Vente sur internet des données des demandeurs d’emploi

Notez ce point juridique

La vente, par un employé de Pôle emploi, de plus de 50 000 données personnelles de demandeurs d’emplois est une faute grave justifiant son licenciement.

L’article L.1232-1 du code du travail subordonne la légitimité du licenciement à l’existence d’une cause réelle et sérieuse.

La faute grave privative du préavis prévu à l’article L.1234-1 du même code est celle qui rend impossible le maintien du salarié dans l’entreprise. Les faits invoqués comme constitutifs d’une faute grave doivent non seulement être objectivement établis mais encore imputables au salarié, à titre personnel et à raison des fonctions qui lui sont confiées par son contrat individuel de travail, et doivent encore être suffisamment pertinents pour justifier la rupture du contrat de travail.

La charge de la preuve de la faute grave repose exclusivement sur l’employeur. S’il subsiste un doute concernant l’un des griefs invoqués par l’employeur, il profite au salarié.

L’article 10 du règlement intérieur en vigueur au sein de Pôle emploi, précise : «Tout agent de Pôle emploi dans le cadre de ses activités professionnelles ou toute personne travaillant au sein de Pôle emploi à quelque titre que ce soit est tenu :

de respecter les instructions données par ses supérieurs hiérarchiques ou par tout membre de la direction et de mettre en oeuvre les procédures applicables au sein de son établissement ; (…)

de ne divulguer d’informations ayant un caractère personnel sur les demandeurs d’emploi, les entreprises, ou plus généralement toute personne physique ou morale faisant appel aux services de Pôle emploi que dans le cadre de ses attributions et dans les cas, conditions et limites légalement, réglementairement ou conventionnellement prévus. Cette règle est également valable pour les informations confidentielles concernant d’autres agents de Pôle emploi (par exemple informations RH) et s’applique à tout canal de communication, réseaux sociaux inclus ; (…) Les dispositions spécifiques concernant l’utilisation du système informatique font l’objet d’une annexe au présent règlement intérieur».

L’annexe dédiée à l’utilisation des systèmes d’information et de communication, ajoute que des dispositions techniques et organisationnelles sont mises en oeuvre pour contrôler l’accès au système d’information et assurer la sécurité des applications, et que les agents ont à leur disposition des logiciels et progiciels développés spécifiquement qui doivent être les seuls à être utilisés et pour lesquels il est prohibé de contourner les restrictions d’utilisation. Il est en outre prévu que chaque utilisateur doit avoir connaissance des mesures de sécurité des systèmes d’information et les appliquer ou s’y conformer, raison pour laquelle chaque utilisateur dispose d’une identité numérique personnelle. Il y est également mentionné que le «non-respect des dispositions contenues dans la présente annexe expose l’agent le cas échéant à des poursuites disciplinaires pour les faits fautifs qui lui seraient personnellement imputables. Il serait donc passible des sanctions disciplinaires telles qu’inscrites dans le règlement intérieur et définies par la convention collective nationale pour le personnel régi par ses dispositions ou par le décret n° 2003-1370 du 31 décembre 2003 pour le personnel régi par ses dispositions. (…) Pour information, un exemplaire de ce document est remis à tous les utilisateurs ayant accès aux systèmes d’information et de communication de Pôle emploi».

La note d’instruction interne 2020-24 du 15 novembre 2020 relative à l’interdiction de l’utilisation à des fins personnelles des traitements mis en oeuvre par Pôle emploi, dont le salarié avait connaissance, précise que «le respect de la protection des données à caractère personnel doit être une préoccupation constante au sein de Pôle emploi en vue de garantir la confiance des usagers et des agents envers l’institution».


M. [I] a été licencié pour faute grave par Pôle emploi suite à des extractions massives de données à caractère personnel de demandeurs d’emploi, qu’il a communiquées de manière non sécurisée à une société extérieure. Malgré la réglementation interne précise sur le traitement de ces données, le salarié a délibérément contourné les procédures sécurisées de l’entreprise. Le licenciement a été jugé légitime par la cour d’appel, qui a infirmé la décision du conseil de prud’hommes et condamné M. [I] aux dépens et aux frais irrépétibles.

Résumé de l’affaire jugée

La cour a infirmé le jugement en ses dispositions soumises à la cour, sauf en ce qu’il a rejeté la demande de M. [I] tendant à la condamnation de Pôle emploi au paiement de dommages et intérêts pour licenciement sans cause réelle et sérieuse. La cour a statué à nouveau sur les chefs infirmés et a déclaré que le licenciement pour faute grave prononcé à l’encontre de M. [I] est fondé. M. [I] a été débouté de l’ensemble de ses demandes et condamné à payer à Pôle emploi la somme de 200 euros au titre des frais irrépétibles de première instance et d’appel. Il a également été condamné aux dépens de première instance et d’appel.

