Accéder au contenu principal

Plus de 600 messages electroniques par mois à des fins personnelles ... l'employeur a-t-il déclaré à la CNIL le traitement de données ? nul ne peut invoquer sa propre turpitude !

Malgré plus de 600 messages personnels adressés par mois, malgré un refus à 19 reprises de badger, aucune procédure ne peut être engagée contre un salarié si la déclaration préalable à la CNIL n’a pas été effectuée rappelle la cour de cassation dans un arrêt du 8 octobre 2014
________________________________________________________________

Une analyste financière été convoquée par lettre du 2 décembre 2009 à un entretien préalable, la salariée a été licenciée pour cause réelle et sérieuse par lettre du 23 décembre 2009, l'employeur lui
reprochant une utilisation excessive de la messagerie électronique à des fins personnelles, soit 607 messages en octobre et 621 messages en novembre.
Une déclaration tardive à la Commission nationale informatique et libertés (CNIL) a été effectuée, après les faits reprochés, soit le 10 décembre 2009, de la mise en place d'un dispositif de contrôle individuel.
Bien que tardive, pour la cour d'appel, l'importance et des flux des messageries électroniques n'avait pas pour conséquence de rendre le système illicite ni davantage illicite l'utilisation des éléments obtenus. Le nombre extrêmement élevé de messages électroniques à caractère personnel envoyés et/ ou reçus par l'intéressée durant les mois d'octobre et novembre 2009 (607 et 621) ne pouvait être considéré comme un usage raisonnable dans le cadre des nécessités de la vie courante et quotidienne de l'outil informatique mis à sa disposition par l'employeur pour l'accomplissement de son travail.
L'impact indéniablement négatif sur l'activité professionnelle déployée par la salariée durant la même période pour le compte de son employeur est relevé par la cour d'appel, celle-ci occupant une part très importante de son temps de travail à des occupations privées.

Rappelant que tout système de traitement automatisé de données personnelles ne peut être utilisé avant sa déclaration à la CNIL, la cour de cassation conclut à l'illicéité du moyen de preuve: "Attendu cependant que constituent un moyen de preuve illicite les informations collectées par un système de traitement automatisé de données personnelles avant sa déclaration à la CNIL ;Qu'en statuant comme elle l'a fait, en se fondant uniquement sur des éléments de preuve obtenus à l'aide d'un système de traitement automatisé d'informations personnelles avant qu'il ne soit déclaré à la CNIL, alors que l'illicéité d'un moyen de preuve doit entraîner son rejet des débats, la cour d'appel a violé les textes susvisés ;" (cass.soc., 08 octobre 2014,N° de pourvoi: 13-14991).

Par cette solution, la cour de cassation ne fait qu’appliquer une nouvelle fois le principe « Nemo auditur propriam turpitudinem allegans » ( nul ne peut se prévaloir de sa propre turpitude).
Elle avait ainsi jugé en ce sens à propos d’un salarié refusant à 19 reprises de badger, le système de badgeage n’avait pas été déclaré à la CNIL « Mais attendu qu'il résulte de la combinaison des articles 16, 27 et 34 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, 226-16 du Code pénal, L. 121-8 et L. 432-2-1 du Code du travail, qu'à défaut de déclaration à la Commission nationale de l'informatique et des libertés d'un traitement automatisé d'informations nominatives concernant un salarié, son refus de déférer à une exigence de son employeur impliquant la mise en oeuvre d'un tel traitement ne peut lui être reproché ; que le moyen ne peut dès lors être accueilli ; » (cass.soc., 10 avril 2004, n°01-45227)

Il convient donc de vérifier systématiquement avant d’engager une procédure à l’encontre d’un salarié si le moyen de preuve est licite, en l’occurrence pour l’utilisation de données informatiques, l’autorisation accordée au préalable par la CNIL.

Tout traitement des données personnelles est soumis à l’autorisation de la CNIL

Logo CNILUne donnée personnelle est une information qui permet d'identifier ou de reconnaître, directement ou indirectement une personne (nom, prénom, date de naissance, adresse postale, adresse électronique, adresse IP d'un ordinateur, numéro de téléphone, numéro de carte de paiement, plaque d'immatriculation d'un véhicule, empreinte digitale, ADN, photo, numéro de sécurité sociale...) .
Du fait des risques qu’ils présentent pour les libertés individuelles, les traitements informatiques de données personnelles doivent, avant leur mise en œuvre, être soumis à l'autorisation de la CNIL.  Le non-accomplissement des formalités auprès de la CNIL est sanctionné de 5 ans d'emprisonnement et 300 000€ d'amende.
Article 226-16 Modifié par Loi n°2004-801 du 6 août 2004 - art. 14 JORF 7 août 2004
Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende. Est puni des mêmes peines le fait, y compris par négligence, de procéder ou de faire procéder à un traitement qui a fait l'objet de l'une des mesures prévues au 2° du I de l'article 45 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
.
·         
  •       Lorsque l’entreprise ou l’administration met en place un dispositif de contrôle individuel des salariés destiné à produire un relevé des connexions ou des sites visités, poste par poste, le traitement ainsi mis en oeuvre doit être déclaré à la CNIL (déclaration normale) sauf si un correspondant informatique et libertés (CIL) a été désigné, auquel cas aucune déclaration n’est nécessaire (Par exemple : logiciel de contrôle de l’utilisation d’internet permettant d’analyser les données de connexion de chaque salarié ou de calculer le temps passé sur internet par un salarié déterminé.)
  • ·         Lorsque l’entreprise ou l’administration met en place un dispositif qui ne permet pas de contrôler individuellement l’activité des salariés, ce dispositif peut faire l’objet d’une déclaration de conformité en référence à la norme simplifiée n° 46 (gestion des personnels des organismes publics et privés). (Par exemple : logiciel permettant seulement de réaliser des statistiques sur l’utilisation d’internet au niveau de l’ensemble des salariés de l’entreprise ou au niveau d’un service déterminé).

