Accéder au contenu principal

Plus de 600 messages electroniques par mois à des fins personnelles ... l'employeur a-t-il déclaré à la CNIL le traitement de données ? nul ne peut invoquer sa propre turpitude !

Malgré plus de 600 messages personnels adressés par mois, malgré un refus à 19 reprises de badger, aucune procédure ne peut être engagée contre un salarié si la déclaration préalable à la CNIL n’a pas été effectuée rappelle la cour de cassation dans un arrêt du 8 octobre 2014
________________________________________________________________

Une analyste financière été convoquée par lettre du 2 décembre 2009 à un entretien préalable, la salariée a été licenciée pour cause réelle et sérieuse par lettre du 23 décembre 2009, l'employeur lui
reprochant une utilisation excessive de la messagerie électronique à des fins personnelles, soit 607 messages en octobre et 621 messages en novembre.
Une déclaration tardive à la Commission nationale informatique et libertés (CNIL) a été effectuée, après les faits reprochés, soit le 10 décembre 2009, de la mise en place d'un dispositif de contrôle individuel.
Bien que tardive, pour la cour d'appel, l'importance et des flux des messageries électroniques n'avait pas pour conséquence de rendre le système illicite ni davantage illicite l'utilisation des éléments obtenus. Le nombre extrêmement élevé de messages électroniques à caractère personnel envoyés et/ ou reçus par l'intéressée durant les mois d'octobre et novembre 2009 (607 et 621) ne pouvait être considéré comme un usage raisonnable dans le cadre des nécessités de la vie courante et quotidienne de l'outil informatique mis à sa disposition par l'employeur pour l'accomplissement de son travail.
L'impact indéniablement négatif sur l'activité professionnelle déployée par la salariée durant la même période pour le compte de son employeur est relevé par la cour d'appel, celle-ci occupant une part très importante de son temps de travail à des occupations privées.

Rappelant que tout système de traitement automatisé de données personnelles ne peut être utilisé avant sa déclaration à la CNIL, la cour de cassation conclut à l'illicéité du moyen de preuve: "Attendu cependant que constituent un moyen de preuve illicite les informations collectées par un système de traitement automatisé de données personnelles avant sa déclaration à la CNIL ;Qu'en statuant comme elle l'a fait, en se fondant uniquement sur des éléments de preuve obtenus à l'aide d'un système de traitement automatisé d'informations personnelles avant qu'il ne soit déclaré à la CNIL, alors que l'illicéité d'un moyen de preuve doit entraîner son rejet des débats, la cour d'appel a violé les textes susvisés ;" (cass.soc., 08 octobre 2014,N° de pourvoi: 13-14991).

Par cette solution, la cour de cassation ne fait qu’appliquer une nouvelle fois le principe « Nemo auditur propriam turpitudinem allegans » ( nul ne peut se prévaloir de sa propre turpitude).
Elle avait ainsi jugé en ce sens à propos d’un salarié refusant à 19 reprises de badger, le système de badgeage n’avait pas été déclaré à la CNIL « Mais attendu qu'il résulte de la combinaison des articles 16, 27 et 34 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, 226-16 du Code pénal, L. 121-8 et L. 432-2-1 du Code du travail, qu'à défaut de déclaration à la Commission nationale de l'informatique et des libertés d'un traitement automatisé d'informations nominatives concernant un salarié, son refus de déférer à une exigence de son employeur impliquant la mise en oeuvre d'un tel traitement ne peut lui être reproché ; que le moyen ne peut dès lors être accueilli ; » (cass.soc., 10 avril 2004, n°01-45227)

Il convient donc de vérifier systématiquement avant d’engager une procédure à l’encontre d’un salarié si le moyen de preuve est licite, en l’occurrence pour l’utilisation de données informatiques, l’autorisation accordée au préalable par la CNIL.

Tout traitement des données personnelles est soumis à l’autorisation de la CNIL

Logo CNILUne donnée personnelle est une information qui permet d'identifier ou de reconnaître, directement ou indirectement une personne (nom, prénom, date de naissance, adresse postale, adresse électronique, adresse IP d'un ordinateur, numéro de téléphone, numéro de carte de paiement, plaque d'immatriculation d'un véhicule, empreinte digitale, ADN, photo, numéro de sécurité sociale...) .
Du fait des risques qu’ils présentent pour les libertés individuelles, les traitements informatiques de données personnelles doivent, avant leur mise en œuvre, être soumis à l'autorisation de la CNIL.  Le non-accomplissement des formalités auprès de la CNIL est sanctionné de 5 ans d'emprisonnement et 300 000€ d'amende.
Article 226-16 Modifié par Loi n°2004-801 du 6 août 2004 - art. 14 JORF 7 août 2004
Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende. Est puni des mêmes peines le fait, y compris par négligence, de procéder ou de faire procéder à un traitement qui a fait l'objet de l'une des mesures prévues au 2° du I de l'article 45 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
·         
  •       Lorsque l’entreprise ou l’administration met en place un dispositif de contrôle individuel des salariés destiné à produire un relevé des connexions ou des sites visités, poste par poste, le traitement ainsi mis en oeuvre doit être déclaré à la CNIL (déclaration normale) sauf si un correspondant informatique et libertés (CIL) a été désigné, auquel cas aucune déclaration n’est nécessaire (Par exemple : logiciel de contrôle de l’utilisation d’internet permettant d’analyser les données de connexion de chaque salarié ou de calculer le temps passé sur internet par un salarié déterminé.)
  • ·         Lorsque l’entreprise ou l’administration met en place un dispositif qui ne permet pas de contrôler individuellement l’activité des salariés, ce dispositif peut faire l’objet d’une déclaration de conformité en référence à la norme simplifiée n° 46 (gestion des personnels des organismes publics et privés). (Par exemple : logiciel permettant seulement de réaliser des statistiques sur l’utilisation d’internet au niveau de l’ensemble des salariés de l’entreprise ou au niveau d’un service déterminé).

