Articles Team Labruyère Articles Team Labruyère

Arrêt "Manfrini" : L’employeur peut-il croiser une adresse IP et un fichier de journalisation? La réponse est oui … sous certaines conditions

La Cour de cassation s’est prononcée pour la première fois sur le fait de savoir si une adresse IP et des fichiers de journalisation pouvaient être considérés comme des données personnelles

manfrini.gif

La Cour de cassation s’est prononcée pour la première fois sur le fait de savoir si une adresse IP et des fichiers de journalisation pouvaient être considérés comme des  données personnelles ; dans une décision au croisement du droit social et du droit des données personnelles. Elle s’est également penchée  sur la licéité d’une preuve obtenue au moyen de données dont la collecte aurait dû être déclarée à la CNIL. Cette décision est intervenue sous le régime prévu par la Loi Informatique et Libertés du 6 janvier 1978, avant l’entrée en vigueur du Règlement européen sur la protection des données dit « RGPD ». A cette époque, il était obligatoire de déclarer tout traitement de données personnelles à la CNIL. Depuis l’entrée en vigueur du RGPD, cette obligation de déclaration a disparu.

Par cette décision, la Cour de cassation permet aux employeurs de mieux comprendre comment encadrer la collecte d’une preuve informatique en matière de contentieux prud’homal.

  • Faits et procédure :

Un salarié avait été licencié par l’AFP pour faute grave, après avoir été accusé d’avoir usurpé l’identité informatique de sociétés clientes. Il aurait usurpé cette identité afin d’envoyer par voie électronique 5 demandes de renseignements à une entreprise cliente et concurrente de l’AFP.

Cependant le salarié remet en cause la licéité des moyens de preuve présentés par l’AFP. En effet, la preuve de la faute à l’origine du licenciement est issue de l’exploitation des fichiers de journalisation conservés sur ses serveurs et de l’adresse IP à partir de laquelle les messages litigieux ont été envoyés, pointant du doigt le salarié en question.

 

  • Solution :

1)  L’adresse IP est une donnée personnelle

Dans un premier temps, la chambre sociale confirme[1] qu’une adresse IP est une information se rapportant à une personne physique identifiable. C’est donc une donnée à caractère personnel, conformément aux articles 2 et 22 de la Loi informatique et libertés du 6 janvier 1978.

De ce fait, la collecte de l’adresse IP par l’exploitation d’un fichier de journalisation constitue un traitement de données personnelles.

Le salarié concerné aurait donc dû être informé de l’existence du traitement.

2) Si l’atteinte est proportionnée, le droit de la preuve peut primer sur le droit au respect de la vie privée

Alors que la liberté de la preuve[2] est un principe fondamental en matière prud’homale, il n’en demeure pas moins que cette dernière doit être collectée de façon loyale.

Par exemple, une preuve est jugée comme déloyale lorsqu’elle porte atteinte à la vie privée d’un salarié. C’est ainsi qu’une preuve provenant d’un dossier identifié comme « personnel » par le salarié ne peut être collectée par l’employeur même si le dossier se trouve sur l’ordinateur professionnel du salarié.

Afin de respecter le principe du respect à la vie privée, l’article 23 de la Loi Informatique et Libertés de 1978 (dans sa version antérieure à l’entrée en vigueur du RGPD), imposait à l’employeur de déclarer à la Commission nationale informatique et libertés (CNIL), l’usage de tout dispositif de contrôle permettant la collecte de données personnelles. Le défaut de déclaration, conduisait à rendre irrecevables les preuves portant sur des données personnelles collectées. En effet, l’objectif de ce dispositif était d’informer les personnes concernées du fait que leurs données étaient traitées, afin qu’elles puissent exercer leurs droits.

Pendant longtemps, ce fut la position adoptée par la Cour de cassation, comme le démontre l’arrêt du 8 octobre 2019[3]. Dans ce dernier, la chambre sociale avait jugé un licenciement sans cause réelle et sérieuse lorsque la faute à l’origine du licenciement, avait été recueilli par un moyen de preuve issu d’un dispositif n’ayant pas fait l’objet d’une déclaration à la CNIL en amont. 

 

Dans l’arrêt d’espèce, la Cour d’appel de Paris juge tout d’abord que le moyen de preuve n’est pas inopposable, en dépit du défaut de déclaration fait auprès de la CNIL et valide donc le licenciement pour faute grave. Selon les juges, l’adresse IP et les fichiers de journalisation ne sont pas utilisés pour contrôler les salariés et ne correspondent pas un traitement de données personnelles nécessitant une déclaration. De ce fait, le mode de preuve est licite et le licenciement valable. Une telle position de la Cour d’appel est justifiée par un arrêt de la chambre sociale[4], dans lequel il était admis, qu’une messagerie d’entreprise n’étant pas utilisée pour surveiller l’activité des salariés, l’absence de déclaration effectuée auprès de la CNIL ne rendait pas la preuve illicite.

 

Face à cette décision, la Cour de Cassation casse l’arrêt de la Cour d’appel de Paris et fait preuve d’un tout autre raisonnement.

