La Chambre sociale de la Cour de cassation vient rappeler, dans un arrêt du 8 octobre 2014 (n° 13-14991), l’importance de la déclaration des traitements de données personnelles à la CNIL préalablement à leur mise en œuvre.
Par Anne-Laure Villedieu, avocat associé, CMS Bureau Francis Lefebvre
L’article 22 de la loi n° 78-17 du 6 janvier 1978 (la «loi informatique et libertés») prévoit en effet que «… les traitements automatisés de données à caractère personnel font l’objet d’une déclaration auprès de la Commission nationale de l’informatique et des libertés». Le titre du chapitre IV de la même loi précise que cette formalité doit intervenir préalablement à la mise en œuvre du traitement.
La Cour de cassation juge que l’information obtenue à partir d’un fichier de données personnelles non déclaré à la CNIL au moment des faits reprochés ne peut constituer une preuve licite. Elle ne peut donc justifier un licenciement.
En l’espèce, une employée avait été licenciée le 23 décembre 2009, après convocation à un entretien préalable le 2 décembre, son employeur lui reprochant une utilisation excessive de la messagerie électronique à des fins personnelles. L’employeur établissait que la salariée avait reçu et envoyé un nombre de messages électroniques à caractère personnel extrêmement élevé au cours des mois d’octobre et de novembre 2009 (respectivement 607 et 621).
La salariée avait contesté le caractère réel et sérieux de la cause de son licenciement, en arguant de la déclaration tardive auprès de la CNIL du dispositif de contrôle individuel de l’importance et des flux des messageries électroniques utilisé pour contrôler son usage de la messagerie. En effet, le dispositif de traitement n’avait été déclaré par l’employeur que le 10 décembre 2009, soit plusieurs jours après...
