Le droit au respect de la vie privée du salarié fait l’objet de nombreux débats et plus encore avec l’entrée en vigueur du Règlement général sur la protection des données (1).
Ce droit est notamment protégé par le Code Civil (Article 9), le Code du Travail (Article L120-2) et la Convention européenne de sauvegarde des droits de l’homme (Article 8).
Avec une telle règlementation, le risque de sanction pour les employeurs en cas de violation reste considérable.
C’est ainsi que sur le lieu de travail, le traitement de toutes données à caractère personnel fait l’objet d’un contrôle très strict.
Tout d’abord l’employeur a une obligation de déclaration préalable de tout traitement d’informations nominatives concernant le salarié à la Commission Nationale Informatique et Liberté (2), sauf disposition législative contraire expresse.
La loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés encadre ces obligations (3), dont la violation est sanctionnée d’une peine pouvant aller jusqu’à 5 ans de prison et 300.000 euros d’amende (4).
Le code du travail rappelle également le droit à l’information préalable au bénéfice tant du salarié que du candidat à l’embauche, et le droit de regard dont dispose le comité d’entreprise quant à la mise en place d’un tel traitement (5).
Toute preuve recueillie en contravention d’une telle obligation de déclaration préalable est considérée comme illicite et rejetée par les juridictions (6).
C’est le cas notamment de la prise de connaissance des messages personnels du salarié même émis par un appareil mis à sa disposition pour l’exercice de sa fonction (7).
Il convient de rappeler que, ces obligations déclaratives qui pèsent sur l’employeur varient selon la nature du traitement.
C’est ainsi que, les catégories les plus courantes de traitement, dont la gestion des contrôles d’accès aux locaux, des horaires et de la restauration, sont considérées comme ne comportant pas de risque d’atteinte à la vie privée et comme pouvant faire l’objet de déclaration simplifiée.
Attention, une telle simplification entraîne une importante limitation de la finalité du traitement et une restriction quant aux informations collectées.
L’employeur devra donc respecter scrupuleusement la finalité du traitement prévue par la norme simplifiée 042 définie par la CNIL dans sa délibération n°02-001 du 8 janvier 2002 particulièrement pour ce type d’informations (8).
Les juridictions effectuent alors un contrôle a posteriori, et le droit au respect de la vie privée du salarié prime largement sur le droit à la preuve de l’employeur.
Le traitement de telles données ne doit donc concerner que la gestion des horaires et temps de présence, le contrôle de l’accès au restaurant, les entrées et sorties du salarié et ne pas permettre un contrôle de ses déplacements à l’intérieur de l’entreprise.
La Cour de Cassation a récemment renouvelé cette position en considérant que toute donnée collectée de façon non conforme à cette norme simplifiée 042 ne peut être utilisée comme moyen de preuve car considéré comme illicite (9).
Dans cet arrêt dans lequel un salarié réclamait le règlement de diverses sommes au titre de rappel de salaire pour heures supplémentaires, les tickets de cantine produits par l’employeur ont tout simplement été écartés des débats.
En effet, l’article 3 de la norme sus évoquée précisant qu’en cas de gestion de la restauration, les informations recueillies doivent revêtir la forme exclusive d’« hors d’œuvres », « plat », « dessert », « boisson », toute autre information permettant de détailler les habitudes alimentaires du salarié rend une telle pièce illicite.
Il convient toutefois de rappeler que, les conditions de la déclaration, de la collecte et du traitement des données pourraient être encore plus complexes à l’avenir car, dans une déclaration du 04 mai 2019, la CNIL souligne que toutes ses normes simplifiées n’ont plus de valeur juridique à compter du 25 mai 2018 suite à l’entrée en vigueur du RGPD.
Ces dernières restent donc accessibles uniquement dans le but de permettre aux responsables de traitement d’orienter leurs premières actions de mise en conformité (10).
Au vu de ces déclarations, tout laisse à croire que, la protection de la vie privée du salarié sur le lieu du travail sera à nouveau renforcée.
- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD) ;
- CNIL ;
- Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
- Article 226-16 du Code pénal ;
- Article L. 121-8 et L. 432-2-1 du Code du travail ;
- Cour de cassation, Chambre sociale, 6 Avril 2004 – n° 01-45.227 ;
- Cour d’appel, Versailles, 15ème chambre, 11 Janvier 2007 – n° 05/05437 ; Cour de Cassation, Chambre Sociale, 8 octobre 2014, n° 13-14.991.
- Délibération n°02-001 du 08 janvier 2002.
- Cour de cassation – Chambre sociale – 27 mars 2019 n°17-31.715
- CNIL, Déclaration du 04 mai 2019, NS42.