La CNIL rappelle qu’est exclue la mise en œuvre d’un système biométrique destiné à contrôler les horaires de salariés

Une société spécialisée dans la télésurveillance d’ascenseurs et de parkings s’est vue condamnée par la CNIL, le 6 septembre 2018, à la somme de 10 000 euros notamment pour avoir eu recours à un "dispositif de pointage biométrique à des fins de contrôle des horaires de salariés" sans autorisation. La CNIL a ainsi rappelé que les données biométriques ayant la particularité d’être "uniques et permettant donc d’identifier un individu à partir de ses caractéristiques physiques ou biologiques (…), elles bénéficient d’un régime particulièrement protecteur" et qu’elle exclut depuis 2012 l’utilisation de tels dispositifs à des fins de gestion des horaires des salariés. Il a ainsi été considéré que la société avait "procédé à une collecte de données excessives au regard des finalités pour lesquelles elles étaient collectées".

Pour lire la décision de la CNIL

Consultation publique de la CNIL sur le projet relatif au règlement type « Biométrie au travail »

D’après le RGPD entré en vigueur le 25 mai 2018, les traitements portant sur des données biométriques sont prohibés, exception faite, entre autres, des traitements “nécessaires aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale”. Dans ce cas, la nouvelle Loi Informatique et Libertés prévoit que les employeurs devront se conformer à un règlement type élaboré par la CNIL. Cette dernière a ainsi annoncé le 3 septembre 2018 que son projet de règlement type ferait l’objet d’une consultation publique jusqu’au 1er octobre 2018, avant d’être soumis à l’examen de la séance plénière de la CNIL une fois modifié.

Pour lire le communiqué de la CNIL et son projet de règlement type

Absence d’atteinte à la vie privée par l’ouverture de fichiers d’un employé non identifiés comme privés

Une personne avait sollicité que son licenciement, prononcé sur le fondement de fichiers figurant sur le disque dur de son ordinateur professionnel, soit déclaré dénué de cause réelle et sérieuse, au motif que l’ouverture de ces fichiers par son employeur en son absence avait porté atteinte à sa vie privée. Dans un arrêt du 22 février 2018, la Cour européenne des droits de l’homme, saisie suite au rejet de cette demande par le juge français, a jugé qu’il n’y avait pas eu atteinte à la vie privée au sens de l’article 8 de la CEDH, considérant que les fichiers litigieux n’avaient pas été clairement identifiés comme privés, alors qu’il était prévu dans la charte utilisateur que "les informations à caractère privé [devaient] être clairement identifiées comme telles".

Pour lire l’arrêt de la Cour européenne des droits de l’homme

Recevabilité de messages échangés sur un compte Facebook à titre de preuve

Une salariée licenciée pour faute grave, pour avoir tenu des propos dénigrants et injurieux à l’encontre de ses collègues, de sa supérieure hiérarchique et de la société l’employant, contestait la loyauté de la preuve utilisée, consistant en des messages échangés avec une collègue sur la messagerie de son compte Facebook, estimant qu’ils étaient privés. Toutefois, dans un arrêt du 2 février 2018, la Cour d’appel de Toulouse a confirmé que "les propos tenus (…) sur son compte Facebook, affichés sur l’écran de l’ordinateur de l’entreprise et visibles de toutes les personnes présentes dans le magasin, avaient perdu leur caractère privé."

Arrêt non publié

Obligation d’information de l’employeur préalablement à l’installation d’un système de géolocalisation

Un salarié sollicitait la condamnation de son ancien employeur pour rupture abusive de son contrat de travail, soutenant que celui-ci n’avait pas respecté son obligation d’information préalable à la mise en œuvre d’un système de géolocalisation sur les véhicules de ses salariés. Dans un arrêt du 20 décembre 2017, la Cour de cassation a confirmé l’arrêt par lequel la Cour d’appel avait considéré que la prise d’acte de cette rupture par le salarié produisait les effets d’une démission, au motif qu’il “n’était pas justifié [à cette date] d’un manquement de l’employeur rendant impossible la poursuite du contrat de travail”, la société ayant auparavant “organisé une réunion d’information (…) suivie d’une déclaration à la CNIL (…) et (…) rappelé les finalités de la géolocalisation” par lettre adressée au salarié.

Pour lire l’arrêt sur Légifrance

Non-conformité de dispositifs de géolocalisation installés dans des véhicules de salariés

Une société sollicitait l’annulation pour excès de pouvoir d’une décision par laquelle la CNIL l’avait mise en demeure de cesser l’usage de données issues des dispositifs de géolocalisation installés sur les véhicules de ses salariés afin de contrôler leurs temps de travail. Dans un arrêt du 15 décembre 2017, le Conseil d’État a rejeté sa demande, considérant que "l’utilisation par un employeur d’un système de géolocalisation pour assurer le contrôle de la durée du travail de ses salariés n’est licite que lorsque ce contrôle ne peut pas être fait par un autre moyen, fût-il moins efficace que la géolocalisation", et estimant qu’en l’espèce elle disposait bien d’autres moyens pour ce faire.

