Traitement des données des salariés par leur employeur

Les données relatives aux salariés sont, au sens de la loi, des données à caractère personnel et de ce fait, doivent faire l’objet d’une déclaration préalable à la CNIL. En pratique cela signifie que lorsque l’entreprise installe une badgeuse, une caméra de vidéosurveillance ou simplement un logiciel de contrôle des systèmes informatiques, elle doit impérativement faire une déclaration à la CNIL.

La jurisprudence de la Cour de cassation est constante sur ce sujet : la déclaration de ces dispositifs doit être préalable à leur mise en œuvre. Or, un arrêt de la Chambre sociale de la Cour de cassation du 8 octobre 2014 a apporté une nouvelle pierre à l’édifice, en invalidant un licenciement au motif que les preuves de la faute du salarié sont issues d’un outil tardivement déclaré à la CNIL. En l’espèce, une salariée a été licenciée pour faute après avoir reçu et envoyé de sa messagerie professionnelle près de 1 200 emails personnels sur 60 jours, en violation du règlement intérieur et après nombres d’avertissements. Pour le démontrer, l’employeur a fourni les rapports informatiques d’un outil permettant de surveiller la messagerie électronique. Or, à la date de ces rapports informatiques, l’outil n’avait pas encore été déclaré à la CNIL. La réponse de la Cour de cassation : les preuves de la faute étaient illicites car issues d’un outil non déclaré à la CNIL. En conséquent, le licenciement était invalidé.

Si une entreprise ne fait pas de déclaration préalable à la CNIL pour ses fichiers de données, elle s’expose ainsi à un certain nombre de risques :

Sur le plan du droit social : Impossibilité d’utiliser les données collectées dans le cadre d’une procédure de licenciement d’un salarié,

Sur le plan financier: L’entreprise peut être condamnée par la CNIL à des amendes allant jusqu’à 150 000 euros ou même à la publication,

Sur le plan pénal : L’entreprise et son représentant légal sont alors soumis à un risque de sanction pénale allant jusqu’à 5 ans de prison et 300 000 euros d’amende,

Pour pallier ces risques, il est recommandé de faire un audit à fin de vérifier que les déclarations préalables ont été faites auprès de la CNIL et que les salariés étaient bien informés de la mise en place du traitement de leurs données.