Du contrôle de loyauté d’un système de traitement automatisé de données personnelles

La protection des données à caractère personnel est en France assurée par la loi n° 78-17 du 6 janvier 1978 dite loi Informatique et Libertés, modifiée par la loi n° 2004-801 du 6 août 2004 transposant la directive 98/46 CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données. Le droit à la protection des données personnelles est par ailleurs proclamé par l’article 8 de la Charte des droits fondamentaux de l’Union européenne.

Les informations collectées par un système de traitement automatisé de données personnelles, qui, jusqu’à l’entrée en vigueur du nouveau règlement européen du 24 avril 2016 sur la protection des données personnelles (RGPD) abrogeant la directive 98/46, devait faire l’objet d’une déclaration préalable auprès de la Commission nationale de l’informatique et des libertés (CNIL), ne peuvent être utilisées à une autre fin que celle figurant dans la déclaration. Afin d’assurer un usage loyal et licite du système de traitement de données, la loi Informatique et Libertés impose par ailleurs l’information préalable des personnes concernées, un droit d’accès et un droit de rectification de ces données. L’article L. 1222-4 du code du travail confirme à l’égard des salariés qu’aucune information les concernant personnellement ne peut être collectée par un dispositif qui n’a pas été porté préalablement à leur connaissance.

Dans ce cadre juridique protecteur, la Cour de cassation veille au respect de ces principes. Un système de traitement automatisé de données à caractère nominatif qui n’a pas fait l’objet d’une déclaration à la CNIL (Soc. 6 avr. 2004, n° 01-45.227, D. 2004. 2736, et les obs. , note R. de Quenaudon ) ou dont la finalité a été détournée (Soc. 3 nov. 2011, n° 10-18.036, Dalloz actualité, 4 nov. 2011, obs. A. Astaix ; ibid. 2012. 901, obs. P. Lokiec et J. Porta ; Just. & cass. 2012. 195, rapp. P. Florès ; ibid. 202, avis G. Taffaleau ; Dr. soc. 2012. 61, étude J.-E. Ray ; RDT 2012. 156, obs. B. Bossu et T. Morgenroth ; JCP E 2011. 47, note D. Corrignan-Carsin ; JCP S 2012. 29, note G. Loiseau) ne peut pas être opposé aux salariés et constitue un dispositif illicite.

La décision rapportée est l’occasion pour la Cour de cassation de préciser les contours du contrôle de loyauté d’un système de traitement automatisé de données personnelles.

En l’espèce, la société Air France a mis en place un outil informatique, dénommé « main courante des vols » – aujourd’hui nommé « FIDELE », qui a pour double finalité, selon la déclaration souscrite auprès de la CNIL, la transmission d’informations entre les personnels navigants techniques et leurs managers relatives à l’activité journalière et aux événements notables liés à l’exploitation de la flotte et la gestion des plannings des pilotes. La finalité déclarée n’a fait l’objet d’aucune critique par la CNIL au moment de la déclaration en 2005. Après une plainte du syndicat des pilotes d’Air France, la commission a déclenché une enquête en 2014 et a formulé diverses préconisations qui ont été suivies par l’entreprise. Le syndicat a néanmoins considéré que le dispositif demeurait illicite, motif pris du détournement de sa finalité, et a saisi le juge des référés afin qu’il soit enjoint à Air France de cesser toute utilisation de cette application. Débouté par le tribunal de grande instance et par la cour d’appel, le syndicat a formé un pourvoi en cassation qui faisait grief aux juges du fond d’avoir jugé l’outil informatique licite. Afin de démontrer l’illicéité de l’outil informatique et le détournement de sa finalité par l’employeur, le syndicat a développé six branches dont certaines méritent que l’on s’y attarde tant au regard des questions soulevées qu’au regard des réponses apportées par la haute juridiction.

Dans une première branche, le moyen a fait valoir que la cour d’appel ne pouvait juger que l’outil litigieux n’a pas été détourné de sa finalité sans s’expliquer sur la circonstance que, si la finalité était celle d’un suivi de l’activité des pilotes, l’outil aurait dû être renseigné par le pilote concerné ou le commandant de bord et non par la hiérarchie. En somme, le moyen soulevait la pertinence de l’information collectée par l’employeur. La cour d’appel avait considéré que l’outil satisfaisait aux prescriptions de l’article 7, 5°, de la loi du 6 janvier 1978 en ce qu’il permettait de s’assurer que tout événement notable dans la vie du pilote, d’ordre technique ou personnel, fût pris en compte par les managers grâce à un suivi de l’activité journalière et des événements liés à l’exploitation et d’aménager et de modifier les plannings des pilotes en fonction d’éléments liés à des événements personnels ou d’incidents d’ordre professionnel. À cette première critique, la Cour de cassation s’est bornée à répondre que le moyen manque en fait, considérant que la réponse des juges du fond était suffisante pour justifier de l’intérêt de l’outil. Finalement, l’employeur demeure le seul juge de la pertinence de la source de l’information, dès lors que l’information n’est pas inutile et est de nature à justifier le recueil de données personnelles.

