La production d’une preuve illicite au regard de la Loi Informatique et Libertés n’est pas systématiquement rejetée, comme l’indique la Cour de cassation dans un arrêt du 25 novembre 2020 (Cass. soc., 25 nov. 2020, n°17-19.523 FP-P+B+R+I).
LES FAITS
Dans cette affaire, un salarié avait été licencié pour faute grave pour avoir adressé à une entreprise cliente et concurrente des demandes de renseignements par voie électronique, en usurpant l’identité de sociétés clientes. Grâce à l’exploitation par un expert informatique des fichiers de journalisation conservés sur les serveurs de son employeur, l’adresse IP à partir de laquelle les messages litigieux avaient été envoyés a été identifiée comme étant celle du salarié. Cette preuve a été établie au moyen d’un constat d’huissier.
ABSENCE DE DECLARATION DES FICHIERS DE JOURNALISATION ET ADRESSES IP À LA CNIL
Le salarié contestait son licenciement en soutenant que les preuves produites par son employeur étaient illicites, dès lors que les fichiers litigieux n’avaient pas été déclarés à la Cnil.
Rappel : depuis le 25 mai 2018 (date d’entrée en vigueur du RGPD), la protection des données personnelles ne repose plus sur un contrôle préalable de la CNIL (via des déclarations normales ou simplifiées, des demandes d’autorisations,…) mais sur un « principe de responsabilité » selon lequel les responsables de traitement doivent assurer la conformité de leurs traitements de données à la règlementation applicable en matière de protection des données personnelles et être en mesure de démontrer cette conformité en cas de contrôle de la CNIL.
La Cour d’appel de Paris a jugé que le licenciement était justifié, considérant qu’aucune déclaration préalable n’était nécessaire pour ce type de traitement de données.
RECEVABILITE D’UNE PREUVE ILLICITE AU REGARD DE LA LOI INFORMATIQUE ET LIBERTES MAIS « INDISPENSABLE »
Saisie à son tour du litige, la Cour de cassation a été amenée à se prononcer sur deux questions.
Première question : des fichiers de journalisation contenant des adresses IP devaient-ils être déclarés à la CNIL ? Réponse positive selon la Cour de cassation : dans la mesure où les adresses IP permettent d’identifier indirectement une personne physique, il s’agit bien de données à caractère personnel au sens de la Loi Informatique et Libertés. Leur traitement dans le cadre d’un fichier de journalisation devait donner lieu à une déclaration préalable.
Seconde question : le caractère illicite d’une preuve obtenue par l’employeur au moyen d’un traitement de données qui aurait dû être déclaré à la CNIL doit-il automatiquement conduire à son rejet par les juges du fond ?
Cette fois, la Cour de cassation répond par la négative. Conformément à la jurisprudence de la Cour Européenne des Droits de l’Homme (CEDH, 10 octobre 2006, L.L. c/ France, n° 7508/02, § 40 ; CEDH, 13 mai 2008, N.N. et T.A. c/ Belgique, n° 65097/01, §42), la Cour de cassation indique que l’illicéité d’un moyen de preuve au regard de la Loi Informatiques et Libertés ne doit pas entraîner systématiquement son rejet des débats. Les juges du fond doivent en effet rechercher, dans le cadre d’un contrôle de proportionnalité, si l’atteinte portée à la vie privée du salarié par la production de cette preuve est justifiée au regard du « droit à la preuve » de l’employeur et sous réserve d’être « indispensable » à l’exercice de ce droit et strictement proportionnée au but poursuivi.
En l’espèce, contrairement à la Cour d’appel, la Cour de cassation considère que « la preuve était illicite » et, sans prendre position sur le fond, que la Cour d’appel aurait dû procéder au contrôle de proportionnalité requis pour accepter, le cas échéant, que la preuve obtenue illicitement puisse être versée aux débats. L’affaire devra donc être rejugée par la Cour d’appel de Paris (autrement composée).
ÉVOLUTION DE LA COUR DE CASSATION
L’arrêt marque une évolution importante de la Cour de cassation concernant sa jurisprudence relative à l’illicéité des preuves obtenues au moyen de traitement de données qui auraient dû faire l’objet d’une déclaration auprès de la CNIL.
Jusqu’alors, elle considérait que de telles preuves devaient systématiquement être rejetées, de sorte que si la faute à l’origine du licenciement d’un salarié n’était établie qu’au moyen de preuves illicites, le licenciement se trouvait nécessairement dépourvu de cause réelle et sérieuse (Cass. soc., 8 octobre 2014, n°13-14.991).
Néanmoins, comme indiqué ci-dessus, la Cour précise bien que la production de la preuve doit être « indispensable » et confirme ainsi son arrêt rendu le 30 septembre 2020 (Cass. soc., 30 septembre 2020, n°19-12.058) dans lequel elle admet la production en justice, dans le respect du principe de loyauté, d’éléments extraits du compte privé Facebook d’un salarié portant atteinte à sa vie privée, sous réserve que cette production soit « indispensable » à l’exercice du droit à la preuve de l’employeur et que l’atteinte soit proportionnée au but poursuivi (voir « Facebook : l’employeur peut licencier pour des photos ou messages privés ? »).
Cette jurisprudence récente pourrait être utilement invoquée par l’employeur en cas de contentieux. Elle a aussi le mérite d’attirer l’attention sur la nécessité de protéger et de faire figurer comme données personnelles dans les registres de traitement internes à l’entreprise les données extraites d’un fichier de journalisation et les adresses IP.