Conclusion de la cour

La cour a rendu un arrêt contradictoire mettant fin à cette affaire. M. [I] a été débouté de ses demandes et condamné à payer des frais et dépens à Pôle emploi. La décision de la cour a confirmé le licenciement pour faute grave de M. [I]. La greffière et la présidente ont signé l’arrêt.

– Partie demanderesse : 10 000 euros
– Partie défenderesse : 5 000 euros


Réglementation applicable

– Code du travail
– Code de la sécurité sociale

Article du Code du travail cité:
Article L1232-1: « Lorsque le licenciement d’un salarié intervient pour une cause réelle et sérieuse, le licenciement pour motif personnel ne peut intervenir moins d’un an après une première décision de licenciement, sauf en cas de faute grave de l’intéressé. »

Article du Code de la sécurité sociale cité:
Article L143-1: « Les allocations de chômage sont attribuées aux personnes involontairement privées d’emploi qui remplissent les conditions fixées par le présent livre. »

Avocats

Bravo aux Avocats ayant plaidé ce dossier :

– Me Marie Laure TREDAN
– Me Blandine DAVID
– Me Pauline THERET
– Me Pauline DELETRÉ-CANTET

Mots clefs associés

– Cour
– Arrêt contradictoire
– Infirme
– Jugement
– Demande
– Dommages et intérêts
– Licenciement
– Faute grave
– Déboute
– Condamnation

– Cour: une institution judiciaire chargée de rendre des décisions et de rendre la justice
– Arrêt contradictoire: une décision de justice rendue par une juridiction supérieure qui contredit une décision précédente
– Infirme: une décision de justice qui est annulée ou invalidée
– Jugement: une décision rendue par un tribunal ou une cour de justice
– Demande: une requête ou une demande présentée à un tribunal pour obtenir une décision ou un jugement
– Dommages et intérêts: une compensation financière accordée à une partie lésée pour compenser un préjudice subi
– Licenciement: la rupture du contrat de travail par l’employeur à l’encontre du salarié
– Faute grave: une faute commise par un salarié qui justifie un licenciement immédiat et sans préavis
– Déboute: le rejet d’une demande ou d’une requête par un tribunal
– Condamnation: une décision de justice qui condamne une personne à une peine ou à une amende

* * *

REPUBLIQUE FRANÇAISE

AU NOM DU PEUPLE FRANÇAIS

ARRET

Etablissement Public POLE EMPLOI

C/

[I]

copie exécutoire

le 28 mars 2024

à

Me TREDAN

Me THERET

CPW/IL/BG

COUR D’APPEL D’AMIENS

5EME CHAMBRE PRUD’HOMALE

ARRET DU 28 MARS 2024

*************************************************************

N° RG 23/00335 – N° Portalis DBV4-V-B7H-IU3W

JUGEMENT DU CONSEIL DE PRUD’HOMMES – FORMATION PARITAIRE DE CREIL DU 12 DECEMBRE 2022 (référence dossier N° RG F22/00005)

PARTIES EN CAUSE :

APPELANT

Etablissement Public POLE EMPLOI

[Adresse 1]

[Localité 4]

représenté, concluant et plaidant par Me Marie Laure TREDAN de la SCP CMS BUREAU FRANCIS LEFEBVRE, avocat au barreau de HAUTS-DE-SEINE

Me Blandine DAVID de la SELARL KÆM’S AVOCATS, avocat au barreau de PARIS

avocat postulant

ET :

INTIME

Monsieur [G] [I]

né le 08 Décembre 1977 à [Localité 5]

de nationalité Française

[Adresse 2]

[Localité 3]

représenté, concluant et plaidant par Me Pauline THERET, avocat au barreau de LILLE substitué par Me Pauline DELETRÉ-CANTET, avocat au barreau d’AMIENS

DEBATS :

A l’audience publique du 01 février 2024, devant Mme Caroline PACHTER-WALD, siégeant en vertu des articles 805 et 945-1 du code de procédure civile et sans opposition des parties, ont été entendus les avocats en leurs conclusions et plaidoiries respectives.

Mme Caroline PACHTER-WALD indique que l’arrêt sera prononcé le 28 mars 2024 par mise à disposition au greffe de la copie, dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile.

