Type de juridiction : Cour administrative d’appel
Juridiction : Cour administrative d’appel de Paris
Thématique : Croisement de fichiers de données : attention à la finalité
→ RésuméLorsqu’un employeur utilise des données personnelles issues d’un traitement automatisé pour établir un comportement fautif d’un salarié protégé, il doit s’assurer que ces données ont été collectées de manière licite et loyale. Il est impératif de respecter la finalité déclarée auprès de la CNIL. Par exemple, comparer des informations de badgeage avec celles d’un système de contrôle d’accès constitue un détournement de finalité, car les données de badgeage étaient destinées uniquement à contrôler l’accès aux locaux. De plus, l’employeur doit informer le salarié de l’enregistrement de ses horaires, conformément à la législation en vigueur.
|
Lorsqu’il a recours à des données à caractère personnel issues d’un traitement automatisé de données à caractère personnel pour établir l’existence d’un comportement fautif d’un salarié protégé, l’employeur ne peut utiliser que des données collectées et traitées de manière licite et loyale. En particulier, il doit respecter la finalité assignée au traitement automatisé de données à caractère personnel, telle qu’elle est déclarée auprès de la Commission nationale de l’informatique et des libertés (CNIL) ou, si un correspondant à la protection des données à caractère personnel a été désigné, telle qu’elle figure sur la liste tenue par ce correspondant.
Rapprochement illicite entre deux fichiers
Pour établir les faits de fraude au temps de travail reprochés à une salariée l’employeur n’est pas en droit de comparer les informations issues des » badgeages » virtuels lors de l’ouverture et de la fermeture du poste de travail informatique de la salariée avec celles provenant du système de contrôle des accès aux bâtiments et au parking.
Détournement de finalité
Le traitement automatisé des données collectées à partir du système de » badgeage » situé à l’entrée des bâtiments n’avait pour seule finalité que le contrôle des accès des locaux et des parkings. Même en présence d’un correspondant informatique et libertés, l’employeur n’est pas dispensé de l’obligation de respecter la finalité qu’il a assigné au fichier en cause dans la déclaration adressée à laCNIL. Pour ce faire, l’employeur aurait dû ajouter à sa déclaration CNIL une finalité de gestion des horaires et de contrôle du temps de présence des salariés.
Moyen de preuve illicite
Par suite, les moyens de preuve utilisés par l’employeur étaient illicites. Au demeurant, la salariée n’avait pas été préalablement informée, conformément aux exigences de l’article L. 1222-4 du code du travail, que ses horaires d’entrée et de sortie des bâtiments et des parkings étaient enregistrés et susceptibles d’être contrôlés.
Rappel sur le principe de finalité
Pour rappel, l’article 6 de la loi du 6 janvier 1978 relative à l’informatique et aux libertés pose le principe que les données sont collectées et traitées de manière loyale et licite ; elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. Télécharger la décision
Laisser un commentaire