La Cour de cassation a refusé le licenciement pour faute d'une salariée qui avait échangé plus de 1 200 e-mails personnels en deux mois sur son poste de travail, pour défaut de déclaration préalable à la CNIL du dispositif de contrôle.

Dans un arrêt du 8 octobre 2014 de sa chambre sociale, relayé par Legalis, la cour de cassation a confirmé l'obligation pour les employeurs de déclarer à la Commission nationale de l'informatique et des libertés (CNIL) les traitements qu'ils souhaitent pouvoir réaliser sur les e-mails reçus et envoyés par les salariés. En l'absence de déclaration préalable, aucun courriel personnel ne peut être retenu contre l'employé(e) qui abuserait de sa messagerie professionnelle à des fins personnelles.

Selon l'attendu de la cour de cassation, "constituent un moyen de preuve illicite les informations collectées par un système de traitement automatisé de données personnelles avant sa déclaration à la CNIL".

En l'espèce, il était reproché à une employée de la société Crédits Finance Conseils, devenue Finapole, d'avoir eu une "utilisation excessive de la messagerie à des fins personnelles". L'entreprise avait compté plus de 1200 messages sur une période de deux mois, et y avait vu un motif de licenciement pour cause réelle et sérieuse, notifié le 2 décembre 2009. Mais la société n'avait déclaré son analyse informatisée des e-mails que le 10 décembre 2009, une semaine après la notification du licenciement.

Pas de licenciement légal sans preuve licite

La cour d'appel d'Amiens avait accueilli favorablement l'action de l'entreprise, en estimant qu'elle pouvait se passer de déclaration CNIL pour évaluer le volume des courriels reçus avec la messagerie électronique mise à disposition des employés. Les juges avaient retenu "un impact indéniablement négatif sur l'activité professionnelle", et confirmé la légalité du licenciement.

Mais la cour de cassation estime que "en statuant comme elle l’a fait, en se fondant uniquement sur des éléments de preuve obtenus à l’aide d’un système de traitement automatisé d’informations personnelles avant qu’il ne soit déclaré à la CNIL, alors que l’illicéité d’un moyen de preuve doit entraîner son rejet des débats, la cour d’appel a violé" la loi de 1978 sur la protection des données personnelles.

Dans une recommandation récente expliquant aux entreprises les bonnes pratiques de déchiffrement des communications des salariés, l'Agence Nationale de Sécurité des Systèmes d'Information (ANSSI) avait joint une annexe juridique qui rappelait l'obligation d'informer les salariés des mesures mises en place, et d'effectuer une déclaration à la CNIL.

Partager sur les réseaux sociaux

Articles liés