La Cour de cassation rappelle les modalités d’accès par un employeur à la messagerie professionnelle d’un salarié

Un employeur avait consulté la messagerie professionnelle d’un salarié pendant son arrêt maladie. Par la suite, cinq salariés avaient été licenciés pour faute grave sur le fondement notamment des courriels extraits de cette messagerie. Après avoir écarté des débats les courriels, la Cour d’appel avait déclaré les licenciements sans cause réelle et sérieuse. Par un arrêt du 3 avril 2019, la Cour de cassation a cassé l’arrêt d’appel au motif que les juges du fond auraient dû “rechercher si les courriels litigieux, qui provenaient de la messagerie électronique mise à la disposition des salariés par l'entreprise, avaient un caractère professionnel et si leur contenu relevait ou non de la vie privée des salariés”.

Pour lire l’arrêt sur Légifrance

La CNIL lance une consultation publique sur deux projets de référentiels

Le 11 avril 2019, la CNIL a annoncé le lancement d’une consultation publique sur les projets de référentiels relatifs aux traitements de données personnelles aux fins de gestion du personnel et destinés à la mise en œuvre d’un dispositif d’alerte professionnelle. Elle entend ainsi guider les organismes “dans leurs démarches de conformité” et “constituer une aide à la réalisation d’une analyse d’impact relative à la protection des données (AIPD) dans les cas où celle-ci est nécessaire. La CNIL adoptera le document final sur la base des observations recueillies.

Pour lire le communiqué de presse de la CNIL

La CNIL adopte un règlement type relatif aux traitements de données biométriques sur les lieux de travail

Le 28 mars 2019, la CNIL a publié son règlement type relatif à la mise en œuvre de dispositifs ayant pour finalité le contrôle d'accès, par authentification biométrique, aux locaux, aux appareils et aux applications informatiques sur les lieux de travail. Il fixe des exigences spécifiques applicables à certains traitements de données biométriques mis en œuvre par les employeurs publics ou privés. La CNIL a, par ailleurs, insisté sur le caractère contraignant de ce texte et précisé que “les organismes qui mettent en œuvre ces traitements sont donc tenus de respecter les indications données dans le règlement type”.

Pour lire le communiqué de presse et la délibération de la CNIL

Licenciement pour faute grave d’un salarié ayant extrait le fichier client situé sur l’espace collaboratif sécurisé de son entreprise vers sa messagerie personnelle

Un salarié du secteur des assurances avait été licencié par son employeur pour faute lourde pour avoir extrait depuis l’espace collaboratif sécurisé de l’entreprise un fichier contenant les données personnelles d’environ 112.000 adhérents avant de le télécharger via un lien Google Drive pour y accéder depuis sa messagerie personnelle. Par un arrêt du 4 février 2019, la Cour d’appel de Limoges a infirmé le jugement ayant déclaré le licenciement sans cause réelle et sérieuse. Elle a jugé le licenciement fondé sur une faute grave aux motifs que "les seuls manquements commis par le salarié aux règles de sécurité (…) justifi[ai]ent la mesure de licenciement prononcée (…), même si en l'absence de justification de toute intention de nuire à l'employeur, il y a[vait] lieu à requalification du licenciement prononcé pour faute lourde en licenciement pour faute grave, la nature de la transgression interdisant le maintien de la relation contractuelle".

 Arrêt non publié

La Cour de cassation rappelle les conditions de la géolocalisation des salariés

Dans un arrêt du 19 décembre 2018, la Cour de cassation a rappelé que selon l’article L.1121-1 du code du travail, "nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché". Un syndicat de postiers contestait la licéité d’un système de géolocalisation enregistrant "la localisation des distributeurs toutes les dix secondes au moyen d’un boîtier mobile que les distributeurs portent sur eux lors de leur tournée et qu’ils activent eux-mêmes". La Cour a souligné que l’utilisation d’un tel moyen de contrôle de la durée du travail n’était licite que s’il ne pouvait être opéré par un autre moyen, "fût-il moins efficace que la géolocalisation". Elle a également jugé que le recours à un tel système ne pouvait être justifié "lorsque le salarié dispose d’une liberté dans l’organisation de son travail".

