|
A l’appui d’un licenciement pour faute d’un salarié, l’employeur ne peut se prévaloir d’un constat d’huissier à partir de l’exploitation de données de connexions informatiques d’un logiciel non déclaré à la CNIL (firewall et autres système de collecte d’adresse IP). En effet, l’installation d’un tel logiciel est une mesure de contrôle et de traitement des données informatiques personnelles du salarié. L’employeur n’ayant procédé ni à une déclaration préalable auprès de la CNIL, ni à une information et consultation du comité d’entreprise, les données collectées au moyen de cet outil informatique constituaient des preuves illicites. Dès lors, le procès-verbal de constat a été déclaré irrecevable. Obligation de déclaration de l’employeurIl résulte des articles 22 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (dite loi informatique et liberté), L. 2323-32 du code du travail (dans sa rédaction alors applicable) et L. 1222-4 du code du travail que i) les traitements automatisés de données à caractère personnel font l’objet d’une déclaration auprès de la CNIL; ii) le comité d’entreprise est informé, préalablement à leur introduction dans l’entreprise, sur les traitements automatisés de gestion du personnel et sur toute modification de ceux-ci, iii) aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance. Constituent un moyen de preuve illicite les informations collectées par un système de traitement automatisé de données personnelles avant sa déclaration à la CNIL. Les éléments de preuve obtenus à l’aide d’un tel système sont illicites et doivent être rejetés des débats. Collecte d’adresses IPLa cour de cassation a déjà pu juger que les adresses IP, qui permettent d’identifier indirectement une personne physique, constituent des données à caractère personnel (Civ. 1re, 3 novembre. 2016, n° 15-22.595). Par ailleurs, selon l’article 2 de la loi ‘informatique et libertés, constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. Constitue ainsi un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction. En l’espèce, la société possédait un réseau informatique protégé par un firewall et les sites consultés par les différents salariés étaient enregistrés sur un serveur. Depuis plusieurs mois, la société avait constaté que plusieurs salariés utilisaient leur poste de travail à des fins non professionnelles et que les postes de travail des salariés étaient identifiés grâce à leur adresse IP. Dès lors, l’outil de sécurité du système d’information a permis, outre la maîtrise des risques, de restituer l’ensemble des consultations effectuées par le salarié et a été utilisé par l’employeur afin de vérifier si ce dernier procédait à des consultations personnelles et d’en identifier le contenu. Télécharger la décision |
→ Questions / Réponses juridiques
Quelles sont les obligations de l’employeur concernant la déclaration des traitements de données personnelles ?L’employeur a plusieurs obligations en matière de déclaration des traitements de données personnelles, conformément à la loi n° 78-17 du 6 janvier 1978, dite loi informatique et liberté. Premièrement, tout traitement automatisé de données à caractère personnel doit faire l’objet d’une déclaration auprès de la CNIL (Commission Nationale de l’Informatique et des Libertés). Deuxièmement, le comité d’entreprise doit être informé avant l’introduction de ces traitements dans l’entreprise, ainsi que de toute modification ultérieure. Enfin, aucune information personnelle concernant un salarié ne peut être collectée sans que ce dernier en ait été préalablement informé. Ces obligations visent à protéger la vie privée des salariés et à garantir la transparence des pratiques de l’employeur. Quelles sont les conséquences de la collecte illicite de données personnelles ?La collecte illicite de données personnelles, c’est-à-dire celle effectuée sans déclaration préalable à la CNIL, entraîne des conséquences juridiques significatives. Les informations obtenues par un système de traitement automatisé de données personnelles qui n’a pas été déclaré sont considérées comme des preuves illicites. Cela signifie que ces éléments de preuve ne peuvent pas être utilisés dans le cadre d’une procédure judiciaire, comme un licenciement pour faute. Ainsi, si un employeur se base sur des données collectées de manière illicite pour justifier un licenciement, ces données seront rejetées des débats, rendant la procédure vulnérable et potentiellement injustifiée. Comment les adresses IP sont-elles considérées en matière de protection des données personnelles ?Les adresses IP sont considérées comme des données à caractère personnel, car elles permettent d’identifier indirectement une personne physique. La Cour de cassation a statué que toute information permettant d’identifier une personne, directement ou indirectement, est protégée par la loi sur l’informatique et les libertés. Selon l’article 2 de cette loi, une donnée à caractère personnel est toute information relative à une personne physique identifiée ou identifiable. Cela inclut les adresses IP, car elles peuvent être utilisées pour retracer l’activité en ligne d’un individu, ce qui soulève des préoccupations en matière de vie privée et de protection des données. Quelles opérations constituent un traitement de données à caractère personnel ?Un traitement de données à caractère personnel englobe un large éventail d’opérations. Cela inclut la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification des données. D’autres opérations comme l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion, ainsi que le verrouillage, l’effacement ou la destruction des données sont également considérées comme des traitements. Ainsi, toute manipulation de données personnelles, quel que soit le procédé utilisé, est soumise aux règles de protection des données, ce qui impose à l’employeur de respecter les obligations légales en matière de déclaration et d’information. Quel est le rôle d’un firewall dans la collecte de données des salariés ?Un firewall, ou pare-feu, joue un rôle déterminant dans la sécurité des réseaux informatiques d’une entreprise. Dans le contexte de la collecte de données des salariés, un firewall peut enregistrer les sites consultés par les employés et identifier les postes de travail grâce à leurs adresses IP. Cela permet à l’employeur de surveiller l’utilisation des ressources informatiques et de détecter des usages non professionnels. Cependant, l’utilisation d’un tel outil doit être conforme aux obligations légales, notamment en matière de déclaration à la CNIL et d’information des salariés, afin d’éviter la collecte illicite de données personnelles. Sans cela, les preuves obtenues par le biais de ce système peuvent être considérées comme irrecevables en cas de litige. |
Laisser un commentaire