le 11/07/2018

Quelques précisions sur la protection des données personnelles dans les relations de travail

Cass., Soc., 13 juin 2018, n° 16-25.301

La Cour de cassation a apporté des précisions sur la mise en œuvre des règles relatives à la protection des données personnelles dans les relations de travail.

Il convient de préciser à titre liminaire que nonobstant des faits antérieurs à l’entrée en vigueur du Règlement général sur la protection des données et des modifications apportées par la loi n° 2018-493 relative à la protection des données personnelles, les règles de fond envisagées dans cet arrêt sont demeurées les mêmes.

Dans cette espèce, une compagnie aérienne disposait depuis 2005 d’un outil informatique déclaré auprès de la Commission nationale de l’informatique et des libertés (CNIL) comme ayant pour finalité d’être réservé à l’encadrement des Personnels navigants techniques (PNT), permettant un suivi de l’activité journalière et un passage de consignes entre les cadres de permanence des sites de Roissy et d’Orly.

Ces informations ayant pour but d’informer les cadres sur les événements liés à l’exploitation et les demandes particulières des pilotes, cette finalité n’avait fait l’objet d’aucune critique de la part de la CNIL au moment de sa déclaration en 2005.

Cette application a été par la suite étendue à l’ensemble de la flotte.

Estimant cette application illicite au regard des dispositions de la loi n° 78-17 du 6 janvier 1978, le syndicat des pilotes de la Compagnie a en premier lieu saisi le juge des référés aux fins de déclarer l’application non conforme à la loi, aux dispositions conventionnelles de la convention collective nationale des PNT et au livre des standards, d’ordonner à la Société de cesser toute utilisation de l’application et la condamner à lui payer des dommages-intérêts.

Aux termes de son arrêt du 13 juin 2018, la Cour de cassation a rejeté le pourvoi du syndicat des pilotes de la Compagnie et a précisé les trois points suivants :

1)      Informer les salariés de manière globale sur les données collectées n’est pas déloyal 

Constatant que les pilotes avaient, d’une part, été informés préalablement de l’existence de ce traitement automatisé des données à caractère personnel, de sa finalité, des destinataires des données collectées et de leurs droits d’accès, de rectification et de suppression depuis sa date de création, par le biais d’un mémo circularisé sous forme papier et disponible de manière constante sur l’intranet qui leur était dédié, et qu’ils pouvaient, d’autre part, à tout moment accéder directement à l’événement pour y ajouter leurs commentaires, la Cour a considéré que l’application était conforme à l’exigence de loyauté de la collecte posée par l’article 6 1°de la loi n° 78-17 du 6 janvier 1978.

2)      Sur la finalité du traitement : une appréciation souple 

La Cour de cassation a suivi le raisonnement de la Cour d’appel qui a considéré que les cas d’utilisation de données dénoncés par le syndicat comme fautifs n’étant pas à eux seuls suffisants à démontrer l’illicéité de l’application et a donc constaté l’absence de détournement de la finalité déclarée de l’application à des fins de gestion illicite du personnel en violation de l’article 6 2° de la loi n° 78-17 du 6 janvier 1978.

3)      Sur les données sensibles

En premier lieu, la Cour de cassation a validé le raisonnement de la Cour d’appel qui a considéré que dans la mesure où les indications relatives aux arrêts de travail ne faisaient pas apparaître le motif de l’absence, elles ne pouvaient être considérées comme une donnée relative à l’état de santé bénéficiant de la protection prévue à l’article 8 de la loi n° 78-17 du 6 janvier 1978.

En second lieu, bien que l’application eût mentionné à deux reprises la qualité de gréviste des salariés, la Cour d’appel rappelait que les cas étaient isolés, ancien pour l’un d’eux, rectifiés et résultant d’erreurs commises par les utilisateurs que l’entreprise s’efforçait d’éviter en leur diffusant une liste de termes génériques.

Dès lors, selon la Cour de cassation, la Cour d’appel a pu en déduire qu’il n’était pas établi que l’application litigieuse offrait la possibilité de collecter des données illicites au sens de l’article 8 de la loi précitée.

Par cet arrêt, la Cour de cassation apporte quelques précisions sur les dispositions désormais en vigueur et permet de se demander si in fine elle n’accorde pas un droit à l’erreur à l’employeur.