Les recommandations pratiques et rapports de la CNIL

128.-Par le biais des rapports qu’elle rédige, la Commission Nationale Informatique et

Libertés (CNIL) joue le rôle d’expert-conseil près la Cour de cassation dans le domaine des TIC et incite en ce sens, la communauté des juges à prendre des décisions adaptées à la pratique. Dès lors les recommandations de la CNIL ont un effet indirect mais considérable sur le cadre juridique de la preuve électronique.

En sa qualité d’autorité administrative indépendante créée pour veiller au respect de la loi « Informatique et Libertés »335 lors de la collecte et de la mise en œuvre des traitements de données à caractère personnel³³⁶, la CNIL dispose d’un pouvoir de labellisation, d’enquête, et de conseil des usagers de l’informatique. Les auteurs conviennent qu’elle a assis sa légitimité par le biais de ses pouvoirs d’alerte et d’information déployés dans nombre de domaines.

129.-Les avis de la CNIL. Les prises de positions pragmatiques et ambitieuses de la

CNIL, illustrées par un revirement très récent dans lequel elle procède enfin à l’élargissement de la pratique du « Whistleblowing » dans l’entreprise337, et la pertinence de ses propositions ont contribué à lui accorder du crédit dans les prétoires. Les avis qu’elle émet sur les Chartres informatiques et libertés³³⁸ adoptées par les entreprises ne font que conforter la place qu’elle s’est faite dans le monde des relations de travail.

334 Projet en ligne : [http://ec.europa.eu/yourvoice/ipm/forms/dispatch?form=eid4&lang=en], consulté le 14 mai 2012.

335 L. n° 78-17 du 6 janvier 1978 modifiée par L. n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel.

336V. le site de la CNIL. En ligne : [http://www.cnil.fr/], consulté le 14 mai 2012.

337 Par une Délibération n° 2014-042, en date du 30 janvier 2014, La CNIL a procédé à l’élargissement significatif du champ de l’autorisation unique pour les alertes professionnelles (connues sous le nom de « whistleblowing »). La CNIL avait beaucoup déçu en cantonnant, par la délibération du 14 octobre 2010, le champ d’application de l’autorisation contenue dans la Délibération n° 2005-305 du 8 déc. 2005 à deux conditions : le système d’alerte ne pouvait être mis en œuvre que dans des domaines très précis prévus par la loi ou le règlement : « les domaines financier, comptable, bancaire et de la lutte contre la corruption ». Dorénavant,sont autorisées les alertesqui touchent aux domaines suivant : « financier, comptable, bancaire et de la lutte contre la corruption », « pratiques anticoncurrentielles » ; « lutte contre les discriminations et harcèlement au travail » ; « santé, hygiène et sécurité au travail », « protection de l’environnement ».

V. sur le whistleblowing : ANTONMATTEI (P.-H.), « Conditions de validité des dispositifs d’alerte professionnelle », SJS, 2 mars 2010, n°9, p. 1091 ; sur le revirement de position de la CNIL en 2010 : « La CNIL réoriente sa position sur le whistleblowing » Gaz. Pal., 22 janv. 2011, n° 22, p. 18.

338 BOUCHET (H.), La cybersurveillance sur les lieux de travail, (Rapport CNIL du 5 fév. 2002), La Documentation Française, Paris, 2004, p. 9

« Certes la CNIL n’est pas toujours suivie mais elle est entendue et suscite la réflexion »339. Ainsi, les recommandations pratiques de la CNIL sont de véritables « instruments de guidance » lors de la construction de la décision du juge du contrat de travail en présence d’une preuve électronique.

A titre d’exemple, la CNIL a peu à peu construit le cadre de bonne pratique de la cybersurveillance au travail. Elle a d’abord, sous forme de recommandation en 1984, établi les règles d’usage des commutateurs téléphoniques permettant à l’employeur de connaître les numéros de téléphone composés par le salarié³⁴⁰. Sous l’influence de cet avis, la Chambre sociale a posé le principe selon lequel le moyen de preuve obtenu à l’insu du salarié est illicite et l’a appliqué à d’autres procédés de surveillance que celui de l’autocommutateur³⁴¹, tels que le badgeage, ou la vidéo-surveillance³⁴². En revanche lorsque l’employeur est tenu d’assurer la mise en place d’un procédé de surveillance par la règlementation européenne343, sous peine de sanction pénale, tel que le chronotachygraphe344, son installation n’a pas à faire l’objet d’une déclaration préalable à la CNIL et le salarié ne peut se prévaloir d’en ignorer l’existence345.

130.-Les délibérations de la CNIL constituent de vraies sources d’inspiration pour le

juge346. Le risque se situe dans le cumul d’une « cybersurveillance physique » du salarié sur son lieu de travail et d’une « cybersurveillance de fond ». Les écrits électroniques qui relatent des événements extérieurs au travail, (donc relatifs à la vie privée du salarié) pourraient être lus par l’employeur, voire enregistrés dans l’optique d’un éventuel procès. Aussi, la CNIL rend des délibérations sanctionnant les dispositifs de surveillance au regard du respect de la vie privée du salarié. Elle condamne les dispositifs visant un seul salarié

339 HUET (J.) et LECLERCQ (P.), « La CNIL a-t-elle accompli ses missions dévolues par le législateur ? », Légicom, 1er avr. 2009, n°42, p. 12-21. Ses pouvoirs de contrôle dans les locaux de l’entrepriseet de sanction pécuniaire en matière de cybersurveillance sont quant à eux plus limités. La CNIL n’inflige une sanction que lorsqu’une première mise en demeure est restée sans succès ; seule la chambre sociale de la Cour de cassation inflige de véritables sanctions lorsque l’employeur n’a pas respecté ses obligations lors de la mise en place dans l’entreprise d’un procédé de surveillance.

340Cf 15e rapport d’activité de la Cnil, p. 74. En ligne : [www.cnil.fr], consulté le 2 janv. 2013.

341 Cass. soc. 29 janv. 2008, n° 06-45279.

342« Si l’employeur a le droit de contrôler et de surveiller l’activité de ses salaries pendant le temps du travail, tout enregistrement, quels qu’en soient les motifs, d’images ou de paroles à leur insu, constitue un mode de preuve illicite » : Cass. soc. 20 nov. 1991, n°88-43120 ; Bull. civ. V, 1991, n° 519, p. 323 ; Cass. soc. 16 mars 2011, n° 09-43204.

343 Règl. (CEE), n°3821/85, 20 déc. 1985 ; Règl. (CE) n° 561/2006, 15 mars 2006.

344 Par définition, le chronotachygraphe est un instrument de mesure de la vitesse, du temps de conduite et des repos.

345 Cass. soc. 14 janv. 2014, n°12-16218, Procédures, mars 2014, n°3, comm. 75, note BUGADA (A.) ; JCP S, 27 mai 2014, n° 21, p. 24-28, note BOSSU (B.).

346 La CNIL rend régulièrement des délibérations sanctionnant les dispositifs de surveillance au regard du respect de la vie privée du salarié.

ou un groupe déterminé de salariés³⁴⁷, filmant les salariés nuit et jour sur leur lieu de travail³⁴⁸, comportant huit caméras pour huit salariés³⁴⁹ ou contrôlant les instances représentatives de l’entreprise. Récemment, la CNIL s’est prononcée sur l’usage des « Keyloggers », définis comme des dispositifs permettant d’enregistrer et de conserver l’ensemble des actions effectuées par un salarié sur son poste informatique. Dans son communiqué du 20 mars 2013, elle rappelle que leur utilisation dans le milieu des relations de travail est strictement conditionnée à l’existence d’« impératifs forts de sécurité, et d’une information spécifique des personnes concernées »350. Pour remédier à la possibilité d’une intrusion dans la vie privée du salarié, la CNIL a également entrepris avec un groupe d’experts en informatique une étude sur l’utilisation des TIC en tant que moyen de surveillance et par ricochet de préconstitution de preuve³⁵¹.

