La CNIL publie des bonnes pratiques sur le « Bring Your Own Device » (BYOD)

Le 24 mars 2020, la CNIL a rappelé que l’utilisation d’outils personnels par des employés relevait d’un choix de l’employeur et que ce dernier restait "responsable de la sécurité des données personnelles de son entreprise, y compris lorsqu’elles sont stockées sur des terminaux dont il n’a pas la maîtrise physique ou juridique". La CNIL a proposé des mesures visant à sécuriser les appareils et à garantir le respect de la vie privée de leur utilisateur.

Pour lire les recommandations de la CNIL

La consultation de sites à caractère sexuel depuis l’ordinateur professionnel justifie le licenciement pour faute grave

Par un arrêt du 24 janvier 2020, la Cour d’appel d’Aix-en-Provence a jugé que la consultation de sites de rencontre et à caractère sexuel par un salarié, avec son ordinateur professionnel, pendant et en dehors des heures de travail, constituait un comportement “créant un trouble dans le bon fonctionnement de l’entreprise au regard des fonctions” occupées de sorte qu’il justifiait un licenciement pour faute grave.

Arrêt non publié

Le secret des correspondances s’applique à une messagerie instantanée installée sur un ordinateur professionnel

Une salariée avait échangé avec une collègue des messages électroniques via une messagerie instantanée installée sur son ordinateur professionnel au moyen d’une adresse électronique personnelle. Par un arrêt du 23 octobre 2019, la Cour de cassation a jugé que la correspondance litigieuse provenait d’une boîte mail personnelle distincte de la messagerie professionnelle et était, par conséquent, couverte par le secret des correspondances.

  Pour lire l’arrêt sur Légifrance

La Cour de cassation rappelle les modalités d’accès par un employeur à la messagerie professionnelle d’un salarié

Un employeur avait consulté la messagerie professionnelle d’un salarié pendant son arrêt maladie. Par la suite, cinq salariés avaient été licenciés pour faute grave sur le fondement notamment des courriels extraits de cette messagerie. Après avoir écarté des débats les courriels, la Cour d’appel avait déclaré les licenciements sans cause réelle et sérieuse. Par un arrêt du 3 avril 2019, la Cour de cassation a cassé l’arrêt d’appel au motif que les juges du fond auraient dû “rechercher si les courriels litigieux, qui provenaient de la messagerie électronique mise à la disposition des salariés par l'entreprise, avaient un caractère professionnel et si leur contenu relevait ou non de la vie privée des salariés”.

Pour lire l’arrêt sur Légifrance

La CNIL lance une consultation publique sur deux projets de référentiels

Le 11 avril 2019, la CNIL a annoncé le lancement d’une consultation publique sur les projets de référentiels relatifs aux traitements de données personnelles aux fins de gestion du personnel et destinés à la mise en œuvre d’un dispositif d’alerte professionnelle. Elle entend ainsi guider les organismes “dans leurs démarches de conformité” et “constituer une aide à la réalisation d’une analyse d’impact relative à la protection des données (AIPD) dans les cas où celle-ci est nécessaire. La CNIL adoptera le document final sur la base des observations recueillies.

Pour lire le communiqué de presse de la CNIL

La CNIL adopte un règlement type relatif aux traitements de données biométriques sur les lieux de travail

Le 28 mars 2019, la CNIL a publié son règlement type relatif à la mise en œuvre de dispositifs ayant pour finalité le contrôle d'accès, par authentification biométrique, aux locaux, aux appareils et aux applications informatiques sur les lieux de travail. Il fixe des exigences spécifiques applicables à certains traitements de données biométriques mis en œuvre par les employeurs publics ou privés. La CNIL a, par ailleurs, insisté sur le caractère contraignant de ce texte et précisé que “les organismes qui mettent en œuvre ces traitements sont donc tenus de respecter les indications données dans le règlement type”.

Pour lire le communiqué de presse et la délibération de la CNIL

Licenciement pour faute grave d’un salarié ayant extrait le fichier client situé sur l’espace collaboratif sécurisé de son entreprise vers sa messagerie personnelle

Un salarié du secteur des assurances avait été licencié par son employeur pour faute lourde pour avoir extrait depuis l’espace collaboratif sécurisé de l’entreprise un fichier contenant les données personnelles d’environ 112.000 adhérents avant de le télécharger via un lien Google Drive pour y accéder depuis sa messagerie personnelle. Par un arrêt du 4 février 2019, la Cour d’appel de Limoges a infirmé le jugement ayant déclaré le licenciement sans cause réelle et sérieuse. Elle a jugé le licenciement fondé sur une faute grave aux motifs que "les seuls manquements commis par le salarié aux règles de sécurité (…) justifi[ai]ent la mesure de licenciement prononcée (…), même si en l'absence de justification de toute intention de nuire à l'employeur, il y a[vait] lieu à requalification du licenciement prononcé pour faute lourde en licenciement pour faute grave, la nature de la transgression interdisant le maintien de la relation contractuelle".

 Arrêt non publié

La Cour de cassation rappelle les conditions de la géolocalisation des salariés

Dans un arrêt du 19 décembre 2018, la Cour de cassation a rappelé que selon l’article L.1121-1 du code du travail, "nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché". Un syndicat de postiers contestait la licéité d’un système de géolocalisation enregistrant "la localisation des distributeurs toutes les dix secondes au moyen d’un boîtier mobile que les distributeurs portent sur eux lors de leur tournée et qu’ils activent eux-mêmes". La Cour a souligné que l’utilisation d’un tel moyen de contrôle de la durée du travail n’était licite que s’il ne pouvait être opéré par un autre moyen, "fût-il moins efficace que la géolocalisation". Elle a également jugé que le recours à un tel système ne pouvait être justifié "lorsque le salarié dispose d’une liberté dans l’organisation de son travail".

 Pour lire l’arrêt sur Légifrance

La CNIL rappelle qu’est exclue la mise en œuvre d’un système biométrique destiné à contrôler les horaires de salariés

Une société spécialisée dans la télésurveillance d’ascenseurs et de parkings s’est vue condamnée par la CNIL, le 6 septembre 2018, à la somme de 10 000 euros notamment pour avoir eu recours à un "dispositif de pointage biométrique à des fins de contrôle des horaires de salariés" sans autorisation. La CNIL a ainsi rappelé que les données biométriques ayant la particularité d’être "uniques et permettant donc d’identifier un individu à partir de ses caractéristiques physiques ou biologiques (…), elles bénéficient d’un régime particulièrement protecteur" et qu’elle exclut depuis 2012 l’utilisation de tels dispositifs à des fins de gestion des horaires des salariés. Il a ainsi été considéré que la société avait "procédé à une collecte de données excessives au regard des finalités pour lesquelles elles étaient collectées".

Pour lire la décision de la CNIL

Consultation publique de la CNIL sur le projet relatif au règlement type « Biométrie au travail »

D’après le RGPD entré en vigueur le 25 mai 2018, les traitements portant sur des données biométriques sont prohibés, exception faite, entre autres, des traitements “nécessaires aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale”. Dans ce cas, la nouvelle Loi Informatique et Libertés prévoit que les employeurs devront se conformer à un règlement type élaboré par la CNIL. Cette dernière a ainsi annoncé le 3 septembre 2018 que son projet de règlement type ferait l’objet d’une consultation publique jusqu’au 1er octobre 2018, avant d’être soumis à l’examen de la séance plénière de la CNIL une fois modifié.

Pour lire le communiqué de la CNIL et son projet de règlement type