Pour lire l’arrêt sur Légifrance

Absence de faute du salarié dans le refus de remettre à son employeur sa clé USB personnelle

Dans un arrêt du 5 juillet 2017, la Cour de cassation a confirmé l’arrêt rendu par la Cour d’appel de Nouméa qui avait écarté “l’existence de toute faute commise par [un] salarié concernant la copie, invoquée par l’employeur, de fichiers du serveur de l’entreprise au moyen de sa clé USB personnelle”. En l’espèce, le salarié avait refusé d’obtempérer, “sur le champ, à l’injonction que lui [avait] fait [son] employeur de lui remettre sa clé USB personnelle afin de vérifier son contenu”, ce qui, selon la Cour d’appel, ne “constitu[ait] pas en soi un comportement fautif”. En outre, le salarié avait refusé de s’expliquer lors de l’un des deux entretiens préalables à son licenciement, de sorte qu’il avait été licencié. La Cour de cassation a rejeté le pourvoi de l’employeur, retenant que le moyen qu’il invoquait, faisant grief à la Cour d’appel de n’avoir pas retenu la faute grave du salarié, ne tendait qu’à “remettre en cause l’appréciation souveraine de la cour d’appel qui [avait] estimé que le grief imputé au salarié d’appropriation sur sa clef USB personnelle d’informations à caractère confidentiel n’était pas établi”.

Pour lire l’arrêt sur Légifrance

Atteinte à la vie privée d’un salarié à défaut d’information sur la surveillance de ses correspondances électroniques sur son lieu de travail

Dans un arrêt rendu le 5 septembre 2017 par sa Grande Chambre, la CEDH a estimé qu’il y avait eu violation du droit au respect de la vie privée et de la correspondance d’un salarié licencié suite à la surveillance de son compte professionnel de messagerie, qui avait révélé des correspondances personnelles. Or, le salarié avait été informé que le règlement intérieur de son employeur prohibait l’usage des ressources de l’entreprise à des fins personnelles. Toutefois, selon la Cour, les juridictions nationales, qui avaient rejeté le recours du salarié contre cette décision de licenciement, auraient dû vérifier que le salarié “avait été préalablement averti par son employeur de la possibilité que ses communications sur [son compte professionnel de messagerie] soient surveillées”, et “tenir compte du fait qu’il n’avait pas été informé ni de la nature ni de l’étendue de la surveillance dont il avait fait l’objet, ainsi que du degré d’intrusion dans sa vie privée et sa correspondance”. Par conséquent, la Cour a estimé que “les autorités internes [n’avaient] pas protégé de manière adéquate le droit du [salarié] au respect de sa vie privée et de sa correspondance”.

Pour lire l’arrêt de la CEDH

Vidéosurveillance au travail : sanction pécuniaire pour manquements à la loi Informatique et Libertés

Par une délibération du 15 juin 2017, la formation restreinte de la CNIL a prononcé une sanction de 1 000 € à l’encontre d’une société pour non-conformité de son dispositif de vidéosurveillance avec la loi Informatique et Libertés, et absence de coopération avec la CNIL. Elle a relevé que la société procédait à une collecte excessive de données via le logiciel de visualisation des images du dispositif, certes paramétré pour enregistrer les images en dehors des horaires de travail mais également activé pendant la journée. En outre, l’accès aux images n’était pas suffisamment sécurisé, faute de renforcement de la politique des mots de passe. À cela s'ajoute le fait que la société n’ait pas répondu aux sept courriers adressés par la CNIL pendant un an et demi. C’est la raison pour laquelle la CNIL a rendu publique sa décision, afin de “sensibiliser les personnes et les responsables de traitement aux droits et obligations issus de la loi Informatique et Libertés, en particulier, à l’importance de répondre aux demandes de la Présidente et de mettre effectivement en œuvre les mesures requises”.

Pour lire la délibération sur Légifrance

Recevabilité à titre de preuve de courriels issus d’une messagerie professionnelle non déclarée

Dans le cadre d’un contentieux relatif au licenciement d’un salarié pour insuffisance professionnelle, la Cour d’appel de Paris avait écarté des débats comme preuves illicites les courriels issus de la messagerie professionnelle de ce dernier, produits par l’employeur, dès lors que celui-ci "n’a[vait] pas effectué de déclaration relative à un traitement de données à caractère personnel auprès de [la CNIL]". Par un arrêt du 1er juin 2017, la Cour de cassation a cassé l’arrêt d’appel, estimant que "l'absence de déclaration simplifiée d'un système de messagerie électronique professionnelle non pourvu d'un contrôle individuel de l'activité des salariés, qui n'est dès lors pas susceptible de porter atteinte à la vie privée ou aux libertés au sens de l'article 24 de la loi “informatique et libertés”, ne rend pas illicite la production en justice des courriels adressés par l'employeur ou par le salarié dont l'auteur ne peut ignorer qu'ils sont enregistrés et conservés par le système informatique".

Pour lire l’arrêt de la Cour de cassation