L’entreprise vit aujourd’hui plus que quiconque la révolution technologique en traitant, parfois sans le savoir, une grande quantité de données personnelles.
La majorité des données en lien avec les salariés sont des données personnelles au sens des textes applicables. A cet égard, l’article 22 de la loi Informatique et Libertés[1] dispose que « les traitements automatisés de données à caractère personnel font l’objet d’une déclaration auprès de la Commission nationale de l’informatique et des libertés. »
Malgré une formulation laconique, cette déclaration revêt une importance considérable pour l’avenir de l’entreprise, car la validité de nombreuses décisions prises par son dirigeant dépendra de l’existence ou non de cette déclaration. Cette exigence formelle est complétée par une autre règle de fond, imposant que l’utilisation de données personnelles, pour justifier une décision, respecte le but initial de leur traitement. Ainsi, la finalité déclarée ne peut pas évoluer sans une nouvelle déclaration. La jurisprudence se montre intransigeante au regard du respect de ces conditions, justifiant cette rigueur au bénéfice des libertés individuelles primant sur les intérêts entrepreneuriaux. Les juges du fond (Versailles, 10 septembre 2009, n°08/02486) ont ainsi déclaré irrecevable un relevé horaire – non préalablement déclaré auprès de la Cnil – d’un salarié licencié du fait de ses multiples retards. La juridiction suprême ne déroge pas à la règle : la Chambre sociale, dans une décision du 3 novembre 2011 (n° 10-18.036) a refusé de déclarer licite un licenciement motivé par un traitement de données de géolocalisation qui ne respectait pas les deux conditions suscitées.
Plus récemment, dans une décision rendue le 3 mai 2016 (n° 14-23.150), la Chambre sociale de la Cour de cassation a réaffirmé l’importance de la conformité « Informatique et Libertés » qui pèse sur les entreprises. Le conflit opposait un salarié de la société Autoroute du Sud de la France à son employeur, licencié pour avoir été identifié comme utilisant un badge à usage professionnel de franchissement des péages d’autoroutes, dans un but privé et lucratif. L’objectif initial de ces badges – récoltant des données personnelles et déclarées auprès de la Cnil – était l’assistance technique à la lutte contre les comportements frauduleux sur les autoroutes gérées par l’entreprise. Les juges de la Haute Cour ont considéré que la finalité de ces badges était la lutte contre la fraude sur les autoroutes, à l’égard tant des usagers que des salariés. Ayant été régulièrement déclarés auprès de la Cnil et respectant donc la finalité déclarée, ces badges constituaient selon la Cour de Cassation un moyen de preuve légal, justifiant dès lors le licenciement du salarié.
Si ces exigences peuvent paraitre difficile à mettre en œuvre dans une entreprise, elles sont justifiées par la préservation de grands principes juridiques, qui imposent loyauté et licéité de la preuve. Afin de pouvoir rester maitre de son entreprise, il convient d’anticiper au mieux ces questions, d’autant que le non-respect des formalités CNIL peut entraîner des sanctions financières importantes.
Charlotte GALICHET
Pierre FAVILLI
[1] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés