Droit social et nouvelles technologiesProtection des données à caractère personnelSécurité des systèmes d'information

Contrôle des postes informatiques en entreprise : une décision qui interpelle…

A la lecture de certaines décisions jurisprudentielles, le juriste est parfois surpris dans ses certitudes, ou tout simplement dans la construction du raisonnement ayant conduit à la décision adoptée.

Dans ce billet d’humeur, puisque c’en est un, j’évoque ainsi la décision de la Cour d’appel d’Agen du 10 janvier 2023.

Où un argumentaire en défense mentionne une décision de la Cour de cassation… sans préciser ses conditions d’application

Nous renvoyons le lecteur intéressé à cette décision pour le détail des faits. Résumons simplement la partie qui nous intéresse :

  • Un employeur a des éléments probants l’incitant à contrôler le poste informatique d’un de ses salariés fin novembre 2019 ;
  • En application d’une charte informatique1 soumise au CSE de la société le 15 juin 2015 puis annexée au règlement intérieur, avec copie adressée à l’ensemble des salariés de la société et du groupe le 19 octobre 2015 ;
  • A l’issue du contact effectué et d’une mise à pied, l’employeur licencie le salarié pour faute grave ;
  • Le salarié le conteste devant les tribunaux le 24 février 2020.

Jusque-là, rien d’innovant ni de surprenant.

Ce qui l’est beaucoup plus est la défense du salarié devant la Cour d’appel : il évoque une décision de la Cour de cassation, mais sans en préciser toutes les limites.

L’argumentaire se fonde en effet sur :

  • la question de la licéité du moyen de preuve utilisé par l’employeur. La question posée, centrale, se concentre sur la licéité du « recueil d’informations par huissier de justice provenant des fichiers et leur recoupement avec les messages envoyés de l’adresse IP attribuée au salarié » ;
  • et sur l’attendu de l’arrêt de la Cour de cassation du 25 novembre 2020. La cour d’appel rappelle ainsi que la Cour de cassation […] a confirmé qu’une adresse IP était une donnée personnelle » (vrai), « de sorte que leur collecte par l’exploitation d’un fichier de journalisation constitue un traitement de données à caractère personnel » (toujours vrai) « qui doit faire l’objet d’une déclaration préalable auprès de la Commission nationale de l’informatique et des libertés » (à l’heure actuelle complètement faux).

Et c’est toute l’ambiguïté de la situation. La Cour de cassation a bien dit le 25 novembre 2020 que le traitement d’un fichier de journalisation devait faire l’objet d’une déclaration préalable auprès de la CNIL. MAIS en précisant bien que c’était au visa de l’article 23 de la loi du 6 janvier 1978, dans sa version antérieure à l’entrée en vigueur du RGPD. Cette précision, cruciale, essentielle, a été omise dans l’argumentation de la défense.

Le RGPD, applicable ou pas ?

Pour les lecteurs non juristes, rappelons que les magistrats en matière civile se prononcent au regard des règles de droit applicables au moment du litige. Dans l’affaire jugée par la Cour de cassation, le licenciement pour faute grave s’est produit le 23 mars 2015. Il est donc normal que ce soit la loi de 1978 dans sa version antérieure au RGPD qui fonde à la décision.

Mais tel n’est pas le cas en l’espèce, les faits de la présente affaire datant de fin 2019.

Or, rappelons en effet que le règlement général sur la protection des données (RGPD), du 27 avril 2016 et applicable depuis 25 mai 2018, a supprimé le principe de déclaration préalable des traitements dans la très grande partie des cas, pour ne plus subsister que dans des hypothèses très limitées pour certains traitements de données (données de santé).

En synthèse, pour tous les litiges dont les faits se sont produits après le 25 mai 2018, la journalisation ne nécessite plus de déclaration préalable à la CNIL. Vous êtes dubitatifs ? C’est parfaitement votre droit et c’est pour cela que je vous renvoie à la recommandation de la CNIL sur la journalisation du 14 octobre 2021. Celle-ci précise non seulement la possibilité, mais surtout la nécessité d’opérer la journalisation sur les systèmes d’information. Pour la CNIL, cette journalisation est une mesure de sécurité essentielle participant « au respect de l’obligation de sécurisation de tout traitement de données à caractère personnel« . Le tout sans déclaration préalable à la CNIL et dans le respect des règles du RGPD.