131.-La CNIL a également eu l’opportunité d’encadrer le contrôle des fichiers

électroniques du salarié ou de sa messagerie. Son rôle se conçoit clairement dans le domaine des correspondances électroniques comme celui « d’offrir divers éclairages que son expertise autorise : aspects techniques, rappel du droit, panorama jurisprudentiel, étude des pratiques comparées et, au titre des questions encore à débattre, quelques recommandations pratiques »352. Les rapports qu’elle émet consistent en une étude scientifique pointue des risques techniques encourus par les acteurs de la relation de travail sous l’impact des TIC. Les experts réseaux en collaboration avec la CNIL se voient attribuer la mission de comparer les caractéristiques techniques du message électronique (dit courriel) avec ceux de l’appel téléphonique. Ils concluent au plus grand danger du premier quant à sa capacité à être intercepté dans le réseau local de l‘entreprise353. Dans le même domaine, la CNIL s’est interrogée sur la fonction de la « mémoire cache » du disque dur dont l’utilité est de conserver les pages visualisées pour les afficher plus facilement si il est demandé de les consulter, et sur l’impossibilité technique du salarié de supprimer un

347 Délib. CNIL n° 2010-112, 22 av. 2010.

348 Délib. CNIL n° 2009-201, 16 av. 2009.

349 Déc. CNIL n° 2011-036, 16 déc. 2011.

350 La CNIL précise dans son communiqué, qu’en vertu de la loi n°2011-267 du 14 mars 2011, dite « LOPPSI 2 », l’utilisation à l’insu des salariés de ce type de dispositif est punie de 5 ans d’emprisonnement et de 300 000 euros d’amende.

351 BOUCHET (H.), loc. cit.

352Cf. site CNIL. En ligne : [www.cnil.fr],consulté le 2 janv. 2013.

353 Il est en effet enregistré à deux endroits : « sur le serveur où sont stockés les messages ou sur le pare-feu qui peut les filtrer ». D’autres alertes sont données concernant la capacité de certains programmes de « traiter le contenu des messages selon des critères tels que des mots clefs, la référence du destinataire, […]». BOUCHET (H.), op. cit, p. 12.

message électronique reçu ou envoyé³⁵⁴. Plus récemment, elle a ouvert une enquête sur « le système iOS4 » intégré à l’ « i-Phone » et à l’ « i-Pad », qui dispose d’une fonction « tracker » permettant de tracer les déplacements de leurs utilisateurs355.

132.-La jurisprudence du travail paraît avoir pris acte des études techniques de la

CNIL. Influencée par son rapport du 5 février 2002 sur la « cybersurveillance sur les lieux de travail », qui préconise que l’utilisation de la messagerie électronique se fasse de manière « raisonnable dans le cadre des nécessités de la vie courante et familiale », dans la mesure où les messages électroniques « n’affectent pas le trafic normal des messages professionnels », la chambre sociale de la Cour de cassation a su faire montre de pragmatisme et a érigé le concept d’utilisation raisonnable des moyens technologiques au travail356.

133.-Reste à déterminer la portée de ces véritables règles de conduite sociale en

matière de preuve électronique. Comment guident-t-elles les comportements des acteurs de l’entreprise dans l’obtention de la preuve ? S’agissant de la nature des sanctions de la Commission, elle porte à réflexion quant à la force normative que celles-ci pourraient revêtir357. Le 23 janvier 2013, la CNIL a été saisie d'une plainte d'agents de sécurité travaillant dans un immeuble des Champs-Elysées et dénonçant leur placement sous vidéosurveillance permanente au sein du PC sécurité. La formation restreinte de la CNIL a sanctionné cette pratique « comme étant disproportionnée au regard de la finalité de sécurité des biens et des personnes poursuivie par le responsable de traitement »358. La lettre d’information de la CNIL affirme qu’« à l'issue d'un contrôle sur place et face au refus persistant du syndicat de retirer ou réorienter le dispositif, la formation restreinte de la CNIL a prononcé le 3 janvier 2013 une sanction publique d'un euro assortie d'une injonction de mettre un terme au caractère continu du traitement ».

