Système de cybersurveillance non déclaré à la CNIL : illicéité de la preuve

21/11/2014

Toute personne collectant des données personnelles doit, au préalable, effectuer une déclaration auprès de la CNIL. A défaut, tout élément de preuve basé sur les données recueillies par un tel traitement est illicite et doit être écarté des débats.

 

La cybersurveillance au sein des entreprises est de plus en plus répandue, l'objectif étant notamment, pour les employeurs, de s'assurer de l'usage normal par les salariés des moyens informatiques mis à leur disposition (messagerie et réseau Internet). Si la mise en place de systèmes de traitement automatisé d'informations personnelles édités à ces fins est licite, une déclaration préalable auprès de la CNIL est obligatoire.

En l'espèce, une société a constaté, par le biais de son système de traitement, que l'un de ses salariés faisait un usage anormal de sa messagerie électronique à des fins personnelles. Se prévalant des données ainsi recueillies, elle a procédé au licenciement du salarié.

Cependant, le système de traitement concerné n'avait pas fait l'objet de déclaration auprès de la CNIL à l'époque des faits justifiant le licenciement. Se posait donc la question de savoir si les données recueillies par le biais d'un système licite mais non déclaré à la CNIL pouvaient être admises à titre de preuve.

Censurant la Cour d'Appel, la Cour de Cassation a, par un arrêt en date du 8 octobre 2014, indiqué que le système concerné n'ayant pas été préalablement déclaré à la CNIL, la preuve basée sur ce dernier était illicite et devait, en conséquence, être rejetée des débats.

Entreprise, pensez donc, lors de la mise en place de moyens de cybersurveillance des salariés, à effectuer votre déclaration auprès de la CNIL afin de pouvoir les rendre effectifs. Il conviendra également de ne pas omettre de rendre ce dispositif opposable à vos salariés en le portant à leur connaissance.