Coup de canif dans l'obligation d'information du RGPD

Date :

Par un arrêt rendu le 14 février 2024 (Chambre sociale, n° 22-23.073) la Cour de Cassation a entaillé le caractère prétendument absolu du droit des personnes à être informées des traitements de données personnelles les concernant.

En l'espèce, la vidéo surveillance installée dans un magasin avait permis à l'employeur de mettre en l'évidence des vols en caisse effectués par une salarié.

Le procédé de surveillance était à l'évidence illicite : pas d'information préalable des salariés conformément au Code du travail, pas de déclaration en préfecture, et information des salariés insuffisamment détaillée au regard de la législation protectrice des données personnelles (en vigueur au moment des faits mais sensiblement identique à ce que prévoit maintenant le RGPD).

La Cour de Cassation rappelle que ce n'est pas parce qu'une preuve a été obtenue illicitement qu'elle doit nécessairement être écartée des débats dans un procès civil, dès lors que la production en question est indispensable à l'exercice du droit de la preuve et que l'atteinte aux droits de la personne est strictement proportionnée au but poursuivi. En l'espèce, la Haute Juridiction considère que ces conditions étaient remplies, mettant en balance le but légitime de l'entreprise (veiller à la production de ses biens) et le droit de la salariée au respect de sa vie privée (qui subissait en l'espèce une atteinte modeste et circonstanciée).

La portée de cet arrêt est importante. Dans la sphère du droit du travail, les moyens de surveillance des salariés sont aujourd'hui variés et puissants : cybersurveillance, géolocalisation, etc. Un employeur pourrait donc, si les conditions en sont réunies, se prévaloir des traces ainsi collectées pour fonder un licenciement même si le salarié n'a pas été parfaitement et complètement informé de ladite surveillance conformément au RGPD.

Mais cette arme sera à manier avec précaution par l'employeur, car ce n'est pas parce que la preuve en question pourra être produite aux prud'hommes qu'il échappera aux amendes prévues par le RGPD pour défaut d'information des personnes concernées... 

Pour aller plus loin voir notre article dans EXPERTISES, MAI 2024 p.32 " Preuve illicite et vie privée : la confrontation"

À lire également

Date :
La Cour de Cassation a rendu le 13 mars 2024 (Chambre commerciale, 22-16.487) un arrêt très intéressant sur les limites du recours à la signature scannée pour attester de l'identité et du consentement de son auteur.
Lire la suite
Date :
L'accessibilité numérique est une obligation pour tous les sites de e-commerce pour les nouveaux services à partir du 28 juin 2025. Les services existants "similaires" disposent de 5 ans de plus pour respecter ces obligations. Mais qu'est-ce vraiment qu'un service "similaire" ?
Lire la suite
Date :
Le Data Act est applicable depuis le 12 septembre 2025, et il ne porte pas que sur les données connectées de l'internet des objets. Il vise également tous les fournisseurs de services ajoutés en mode SaaS français, par exemple dans le domaine de la GED, de la comptabilité, de la facturation, de l'archivage, etc. qui devront dorénavant permettre à leurs clients une résiliation pour convenance à tout moment et une réversibilité dont le périmètre est difficile à appréhender. Ce n'est pas qu'un outil de souveraineté numérique. C'est également un texte aux effets de bord dangereux pour des fournisseurs nationaux, parfois fragiles, dont les clients se voient offrir sur un plateau la possibilité de passer à la concurrence, pourquoi pas américaine...
Le Data Act ne s'applique pas aux contrats en cours. Mais il impose une réflexion de fond des fournisseurs SaaS sur l'applicabilité du texte à leurs services et la modification de leurs CG.
Lire la suite