354Ibid. Cette impossibilité de faire disparaître un message électronique s’entend techniquement : même lorsque le message est supprimé de la boîte de réception électronique et, dans un second temps supprimé du fichier « corbeille» de l’ordinateur, il perdure lorsqu’une sauvegarde générale est mise en place dans l’entreprise.

355 « Panorama d’actualité en droit des nouvelles technologies du cabinet FERAL-SCHUHL/ SAINTE MARIE, société avocat », Lexbase Hebdo éd. Affaires, 18 juil. 2013, n° 347.

356 Cass. soc. 18 mars 2009, n° 07-44247.

357 Les sanctions visées ne relèvent pas directement des sanctions encourues par l’employeur qui n’effectue pas la déclaration à la CNIL prévue par la loi lors de la mise en place d’un dispositif de surveillance et qui peut atteindre 300 000 euros d’amende ainsi qu’une peine de cinq ans d’emprisonnement : C. pén. art. 226-16.

En définitive, la CNIL anime de manière certaine l’évolution de l’appréhension jurisprudentielle de la preuve électronique. Ses recommandations pratiques, délibérations et rapports constituent des sources d’inspiration incontestables pour le droit probatoire du travail, et ce qu’elle que soit leur force contraignante.

358 Cf. sur la lettre d’actualité électronique de la CNIL. En ligne : [http://www.cnil.fr/la-cnil/actualite/article/article/la-cnil-sanctionne-la-surveillance-permanente-de-salaries], consulté le 2 janv. 2013.

134.-Le changement opéré sur le cadre juridique de la décision du juge pour y faire entrer la preuve électronique, peut être qualifié à la fois de réel et de limité³⁵⁹. Tout comme le procédé de signature électronique sécurisée, le régime du contrat électronique met en évidence l’insuffisance du système juridique élaboré par la loi en matière de preuve électronique. L’appréhension purement technique de la preuve, au détriment d’une réflexion générale et conceptuelle autour des modifications théoriques qu’entraîne ce type de preuve, ne permet pas d’assurer l’effectivité des règles probatoires aux prétoires et ne répond pas aux objectifs constitutionnels d’intelligibilité et d’accessibilité.

Dès lors, la nécessité de construire un discours commun et cohérent autour des TIC apparaît indispensable, en témoignent la multiplication et la complexification des sources juridiques ayant un lien direct ou indirect avec la preuve électronique360 ainsi que la myriade d’acteurs engagés dans ce processus361.

135.-La conception restrictive choisie, d’un régime juridique « allégé » de la preuve

électronique, oblige le juge des relations de travail à adopter une interprétation extensive du cadre proposé. Il convient alors, dans un second temps, de confronter le régime probatoire légal aux particularismes du droit du travail, pour déterminer si sa mise en application peut être effective et s’il existe véritablement une compatibilité entre le développement des TIC dans la procédure et les règles du droit du travail.

359 HUET (J.), loc. cit.

360 Depuis la Loi nº 78-17 du 6 janvier 1978 relative à l´informatique, aux fichiers et aux libertés : près de 130 lois et décrets d’application relatifs aux modifications apportées au système juridique français par les TIC ont été édictés. Ces textes couvrent des domaines très variés, voire l’ensemble du droit, tels que le décret du 15 mars 2012 relatif à la signification des actes d’huissier de justice par voie électronique et aux notifications internationales (JORF n°0066 du 17 mars 2012, p. 4899, texte n°8) ou le décret n° 2007-1130 du 23 juillet 2007 relatif à l'expérimentation du vote électronique pour les élections prud'homales de 2008 à Paris (JORF n° 170 du 25 juil. 2007, p. 12503, texte n° 25).

361 Pour exemple, parmi les responsables de la régulation des réseaux informatiques, on compte : le CSA, HADOPI, l’Autorité de la concurrence et la Commission européenne : FERAL- SCHUHL (Ch.), Cyberdroit-Le droit à l’épreuve de l’Internet, Dalloz, Paris, 7e éd., 2013.