GREFFIERE LORS DES DEBATS : Mme Isabelle LEROY

COMPOSITION DE LA COUR LORS DU DELIBERE :

Mme Caroline PACHTER-WALD en a rendu compte à la formation de la 5ème chambre sociale, composée de :

Mme Caroline PACHTER-WALD, présidente de chambre,

Mme Corinne BOULOGNE, présidente de chambre,

Mme Eva GIUDICELLI, conseillère,

qui en a délibéré conformément à la Loi.

PRONONCE PAR MISE A DISPOSITION :

Le 28 mars 2024, l’arrêt a été rendu par mise à disposition au greffe et la minute a été signée par Mme Caroline PACHTER-WALD, Présidente de Chambre et Mme Isabelle LEROY, Greffière.

*

* *

DECISION :

M. [I], né le 8 décembre 1977, a été embauché à compter du 3 novembre 2006 dans le cadre d’un contrat de travail à durée indéterminée, en qualité de conseiller, par l’Agence nationale pour l’emploi, ensuite dénommée Pôle emploi (l’établissement ou l’employeur).

En application de l’article 7 de la loi n° 2008-126 du 13 février 2008 relative à la réforme de l’organisation du service public de l’emploi, M. [I] a opté pour la convention collective nationale de Pôle emploi, et la relation contractuelle s’est poursuivie dans le cadre d’un contrat de travail à durée indéterminée de droit privé à compter du 1er mai 2011. Au dernier état de la relation contractuelle, il exerçait la fonction de conseiller emploi.

En juin 2021, Pôle emploi, informé de la mise en vente sur internet de données à caractère personnel appartenant à des demandeurs d’emploi, a entrepris une enquête interne dont les conclusions remises le 18 juin 2021 incriminaient le salarié.

Par courrier du 21 juin 2021, M. [I] a été convoqué à un entretien préalable fixé au 22 juillet 2021, et a été mis à pied à titre conservatoire.

Par courrier du 10 juillet 2021, le salarié a contesté les faits lui étant reprochés. Consécutivement à l’entretien, il a saisi la commission paritaire, par courrier du 26 juillet 2021 qui, le 6 août 2021, a considéré que les faits qui lui étaient reprochés étaient constitués.

Le 13 août 2021, M. [I] a été licencié pour faute grave.

Contestant la légitimité de son licenciement, il a saisi le conseil de prud’hommes de Creil le 12 janvier 2022, qui par jugement du 12 décembre 2022, a :

jugé que le licenciement de M. [I] ne reposait pas sur une faute grave ;

jugé que le licenciement était fondé sur une cause réelle et sérieuse ;

fixé le salaire moyen brut de référence de M. [I] à 3 103,21 euros ;

condamné Pôle emploi à payer à M. [I] :

5 005,76 euros d’indemnité compensatrice de préavis et 500,57 euros de congés payés afférents ;

3 778,96 euros de rappel de salaire au titre de la mise à pied conservatoire et 377,89 euros de congés payés afférents ;

22 145,05 euros d’indemnité conventionnelle de licenciement ;

1 500 euros au titre de l’article 700 du code de procédure civile ;

débouté M. [I] de sa demande de dommages et intérêts pour licenciement sans cause réelle et sérieuse ;

dit que les condamnations prononcées produiraient intérêts au taux légal à compter de la date de la convocation devant le bureau de conciliation et d’orientation, soit le 12 janvier 2022 ;

ordonné la capitalisation des intérêts échus dès lors qu’ils seraient dus pour une année entière ;

condamné Pôle emploi, aux entiers dépens y compris les frais d’exécution éventuels de la décision à intervenir ;

débouté Pôle emploi de sa demande au titre de l’article 700 du code de procédure civile ;

rappelé l’exécution provisoire de droit sur les condamnations prononcées ;

débouté les parties de leurs demandes plus amples ou contraires.

Pôle emploi, qui est régulièrement appelant, par dernières conclusions notifiées par la voie électronique le 6 décembre 2023, demande à la cour d’infirmer le jugement entrepris, sauf en ce qu’il a débouté le salarié de sa demande de dommages et intérêts pour licenciement sans cause réelle et sérieuse et, statuant à nouveau, de ;

– dire et juger que le licenciement de M. [I] repose sur une faute grave ;

– par conséquent, débouter M. [I] de l’ensemble de ses demandes ;

– en tout état de cause, déclarer M. [I] mal fondé en son appel incident et l’en débouter ;

– débouter M. [I] sa demande sur le fondement de l’article 700 du code de procédure civile et des dépens ;

– condamner M. [I] à lui payer la somme de 1 500 euros au titre de l’article 700 du code de procédure civile et aux entiers dépens de première instance et d’appel.

