Commentaire d’arrêt corrigé : Cass. soc., 25 nov. 2020, n° 17-19.523

Auteur : Timothée Peraldi

Cliquer ici pour voir l’arrêt à commenter.
Note : seuls les paragraphes n°1 et n°10 à 18 étaient reproduits.


Dans cet arrêt du 20 novembre 2020, la chambre sociale de la Cour de cassation aborde le sujet délicat de l’équilibre nécessaire entre le droit au respect de la vie privée et le droit à la preuve, dans le contexte de la place croissante prise par les outils numériques dans les espaces de travail.

En l’espèce, un salarié est mis à pied puis est licencié pour faute grave par son employeur qui l’accuse d’une usurpation de données informatiques, découverte par l’analyse d’informations collectées automatiquement par le système informatique de l’entreprise, et notamment son adresse IP.

Le salarié conteste son licenciement et porte l’affaire devant la justice. Il saisit la juridiction prud’homale pour demander sa réintégration à l’entreprise ainsi que le paiement d’indemnités de préavis, de congés payés et de licenciement, et de dommages et intérêts pour licenciement sans cause réelle et sérieuse, sur le fondement notamment des articles 2 et 22 de la loi n°78-17 du 6 janvier 1978.

Une décision est rendue en premier appel et le salarié interjette appel. La cour d’appel de Paris, dans un arrêt du 16 mars 2017, retient que la preuve résultant d’un simple traçage issu de fichiers de journalisation extraits du gestionnaire de logs (journal des événements) du système informatique interne de l’entreprise est légale, même si ce dispositif n’est pas déclaré auprès de la Commission nationale de l’informatique et des libertés (CNIL), au motif que celui-ci n’a pas pour vocation première le contrôle des utilisateurs, et déclare ainsi sur la base de cette preuve le licenciement du salarié justifié par une faute grave.

Le salarié se pourvoit en cassation ; il soutient au contraire que les informations collectées par un système de traitement automatisé de données personnelles non déclaré auprès de la CNIL ne sauraient constituer un moyen de preuve licite et ainsi être utilisées par un employeur pour justifier un licenciement pour faute grave, et ce quelle que soit la vocation première de ce système. Un pourvoi incident est également formé par l’entreprise.

Les juges de la Cour de cassation devaient donc répondre au problème de droit suivant : la preuve issue de l’exploitation de fichiers de journalisation n’ayant pas fait l’objet de déclaration préalable auprès de la CNIL peut-elle être utilisée pour justifier un licenciement pour faute grave ?

La chambre sociale de la Cour de cassation répond par la négative et casse par conséquent la décision de la cour d’appel de Paris. Elle énonce que les adresses IP sont des données à caractère personnel ; qu’ainsi, l’exploitation des fichiers de journalisation constitue un traitement de données à caractère personnel qui doit être déclaré à la CNIL pour être licite ; et que cette preuve ne pouvait donc pas être retenue par la cour d’appel pour déclarer le licenciement justifié par une faute grave.

L’apport de cet arrêt réside avant tout dans l’admission de la preuve illicite parce que obtenue en infraction aux règles de protection des données personnelles (I), mais cette admission est clairement encadrée, rendant la portée de l’arrêt incertaine (II).

I – L’admission de la preuve illicite attentatoire aux règles de protection des données personnelles

Dans cet arrêt, la chambre sociale de la Cour de cassation admet pour la première fois une preuve illicite car obtenue en infraction avec les règles de protection des données personnelles en vigueur ; elle justifie cette admission par la nécessité d’un droit à la preuve (A), nécessité renforcée par le repositionnement récent de la CEDH sur la question (B).

A – Une admission justifiée par le droit à la preuve

Ici, la chambre sociale cherche d’abord à déterminer si une preuve issue de l’analyse des informations personnelles d’un salarié, et notamment les adresses IP, collectées automatiquement par le gestionnaire de logs du système informatique interne de l’entreprise, porte atteinte au droit à la vie privée de ce salarié. Ce système n’a pas fait l’objet d’une déclaration auprès de la CNIL, ce qui était obligatoire à l’époque des faits pour les systèmes constituant un traçage informatique. La Cour de cassation affirme dans cet arrêt que le système informatique concerné entrait dans cette catégorie, puisque les adresses IP sont “des données à caractère personnel” (reprenant ainsi une qualification déjà établie en 2016 – Civ. 1re, 3 nov. 2016, n° 15-22.595) et que ce système “permet d’identifier indirectement une personne physique” (paragraphe 18).

Ainsi, c’est puisque l’arrêt de la cour d’appel retient que le traçage informatique composé des logs, fichiers de journalisation et adresses IP n’est pas soumis à une déclaration à la CNIL au motif qu’il n’a “pas pour vocation première le contrôle des utilisateurs” que la Cour de cassation casse cet arrêt.

Il faut noter que, même si en l’espèce l’arrêt de la cour d’appel a été cassé, la Cour de cassation affirme ici que “il y a donc lieu de juger désormais que l’illicéité d’un moyen de preuve, au regard des dispositions de la loi n°78-17 du 6 janvier 1978 […] n’entraîne pas nécessairement son rejet des débats”, admettant ainsi – et c’est là que repose l’apport de l’arrêt – qu’une preuve illicite car obtenue en infraction avec les règles de protection des données personnelles établies par cette loi puisse être admise aux débats.

