Application du principe de proportionnalité entre le droit au respect de la vie privée et le droit de la preuve : admission d’une preuve illicite.

Source : Cour de cassation, civile, Chambre sociale, 25 novembre 2020, 17-19.523

Un salarié contestait son licenciement pour faute grave pour, selon son employeur l’Agence France Presse, usurpation d’identité et de données informatiques.

A l’appui de sa décision, l’AFP produisait un procès-verbal de constat d’huissier établissant que l’adresse IP utilisée dans le cadre des faits litigieux était effectivement celle dudit salarié.

Il convient de rappeler que les adresses IP permettent d’identifier indirectement une personne physique et constituent, au sens de la loi du 6 janvier 1978 relative à l’informatique aux fichiers et aux libertés dans sa version applicable au cas d’espèce, des données à caractère personnel dont la collecte doit être qualifiée de traitement.

La Cour d’appel de Paris avait retenu ce licenciement pour faute grave en soulignant que les logs, fichiers de journalisation et adresses IP n’étaient pas soumis à une déclaration à la CNIL,

Le salarié forme un pourvoi en exposant que « le licenciement pour faute grave, dont la preuve incombe à l’employeur, ne peut être justifié par des éléments de preuve obtenus de façon illicite et dont la production est de ce fait irrecevable ; que constituent un moyen de preuve illicite les informations collectées, avant toute déclaration à la CNIL, par un système de traitement automatisé de données personnelles comme la collecte des adresses IP ».

Dans son arrêt du 25 novembre 2020 (Chambre sociale, n°17-19.523), la Cour de cassation rappelle en premier lieu sa propre jurisprudence suivant laquelle le droit de la preuve peut justifier la production d’éléments portant atteinte à la vie personnelle d’un salarié à condition que cette production soit nécessaire à l’exercice de ce droit et que l’atteinte soit proportionnée au but poursuivi (9 novembre 2016, n° 15-10.203).

Elle rappelle également la jurisprudence de la Cour européenne des droits de l’homme selon laquelle la surveillance des employés sur le lieu de travail confère à l’appréciation des États membres le choix d’adopter ou non une législation spécifique relative à la surveillance de la correspondance et des communications non professionnelles des employés (CEDH, 5 septembre 2017, n° 61496/08).

Par ailleurs, quelle que soit la latitude dont jouissent les États membres, il appartient en tout état de cause aux juridictions saisies de s’assurer que la mise en place par un employeur de mesures de surveillance portant atteinte au droit au respect de la vie privée ou de la correspondance des employés est proportionnée et s’accompagne de garanties adéquates et suffisantes contre les abus.

En conséquence, la Cour considère que l’illicéité d’un moyen de preuve n’entraîne pas nécessairement son rejet des débats, le juge devant apprécier si l’utilisation de cette preuve a porté atteinte au caractère équitable de la procédure dans son ensemble, en mettant en balance le droit au respect de la vie personnelle du salarié et le droit à la preuve, lequel peut justifier la production d’éléments portant atteinte à la vie personnelle d’un salarié à la condition que cette production soit indispensable à l’exercice de ce droit et que l’atteinte soit strictement proportionnée au but poursuivi.

Compte tenu de ce principe, la Cour de cassation censure le raisonnement adopté par la Cour d’appel de Paris suivant lequel :

les logs, fichiers de journalisation et adresses IP, qui constituent un traçage informatique que ne peut ignorer le salarié compte tenu de ses fonctions, n’étaient pas soumis à une déclaration à la CNIL, ni ne devaient faire l’objet d’une information du salarié en sa qualité de correspondant informatique et libertés, lorsqu’ils n’ont pas pour vocation première le contrôle des utilisateurs ;

seule la mise en œuvre d’un logiciel d’analyse des différents journaux (applicatifs et systèmes) permettant de collecter des informations individuelles poste par poste pour contrôler l’activité des utilisateurs devait être déclarée à la CNIL en ce qu’il s’agit d’un traitement automatisé d’informations nominatives ;

la conduisant à estimer que la preuve opposée au salarié était légale et ne procédait pas d’une exécution déloyale du contrat.

A contrario, l’arrêt du 25 novembre 2020 affirme donc ici que :

Les fichiers de journalisation contenant des adresses IP devaient faire l’objet d’une déclaration préalable auprès de la CNIL ;

Le caractère illicite d’une preuve obtenue au moyen d’un traitement de données personnelles qui aurait dû être déclaré à la CNIL a pour conséquence son exclusion.

L'essentiel de l'actualité juridique par Vivaldi Avocats

Abonnez-vous à notre newsletter !

Articles Populaires

Contradiction entre le pacte d’actionnaire et les statuts : lequel des deux doit s’appliquer en priorité ? Quelle hiérarchie ?

Véhicules de collection + société = TVS

Procédure excessivement longue : quelles réparations ?

Licitation d’un bien immobilier faisant cesser une indivision et calcul de la plus-value

Saisie-attribution infructueuse : le débiteur n’a pas d’intérêt à agir

Baux commerciaux : Éclairage sur les clauses de rétrocession d’électricité

Catégories

Vivaldi Chronos c'est aussi