M. [I], par dernières conclusions notifiées par la voie électronique le 6 juillet 2023, demande à la cour de déclarer recevable son appel incident, de confirmer le jugement sauf en ce qu’il a dit que son licenciement était fondé sur une cause réelle et sérieuse et l’a débouté de sa demande de dommages-intérêts pour licenciement sans cause réelle et sérieuse, et statuant à nouveau, de :

– fixer son salaire de référence à la somme de 3 103,21 euros et son ancienneté à 14 ans et 11 mois ;

– dire et juger que son licenciement est abusif et condamner Pôle emploi à lui payer :

22 145,05 euros au titre de l’indemnité conventionnelle de licenciement ;

5 005,76 euros au titre de l’indemnité compensatrice de préavis outre 500,57 euros au titre des congés payés sur préavis ;

3 778,96 euros au titre du rappel de salaire de mise à pied conservatoire outre 377,89 euros au titre des congés payés sur mise à pied conservatoire ;

37 238,88 euros à titre de dommages et intérêts pour licenciement sans cause réelle et sérieuse ;

– condamner Pôle emploi à lui payer, sur le fondement de l’article 700 du code de procédure civile, 1 500 euros pour la première instance et 1 500 euros pour la procédure d’appel ;

– condamner Pôle emploi au paiement des entiers dépens ;

– débouter Pôle emploi de l’ensemble de ses demandes, fins et conclusions ;

– ordonner que les sommes dues portent intérêts judiciaires à compter de la saisine du conseil de prud’hommes ;

– ordonner la capitalisation des intérêts.

Conformément aux dispositions de l’article 455 du code de procédure civile, pour un plus ample exposé des faits, des prétentions et moyens des parties, il est renvoyé aux dernières conclusions susvisées.

MOTIFS DE LA DÉCISION :

1. Sur le licenciement pour faute grave

M. [I] fait valoir en substance que l’employeur ne peut utilement lui reprocher d’avoir consulté des données à caractère personnel, y compris dans des volumes importants, compte-tenu de la nature de son métier consistant en la recherche d’emploi, et du fait qu’aucun document normatif interne ne vient limiter ou encadrer le droit d’opérer des extractions provenant de la base IOP, ce qui, de surcroît, est une pratique courante des conseillers acceptée par Pôle emploi. Il ajoute que si les règlements et instructions internes prohibent la divulgation et l’utilisation des données personnelles à des fins autres que professionnelles, l’employeur ne fait pas la démonstration que les extractions réalisées étaient en inadéquation avec ses missions professionnelles et, par là même, n’établit pas une situation de détournement de finalité. Il précise que la fréquence et le volume des extractions étaient justifiés par sa participation aux forums d’emploi et jobs datings qui permettaient d’inviter un grand nombre de demandeurs d’emploi, et que le transfert des données sur un fichier Excel garantissait un filtrage plus aisé et plus pertinent pour répondre aux besoins des employeurs. Il conteste ainsi que ses missions professionnelles étaient limitées à la gestion d’un portefeuille de 70 demandeurs d’emploi. Par ailleurs, il soutient que la réalisation d’extractions en dehors des horaires de travail ne constitue en aucun cas une démonstration d’un usage personnel, et affirme que son engagement professionnel, y compris après son changement d’affectation, l’amenait à poursuivre des fonctions d’intermédiation auprès des employeurs.

Pôle emploi réplique en synthèse avoir été alerté le 8 juin 2021 d’une importante fuite de données à caractère personnel de demandeurs d’emploi mises en vente sur internet par un pirate informatique, information à la suite de laquelle il a entrepris une enquête interne dont les conclusions ont été remises le 18 juin 2021. Il précise que ce rapport a mis en évidence les agissements fautifs de M. [I] qui, en méconnaissance du règlement intérieur et des notes d’instructions émises en matière de protection des données des demandeurs d’emploi, a procédé, souvent en dehors de ses heures de travail, à d’importantes extractions de données depuis l’outil interne IOP entre le 2 février et le 20 mai 2021 et appartenant à plusieurs dizaines de milliers de demandeurs d’emploi dans 17 départements. Il soutient qu’une extraction aussi massive de données à caractère personnel, qui ne pouvait en aucun cas être utile à de potentiels employeurs, caractérise l’absence de motif professionnel de la consultation et de la divulgation de ces données et donc le détournement de finalité reproché. Il ajoute que la transmission des données personnelles des demandeurs d’emploi aux employeurs n’est jamais réalisée sous forme de listing mais uniquement par l’intermédiaire d’applicatifs dédiés dont le compte-rendu de l’entretien préalable a permis de révéler que le salarié s’abstenait de les utiliser.

