A l’appui d’un licenciement pour faute d’un salarié, l’employeur ne peut se prévaloir d’un constat d’huissier à partir de l’exploitation de données de connexions informatiques d’un logiciel non déclaré à la CNIL (firewall et autres système de collecte d’adresse IP). En effet, l’installation d’un tel logiciel est une mesure de contrôle et de traitement des données informatiques personnelles du salarié.  L’employeur n’ayant procédé ni à une déclaration préalable auprès de la CNIL, ni à une information et consultation du comité d’entreprise, les données collectées au moyen de cet outil informatique constituaient des preuves illicites. Dès lors, le procès-verbal de constat a été déclaré irrecevable.

Obligation de déclaration de l’employeur

Il résulte des articles 22 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (dite loi informatique et liberté), L. 2323-32 du code du travail (dans sa rédaction alors applicable) et L. 1222-4 du code du travail que i) les traitements automatisés de données à caractère personnel font l’objet d’une déclaration auprès de la CNIL ; ii) le comité d’entreprise est informé, préalablement à leur introduction dans l’entreprise, sur les traitements automatisés de gestion du personnel et sur toute modification de ceux-ci, iii) aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance.

Constituent un moyen de preuve illicite les informations collectées par un système de traitement automatisé de données personnelles avant sa déclaration à la CNIL. Les éléments de preuve obtenus à l’aide d’un tel système sont illicites et doivent être rejetés des débats.

Collecte d’adresses IP

La cour de cassation a déjà pu juger que les adresses IP, qui permettent d’identifier indirectement une personne physique, constituent des données à caractère personnel (Civ. 1re, 3 novembre. 2016, n° 15-22.595). Par ailleurs, selon l’article 2 de la loi ‘informatique et libertés, constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.

Constitue ainsi un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.

En l’espèce, la société possédait un réseau informatique protégé par un firewall et les sites consultés par les différents salariés étaient enregistrés sur un serveur. Depuis plusieurs mois, la société avait constaté que plusieurs salariés utilisaient leur poste de travail à des fins non professionnelles et que les postes de travail des salariés étaient identifiés grâce à leur adresse IP. Dès lors, l’outil de sécurité du système d’information a permis, outre la maîtrise des risques, de restituer l’ensemble des consultations effectuées par le salarié et a été utilisé par l’employeur afin de vérifier si ce dernier procédait à des consultations personnelles et d’en identifier le contenu. Télécharger la décision