La Cour de Cassation confirme l’illicéité du moyen de preuve qui aurait dû faire l’objet d’une déclaration préalable. Néanmoins, elle ajoute que l’illicéité d’un tel moyen de preuve n’entraîne pas automatiquement son rejet devant les tribunaux.

La Cour de cassation précise qu’en application des articles 6 et 8 de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales, le juge ne doit pas par défaut rejeter une preuve illicite mais doit l’apprécier en effectuant un contrôle de proportionnalité afin d’évaluer si « l’atteinte portée à la vie personnelle du salarié est justifiée au regard du droit à la preuve de l’employeur ». A noter que la production d’une telle preuve doit être « indispensable à l’exercice du droit de la preuve de l’employeur et que l’atteinte à la vie privée du salarié est proportionnée au but poursuivi ».

La Cour de cassation a également précisé que cet Arrêt Manfrini s’inspirait des décisions rendues par la Cour européenne des droits de l’homme ; notamment des arrêts Barbulescu (CEDH, 5 septembre 2017, n° 61496/08)[6] et Lopez Ribalda (CEDH, 17 octobre 2019, n° 1874/13 et 8567/13) [7]qui ont admis, sur le fondement du droit au procès équitable et du droit à la preuve qui en découle, des moyens de preuve obtenus au détriment du droit à la vie privée.

La chambre sociale de la Cour de cassation considère donc que le droit de la preuve peut justifier le recueil d’une preuve portant atteinte à la vie privée, sous certaines conditions.  

 

  • Apport de l’arrêt :

Par cette décision en date du 25 novembre 2020, la chambre sociale de la Cour de cassation :

- Confirme qu’une adresse IP est une donnée personnelle

- Considère qu’un mode de preuve portant sur des données personnelles peut être accepté, bien qu’il n’ait pas fait l’objet d’une déclaration auprès de la CNIL dès lors que la preuve est indispensable à l’exercice du droit de la preuve de l’employeur et que l’atteinte à la vie privée du salarié est proportionnée.

La décision de l’arrêt Manfrini, démontre que les juges incluent d’avantage les évolutions technologiques, dans leur raisonnement. Ils considèrent que l’utilisation des fichiers de journalisation et de l’adresse IP n’a pas pour seule finalité le contrôle des salariés. Ils admettent ainsi la possibilité d’une sécurisation des systèmes d’informations de l’entreprise.

De plus, comme en dispose le RGPD, lorsqu’un tel traitement a pour objectif la surveillance des salariés, l’employeur doit impérativement informer les personnes concernées (article 13 du RGPD), consulter le Comité Social d’Entreprise (CSE) et tenir un registre de traitement (article 30 du RGPD).

En matière de surveillance, la CNIL recommande même de réaliser une analyse d’impact, afin de déterminer quelles données sont collectées et pour quelles finalités . Il s’avère donc, que la mise en place d’un tel dispositif répond davantage à un besoin de sécurité que de surveillance par l’employeur.

Ainsi, même s’il semble que la décision fasse primer le droit de la preuve sur le respect à la vie privée et la protection des données personnelles, il ne faut pas oublier que l’atteinte à la vie privée du salarié doit impérativement être proportionnée au but poursuivi et que la preuve produite doit être le seul moyen de prouver le bien-fondé de la décision prise par l’employeur à l’égard de son salarié.

C’est par ce même tempérament que la Cour de cassation a admis, il y a quelque mois, que le droit à la preuve pouvait justifier la production en justice d’éléments issus d’un compte privé Facebook d’un salarié. Dès lors, qu’une telle preuve était indispensable à l’exercice de ce droit et que l’atteinte était proportionnée au but poursuivi[5].

Enfin, cette décision est un moyen d’affirmer la disparition de l’obligation de déclaration auprès de la CNIL, issue de la Loi Informatique et Libertés de 1978 et non reprise par le RGPD. Aujourd’hui, lors d’un traitement de données personnelles, le texte européen impose à l’employeur d’informer les personnes concernées et de tenir un registre des traitements des données.

 

Sources :

-          Arrêt n°1119 du 25 novembre 2020 (17-19.523) - Cour de cassation - Chambre sociale

-          Note explicative de l’arrêt « Manfrini »

-          Règlement général sur la protection des données personnelles

-          Loi Informatique et Libertés

[1] 1ère Civ., 3 novembre 2016, (pourvoi n° 15-22.595, Bull. 2016, I, n° 206)

[2] Soc, 27 mars 2001 (pourvoi n° 98-44.666, Bull. 2001, V, n° 108)

[3] Soc., 8 octobre 2014, (pourvoi n° 13-14.991, Bull. 2014, V, n° 230)

[4] Soc, 1 juin 2017, (pourvoi n° 15-23.522, Bull. 2017)

[5] Soc, 30 Septembre 2020, (n° 19-12.058)

[6] CEDH, 5 septembre 2017, (n° 61496/08)

[7] CEDH, 17 octobre 2019, (n° 1874/13 et 8567/13)

 

Lire la suite