Sur ce,

L’article L.1232-1 du code du travail subordonne la légitimité du licenciement à l’existence d’une cause réelle et sérieuse.

La faute grave privative du préavis prévu à l’article L.1234-1 du même code est celle qui rend impossible le maintien du salarié dans l’entreprise. Les faits invoqués comme constitutifs d’une faute grave doivent non seulement être objectivement établis mais encore imputables au salarié, à titre personnel et à raison des fonctions qui lui sont confiées par son contrat individuel de travail, et doivent encore être suffisamment pertinents pour justifier la rupture du contrat de travail.

La charge de la preuve de la faute grave repose exclusivement sur l’employeur. S’il subsiste un doute concernant l’un des griefs invoqués par l’employeur, il profite au salarié.

En l’espèce, la lettre de licenciement, qui fixe les limites du litige, est ainsi libellée :

« Monsieur,

Je fais suite à votre entretien préalable du 22 juillet 2021 avec Mme [M], directrice régionale adjointe de la performance sociale de l’établissement de Pôle emploi Hauts-de-France et Mme [F], Directrice des relations sociales de la santé et des conditions de travail. Vous étiez présent à cet entretien et accompagné de M. [P], délégué syndical.

Le délai légal étant écoulé, je vous notifie votre licenciement pour faute grave pour le motif suivant : consultations et divulgations d’informations ayant un caractère personnel relatives à des demandeurs d’emplois, en dehors du cadre de vos attributions professionnelles.

A l’occasion d’une enquête interne liée à une fuite sur internet de données personnelles concernant des demandeurs d’emploi, des investigations internes réalisées par la direction de la prévention des fraudes et de contrôle interne ont mis en évidence que vous avez effectué depuis 2016 un volume d’extractions informatiques considérables, comprenant des données personnelles de demandeurs d’emploi résidant dans plusieurs départements, sans lien direct avec les activités qui vous sont confiées dans le cadre de votre emploi de conseiller et en dehors de toute consigne hiérarchique.

Ainsi, entre 2016 et 2017, vous avez ainsi réalisé, via l’Infocentre Opérationnel (IOP), 1 162 extractions pendant les plages fixes ou variables. En 2018, vous avez réalisé 2 717 extractions dont 155 entre 18h01 et 19h26.

Entre le 2 février et le 20 mai 2021, alors que vous étiez affecté sur un poste de conseiller c.s.p avec un portefeuille de 70 demandeurs d’emploi, vous avez réalisé 42 extractions dépassant 40 000 demandeurs d’emploi chacune (17 extractions comprenant entre 10 000 et 40 000 demandeurs d’emploi chacune, 44 extractions sur une volumétrie inférieure à 10 000 demandeurs d’emploi). Parmi ces requêtes, 3 ont été réalisées sur vos horaires de travail, les 39 autres ont été effectuées en dehors de ceux-ci entre 18h53 et 21h42.

Vous avez admis avoir utilisé à de multiples reprises la base IOP, outil de requêtes, pour satisfaire des demandes reçues, à n’importe quelle heure, de l’écosystème économique du bassin creillois avec lequel vous avez noué des liens étroits. Vous avez reconnu avoir envoyé des extraits des bases que vous avez requêtées dans le système informatique de Pôle emploi.

Ces extractions sont disproportionnées.

Les modalités de transmission des données ne s’inscrivent pas dans l’offre de service de Pôle emploi, ni dans les pratiques professionnelles des conseillers de l’établissement en charge de favoriser les recrutements des employeurs et assurer la promotion de profils de demandeurs d’emploi via les outils et applicatifs sécurisés prévus pour cela. Leur opportunité n’est justifiée par aucune activité qui vous aurait été confiée dans le cadre de l’exercice de votre contrat de travail.

En procédant ainsi, vous avez donné à des entreprises avec lesquelles vous aviez un lien de proximité personnel l’accès à des bases de données dans des conditions non conformes au fonctionnement normal des services de Pôle emploi et procuré de manière indue un avantage à ces dernières. En divulguant des informations ayant un caractère personnel, vous n’avez pas respecté vos obligations de discrétion et de secret professionnel. Enfin, ces consultations puis ces utilisations de données relevant d’une intervention effectuée à titre personnel sont constitutives d’un détournement de finalité défini dans l’instruction n°2020-24 du 15 novembre 2020 et d’une violation des règles en vigueur sur la sécurisation des données à caractère personnel.