Plus audacieuse était la seconde branche qui soutenait, en application de l’article 6, 1°, de la loi Informatique et Libertés, qu’il appartiendrait au responsable du traitement de données à caractère personnel d’informer la personne concernée par les informations de l’existence de la collecte au moment même où cette collecte a lieu et de lui permettre d’y accéder et d’en obtenir la rectification avant que l’information soit définitivement fixée. En d’autres termes, un système loyal supposerait une information systématique et préalable de la personne concernée avant toute collecte d’informations et non pas une information unique et globale de l’existence de la collecte d’informations. L’argument n’était ni permis ni exclu par le texte de l’article 6, 1°, susvisé, aussi la Cour de cassation pouvait parfaitement juger dans un sens comme dans l’autre. Sans grande surprise, la haute juridiction a privilégié une information globale du groupe de personnes concernées au lieu et place d’une information individuelle et systématique, facilitant ainsi le traitement administratif du recueil de données. Elle a en effet relevé que l’information a été donnée aux pilotes à la date de création de l’outil, par le biais d’un mémo circularisé sous forme papier adressé les 31 août 2005 et 28 janvier 2013 et disponible de manière constante sur l’intranet qui leur était dédié, et qu’ils pouvaient à tout moment accéder directement à l’événement, lors de sa création et une fois celui-ci traité par le manager, pour y ajouter leurs commentaires. L’information globale est donc conforme à l’exigence de loyauté, dès lors que les personnes concernées bénéficient d’un accès à l’information et d’un droit de rectification de celle-ci. À noter que la Cour de justice de l’Union européenne (CJUE) avait également admis le principe de l’information unique, sans besoin de réitération à chaque collecte de l’information (CJUE 5 mai 2011, aff. C-543/09, § 65, Dalloz jurisprudence).

Les troisième et quatrième branches ne retiendront pas longtemps l’attention en ce qu’elles mettaient en cause un détournement de la finalité de l’outil. La Cour de cassation ayant eu l’occasion de valider l’utilisation des données résultant de l’application litigieuse par le passé (Soc. 15 nov. 2017, n° 15-21.188, Dalloz jurisprudence), le détournement invoqué de la finalité de l’outil n’avait définitivement aucune chance de prospérer.

Les cinquième et sixième branches faisaient enfin valoir que l’outil violait l’article 8 de la loi Informatique et Libertés qui prohibe toute collecte ou traitement de données à caractère personnel dites « sensibles », qui font notamment apparaître des informations relatives à la santé du travailleur ou à son appartenance syndicale. En l’espèce, il était reproché à l’application d’avoir mentionné la participation de certains salariés à des grèves ainsi que des arrêts de travail pour maladie.

Sur les informations relatives à la grève, la Cour de cassation a considéré que ces faits isolés, commis par erreur selon l’employeur, n’étaient pas de nature à rendre l’utilisation de l’outil illicite et à démontrer le détournement de l’usage de l’application. En somme, la Cour de cassation autorise un droit à l’erreur sans que l’usage de l’outil soit mis en cause dans son ensemble, dès lors que l’erreur est corrigée et ne révèle pas une intention systématique de détournement de la finalité de l’outil.

Pour terminer, la Cour de cassation devait répondre à la question de savoir si la seule mention d’un arrêt de travail ne comportant aucune indication ou mention du motif de l’absence ou d’une pathologie était de nature à constituer une donnée relative à l’état de santé dont la collecte est prohibée. La Cour de cassation a répondu par la négative au motif que « les indications relatives aux arrêts de travail ne faisaient pas apparaître le motif de l’absence ». Cette position est contestable en soi car la seule mention d’un arrêt de travail donne l’indication selon laquelle le salarié est absent pour raison médicale, peu important l’absence de précision quant à la pathologie du salarié. Néanmoins, cette position est conforme aussi bien à la jurisprudence européenne (CJUE 6 nov. 2003, aff. C-101/01, § 51, D. 2004. 1062 , obs. L. Burgorgue-Larsen ; RSC 2004. 712, obs. L. Idot ) qu’à celle du Conseil d’État (CE 19 juill. 2010, n° 334014, Dalloz actualité 27 juill. 2010, obs. M.-C. de Montecler ; AJDA 2010. 1454 , obs. M.-C. Montecler ; ibid. 1930 , chron. D. Botteghi et A. Lallet ) selon lesquelles seule l’indication relative à la pathologie relève de l’article 8 de la loi Informatique et Libertés.

La Cour de cassation adopte ainsi à son tour une conception souple de l’obligation de loyauté en matière de collecte de données personnelles.