Conditions et limites de l’utilisation d’internet

Des exigences de sécurité, de prévention ou de contrôle de l’encombrement du réseau peuvent conduire les entreprises ou les administrations à mettre en place des outils de contrôle de la messagerie. S’il n’est pas interdit à l’employeur de fixer les conditions et limites de l’utilisation d’internet sans que cela ne puisse constituer une atteinte à la vie privée des salariés, ils doivent néanmoins être informés des dispositifs mis en place et des modalités de contrôle de l’utilisation d’internet :
  • ·         Le comité d’entreprise doit avoir été consulté et informé (article L2323-32 du code du travail);
  • ·         Les salariés doivent être informés, notamment de la finalité du dispositif de contrôle et de la durée pendant laquelle les données de connexion sont conservées (une durée de conservation de l’ordre de six mois est suffisante).Le responsable d’un fichier doit permettre aux personnes concernées par des informations qu’il détient d'exercer pleinement leurs droits. Pour cela, il doit leur communiquer : son identité, la finalité de son traitement, le caractère obligatoire ou facultatif des réponses, les destinataires des informations, l’existence de droits, les transmissions envisagées. Le refus ou l'entrave au bon exercice des droits des personnes est puni de 1500 € par infraction constatée et 3 000 € en cas de récidive.


Déclaration de conformité


La messagerie professionnelle doit faire l’objet d’une déclaration de conformité en référence à la norme n° 46 (gestion des personnels des organismes publics et privés). Si un dispositif de contrôle individuel de la messagerie est mis en place, il doit être déclaré à la CNIL (déclaration normale), sauf désignation d’un correspondant informatique et libertés. Par exemple : logiciel d’analyse du contenu des messages électroniques entrant ou sortants destinés au contrôle de l’activité des salariés.

Posts les plus consultés de ce blog

Vient de paraître | Travail, rémunération et congés après la "loi Travail" | Droit du Travail T3 | Y.Loufrani éditions EMS

La loi n° 2016-1088 du 8 août 2016 relative au travail, à la modernisation du dialogue social et à la sécurisation des parcours professionnels encore appelée « Loi Travail » ou « Loi El Khomri » a profondément remanié l’appréhension des thématiques de gestion du temps de travail en affirmant sur ces domaines la primauté des accords d’entreprise ou d’établissement.

La négociation collective, le dialogue social entre des partenaires représentatifs sont devenus les instruments de cette nouvelle approche normative avec l’apparition d’un « ordre public conventionnel ».

La prééminence de l’accord d’entreprise sur l’accord de branche est affirmée dans un domaine limité : la durée du travail – objet de ce tome 3 avec la rémunération -, entendue au sens large.

Dans la mesure où cette primauté est prévue par la loi, la hiérarchie des normes et le principe de faveur ne sont pas remis en cause.

Il appartient toujours à la norme supérieure (la loi) de décider, en dernier ressort, comment articuler…

L'employeur seul responsable de la non organisation de la visite de reprise

Après un congé de maternité ou une absence pour cause de maladie professionnelle ou encore après une absence d'au moins trente jours pour cause d'accident du travail, de maladie ou d'accident non professionnel, tout salarié doit bénéficier d'un examen de reprise du travail par le médecin du travail (Art. R. 4624-22).
Pour les absences de moins de trente jours, l'employeur a tout intérêt à solliciter une visite auprès du médecin du travail.
En effet, en dehors des obligations légales, l'employeur doit prendre les mesures nécessaires pour assurer la sécurité et protéger la santé physique et mentale des travailleurs (Article L4121-1).
Il reste tenu à une obligation de sécurité de résultat en matière de santé des salariés et engagera sa responsabilité s'il laisse un salarié reprendre le travail sans surveillance médicale et que sa santé se dégrade de ce fait.
Dès que l'employeur a connaissance de la date de la fin de l'arrêt de travail, il saisit le …

Une rupture conventionnelle peut annuler un licenciement !

Un salarié déjà licencié peut signer une rupture conventionnelle qui annule son licenciement … c’est le sens d’un arrêt de mars 2015 qui, sans aucun doute, va susciter de nombreuses réactions.

Recevoir
les infos TRiPALiUM



Dès qu'une clause de non-concurrence est prévue par le contrat de travail ou la convention collective, l'employeur est tenu au versement d’une l'indemnité compensatrice sauf lorsqu'il a utilisé la faculté de renonciation qui lui est donnée, le cas échéant, par les dispositions conventionnelles ou contractuelles. En 2010, abandonnant sa jurisprudence antérieure admettant que l'employeur pouvait renoncer à la clause de non-concurrence dans un délai raisonnable, dorénavant, l’employeur ne peut être dispensé de verser la contrepartie financière de cette clause que s'il libère le salarié de son obligation de non-concurrence au moment du licenciement  « qu'en l'absence de disposition conventionnelle ou contractuelle fixant valablement le déla…