Les éléments que vous avez produits à l’occasion de votre entretien du 22 juillet 2021, de votre courrier de saisine de la CPNC ainsi que devant la commission paritaire de conciliation du 5 août 2021 ne viennent pas contredire ces manquements fautifs.

Je considère que vos agissements s’analysent en des manquements graves et répétés à vos obligations professionnelles et contractuelles, aux dispositions de l’instruction susvisée, ainsi qu’à l’article 10 du règlement intérieur en vigueur au sein de Pôle emploi, ce qui justifie pleinement la mesure prise à votre encontre

Votre licenciement prend donc effet immédiatement, dès envoi de cette lettre, sans indemnité de préavis ni de licenciement et votre solde de tout compte sera arrêté à cette date.

La période de mise à pied à titre conservatoire, qui a débuté le 21 juin 2021, ne vous sera pas rémunérée.

Les sommes vous restant éventuellement dues au titre de salaire et d’indemnités de congés payés acquis à ce jour vous seront versées avec le solde de tout compte qui sera arrêté à la date d’envoi de la présente ».

Il est établi que M. [I] a exercé diverses fonctions au sein de l’agence Pôle emploi [Localité 5]-[Localité 6] l’ayant notamment amené à intervenir en qualité de conseiller entreprises pour des actions d’insertion professionnelle auprès de la mission locale entre 2018 et 2019, puis entre 2019 et 2020.

A compter de l’année 2020, il a occupé les fonctions de conseiller emploi et avait alors pour fonction d’assurer l’accompagnement des demandeurs d’emploi.

Informé par l’Agence nationale de la sécurité des systèmes informatiques (Anssi) de la mise en vente sur internet par des cybercriminels de données à caractère personnel appartenant à des demandeurs d’emploi, Pôle emploi a diligenté une enquête interne dont les conclusions ont été remises le 18 juin 2021.

Les investigations menées ont alors mis en évidence, d’une part une très grande quantité d’extractions de données réalisées par M. [I] par l’intermédiaire de l’outil interne IOP concernant les données de plusieurs dizaines de milliers de personnes entre le 2 février et le 20 mai 2021, et d’autre part une correspondance entre les données extraites par le salarié et celles contenues dans un échantillon de 13 demandeurs d’emploi, tous domiciliés dans le département de l’Oise, à la disposition du cybercriminel.

Aux termes de la notification d’une violation de données personnelles adressée à la Commission nationale informatique et libertés (Cnil) du 29 juin 2021, Pôle emploi a précisé qu’un salarié, dont il peut aisément être déduit qu’il s’agit de M. [I], avait extrait des informations sur des demandeurs d’emploi par l’intermédiaire de l’outil de requêtage IOP, que le fichier contenant ces extractions avait été adressé à une société exerçant une activité d’agence d’intérim qui, ayant mis ce fichier sur un serveur non protégé, a permis la subtilisation des données personnelles appartenant à 58 124 demandeurs d’emploi.

Il est suffisamment démontré que M. [I] a procédé massivement à des extractions informatiques comportant des données personnelles de demandeurs d’emploi (nom, prénom, numéro de téléphone, possession d’un permis de conduire, niveau d’étude etc.) résidant dans plusieurs départements, et qu’il a communiqué ces données de façon non sécurisée à une société extérieure, permettant ainsi leur subtilisation.

Interrogé sur son organisation de travail lors de l’entretien préalable (dont le compte-rendu est versé aux débats), M. [I] a indiqué avoir poursuivi, en toute transparence avec sa hiérarchie, les missions d’intermédiation avec les entreprises malgré sa prise de poste en qualité de conseiller emploi en 2020, compte-tenu du réseau important qu’il avait constitué dans le bassin d’emploi creillois, et a reconnu avoir pris l’habitude de procéder à des extractions sur la base IOP pour ensuite travailler sur un fichier Excel afin d’utiliser les outils de filtrage, et qu’il envoyait ensuite des « potentiels pour le recrutement ».

Il ajoutait ne pas utiliser le système de rapprochement disponible dans l’outil DUNE qui, selon lui, ne fonctionnait pas bien, soulignant précisément préférer IOP et Excel. Dans son courriel adressé le 2 septembre 2021 au personnel de l’agence, le salarié a confirmé l’envoi par mail des données personnelles à une entreprise extérieure, même s’il en limite l’ampleur à 11 demandeurs d’emploi.