Qu’à cela ne tienne me direz-vous, l’employeur aurait pu argumenter exactement ce que je viens d’indiquer ! Les faits du contrôle ayant eu lieu fin novembre 2019, soit 18 mois après l’entrée en application du RGPD, cette déclaration à la CNIL n’avait aucun lieu d’être.

Oui… mais non ! « L’employeur répond qu’aucun outil de contrôle du contenu des messages ou sites personnels utilisés par le salarié n’a été mis en place ou utilisé par l’employeur et qu’il s’agit uniquement d’une recherche des manipulations effectuées par le salarié dans la messagerie interne qui ne contient aucune donnée personnelle et ne nécessite aucune information à la CNIL.« 

Nous entrons alors dans la 4ème dimension où, pour se défendre d’un manque de déclaration CNIL que l’employeur n’avait plus à faire depuis 18 mois, il rétorque que consulter la messagerie interne d’un salarié ne conduit pas à traiter des données personnelles. Et donc ne nécessite pas d’information de la CNIL, si vous avez bien tout suivi.

Et le Petit bateau, alors ?

Le juriste peut apparaître d’autant plus surpris par ce recours à la décision de la Cour de cassation du 25 novembre 2020 qu’une autre décision, encore plus centrale, aurait pu être invoquée dans ce cas en sens contraire. En effet, le 30 septembre 2020, la Cour de cassation a rendu une décision rompant fortement avec sa jurisprudence existante et s’inscrivant dans celle de la Cour européenne des droits de l’Homme.

Cette décision, connue sous le nom de l’entreprise qui en est à l’origine (« Petit bateau »), a établit le principe que la preuve illicite pouvait être produite devant les tribunaux du moment que sa production est « indispensable à l’exercice de ce droit et que l’atteinte soit proportionnée au but poursuivi« . Elle a été confirmée à plusieurs reprises depuis lors par la Cour de cassation, et notamment dans un arrêt de principe rendu tout récemment par l’Assemblée Plénière le 22 décembre 2023. Les magistrats y consacrent la possibilité pour une partie de produire des éléments de preuves illicites, déloyaux ou plus généralement portant atteinte à d’autres droits, lorsque cette production est indispensable à l’exercice du droit à la preuve et que l’atteinte à d’autres droit est strictement proportionnée au but poursuivi2.

En résumé, et à supposer qu’une déclaration à la CNIL aurait été nécessaire, le fait qu’elle ne l’ait pas été n’empêche pas l’employeur de s’en prévaloir, s’il n’a pas d’autres moyens de prouver la duplicité de son salarié.

Un argumentaire faux par omission, qui entraîne une réponse par l’absurde

Pour revenir à notre décision, en l’absence de déclaration auprès de la CNIL (qui n’existe plus, donc n’est factuellement plus possible à réaliser !) et de mention du principe « Petit bateau », les carottes semblaient cuites pour le contrôle réalisé pour l’employeur…

La Cour d’appel, sentant bien confusément que le contrôle était malgré tout juste, semble essayer de faire en sorte qu’il soit surtout licite. Au lieu de faire empirer la situation pour l’employeur (du fait de l’accès à la messagerie personnelle), elle essaye plutôt de désamorcer la question de l’adresse IP utilisée. C’est en effet la question qui focalise apparemment l’attention des deux parties via l’interprétation de décision de la Cour de cassation précitée.

Et l’on franchit lors un pas de plus dans l’ère de la post-vérité…

« L’adresse IP n°172.25.11.3 n’est pas attribuée par un fournisseur d’accès à Internet. C’est une adresse IP de classe B qui correspond à une adresse de réseau local et qui n’a pas lieu d’être déclarée à la CNIL parce qu’elle n’identifie que des périphériques dans le réseau local et non une personne physique. Elle ne contient aucune donnée personnelle. Elle identifie seulement un ordinateur« .

Que l’adresse IP utilisée par le salarié soit en l’occurrence une adresse IP non routable (adresse de réseau interne), cela ne fait techniquement pas débat. Qu’elle ait par contre été attribuée à un moment donné à un poste informatique par le serveur NAT de l’entreprise et que ce poste soit utilisé à ce moment par un salarié en particulier, cela ne fait pas non plus débat. Or c’est précisément la définition de la donnée à caractère personnel. Rappelons que c’est la Cour d’appel elle-même qui affirme au début de son raisonnement que l’affaire concerne « les messages envoyés de l’adresse IP attribuée au salarié« .

