E-mails professionnels : l’ère de l’atténuation de la protection de la vie privée du salarié a-t-elle commencé?
La preuve issue d’une messagerie non déclarée à la CNIL est licite, selon un arrêt de la cour de cassation du 1er juin 2017. Quelle incidence sur les droits des entreprises et des salariés en matière de données personnelles ? Les avocats Eric Caprioli et Isabelle Cantero nous éclairent.
Les règles en matière de données personnelles ont des incidences sur le droit de l’entreprise et particulièrement en droit du travail. L’appréciation de la garantie de la vie privée du salarié au sein de son lieu de travail impose des contraintes aux entreprises notamment sur le plan de leur organisation, ce qui qui implique la coopération des services juridiques, Sécurité, RH, Correspondant Informatique et libertés et informatique. Le 1er juin 2017, la chambre sociale de la Cour de cassation a jugé que la production en justice de courriels issus d’une messagerie professionnelle qui n’avait pas été déclarée à la CNIL est une preuve licite.
La position de la Cour ?
La chambre sociale a rendu cette décision au visa des articles 22 et 24 de la loi du 6 janvier 1978 respectivement sur les formalités préalables à la mise en œuvre des traitements et sur leur déclaration ainsi qu’aux articles 1er et 3ème de la norme simplifiée n°46 relative à la gestion du personnel.
Selon les faits, un directeur administratif et financier avait été licencié pour insuffisance professionnelle. Afin d’écarter une pièce des débats, ce dernier invoquait le fait que la messagerie professionnelle n’avait pas fait l’objet d’une déclaration à la CNIL.
La Cour a tranché au motif que "l'absence de déclaration simplifiée d'un système de messagerie électronique professionnelle non pourvu d'un contrôle individuel de l'activité des salariés, qui n'est dès lors pas susceptible de porter atteinte à la vie privée ou aux libertés au sens de l'article 24 de la loi 'nformatique et libertés', ne rend pas illicite la production en justice des courriels adressés par l'employeur ou par le salarié dont l'auteur ne peut ignorer qu'ils sont enregistrés et conservés par le système informatique".
D’après la Cour, le salarié ne rapporte pas la preuve que la messagerie professionnelle constitue un système automatisé de données soumis à la déclaration simplifiée n°46. Elle considère en effet que la déclaration de la messagerie à la CNIL ne s’impose que si elle permet un traitement de données dont elle a permis la collecte (tel que les carnets d'adresses mails des salariés ou leurs comptes individuels). On peut s’interroger sur l’interprétation de l’article 22 de la loi "Informatique et Libertés" à laquelle se livre la chambre sociale.
Quels sont les critères considérés ?
La Cour établit deux critères. Le système de messagerie peut être exempté de déclaration auprès de la CNIL car :
- La messagerie ne comporte pas de système de contrôle individuel des salariés ;
- La messagerie est professionnelle, les messages sont donc internes (échanges employeur/salarié), le salarié ne peut donc ignorer que les messages sont enregistrés et conservés par le destinataire.
Cet arrêt ne précise pas comment peuvent être produits les messages. Est-ce l’employeur qui a fourni les messages qu’il a reçus en les extrayant de sa propre messagerie ? Ou bien les a-t-il extraits dans la messagerie de son salarié ? La deuxième possibilité démontrerait une possibilité d’immixtion forte de l’employeur, véritablement attentatoire à la vie privée des salariés.
Utilisation d’un système de contrôle individuel du salarié ?
Les messageries ne sont pas toutes dispensées de déclaration à la CNIL. Celles sans système de contrôle individuel de l’activité des salariés peuvent être déclarée à la CNIL sous engagement de conformité à la norme simplifiée n°46. Les déclarations simplifiées concernent les catégories les plus courantes de traitement, qu’ils aient un caractère public ou privé. Ils sont identifiés par la CNIL comme ne comportant pas de risque manifeste d’atteinte à la vie privée (art. 24 de la loi Informatique et Libertés du 6 janvier 1978). Est concernée la gestion des ressources humaines des organismes publics et privés. Les personnes concernées par les traitements sont informées de leur existence en application de la loi informatique et libertés.
Contexte jurisprudentiel
Le célèbre arrêt Nikon Cass. soc. 2 oct. 2001, n°99-42.942 avait été décidé que "le salarié a droit, même au temps et au lieu de travail, au respect de l’intimité de sa vie privée ; que celle-ci implique en particulier le secret des correspondances ; …". Dans un arrêt de la Cour de cassation Cass. soc. 23 mai 2007, n°06-43.209 concernant les SMS, on retrouve le même esprit que dans celui du 1er juin 2017 : "Si l’enregistrement d’une conversation téléphonique privée, effectué à l’insu de l’auteur des propos invoqués, est un procédé déloyal rendant irrecevable en justice la preuve ainsi obtenue, il n’en est pas de même de l’utilisation par le destinataire des messages écrits téléphoniquement adressés, dits S.M.S., dont l’auteur ne peut ignorer qu’ils sont enregistrés par l’appareil récepteur".
Une portée limitée ?
Le 25 mai 2018, le Règlement européen sur la protection des données (RGPD) supprimera les déclarations préalables de traitements relatifs aux données qui concernent les Ressources Humaines. L’objectif est de réduire les formalités à accomplir par les entreprises auxquelles il incombera de veiller à la conformité légale de leur traitement dès la conception ; les contrôles de la CNIL étant a postériori. Parallèlement, les pouvoirs de contrôle de la CNIL seront renforcés (sanctions administratives très élevées allant jusqu’à 4% du CA mondial) ainsi que le droit des personnes concernées par les traitements.
Après l’entrée en application du RGPD, les entreprises seront probablement exposées à de nouveaux risques juridiques, de quoi nourrir les contentieux en matière prud’homale. Mais la véritable interrogation ici découle de la position plutôt surprenante de la Cour de cassation. De fait, si l’envoi, la réception ou la consultation d’une adresse mail professionnelle ne constitue pas des opérations de traitements … que dire de la position inverse des autorités de contrôle sur le sujet ? Que dire de l’adresse mail : données personnelle ou pas ?
Espérons que cet arrêt ne reste qu’un cas d’espèce … donc affaire à suivre !
Eric A. CAPRIOLI, Avocat à la Cour de Paris, Docteur en droit, Membre de la délégation française aux Nations Unies, Vice-Président du CESIN
Et Isabelle CANTERO, Avocat associé, Responsable du pôle Vie privée et Sécurité de l’information, Caprioli & Associés, société d’avocats
Membres du réseau Jurisdéfi
Les avis d'experts et points de vue sont publiés sous la responsabilité de leurs auteurs et n’engagent en rien la rédaction.
SUR LE MÊME SUJET
E-mails professionnels : l’ère de l’atténuation de la protection de la vie privée du salarié a-t-elle commencé?
Tous les champs sont obligatoires
0Commentaire
Réagir