L’opération d’extraction ne peut, en elle-même, lui être reprochée, dès lors qu’il est établi que les conseillers de Pôle emploi étaient autorisés à consulter la base IOP et à en extraire sur leur ordinateur des données sur les demandeurs d’emploi sans limite définie, afin de faciliter le ciblage des profils. Il n’en demeure pas moins que l’employeur démontre, sans être utilement contredit par M. [I], que cette pratique n’avait pas vocation à se substituer aux procédures sécurisées de mise en relation, et ce alors qu’il existe une correspondance entre les données extraites par l’intéressé et celles contenues dans l’échantillon de 13 demandeurs d’emploi ayant fait l’objet du hacking constaté.

Alors qu’il ne prouve pas que sa façon de procéder aurait été justifiée ou rendue nécessaire par une défaillance quelconque des outils mis à sa disposition par l’employeur, le salarié reconnait pourtant avoir décidé « de basculer les résultats obtenus sur un fichier excel et réaliser ainsi un filtrage plus aisé, de la liste des demandeurs d’emploi à établir aux fins de répondre au plus près aux besoins des employeurs», et il est établi qu’il a ensuite procédé à la diffusion par simple courriel des données confidentielles ainsi extraites à une société extérieure, de façon non sécurisée, en dehors des outils habituellement utilisés par les conseillers employés, sans avoir reçu de consigne d’une diffusion par courriel d’un tel tableau ni d’autorisation de sa hiérarchie, qu’il ne justifie pas non plus avoir informée de cette pratique isolée.

Les attestations de Mme [N], ancienne N+2 du salarié, et de M. [J], membre de l’équipe locale de direction de l’agence de [Localité 5], confirment au contraire que les entreprises extérieures devaient exclusivement avoir accès aux informations personnelles des demandeurs d’emploi dans le cadre des applicatifs «DUNE» et «AUDE» et après consentement des demandeurs d’emploi.

Il n’est pas utilement contesté que Pôle emploi ne transmet jamais à une société extérieure de données personnelles de demandeurs d’emploi par l’envoi de listing, les actes d’intermédiation à l’initiative de Pôle emploi étant tracés dans ces applicatifs.

L’article 5 de son contrat de travail stipule d’ailleurs : «M. [G] [I] s’engage durant son contrat de travail à notamment respecter les instructions générales et règles relatives au travail applicables à Pôle emploi et notamment l’obligation de discrétion professionnelle et de secret professionnel pour tout ce qui concerne les faits et informations dont il pourrait avoir connaissance dans l’exercice de ses fonctions.».

L’article 10 du règlement intérieur en vigueur au sein de Pôle emploi, précise : «Tout agent de Pôle emploi dans le cadre de ses activités professionnelles ou toute personne travaillant au sein de Pôle emploi à quelque titre que ce soit est tenu :

de respecter les instructions données par ses supérieurs hiérarchiques ou par tout membre de la direction et de mettre en oeuvre les procédures applicables au sein de son établissement ; (…)

de ne divulguer d’informations ayant un caractère personnel sur les demandeurs d’emploi, les entreprises, ou plus généralement toute personne physique ou morale faisant appel aux services de Pôle emploi que dans le cadre de ses attributions et dans les cas, conditions et limites légalement, réglementairement ou conventionnellement prévus. Cette règle est également valable pour les informations confidentielles concernant d’autres agents de Pôle emploi (par exemple informations RH) et s’applique à tout canal de communication, réseaux sociaux inclus ; (…) Les dispositions spécifiques concernant l’utilisation du système informatique font l’objet d’une annexe au présent règlement intérieur».

L’annexe dédiée à l’utilisation des systèmes d’information et de communication, ajoute que des dispositions techniques et organisationnelles sont mises en oeuvre pour contrôler l’accès au système d’information et assurer la sécurité des applications, et que les agents ont à leur disposition des logiciels et progiciels développés spécifiquement qui doivent être les seuls à être utilisés et pour lesquels il est prohibé de contourner les restrictions d’utilisation. Il est en outre prévu que chaque utilisateur doit avoir connaissance des mesures de sécurité des systèmes d’information et les appliquer ou s’y conformer, raison pour laquelle chaque utilisateur dispose d’une identité numérique personnelle. Il y est également mentionné que le «non-respect des dispositions contenues dans la présente annexe expose l’agent le cas échéant à des poursuites disciplinaires pour les faits fautifs qui lui seraient personnellement imputables. Il serait donc passible des sanctions disciplinaires telles qu’inscrites dans le règlement intérieur et définies par la convention collective nationale pour le personnel régi par ses dispositions ou par le décret n° 2003-1370 du 31 décembre 2003 pour le personnel régi par ses dispositions. (…) Pour information, un exemplaire de ce document est remis à tous les utilisateurs ayant accès aux systèmes d’information et de communication de Pôle emploi».

