique en partie pourquoi la Cour considère que celui-ci n’est « pas susceptible de porter atteinte à la vie privée ou aux libertés ».
D’autre part, la dissolution progressive de la frontière entre vie professionnelle et vie personnelle, liée à l’accroissement de l’utilisation des nouvelles technologies au travail, qu’ils appartiennent aux salariés (Bring Your Own Device) ou qu’ils soient mis à disposition par l’employeur, comme en l’espèce, donne lieu à de nombreux litiges où sont mis en balance les intérêts des employés dont la vie privée doit être respectée au temps et au lieu de travail (Cass., Soc., 2 octobre 2001, n°99-42.942), avec celui de l’employeur, qui, en vertu de son pouvoir de direction, est en droit de contrôler leur activité, dans la limite des dispositions prévues par l’article L.1121-1 du Code du travail. De facto, un tel contrôle constitue une ingérence de l’employeur dans la vie privée du salarié, de sorte que la Cour de cassation condamne les preuves obtenues au moyen d’un procédé portant atteinte à la vie privée du salarié, telles que les informations collectées par un système de traitement automatisé de données personnelles avant sa déclaration à la CNIL (Cass., Soc., 8 octobre 2014, n°13-14.991). Or dans le cas présent, l’employeur avait mis à disposition de son salarié un système de messagerie « non pourvu d’un contrôle individuel de l’activité des salariés ». Dès lors, la Cour opère une distinction artificielle et singulière entre les différents traitements qui peuvent être mis en place dans une entreprise, en tenant compte des conséquences que ceux-ci peuvent engendrer au regard des droits et libertés des salariés.
Les courriels échangés : des preuves admissibles sans information préalable
Pour accueillir les courriels litigieux, la Cour souligne que « l’auteur ne peut ignorer qu’ils sont enregistrés et conservés par le système informatique ». Ce faisant, la Cour transpose aux courriels des solutions qu’elle avait auparavant dégagées en matière de téléphonie fixe (Cass., Soc., 11 mars 1998, n°96-40.147) et de S.M.S. (Cass., Soc., 23 mai 2007, n°06-43.209). Bien que la solution ne le précise pas, la raison pour laquelle l’employeur a pu produire lesdits courriels aux débats tient à ce qu’il était à la fois émetteur et récepteur de ces courriels. Ils ont donc été obtenus licitement, puisque le salarié avait parfaitement conscience de ce qu’ils étaient enregistrés dans sa boîte de réception.
Il est cependant regrettable que la lecture des moyens retranscrits dans l’arrêt ne permette pas de prendre connaissance de la manière dont ils ont été obtenus. Ont-ils été extraits par l’employeur à partir de sa propre boîte de réception, ou ont-ils été récupérés dans celle du salarié ? En dépit du fait que les courriels adressés par le salarié à l’aide d’outils mis à disposition par l’employeur sont présumés avoir un caractère professionnel (Cass., Soc., 15 décembre 2010, n°08-42.486 et 26 juin 2012, n°11-15.310), il n’en reste pas moins que l’application combinée de ces deux principes est susceptible de rendre le pouvoir de contrôle de l’employeur disproportionné.
Il est également intéressant de relever que la Cour aurait sans doute écarté des débats des courriels provenant d’une messagerie personnelle, leur production en justice aurait alors porté atteinte au secret des correspondances (Cass., Soc., 26 janvier 2016, n°14-15.360). La position ici prise par la Cour de cassation doit donc être relativisée, et les entreprises ne sauraient que trop se garder d’en être trop inspirées, à tout le moins jusqu’à l’entrée en vigueur du RGPD le 25 mai 2018.
Auteurs
Caroline Froger-Michon, avocat associée, droit social.
Anne-Laure Villedieu, avocat associée en droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.
Courriels professionnels : l’absence de déclaration à la CNIL n’en rend pas la production en justice illicite – Article paru dans Les Echos Business le 9 août 2017
A lire également
Adresses IP dynamiques et données à caractère personnel... 8 février 2017 | CMS FL
Protection des courriers électroniques provenant de la messagerie personnelle d... 14 juin 2016 | CMS FL
Plateformes numériques : les modalités de mise en œuvre de la responsabilité... 28 décembre 2020 | CMS FL Social
L’hébergement des données de santé par un prestataire agréé désormai... 10 juin 2016 | CMS FL
Diffusion d’une vidéo sur un site Internet par voie de transclusion : pas... 20 février 2015 | CMS FL
Le droit à rémunération supplémentaire en cas d’invention brevetée mais n... 31 mai 2016 | CMS FL
Salarié absent : le licenciement sans remplacement effectif n’est pas né... 2 mai 2016 | CMS FL
DRH : attention, le RGPD c’est maintenant !... 24 mai 2018 | CMS FL
Articles récents
- L’action en nullité d’un accord collectif est ouverte au CSE
- Complémentaire santé : vigilance sur la rédaction des dispenses d’adhésion
- Précisions récentes sur la portée de l’obligation de sécurité de l’employeur dans un contexte de harcèlement
- La jurisprudence pragmatique du Conseil d’Etat en matière de PSE unilatéral : Délimitation du périmètre du groupe (Partie I)
- Détachement, expatriation, pluriactivité : quelques nouveautés en matière de mobilité internationale
- Avenant de révision-extinction d’un accord collectif : « Ce que les parties ont fait, elles peuvent le défaire »
- Dialogue social et environnement : la prise en compte des enjeux environnementaux à l’occasion des négociations collectives d’entreprise
- L’accès de l’expert-comptable du CSE aux informations individuelles relatives aux salariés lors de la consultation sur la politique sociale de l’entreprise
- Conférence : Sécuriser vos pratiques pour limiter les risques juridiques dans l’entreprise (risque pénal, congés payés, RPS)
- Le recours à un client mystère : une méthode de contrôle loyale à condition d’être transparente