Un salarié de l’AFP avait été licencié pour faute grave en 2015. En cause ? Une « usurpation de données informatiques ». Il avait été identifié par exploitation des logs, fichiers de journalisation et autres adresses IP. Il a contesté ce licenciement, estimant cette preuve illicite. Et pour cause, le traitement n’avait pas fait l’objet d’une déclaration à la CNIL, comme le voulaient les textes avant le 25 mai 2018.
La cour d’appel de Paris avait rejeté sa demande : « dès lors qu’ils n’avaient pas pour vocation première le contrôle des utilisateurs », ces traitements n’avaient pas à faire l’objet d’une telle procédure préalable. La preuve était donc licite.
La Cour de cassation n’a pas été aussi catégorique. Elle a rappelé ce 25 novembre que « les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel ».
Dès lors, « leur collecte par l’exploitation du fichier de journalisation constitue un traitement de données à caractère personnel ». Il aurait donc dû faire l’objet d’une déclaration préalable. Elle a souligné surtout que le droit de la preuve « peut justifier la production d’éléments portant atteinte à la vie personnelle d’un salarié ».
Cependant, deux conditions doivent être vérifiées : la production de cette preuve doit être nécessaire à l’exercice de ce droit et l’atteinte, proportionnée au but poursuivi. Une logique de proportionnalité également issue de la jurisprudence de la Cour européenne des droits de l’Homme.
Selon la CEDH, « les juridictions internes doivent s’assurer que la mise en place par un employeur de mesures de surveillance portant atteinte au droit au respect de la vie privée ou de la correspondance des employés est proportionnée et s’accompagne de garanties adéquates et suffisantes contre les abus ».
La même CEDH a aussi souligné l’importance de respecter les droits de la défense.
Pour la Cour de cassation, la cour d’appel ne pouvait donc pas écarter d’un revers de manche les critiques adressées par le salarié licencié. Les juges du fond auraient dû au contraire effectuer ce test de proportionnalité qui manquait à son analyse.
Ils devront à l’avenir apprécier :
- Si l’utilisation d’une preuve illicite a porté atteinte au caractère équitable de la procédure dans son ensemble,
- Mettre en balance le droit au respect de la vie personnelle du salarié et le droit à la preuve
Un droit qui « peut justifier la production d’éléments portant atteinte à la vie personnelle d’un salarié à la condition que cette production soit indispensable à l’exercice de ce droit et que l’atteinte soit strictement proportionnée au but poursuivi ».
Commentaires (9)
#1
Je n’ai pas tout compris, le mec a fait une connerie, il a été identifié car les admins ont utilisés les logs pour voir quel IP s’était connecté etc, et c’est considéré comme une info personnelle à déclarer à la CNIL?
Genre les logs devront être déclaré à la CNIL car ils sont considérés comme du traitement de données personnelles?
#1.1
Y a pas de déclaration à faire la CNIL a priori, mais le RGPD demande aux entreprises de tenir un registre des traitements qu’elle réalise, aussi bien en interne qu’en externe, sur les données personnelles. Une adresse IP est (souvent/potentiellement) identifiante, donc entre dans le cadre du RGPD.
#2
Je pense plus qu’ils auraient dû demandé un accord à la CNIL avant de faire le lien entre les logs et le salarié, donc au moment de passer le gap (psychologique) entre log général et à trouver qui est qui dans les logs.
#3
Je penses que l’important est : « dès lors qu’ils n’avaient pas pour vocation première le contrôle des utilisateurs »
Peut être que si dans le doc que personne ne lis sur les usages du SI il était indiqué que les logs de connexion pouvait faire l’objet de contrôles il n’y aurait pas eu de problèmes pour l’AFP
#4
J’ai toujours été dubitatif dans ce genre d’affaire : Qu’est-ce qui prouve que les logs en question n’ont pas été modifiées par l’employeur pour avoir gain de cause ?
#4.1
Dans l’immense majorité des cas, rien par négligence, manque de volonté ou de budget des sociétés… mais avec les techniques d’horodatages certifiés avec clé publique et “organisme de confiance” c’est tout a fait possible.
#5
l’obligation de déclarer les traitement de données personnelles, c’était AVANT l’entrée en vigueur du RGPD.
Et en droit de l’Union Européenne, l’adresse IP (“fixe” ou “statique”) est une “données à caractère personnel depuis 2011 (affaire “Scarlet Extended” http://curia.europa.eu/juris/document/document.jsf;jsessionid=8DDB8BEC256F5530AA2FB807D046BC14?text=&docid=115202&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=15141703),
de même que l’adresse IP “dynamique” depuis 2016 (arrêt CJUE “Breyer” http://curia.europa.eu/juris/document/document.jsf?text=&docid=184668&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=15142736.
#6
Certes, mais on doit tenir des registres de ses traitements, conditionnés à des finalités précises. Je pense comme vous cependant que NXI a peut-être fait une erreur : le traitement n’a pas été déclaré tout court en gros, puisque effectivement il n’y a rien à envoyer à la CNIL.
#7
Pas sûr que ça passe justement.