La note d’instruction interne 2020-24 du 15 novembre 2020 relative à l’interdiction de l’utilisation à des fins personnelles des traitements mis en oeuvre par Pôle emploi, dont M. [I] avait connaissance, précise que «le respect de la protection des données à caractère personnel doit être une préoccupation constante au sein de Pôle emploi en vue de garantir la confiance des usagers et des agents envers l’institution».

Pôle emploi présente également des supports d’information de la réunion de service du 9 octobre 2020 de l’agence de [Localité 6] à laquelle M. [I] a assisté, au cours de laquelle les règles sur le traitement des données personnelles des demandeurs d’emploi ont été abordées.

Compte tenu de son poste de conseiller lui donnant accès à des informations personnelles concernant des demandeurs d’emploi, il est ainsi indiscutable que le salarié devait exercer ses fonctions dans le stricte respect de règles spécifiques prévues en ce qui concerne le traitement de ces données.

Ainsi, en dépit d’une réglementation interne particulièrement détaillée sur l’obligation faite aux agents d’utiliser uniquement les applicatifs mis à leur disposition en fonction de leur finalité, l’intéressé a reconnu s’être délibérément abstenu d’utiliser le logiciel conçu pour permettre une mise en relation sécurisée avec les entreprises et a, au contraire, privilégié un mode de transmission de fichiers dont l’efficacité et la rapidité supposées ne sauraient occulter une méconnaissance des règles les plus élémentaires de sécurité.

En conséquence, la divulgation de données à caractère personnel de demandeurs d’emploi est imputable à M. [I] qui a délibérément méconnu les modalités de transmission des données mises en place par Pôle emploi par l’intermédiaire des outils et applicatifs sécurisés prévus à cet effet. La gravité de ce manquement est d’autant plus caractérisée qu’en un seul fichier envoyé par courriel à une société extérieure, M. [I] a communiqué en dehors des applicatifs métiers des données personnelles de plusieurs dizaines de milliers de demandeurs d’emploi sans même s’assurer des conditions dans lesquelles elles allaient être conservées, mettant dès lors consciemment en péril la confidentialité de ces données et la confiance des usagers envers l’établissement gestionnaire du service public de l’emploi.

Dans ces, conditions, sans qu’il soit besoin d’examiner les autres griefs, en considération de l’ensemble de ces éléments, nonobstant l’ancienneté importante du salarié et l’absence de sanction disciplinaire antérieure, cette conduite de M. [I], par sa nature et les circonstances de sa commission, caractérise la faute grave rendant impossible son maintien dans l’entreprise y compris pendant la durée du préavis.

Le jugement déféré sera donc infirmé, sauf en ce qu’il a rejeté la demande de M. [I] tendant à la condamnation de Pôle emploi au paiement de dommages et intérêts pour licenciement sans cause réelle et sérieuse.

2. Sur les dépens et frais irrépétibles

Le sens du présent arrêt conduit à infirmer la décision déférée en ses dispositions sur les frais irrépétibles et les dépens.

M. [I], qui succombe en ses prétentions, sera condamné aux dépens de première instance et d’appel, et à payer à Pôle emploi la somme de 200 euros au titre des frais irrépétibles. Il sera débouté de sa demande fondée sur l’article 700 du code de procédure civile.

PAR CES MOTIFS :

La cour, statuant par arrêt contradictoire mis à disposition au greffe,

Infirme le jugement en ses dispositions soumises à la cour, sauf en ce qu’il a rejeté la demande de M. [I] tendant à la condamnation de Pôle emploi au paiement de dommages et intérêts pour licenciement sans cause réelle et sérieuse,

Statuant à nouveau sur les chefs infirmés et y ajoutant,

Dit que le licenciement pour faute grave prononcé à l’encontre de M. [I] est fondé,

Déboute M. [I] de l’ensemble de ses demandes,

Condamne M. [I] à payer à Pôle emploi la somme de 200 euros au titre des frais irrépétibles de première instance et d’appel,

Condamne M. [I] aux dépens de première instance et d’appel.

LA GREFFIERE, LA PRESIDENTE.

 

0 0 votes
Évaluation de l'article
S’abonner
Notification pour
guest
0 Commentaires
Le plus ancien
Le plus récent Le plus populaire
Commentaires en ligne
Afficher tous les commentaires
0
Nous aimerions avoir votre avis, veuillez laisser un commentaire.x
Scroll to Top