La protection des données à caractère personnel n’a cessé de prendre de l’ampleur au cours de ces dernières années. Ces données font partie du quotidien : achats en ligne, saisie de mot de passe sur son téléphone, transactions bancaires en ligne, badger à l’entrée de son lieu de travail et ainsi de suite. Le traitement de ces données est encadré par la loi « Informatique et Libertés », étant précisé que le règlement européen 2016/679 doit entrer en application le 25 mai 2018.

Le traitement de données à caractère personnel des salariés fait l’objet d’une attention toute particulière. A titre d’illustration, le traitement de données à caractère personnel mis en oeuvre pour la gestion d’une messagerie professionnelle doit faire l’objet d’une formalité préalable auprès de la Cnil, sauf désignation d’un Correspondant Informatique et Libertés.

L’arrêt de la Cour de cassation du 1er juin 2017 met en évidence la distinction entre un traitement automatisé de données à caractère personnel avec un système de contrôle individuel des salariés et un traitement automatisé des mêmes données dépourvu de ce système de contrôle (Cass. soc., 1er juin 2017, n°15-23522).

Quels sont les faits ?

Un salarié avait été licencié pour insuffisance professionnelle. Dans le cadre de la procédure prud’homale, l’employeur avait produit des courriels issus de la messagerie professionnelle du salarié. La messagerie en cause n’avait pas fait l’objet d’une déclaration préalable auprès de la Cnil. Compte tenu de la jurisprudence antérieure, le salarié estimait que les courriels issus d’une messagerie non déclarée à la Cnil auraient dû être écartés des débats.

Rappelons qu’en 2004, la Cour de cassation avait considéré qu’un licenciement était sans cause réelle et sérieuse dans la mesure où les éléments sur lesquels il s’appuyait étaient issus d’un traitement de données à caractère personnel non déclaré auprès de la Cnil. La Cour de cassation avait confirmé la position prise par les premiers juges en retenant qu’ « à défaut de déclaration à la Commission nationale de l’informatique et des libertés d’un traitement automatisé d’informations nominatives concernant un salarié, son refus de déférer à une exigence de son employeur impliquant la mise en œuvre d’un tel traitement ne peut lui être reproché ».

Les faits dans les deux affaires sont similaires. Toutefois, la solution retenue par la Cour de cassation est différente.

Que retenir ?

Dès lors qu’une messagerie électronique professionnelle ne permet pas de contrôler l’activité des salariés, l’employeur peut produire en justice les courriers électroniques d’un salarié issus de ce traitement automatisé quand bien même il n’aurait pas été déclaré auprès de la Cnil.

En effet, la Cour énonce clairement que « l’absence de déclaration simplifiée d’un système de messagerie professionnelle non pourvu d’un contrôle individuel de l’activité des salariés, qui n’est dès lors pas susceptible de porter atteinte à la vie privée ou aux libertés au sens de l’article 24 de la loi « Informatique et Libertés », ne rend pas illicite la production en justice des courriels ».

Rappelons que la Commission nationale de l’informatique et des libertés (Cnil) a adopté une norme simplifiée n°46 relative à la gestion des ressources humaines des organismes publics et privés. Les traitements mis en oeuvre aux fins de gestion de la messagerie électronique professionnelle entrent dans le champ de cette délibération. En revanche, tout traitement permettant le contrôle individuel de l’activité des employés en est exclu.

Par cet arrêt, la Cour de cassation semble donc ériger l’existence ou non d’un système de contrôle de l’activité des salariés en critère de recevabilité en justice des courriels issus de la messagerie professionnelle.

Par ailleurs, la Cour de cassation qualifie la messagerie dépourvue de système de contrôle de l’activité des salariés de traitement non susceptible de porter atteinte à la vie privée ou aux libertés. A cet égard, la Haute juridiction souligne en sus que l’auteur des courriels ne peut ignorer que ces derniers sont « enregistrés et conservés par le système informatique ».