Licenciement sans cause réelle et sérieuse d’une salariée pour envoi de courriels vers sa messagerie personnelle  

 

Par un arrêt du 12 mai 2016, la Cour d’appel de Paris a confirmé l’absence de cause réelle et sérieuse du licenciement d’une salariée qui était fondé sur l’envoi par cette dernière de son poste professionnel vers sa messagerie personnelle de courriels sensibles et confidentiels de l’entreprise en violation du règlement intérieur et de la charte des moyens de communication électronique. Les faits avaient été portés à la connaissance de l’employeur au moyen d’un dispositif de contrôle destiné à assurer la sécurité de son système d’information. La Cour a relevé que l’outil de sécurité utilisé ne mettait plus seulement en œuvre un contrôle antiviral, mais aussi un contrôle du contenu des courriels des salariés, de sorte qu’il s’agissait d’un changement de la finalité initialement prévue du contrôle, qui aurait dû faire l’objet d’une déclaration modificative auprès de la CNIL. Elle a également rappelé que les informations tirées d’un dispositif n’ayant pas fait l’objet, préalablement à sa mise en œuvre par l’employeur, d’une information et d’une consultation du comité d’entreprise, constituaient des preuves illicites.

Arrêt non publié

Dispositif biométrique et suivi du temps de travail

Par une délibération du 5 mars 2015, la CNIL a refusé d’accorder à une banque l’autorisation de mettre en œuvre un traitement automatisé de données personnelles reposant sur un dispositif biométrique de reconnaissance de l’empreinte digitale et ayant pour finalité le contrôle et le suivi du temps de travail. Elle a constaté qu’aucune circonstance exceptionnelle n’était démontrée, que le dispositif “ne résult[ait] pas de la mise en œuvre de mesures de sécurité telles qu’identifiées par une analyse de risques”, et que le traitement envisagé ne relevait donc pas d’une finalité de sécurité justifiant un recours impératif à la biométrie. Elle a en outre relevé “l’impossibilité pour les personnes concernées de recourir à un dispositif alternatif” et a donc considéré que le recours exclusif à un tel dispositif n’apparaissait “ni adapté ni proportionné à la finalité poursuivie”.

Pour lire la délibération de la CNIL

Illicéité de la preuve par géolocalisation en l’absence d’information du salarié

Dans un arrêt du 6 mai 2015, la Cour d’appel de Montpellier a confirmé la requalification d’un licenciement pour faute grave en licenciement pour cause réelle et sérieuse d’un employé, auquel il était notamment reproché de ne pas exécuter totalement son temps de travail hebdomadaire. À cette occasion, la Cour a relevé que la preuve par le système de géolocalisation des véhicules de la société ne pouvait pas être retenue en raison de son illicéité, puisqu’elle ne figurait pas parmi les finalités communiquées à l’employé, et ce même si la déclaration à la CNIL conforme à la norme NS 51 englobait la finalité accessoire du suivi du temps du travail lorsque celui-ci ne pouvait pas être réalisé par d’autres moyens. Elle a cependant admis les autres preuves apportées pour confirmer le licenciement.

Arrêt non encore publié

Données biométriques : conservation et utilisation au-delà de la finalité du traitement

Par un arrêt du 16 avril 2015, la CJUE a statué à titre préjudiciel sur l’interprétation du règlement du 13 décembre 2004 établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et documents de voyage délivrés par les Etats membres. En l’espèce, des citoyens néerlandais avaient refusé de fournir leurs empreintes digitales pour la délivrance de leurs passeports et cartes d’identité, estimant que la saisie et la conservation de celles-ci sur trois supports distincts, et pas uniquement sur le support intégré dans les papiers d’identité, ainsi que le fait que les autorités “pourraient utiliser à l’avenir les données biométriques à d’autres fins que celles pour lesquelles ils les ont fournies”, constituaient une “atteinte importante à leur intégrité physique et à leur droit à la protection de la vie privée”. La CJUE a considéré que le règlement n’était pas applicable aux cartes d’identité et qu’il n’obligeait pas un Etat membre “à garantir, dans sa législation, que les données biométriques ne [seraient] ni utilisées ni conservées par cet Etat à des fins autres que la délivrance du passeport”.

Pour lire l’arrêt de la CJUE