Coup de canif dans l'obligation d'information du RGPD

Date :

Par un arrêt rendu le 14 février 2024 (Chambre sociale, n° 22-23.073) la Cour de Cassation a entaillé le caractère prétendument absolu du droit des personnes à être informées des traitements de données personnelles les concernant.

En l'espèce, la vidéo surveillance installée dans un magasin avait permis à l'employeur de mettre en l'évidence des vols en caisse effectués par une salarié.

Le procédé de surveillance était à l'évidence illicite : pas d'information préalable des salariés conformément au Code du travail, pas de déclaration en préfecture, et information des salariés insuffisamment détaillée au regard de la législation protectrice des données personnelles (en vigueur au moment des faits mais sensiblement identique à ce que prévoit maintenant le RGPD).

La Cour de Cassation rappelle que ce n'est pas parce qu'une preuve a été obtenue illicitement qu'elle doit nécessairement être écartée des débats dans un procès civil, dès lors que la production en question est indispensable à l'exercice du droit de la preuve et que l'atteinte aux droits de la personne est strictement proportionnée au but poursuivi. En l'espèce, la Haute Juridiction considère que ces conditions étaient remplies, mettant en balance le but légitime de l'entreprise (veiller à la production de ses biens) et le droit de la salariée au respect de sa vie privée (qui subissait en l'espèce une atteinte modeste et circonstanciée).

La portée de cet arrêt est importante. Dans la sphère du droit du travail, les moyens de surveillance des salariés sont aujourd'hui variés et puissants : cybersurveillance, géolocalisation, etc. Un employeur pourrait donc, si les conditions en sont réunies, se prévaloir des traces ainsi collectées pour fonder un licenciement même si le salarié n'a pas été parfaitement et complètement informé de ladite surveillance conformément au RGPD.

Mais cette arme sera à manier avec précaution par l'employeur, car ce n'est pas parce que la preuve en question pourra être produite aux prud'hommes qu'il échappera aux amendes prévues par le RGPD pour défaut d'information des personnes concernées... 

Pour aller plus loin voir notre article dans EXPERTISES, MAI 2024 p.32 " Preuve illicite et vie privée : la confrontation"

À lire également

Date :
Le Data Act est applicable depuis le 12 septembre 2025, et il ne porte pas que sur les données connectées de l'internet des objets. Il vise également tous les fournisseurs de services ajoutés en mode SaaS français, par exemple dans le domaine de la GED, de la comptabilité, de la facturation, de l'archivage, etc. qui devront dorénavant permettre à leurs clients une résiliation pour convenance à tout moment et une réversibilité dont le périmètre est difficile à appréhender. Ce n'est pas qu'un outil de souveraineté numérique. C'est également un texte aux effets de bord dangereux pour des fournisseurs nationaux, parfois fragiles, dont les clients se voient offrir sur un plateau la possibilité de passer à la concurrence, pourquoi pas américaine...
Le Data Act ne s'applique pas aux contrats en cours, ce que semblent ignorer un certain nombre d'entreprises, voire d'avocats, qui voient dans ce texte l'occasion rêvée et gratuite de résilier un contrat ou d'exiger la fourniture d'informations non prévues contractuellement. Il leur faut se modérer, car le Data Act ne s'applique qu'aux contrats conclus après le 12 septembre 2025, qui doivent maintenant intégrer des clauses permettant d'aménager au mieux les dispositions du texte.
Lire la suite
Date :
La chambre sociale de la Cour de Cassation a rendu le 8 mars 2023 un arrêt (Chambre sociale n°21-12.492) rappelant, au visa du point (4) de l'introduction du RGPD, que "le droit à la protection des données à caractère personnel n'est pas un droit absolu et doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d'autres droits fondamentaux, conformément au principe de proportionnalité".
Lire la suite