Note explicative relative à l’arrêt n°1119 du 25 novembre 2020 (17-19.523) - Chambre sociale (arrêt "Manfrini")


Dans cet arrêt la chambre sociale se prononce pour la première fois sur la question de savoir si une adresse IP et des fichiers de journalisation constituent des données à caractère personnel dont le traitement doit faire l’objet d’une déclaration préalable à la CNIL selon les articles 2 et 22 de la loi n° 78-17 du 6 janvier 1978 modifiée par la loi n° 2004-801 du 6 août 2004, antérieurement à l’entrée en vigueur du Règlement général sur la protection des données.

Les faits étaient les suivants :

Un salarié de l’AFP, également correspondant informatique et liberté au sein de l’agence, est licencié pour faute grave, pour avoir adressé à une entreprise cliente et en même temps concurrente de l’AFP, cinq demandes de renseignements par voie électronique en usurpant l’identité de sociétés clientes.

L’AFP établit les faits reprochés au moyen d’un constat d’huissier et d’un expert informatique qui identifient, grâce à l’exploitation des fichiers de journalisation conservés sur ses serveurs, l’adresse IP à partir de laquelle les messages litigieux ont été envoyés, comme étant celle de ce salarié.

Estimant qu’une déclaration préalable de l’utilisation des fichiers de journalisation et adresses IP n’était pas nécessaire, la cour d’appel a jugé le licenciement justifié.

La chambre sociale décide que, dans la mesure où les adresses IP permettent d’identifier indirectement une personne physique, comme l’avait également retenu la 1ère chambre civile (1ère Civ., 3 novembre 2016, pourvoi n° 15-22.595, Bull. 2016, I, n° 206), il s’agit bien de données à caractère personnel au sens de l’article 2 de la loi précitée. Elle juge aussi que leur collecte par l’exploitation d’un fichier de journalisation constitue un traitement de données à caractère personnel qui doit faire l’objet de la déclaration préalable prévue à l’article 23 de la même loi.

L’arrêt marque également une évolution de la Chambre sociale quant à sa jurisprudence relative à l’illicéité d’une preuve obtenue au moyen de données qui auraient dû faire l’objet d’une déclaration auprès de la CNIL.

Il était en effet jugé par la chambre sociale qu’une telle preuve devait dans tous les cas être rejetée des débats, de sorte que, si la faute à l’origine du licenciement n’était établie qu’au moyen de cette preuve illicite, le licenciement se trouvait nécessairement sans cause réelle et sérieuse (Soc., 8 octobre 2014, pourvoi n° 13-14.991, Bull. 2014, V, n° 230).

Dans le présent arrêt, la chambre sociale admet que l’illicéité d’un tel moyen de preuve n’entraîne pas systématiquement son rejet, invitant le juge du fond à rechercher dans le cadre d’un contrôle de proportionnalité si l’atteinte portée à la vie personnelle du salarié par une telle production est justifiée au regard du droit à la preuve de l’employeur. Elle précise par ailleurs que cette production doit être indispensable et non plus seulement nécessaire à l’exercice de ce droit.

En effet la chambre sociale avait déjà admis que le droit à la preuve puisse justifier la production d’éléments portant atteinte à la vie personnelle du salarié à condition que cette production soit nécessaire à l’exercice de ce droit et que l’atteinte soit proportionnée au but poursuivi (Soc., 9 novembre 2016, pourvoi n° 15-10.203, Bull. 2016, V, n° 209).

La conception civiliste de la protection de la vie privée a ainsi été appliquée à la chambre sociale par la référence à la vie personnelle du salarié, par opposition à sa vie professionnelle, notamment dans le cadre de la surveillance des correspondances et communications non professionnelles des employés. Il s’agit alors de protéger la liberté individuelle du salarié sur son lieu de travail et de définir le pouvoir de direction de l’employeur.

Le présent arrêt s’inspire également des décisions rendues par la Cour européenne des droits de l’homme au regard des articles 6 et 8 de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales, et notamment des arrêts Barbulescu (CEDH, 5 septembre 2017, n° 61496/08) et Lopez Ribalda (CEDH, 17 octobre 2019, n° 1874/13 et 8567/13) qui ont admis, sur le fondement du droit au procès équitable et du droit à la preuve qui en découle, des moyens de preuve obtenus au détriment du droit à la vie privée instituée par l’article 8 de la convention ou en violation du droit interne.

Dans l’arrêt Barbulescu, la Cour de Strasbourg a ainsi défini un certain nombre de critères auxquels les mesures de contrôle de la correspondance et des communications des employés doivent se conformer pour permettre d’apprécier le caractère proportionné de l’atteinte ainsi portée à la vie privée. Ces critères doivent être appliqués par les juges des États signataires.

Enfin, l’arrêt de la chambre sociale rappelle les dispositions de l’article 13 g) de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, antérieure au Règlement général sur la protection des données, qui prévoyaient que les États membres pouvaient prendre des mesures législatives visant à limiter la portée des obligations et des droits relatifs au traitement des données personnelles lorsqu’une telle limitation constitue une mesure nécessaire non seulement pour sauvegarder la protection de la personne concernée, mais également les droits et libertés d’autrui.