Le périmètre de l’utilisation des données est déterminé par la finalité du traitement mis en œuvre: applications pratiques sur des données de salariés.
L’article 6 de la loi Informatique et Libertés du 6 janvier 1978 indique que les données « sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités ».
Ainsi, la notion de « finalité » d’un traitement de données personnelles est essentielle puisqu’elle fixe le périmètre dudit traitement. Les données collectées ne peuvent pas être utilisées à d’autres fins que celles déclarées à la CNIL (ou pour lesquelles le traitement a été autorisé) et doivent être portées à la connaissance des personnes dont les données sont traitées. Deux arrêts rendus respectivement par la Cour d’Appel de Lyon et par la Cour de Cassation permettent de préciser l’application de ce principe en matière d’utilisation de données de salariés.
Dans une première affaire, la Cour d’appel de Lyon a eu à connaître de l’utilisation par une entreprise de son système de géolocalisation des véhicules de service pour motiver un licenciement ; en l’espèce, il était notamment reproché à un agent de sécurité/viabilité de s’être absenté de son poste pendant deux heures.
Alors que le Conseil des Prud’hommes avait jugé le licenciement fondé, la Cour d’appel de Lyon n’a pas suivi cette position : en effet, l’entreprise avait indiqué avoir relevé l’absence litigieuse du salarié grâce au système de géolocalisation qu’elle avait mis en place au sein du véhicule de service du salarié, initialement dans un but commercial, la géolocalisation visant en l’espèce à « quantifier les interventions par type et de connaitre les délais et temps d’intervention sur événement ». La Cour d’appel a ainsi jugé que le système de géolocalisation n’avait pas été mis en place pour surveiller l’activité des salariés et qu’à ce titre, les données recueillies ne pouvaient être utilisées comme preuve du fait reproché au salarié.
La Cour d’appel de Lyon a donc retenu que l’employeur ne pouvait pas utiliser les données recueillies via le système de géolocalisation comme preuve du seul fait reproché au salarié et a donc estimé que le licenciement était sans cause réelle et sérieuse.
Dans une seconde affaire, la Cour de cassation a eu à statuer sur une contestation similaire émanant d’un salarié qui, alors qu’il venait de quitter son poste encore revêtu de sa tenue de travail, avait volé le téléphone portable d’un client au sein du magasin où il était employé. Identifié par le système de vidéosurveillance, le salarié avait alors été licencié pour faute grave.
Le salarié contestait la validité de la preuve du vol, arguant du fait que le système de vidéosurveillance avait exclusivement été installé pour surveiller la clientèle du magasin et non ses salariés. Il était ainsi reproché à l’entreprise de ne pas avoir procédé à l’information des salariés et à la consultation du comité d’entreprise préalablement à la mise en place dudit système.
La Cour d’appel avait néanmoins considéré que la finalité du traitement avait bien été respectée puisque le système avait été utilisé pour des raisons de sécurité et non pour contrôler l’activité du salarié ; confirmant cette argumentation, la Cour de cassation a considéré que le comportement du salarié « qui affectait l’obligation de l’employeur d’assurer la sécurité des clients et de leurs biens, se rattachait à la vie de l’entreprise et, étant de nature à y rendre impossible le maintien de l’intéressé, constituait une faute grave ».
Si dans les deux cas, la solution retenue est différente, il est intéressant de relever qu’aussi bien la Cour d’appel de Lyon que la Cour de cassation ont fait une stricte interprétation de la notion de finalité du traitement pour déterminer si les preuves obtenues pour justifier du licenciement l’avaient été par un moyen licite.
Ces décisions invitent donc les responsables de traitement à s’interroger sur la nature précise des formalités déclaratives et de l’information communiquée aux personnes dont les données sont susceptibles d’être traitées, afin de s’assurer de la validité du système mis en place, au risque de ne pouvoir les exploiter.
Olivier HAYAT
Téléchargez cet article au format .pdf
Confirmation en appel du statut d’éditeur d’un site de vente aux enchères et de parking de noms de domaine