Conditions et limites de l’utilisation d’internet

Des exigences de sécurité, de prévention ou de contrôle de l’encombrement du réseau peuvent conduire les entreprises ou les administrations à mettre en place des outils de contrôle de la messagerie. S’il n’est pas interdit à l’employeur de fixer les conditions et limites de l’utilisation d’internet sans que cela ne puisse constituer une atteinte à la vie privée des salariés, ils doivent néanmoins être informés des dispositifs mis en place et des modalités de contrôle de l’utilisation d’internet :
  • ·         Le comité d’entreprise doit avoir été consulté et informé (article L2323-32 du code du travail);
  • ·         Les salariés doivent être informés, notamment de la finalité du dispositif de contrôle et de la durée pendant laquelle les données de connexion sont conservées (une durée de conservation de l’ordre de six mois est suffisante).Le responsable d’un fichier doit permettre aux personnes concernées par des informations qu’il détient d'exercer pleinement leurs droits. Pour cela, il doit leur communiquer : son identité, la finalité de son traitement, le caractère obligatoire ou facultatif des réponses, les destinataires des informations, l’existence de droits, les transmissions envisagées. Le refus ou l'entrave au bon exercice des droits des personnes est puni de 1500 € par infraction constatée et 3 000 € en cas de récidive.


Déclaration de conformité


La messagerie professionnelle doit faire l’objet d’une déclaration de conformité en référence à la norme n° 46 (gestion des personnels des organismes publics et privés). Si un dispositif de contrôle individuel de la messagerie est mis en place, il doit être déclaré à la CNIL (déclaration normale), sauf désignation d’un correspondant informatique et libertés. Par exemple : logiciel d’analyse du contenu des messages électroniques entrant ou sortants destinés au contrôle de l’activité des salariés.

Libellés :

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

La pénibilité en Plan pour 2012, le montant de la pénalité est déterminé

La rentrée sociale pour les directions des ressources humaines va se faire avec en toile de fond un maître mot : la pénibilité. Il va falloir la définir, la négocier ou à défaut planifier les mesures visant à réduire les facteurs identifiés. L’échéance de 2012 est proche et les pénalités dorénavant connues … Yvan Loufrani / ISC Paris La pénibilité au travail a été définie par le Rapport Poisson (2008) comme le «  résultat de sollicitations physiques ou psychiques qui, soit en raison de leur nature, soit en raison de la demande sociale, sont excessives en regard de la physiologie humaine et laissent, à ce titre, des traces durables, identifiables et irréversibles sur la santé et l’espérance de vie d’un travailleur ». Pour l’Anact, il s’agit plutôt d’une usure professionnelle, d’un «  processus d’altération de la santé lié au travail qui dépend du cumul et/ou de combinaisons d’expositions de la personne à des contraintes du travail qui peuvent être de natures diverses … ). Qu...
Enregistrer un commentaire
Lire la suite

Compte Personnel de Prévention de la Pénibilité - les décrets sont publiés

Echanges de bonnes pratiques, questionnement, une communauté Droit Ressources Humaines est constituée. Pour adhérer, merci de communiquer votre e-mail . Pour échanger sur la pénibilité cliquer ici . Les 6 décrets qui fixent les modalités du compte personnel de prévention de la pénibilité ont été publiés au Journal officiel du 10 octobre 2014. Ils portent sur : -l’exposition des travailleurs à certains facteurs de risque professionnel au-delà de certains seuils de pénibilité et à sa traçabilité : comme cela avait été annoncé, seuls 4 risques sont pris en compte en 2015 (travail de nuit, activités en milieu hyperbare, travail répétitif, travail en équipes alternantes), les 6 autres le seront en 2016 (décret 2014-1159 du 9 octobre 2014) ; -la gestion du compte et les modalités de contrôle (décret 2014-1155 du 8 octobre 2014) ; -l’acquisition et l’utilisation des points acquis au titre du compte (décret 2014-1156 du 9 octobre 2014) ; -les cotisations et le fonds de financement des droi...
Enregistrer un commentaire
Lire la suite

Selection de l'actualité sociale au 3 avril 2014

Le prêt de main d'oeuvre à but lucratif entre entreprises juridiquement distinctes est interdit. Il reste possible s'il est sans but lucratif ( à prix coutant ) et que seuls les frais de gestion du personnel sont pris en compte. Ces frais de gestion peuvent être refacturés à l'entreprise utilisatrice sous réserve qu'ils demeurent modérés et justifiés. Les conséquences sur le plan fiscal d’une telle refacturation sont les suivantes : - ces frais constituent pour l’entreprise prêteuse des produits imposables en application des dispositions du 2 de l’ article 38 du CGI ; - corrélativement, ces mêmes frais constituent des charges déductibles du résultat de l’entreprise utilisatrice en application des dispositions du 1° du 1 de l’ article 39 du CGI . C'est ce que précise une instruction du Bofip du 25 mars. En 2013, pour hâter les procédures judiciaires, les mesures de conciliation prud'homale ( transaction) ont été encadrées, leur montant est totalement éxonéré ...
Enregistrer un commentaire
Lire la suite