 Pour lire l’arrêt sur Légifrance

La CNIL rappelle qu’est exclue la mise en œuvre d’un système biométrique destiné à contrôler les horaires de salariés

Une société spécialisée dans la télésurveillance d’ascenseurs et de parkings s’est vue condamnée par la CNIL, le 6 septembre 2018, à la somme de 10 000 euros notamment pour avoir eu recours à un "dispositif de pointage biométrique à des fins de contrôle des horaires de salariés" sans autorisation. La CNIL a ainsi rappelé que les données biométriques ayant la particularité d’être "uniques et permettant donc d’identifier un individu à partir de ses caractéristiques physiques ou biologiques (…), elles bénéficient d’un régime particulièrement protecteur" et qu’elle exclut depuis 2012 l’utilisation de tels dispositifs à des fins de gestion des horaires des salariés. Il a ainsi été considéré que la société avait "procédé à une collecte de données excessives au regard des finalités pour lesquelles elles étaient collectées".

Pour lire la décision de la CNIL

Consultation publique de la CNIL sur le projet relatif au règlement type « Biométrie au travail »

D’après le RGPD entré en vigueur le 25 mai 2018, les traitements portant sur des données biométriques sont prohibés, exception faite, entre autres, des traitements “nécessaires aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale”. Dans ce cas, la nouvelle Loi Informatique et Libertés prévoit que les employeurs devront se conformer à un règlement type élaboré par la CNIL. Cette dernière a ainsi annoncé le 3 septembre 2018 que son projet de règlement type ferait l’objet d’une consultation publique jusqu’au 1er octobre 2018, avant d’être soumis à l’examen de la séance plénière de la CNIL une fois modifié.

Pour lire le communiqué de la CNIL et son projet de règlement type

Absence d’atteinte à la vie privée par l’ouverture de fichiers d’un employé non identifiés comme privés

Une personne avait sollicité que son licenciement, prononcé sur le fondement de fichiers figurant sur le disque dur de son ordinateur professionnel, soit déclaré dénué de cause réelle et sérieuse, au motif que l’ouverture de ces fichiers par son employeur en son absence avait porté atteinte à sa vie privée. Dans un arrêt du 22 février 2018, la Cour européenne des droits de l’homme, saisie suite au rejet de cette demande par le juge français, a jugé qu’il n’y avait pas eu atteinte à la vie privée au sens de l’article 8 de la CEDH, considérant que les fichiers litigieux n’avaient pas été clairement identifiés comme privés, alors qu’il était prévu dans la charte utilisateur que "les informations à caractère privé [devaient] être clairement identifiées comme telles".

Pour lire l’arrêt de la Cour européenne des droits de l’homme

Recevabilité de messages échangés sur un compte Facebook à titre de preuve

Une salariée licenciée pour faute grave, pour avoir tenu des propos dénigrants et injurieux à l’encontre de ses collègues, de sa supérieure hiérarchique et de la société l’employant, contestait la loyauté de la preuve utilisée, consistant en des messages échangés avec une collègue sur la messagerie de son compte Facebook, estimant qu’ils étaient privés. Toutefois, dans un arrêt du 2 février 2018, la Cour d’appel de Toulouse a confirmé que "les propos tenus (…) sur son compte Facebook, affichés sur l’écran de l’ordinateur de l’entreprise et visibles de toutes les personnes présentes dans le magasin, avaient perdu leur caractère privé."

Arrêt non publié

Obligation d’information de l’employeur préalablement à l’installation d’un système de géolocalisation

Un salarié sollicitait la condamnation de son ancien employeur pour rupture abusive de son contrat de travail, soutenant que celui-ci n’avait pas respecté son obligation d’information préalable à la mise en œuvre d’un système de géolocalisation sur les véhicules de ses salariés. Dans un arrêt du 20 décembre 2017, la Cour de cassation a confirmé l’arrêt par lequel la Cour d’appel avait considéré que la prise d’acte de cette rupture par le salarié produisait les effets d’une démission, au motif qu’il “n’était pas justifié [à cette date] d’un manquement de l’employeur rendant impossible la poursuite du contrat de travail”, la société ayant auparavant “organisé une réunion d’information (…) suivie d’une déclaration à la CNIL (…) et (…) rappelé les finalités de la géolocalisation” par lettre adressée au salarié.

Pour lire l’arrêt sur Légifrance