La Cour de cassation appuie cette solution sur deux décisions récentes de la Cour européenne des droits de l’homme (CEDH), mentionnées explicitement aux paragraphes 13 et 14.

B – Une admission suivant le repositionnement de la CEDH

Dans l’arrêt Barbulescu du 5 septembre 2017 (mentionné au paragraphe 13), la CEDH rappelle que “les juridictions internes doivent s’assurer que la mise en place par un employeur de mesures de surveillance portant atteinte au droit au respect de la vie privée ou de la correspondance des employés est proportionnée et s’accompagne de garanties adéquates et suffisantes contre les abus”. La CEDH admet ici implicitement le droit pour les employeurs, suivant certaines conditions, de mettre en place de telles mesures de surveillance attentatoires au droit à la vie privée de leurs employés, et ne les empêche pas de les utiliser comme moyen de preuve dans un procès civil.

Dans l’arrêt Lopez Ribalda du 17 octobre 2019 portant sur la question de la preuve par vidéosurveillance (mentionné au paragraphe 14), la CEDH va plus loin, en jugeant qu’une preuve “d’informations obtenues au mépris de l’article 8 [de la Convention européenne des droits de l’homme, garantissant un droit au respect de la vie privée]” par un employeur sur ses employés peut être admise en fonction de “toutes les circonstances de la cause”, “si les droits de la défense ont été respectés” et selon “la qualité et l’importance des éléments en question”. La CEDH affirme donc ici explicitement qu’une preuve apportée par un employeur contre un employé et obtenue en violation du droit à la vie privée de ce dernier peut être admise aux débats.

Néanmoins, cette admission n’est pas complète ; il convient de s’interroger sur ses limites, ainsi que sur la portée concrète de cet arrêt.

II – Une admission limitée de cette preuve illicite

Dans cet arrêt, la Cour de cassation prend soin d’encadrer l’admission de la preuve illicite attentatoire aux règles de protection des données personnelles (A), rendant ainsi la portée de cet arrêt incertaine (B).

A – Une admission clairement encadrée

La Cour de cassation a déjà admis, par le passé et à de nombreuses reprises, la nécessité d’admettre aux débats des éléments portant atteinte à la vie privée d’une personne et qui seraient ainsi normalement illicites dans un procès civil, et ce au motif du droit à la preuve. C’est notamment le sens de l’arrêt de la chambre sociale du 9 novembre 2016 (n°15-10.203), mentionné ici au paragraphe 12, qui affirmait dans un attendu de principe que “le droit à la preuve peut justifier la production d’éléments portant atteinte à la vie personnelle d’un salarié à la condition que cette production soit nécessaire à l’exercice de ce droit et que l’atteinte soit proportionnée au but poursuivi”.

La chambre sociale reprend ici les mêmes critères en établissant, au paragraphe 16, le principe relatif à l’admissibilité de la preuve illicite obtenue en transgression des règles de protection des données personnelles. C’est ainsi à la charge du juge d’effectuer un contrôle de proportionnalité, en “mettant en balance le droit au respect de la vie personnelle du salarié et le droit à la preuve”, et en vérifiant si l’admission de cette preuve ne porte pas atteinte au droit à un procès équitable de la défense.

La Cour de cassation prend donc le soin d’encadrer l’admissibilité de ce moyen de preuve illicite, et l’inscrit également dans un contexte législatif précis, ce qui nous invite à nous questionner sur la portée de cet arrêt.

B – Un arrêt à la portée incertaine

La Cour de cassation précise, dans son visa, qu’elle interprète la loi n°78-17 du 6 janvier 1978 modifiée par la loi n°2004-801 du 6 août 2004 “dans sa version antérieure à l’entrée en vigueur du Règlement général sur la protection des données” (RGPD). Le RGPD, entré en vigueur en 2016, supprime l’obligation de déclaration à la CNIL des systèmes de traçage informatique tels que celui concerné par les des faits de l’espèce, ce qui fait que les dispositions prises par l’arrêt à ce sujet n’offrent pas d’intérêt pour l’avenir.

De plus, la possibilité pour le juge civil d’admettre un moyen de preuve illicite car portant atteinte au droit à la vie privée d’un tiers au motif du droit à la preuve n’est pas une chose nouvelle, ayant déjà été consacrée par de nombreuses décisions antérieures, et notamment, en ce qui concerne les conflits entre un employeur et un employé, l’arrêt n° 15-10.203 de la chambre sociale du 9 novembre 2016, que l’arrêt mentionne explicitement et nous avons déjà évoqué.

Dans cet arrêt, la Cour de cassation confirme donc le principe suivant lequel le juge peut admettre aux débats une preuve illicite en mettant en balance le droit à la preuve et le droit au respect de la vie privée d’un salarié, et étend ce principe au moyen de preuve illicite car obtenu en violation des règles relatives à la protection des données à caractère personnel.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *