Protection des données personnelles des salariés : la jurisprudence se montre pragmatique

Une part significative de ce contentieux concerne le domaine des relations de travail employeur-salariés, comme en témoigne un récent arrêt du 13 juin 2018 rendu par la Chambre sociale de la Cour de cassation.

Celui-ci apporte un éclairage instructif concernant les pratiques d’entreprise, à la lumière duquel méritent d’être interprétées les nouvelles dispositions du RGPD et de la loi informatique et libertés « LIL » n° 78-17 du 6 janvier 2018 révisée.

Dans cette affaire, une compagnie aérienne avait mis en place en 2005 et déclaré à la CNIL une application informatique dénommée « main courante » et réservée aux managers, permettant un suivi de l’activité journalière de ses pilotes compte tenu de leur activité nomade et de leur nombre, ainsi qu’un passage de consignes.

Neuf ans plus tard en 2014, un syndicat saisissait la CNIL d’une plainte et engageait une action judiciaire en référé aux fins notamment de faire ordonner à l’employeur la cessation de ce traitement de données. En toile de fond, le syndicat demandeur considérait ce traitement comme illicite, au motif qu’il contrevenait à l’obligation de loyauté en permettant, sous couvert d’une finalité légitime, la constitution clandestine de dossiers parallèles aux dossiers professionnels « officiels », et que les données ainsi collectées et parfois sensibles étaient exploitées dans le cadre des décisions individuelles en matière de gestion des carrières ou de procédures disciplinaires.

Dans cette affaire, en première instance, puis en appel, le syndicat demandeur est toutefois débouté de ses demandes ; décision confirmée en cassation (Cass. Soc., 13 juin 2018, n° 16-25 300).

Ce faisant, la Chambre sociale de la Cour de cassation se montre pragmatique et envoie un signal rassurant aux responsables de traitement dans le cadre de leur démarche de mise en conformité avec les exigences du RGPD.

Trois enseignements méritent d’être retenus, à portée pratique :

1°) Sur la loyauté dans les modalités d’information des personnes :

Pour être licite, la collecte de données à caractère personnel doit notamment être loyale et transparente.
Cette exigence impose au responsable de traitement une obligation d’information des personnes concernées. Le contenu informatif varie selon que les informations sont collectées directement auprès de la personne (cf. RGPD, art. 13), ou indirectement (cf. RGPD, art. 14).

En l’espèce, était en cause non pas le contenu de l’information lui-même, mais ses modalités.
Selon le syndicat demandeur, l’employeur aurait dû mettre en place un dispositif d’information individualisé, préalable et systématique, à l’occasion de chaque collecte d’information et de création d’événement dans l’outil.

Les juges du fond ont relevé qu’une telle obligation était disproportionnée pour le responsable de traitement, outre qu’elle allait au-delà des exigences des dispositions légales et réglementaires en vigueur à l’époque des faits.

La Cour de cassation approuve ici leur raisonnement, considérant que l’information avait été suffisante :

• D’une part, dans le cadre de 2 campagnes d’information (via une notice d’information circularisée sur format papier à l’ensemble des personnes concernées), préalablement à la mise en place du dispositif en 2005 puis à l’occasion de sa modification ultérieure ;
• D’autre part, du fait de sa mise à disposition et son accessibilité constante sur l’intranet auxquelles ces personnes avaient accès ;
• Enfin, dans la mesure où l’outil leur permettait à tout moment d’accéder directement à l’événement et d’y ajouter leurs propres commentaires, aussi bien lors de sa création qu’après traitement par le manager.

L’exigence de loyauté de la collecte était ainsi respectée.

Cette précision est fort opportune, dans un contexte où les entreprises mènent actuellement des démarches d’information de leur personnel sur les traitements de données à caractère personnel en lien avec les ressources humaines, et s’interrogent sur les bonnes pratiques à observer pour être conformes aux règles en vigueur.

Il en ressort qu’un mode opératoire collectif (en l’occurrence une diffusion sur format papier couplée à une accessibilité intranet constante, à condition que toutes les personnes soient bien dotées d’un tel accès en pratique) permet de satisfaire aux exigences légales.

Cela est transposable dans le cadre de la mise en œuvre du RGPD, étant précisé que -principe d’accountability oblige- le responsable du traitement doit veiller à organiser une traçabilité de cette information.

Attention néanmoins ; même si le cadre du RGPD est souple, il semble que mettre à disposition une information n’est pas informer ; l’information suppose en toute logique une action positive de la part du débiteur de l’obligation. Si une information « one shot » peut ici suffire (sans avoir à être redonnée à chaque opération de collecte, ce qui serait contre-productif), elle ne saurait selon nous se résumer à une simple mise à disposition. En revanche, cette mise à disposition peut utilement venir compléter l’information directe, à la manière de « cercles concentriques ».



2°) Sur la loyauté dans le respect des finalités du traitement :

Le syndicat contestait également cet outil en considérant que le traitement était utilisé à des fins incompatibles avec les finalités déclarées lors de sa création, à savoir le suivi de la gestion quotidienne des plannings des pilotes et l’exploitation de la flotte.

Il s’appuyait pour cela sur le fait que certaines données extraites de l’application avaient donné lieu à communication dans le cadre de deux instances prud’homales par l’employeur, pour sa défense.

Selon le demandeur, c’était la preuve que le traitement était utilisé pour fonder des prises de décision en matière de gestion de carrière, sans avoir été régulièrement inscrite au dossier professionnel du salarié, ce qui constituait selon lui à la fois un détournement de finalité, et une violation des dispositions conventionnelles applicables dans l’entreprise.

Face à cet argumentaire, qui reposait sur une extrapolation, la décision des juges est au contraire tout en mesure.

D’une part, ceci relève que cette application, dédiée aux managers, était bien cloisonnée par rapport aux traitements mises en œuvre par les ressources humaines, lesquelles n’avaient donc pas besoin d’y accéder.

Seul l’événement brut était collecté, sans mention concernant ses conséquences disciplinaires.

Les juges ont par ailleurs retenu, sur la foi du rapport d’enquête de la CNIL, qu’il n’existait aucun rapprochement entre les données contenues dans l’application et les traitements utilisés en matière de gestion des carrières. En pratique, la question technique liée aux possibilités d’interconnexion de fichiers constitue un point de vigilance important.

L’étanchéité étant ici assurée, les juges ont pu à juste titre retenir que le traitement n’était  pas utilisé à des fins incompatibles avec les finalités annoncées lors de sa création.

La décision reste en revanche plus ambiguë concernant la réutilisation de ces données dans le cadre de procédures judiciaires (cas extrêmement courant), au regard des finalités mais également des durées de conservation. Habituellement dans le cadre des contentieux individuels, la question se présente sous l’angle de la recevabilité de la preuve en justice, point sur lequel la jurisprudence est beaucoup plus étoffée. Ici, la licéité du traitement était directement en cause, mais les juges estiment que les deux seuls cas invoqués étaient en tant que tels insuffisants pour démontrer l’illicéité de l’application. Faut-il comprendre a contrario qu’une utilisation systématique et généralisée rendrait l’application illicite ? Cette question est importante et vient rappeler que lorsque le traitement est fondé sur les intérêts légitimes du responsable du traitement, ceux-ci doivent être clairement exprimés.

Bien entendu, la nécessité de pouvoir se défendre en justice constitue un droit fondamental qui doit pouvoir constituer un intérêt légitime (d’ailleurs, le RGPD prévoit par exemple que le « droit à l’oubli » -effacement- ne joue pas lorsque le traitement est nécessaire à la constatation, à l'exercice ou à la défense de droits en justice).

En tout état de cause, même si le RGPD admet la possibilité d'effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle elles ont été collectées (sous réserve d’une information adaptée des personnes), il n’en reste pas moins que le respect des finalités est un point incontournable, qui nécessite une attention particulière, notamment en termes de sensibilisation des personnes ayant accès aux données, sachant que le détournement de finalité peut être passible de lourdes sanctions, tant « para-pénales » (CNIL) que pénales.

3°) Sur la loyauté dans la collecte des données personnelles :

Certaines catégories de données (listées par les articles 9 du RGPD et 8 de la LIL) sont réputées sensibles, notamment celles révélant l’appartenance syndicale ou celles relatives à la santé ...  autant de données qu’une entreprise est appelée à manipuler pour les besoins de sa gestion RH.

Sauf dérogations limitativement autorisées (cf. notamment traitements fondés sur le consentement, ou encore ceux nécessaires à la constatation, à l’exercice ou à la défense d’un droit en justice), la collecte même de ces données est prohibée.

En l’espèce, le syndicat demandeur  reprochait à l’application d’avoir contenu des informations relatives à des arrêts travail ainsi qu’à l’exercice du droit de grève par plusieurs salariés.

Les juges ont toutefois refusé le raisonnement par généralisation, consistant à considérer que quelques anomalies puissent avoir pour effet de vicier le traitement dans sa globalité.

Selon eux, les indications relatives aux arrêts travail ne faisaient pas apparaître le motif de l’absence, de sorte qu’il ne pouvait s’agir d’une donnée protégée relative à l’état de santé.

Bien que le terme d’« arrêt de travail » soit assez signifiant, cela s’inscrit dans un courant jurisprudentiel qui tend à restreindre la notion de donnée relative à l’état de santé (raisons médicales, pathologie, etc.).

Pour autant, il convient de proscrire toute constitution de fichiers occultes dans ce domaine. Dans le cadre de la démarche de cartographie préalable à l’établissement du registre des activités de traitement, il est important d’identifier l’ensemble des traitements existants, y compris ceux de la zone « grise » ou « noire » susceptibles d’être tenus par des collaborateurs et d’exister en marge des traitements officiels de l’entreprise, afin de prendre les mesures utiles de mise en conformité.

Par ailleurs, s’agissant de la mention de cas de grève, les juges ont retenu qu’il s’agissait d’indications isolées, anciennes, qui avait été rectifiées et résultaient manifestement d’erreurs commises par les utilisateurs.

L’entreprise bénéficie d’une bienveillance, fondée sur le constat qu’elle s’efforçait d’éviter ce type d’erreur en diffusant aux utilisateurs une liste de termes génériques à utiliser.

Un droit à l’erreur est donc reconnu aux utilisateurs, sans que cela n’affecte la légalité du traitement.
Cette approche est particulièrement bienvenue dans le contexte particulièrement contraignant du RGPD, puisqu’elle constitue une « prime à la bonne foi », à condition que les faits soient isolés et que le responsable de traitement justifie avoir exercé une surveillance des utilisations et donné des consignes appropriées afin d’éviter des dérives de pratiques (cf. accountability).

Pour autant, le contexte du RGPD est également favorable à l’émergence de litiges de ce type, avec une amplification potentielle liée au fait que les organisations syndicales représentatives bénéficient dorénavant d’une action de groupe (cf. LIL, art. 43 ter IV, 3°) ...