En termes de donnée à caractère personnel, il n’y a guère de différence entre une IP non routable et une adresse MAC d’un ordinateur mis à disposition d’un utilisateur en particulier. Dire que l’adresse IP n’identifie pas directement la personne physique mais seulement un ordinateur, c’est vrai. Dire qu’elle ne permet pas indirectement d’identifier l’utilisateur de l’ordinateur à un moment donné dans cette affaire est techniquement faux. Effectivement, si le poste n’avait pas été attribué à une personne déterminée, l’identification aurait été impossible. Mais l’identification a été possible puisque l’envoi des messages par le salarié a été prouvée et que la personne identifiée n’a pas contesté en être l’auteur, elle a contesté que l’employeur avait le droit de faire le contrôle3, CQFD.

RGPD outragé, RGPD brisé, RGPD martyrisé, et… c’est tout !

Rappelons ainsi que le RGPD, qui aura décidément beaucoup été mis de côté (ou mis à mal, c’est selon) à l’occasion de cette décision, définit les données personnelles comme :

« toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale » (article 4.1).

Si l’on résume le fil du raisonnement repris par la Cour d’appel :

  • il fallait une déclaration CNIL pour faire le contrôle en question et relier l’IP aux messages concernés (faux en l’occurrence, cf. ci-dessus)
  • Mais l’adresse IP n’est pas du même type que celles visées par la Cour de cassation. L’adresse IP de la présente affaire n’est donc pas une donnée à caractère personnelle (faux également, cf. juste au-dessus).

De deux présupposés inexacts4, la magie opère cependant :

« Dès lors, les moyens soulevés tenant à l’absence de consultation du CSE, d’information des salariés et de désignation d’un correspondant informatique et liberté sont sans objet. En conséquence, aucune déclaration à la CNIL n’étant exigée, l’intervention de l’huissier de justice est régulière et son constat constitue une preuve licite« .

Le juriste ressort soulagé de la conclusion de ses montagnes russes émotionnelles, qui auront fortement mises en question son rapport à la vérité des faits. Reste que l’on espère pour les deux parties qu’aucune d’entre elles ne se pourvoira en cassation tant elle aurait de choses à dire… pour probablement reconnaître in fine la licéité du contrôle au regarde de ses décisions récentes.

Il est dommage que d’autres questions intéressantes n’aient pas été soulevées… Quid en effet :

  • De l’AIPD/PIA que l’employeur aurait sans doute dû réaliser sur le traitement à l’origine du contrôle, en application du RGPD ?
  • Du contenu précis de la charte sur les modalités de contrôles : permettaient-elles le contrôle ? L’employeur les a-t-il scrupuleusement observées ?
  • De l’imputabilité des faits au salarié, c’est-à-dire de son authentification sur le système d’information ?

Souhaitons que ce type de décision reste l’exception qui confirme la règle !

Que retenir ?

  • En droit civil, la règle de droit applicable dépend de la date à laquelle les faits se sont produits ;
  • Les décisions de la Cour de cassation impressionnent tellement que, parfois, on ne fait pas attention à leur conditions d’application ;
  • Une adresse IP est, dans la plupart des cas, une données à caractère personnel ;
  • Une preuve illicite peut être invoquée par l’employeur s’il n’a pas d’autres moyens (mais attention au retour de flamme : plainte pénale, etc.)
  • Le contrôle est possible si une charte exhaustive le prévoit et l’encadre, qu’elle a été annexée au règlement intérieur, communiquée au salarié, que le RGPD est respecté… et bien souvent si une AIPD/PIA a été rédigée !

  1. Sur cette notion de charte, nous renvoyons le lecteur intéressé à nos différents articles sur le sujet, notamment ici. ↩︎
  2. C. cass. Ass. Plen. 22 décembre 2023, n° 20-20.648. ↩︎
  3. Pour être complet, précisons que le salarié a également indiqué avoir eu l’autorisation de l’employeur pour transférer des fichiers litigieux depuis sa messagerie. ↩︎
  4. Le syllogisme juridique parlerait de Majeure et de Mineure (toutes deux erronées), qui donne lieu à une confrontation exacte. ↩︎