SOURCE : Conseil d’Etat, 10ème / 9ème SSR, arrêt du 11 mai 2015, n°375669
La société Renault Trucks, ne souhaitant pas que ses salariés utilisent le matériel professionnel pour consulter ou faire circuler des fichiers à caractère pédopornographique, a présenté une demande auprès de la CNIL, tendant à la mise en œuvre d’un traitement automatisé de recherche des infractions à caractère pédopornographique que pourraient commettre ses salariés.
Le traitement envisagé par la société Renault Trucks consistait à rapprocher les consultations de sites et les chargements de toute origine opérés à partir des postes informatiques de chacun des salariés avec un fichier d’empreintes numériques correspondant à des contenus pédopornographiques communiqués par les autorités de police.
La CNIL ayant rejeté la demande de la société Renault Trucks, cette dernière a formé un recours devant le Conseil d’Etat en annulation de la délibération de cette autorité indépendante pour excès de pouvoir.
Cependant, le Conseil d’Etat a reconnu la légalité interne de la décision rendue par la CNIL en reprenant son raisonnement en deux temps.
En premier lieu, la Haute juridiction retient que le rapprochement qu’opère le traitement en litige entre un contenu de poste informatique et l’identité de son utilisateur habituel constitue bien un traitement de données à caractère personnel au sens de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, peu important qu’un cryptage de ces données soit opéré par la société.
En second lieu, il s’avère que la loi susvisée dresse une liste limitative des personnes ayant la possibilité de mettre en œuvre des traitements de données à caractère personnel relatives aux infractions, comme en l’espèce, parmi lesquelles figurent les autorités publiques, les juridictions, les personnes morales gérant un service public, les auxiliaires de justices, à l’exclusion des personnes morales de droit privée ayant une activité commerciale, telles que la société Renault Trucks.
Le Conseil d’Etat, tout comme la CNIL, font donc preuve de prudence quant à l’usage par des sociétés privées de traitements de données à caractère personnel qui, bien que reposant sur une cause en apparence juste, sont susceptibles, à terme, de créer une atteinte excessive à la vie privée des salariés.
Virginie PERDRIEUX
Vivaldi-Avocats