Les conditions de validité d’un licenciement reposant sur l’exploitation par l’employeur de la messagerie professionnelle du salarié

Dans une décision du 1er juin 2017[1], la Cour de Cassation a validé le licenciement d’un salarié suite à une insuffisance professionnelle constatée par son employeur, en contradiction avec la législation applicable en matière de données personnelles.

 1. L’obligation de déclaration d’un système de messagerie électronique : un principe a priori absolu

A titre liminaire, il convient de rappeler que la majorité des données concernant les salariés d’une entreprise peut être considérée comme des données personnelles au regard de la Loi « Informatique et Libertés »[2]. De sorte que tout traitement relatif à des données personnelles de salariés est soumis à l’article 22 de ladite Loi, qui dispose : « Les traitements automatisés de données à caractère personnel font l’objet d’une déclaration auprès de la Commission nationale de l’informatique et des libertés. »

Afin de faciliter la situation des entrepreneurs face aux difficultés inhérentes à la procédure de déclaration, la CNIL a mis en place un régime simplifié en matière de données des salariés, tel que régi par la norme simplifiée n°46[3].

Elle détaille toutefois une série de conditions afin de pouvoir bénéficier du régime simplifié. Parmi les données concernées[4] trouve-t-on celles issues des messageries électroniques à l’exclusion de toute donnée relative au contrôle individuel des communications électroniques émises ou reçues par les employés.

Dans le cas sur lequel a statué la Cour de Cassation dans sa décision du 1er juin 2017, l’employeur avait exploité les e-mails d’un salarié afin de justifier son licenciement, alors que cette messagerie électronique n’avait jamais été déclarée auprès de la CNIL, ni par une déclaration normale ni par une déclaration simplifiée.

Le salarié a dès lors tenté d’obtenir la nullité de son licenciement, considérant que les emails prouvant sa défaillance professionnelle n’étaient pas des preuves licites[5], car exploités en violation de l’obligation de déclaration auprès de la CNIL. Les juges d’appel, appliquant strictement la Loi, ont fait droit à ses prétentions.

Se faisant, la Cour d’Appel de Paris respectait par ailleurs la jurisprudence passée de la Cour de Cassation selon laquelle un traitement de données personnelles non déclaré auprès de la CNIL ne pouvait être exploité pour justifier le licenciement d’un salarié, au motif qu’il constituait un moyen de preuve illicite. Ainsi, dans une décision du 8 octobre 2014, la Chambre Sociale avait été très claire concernant la reconnaissance de l’illicéité de la preuve issue d’une messagerie électronique professionnelle non déclarée[6].

2. La Cour de Cassation tempère le principe, en admettant, à titre de preuve, des emails envoyés ou reçus par l’employeur, alors même qu’ils étaient issus d’une messagerie électronique non déclarée à la CNIL

Dans la décision du 1er juin 2017, la Chambre Sociale a considéré que l’absence de déclaration CNIL ne rendait pas illicite la production des emails en justice.

Elle insiste sur deux points afin de justifier sa prise de position :

  1. la messagerie électronique n’était pas destinée à un contrôle individuel de l’activité du salarié, elle n’est dès lors pas susceptible de porter atteinte à la vie privée et aux libertés du salarié,
  2. le salarié ne pouvait ignorer que les emails contenus dans sa messagerie professionnelle pouvaient être enregistrés et conservés par le système informatique.

Il s’agit d’un véritable revirement de jurisprudence par rapport à 2014, et il est possible de déduire de cet arrêt que l’absence de déclaration CNIL ne constituera plus un obstacle absolu à la validité du licenciement, dès lors que le traitement dont la preuve est issue était parfaitement connu du salarié et qu’il pouvait valablement s’attendre à une exploitation en ce sens.

Analyse :

Il est important de louer le pragmatisme dont fait part la Cour de Cassation depuis plusieurs années déjà, dans une série de décisions relatives aux traitements de données personnelles des salariés.

Dans ce sens, sous l’empire de la jurisprudence Nikon[7] qui avait reconnu le caractère inviolable du secret des correspondances privées, la Chambre Sociale[8] avait établi la présomption du caractère professionnel des emails envoyés et reçus par le salarié, de sorte qu’en l’absence de mention contraire[9], l’employeur était en droit d’y accéder en dehors de la présence de son préposé.

La position des juges n’est pas non plus sans rappeler le principe général de loyauté, qu’ils avaient pu reconnaitre dans une décision en date du 23 mai 2007[10] n°06-43209, relativement à l’exploitation des SMS, et selon laquelle :

« Si l’enregistrement d’une conversation téléphonique privée, effectué à l’insu de l’auteur des propos invoqués, est un procédé déloyal rendant irrecevable (…) la preuve ainsi obtenue, il n’en est pas de même de l’utilisation par le destinataire des messages écrits téléphoniquement adressés (…) dont l’auteur ne peut ignorer qu’ils sont enregistrés ».

Si la position de la Cour de Cassation parait à première vue étonnante au regard des exigences légales relatives à l’obligation de déclaration des traitements de données personnelles, l’exemption qu’elle établit en fonction de leur finalité visant ou non à contrôler le comportement individuel d’un salarié paraît opportune.

Rappelons que l‘application de la Loi du 6 janvier 1978 ne relève pas de la compétence des Conseillers Prudhommaux qui doivent se limiter à rejeter les éléments de preuve collectés à l’insu des salariés.

En tout état de cause, à partir du 25 mai 2018, le Règlement européen sur la protection des données personnelles (RGPD) va supprimer le régime de déclaration tel qu’il existe aujourd’hui.

Il semble donc que la Haute Juridiction ait souhaité inscrire sa décision dans ce cadre futur et apprécier la validité du traitement sur d’autres critères.

Il n’en reste pas moins que la disparition de l’obligation de déclaration ne va pas pour autant annihiler tous les acquis établis en matière de données personnelles (le régime d’autorisation préalable pour certains traitements pourrait subsister). Au contraire, le RGPD impose aux entreprises de nouvelles formalités (exe : registre, analyses d’impact) qu’il convient d’exécuter de concert avec les spécialistes du droit des données personnelles.

Charlotte GALICHET

 

[1] Cass. Soc. 1/06/2017 n°15-23522
[2] Article 2, Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés : « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement ».
[3] Délibération n°2005-002 du 13/01/2005 portant adoption d’une norme destinée à simplifier l’obligation de déclaration des traitements mis en œuvre par les organismes publics et privés pour la gestion de leurs personnels.
[4] Article 3, Délibération n°2005-002 du 13/01/2005
[5] Pour plus d’informations sur les effets de la « Informatique et Libertés », voir : http://avocatspi.com/2017/07/30/la-preuve-de-la-cause-reelle-et-serieuse-du-licenciement-attention-a-la-reglementation-informatique-et-libertes/
[6] Cass. Soc., 8 oct 2014 n°13-14991: « Qu’en statuant comme elle l’a fait, en se fondant uniquement sur des éléments de preuve obtenus à l’aide d’un système de traitement automatisé d’informations personnelles avant qu’il ne soit déclaré à la CNIL, alors que l’illicéité d’un moyen de preuve doit entraîner son rejet des débats, la cour d’appel a violé les textes susvisés ; »
[7] Cass. Soc., 2 oct. 2001, n°99-42.942  n
[8] Cass. Soc., 18 oct. 2011, n°10-26782
[9] Une mention contraire au caractère professionnel du courrier pourrait être la mention « PERSONNEL »
[10] Cass. Soc., 23 mai 2007, n°06-43209
Bookmark the permalink.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *