• Français -fr 

vie privée

L’accès aux fichiers personnels du salarié : jurisprudence récente

Deux décisions rendues récemment au sujet de la consultation, par l’employeur, des fichiers personnels de son salarié, méritent d’être soulignées.

Arrêt « Libert c. France » rendu par la CEDH le 22 février 2018 :

En l’espèce, un salarié de la SNCF contestait son licenciement intervenu suite à la découverte, par son employeur, de fausses attestations et de nombreux fichiers pornographiques sur le disque dur de son ordinateur professionnel.

La CEDH a été saisie de la question de savoir si la consultation, par l’employeur, des fichiers d’un salarié identifiés sous les termes « Données personnelles », en dehors de sa présence, constituait une atteinte au droit au respect de la vie privée (article 8 de la CEDH).

La CEDH a répondu par la négative, en tenant compte notamment :

  • des dispositions de la charte utilisateur de la SNCF, qui imposait que les informations à caractère privé soient clairement identifiées sous le terme « Privé » ;
  • du but légitime de la SNCF, qui pouvait légitimement vouloir s’assurer que ses salariés utilisent les équipements qu’elle met à leur disposition pour l’exécution de leurs fonction en conformité avec leurs obligations contractuelles et la réglementation.

Extrait de l’arrêt :

« 52. Certes, en usant du mot « personnel » plutôt que du mot « privé », le requérant a utilisé le même terme que celui que l’on trouve dans la jurisprudence de la Cour de cassation, selon laquelle l’employeur ne peut en principe ouvrir les fichiers identifiés par le salarié comme étant « personnels » […]

Toutefois, […], cela ne suffit pas pour mettre en cause la pertinence ou la suffisance des motifs retenus par les juridictions internes, eu égard au fait que la charte de l’utilisateur pour l’usage du système d’information de la SNCF indique spécifiquement que « les informations à caractère privé doivent être clairement identifiées comme telles (option « Privé » dans les critères OUTLOOK, notamment) [et qu’]il en est de même des supports recevant ces informations (répertoire « PRIVÉ »).

La Cour conçoit en outre qu’ayant constaté que le requérant avait utilisé une partie importante des capacités de son ordinateur professionnel pour stocker les fichiers litigieux (1 562 fichiers représentant un volume de 787 mégaoctets), la SNCF et les juridictions internes aient jugé nécessaire d’examiner sa cause avec rigueur »

Arrêt « Mme X. c/ Autour du bain » rendu par la Cour d’appel de Toulouse le 2 février 2018 :

En l’espèce, une salariée contestait son licenciement intervenu suite à la découverte, par son employeur, de propos tenus sur sa messagerie Facebook personnelle (propos injurieux, irrespectueux et malveillants à l’encontre de son employeur et de ses collègues).

S’agissant de la loyauté de la preuve des faits reprochés, la Cour d’appel de Toulouse a considéré que le fait pour une salariée de laisser affichés sur son poste de travail les propos tenus sur sa messagerie Facebook personnelle leur fait perdre leur caractère privé.

Dès lors, son employeur, qui avait pris connaissance des conversations visibles de l’ensemble des salariés du magasin, était fondé à la licencier pour faute grave.

Extrait de l’arrêt :

« Mme X. fait grief au jugement entrepris d’avoir retenu que les messages échangés avec sa collègue sur la messagerie de son compte Facebook n’étaient pas des messages privés, alors que la mise à disposition du compte Facebook sur le lieu de travail ne signifie nullement que l’employeur puisse s’approprier le contenu des conversations privées échangées et que, puisqu’il est établi que la plupart des conversations ont été échangées lorsque la salarié se trouvait placée en arrêt de travail, ces conversations étaient nécessairement privées. 

Toutefois, la Sarl Autour du bain produit l’attestation circonstanciée de Mme Z. selon laquelle la session Facebook de Mme X. était volontairement restée ouverte sur l’ordinateur de l’entreprise, rendant les conversations publiques et visibles de l’ensemble des salariés du magasin. Mme X. ne produit aucun élément de nature à remettre en cause la sincérité de cette attestation ni à démontrer que l’employeur aurait usé d’un stratagème pour accéder à la messagerie Facebook de la salariée qui, à défaut d’être ouverte, est protégée par un login et un mot de passe. 

Les propos tenus par Mme X. sur son compte Facebook, affichés sur l’écran de l’ordinateur de l’entreprise et visibles de toutes les personnes présentes dans le magasin, avaient perdu leur caractère privé »

Par Christine VROMAN

« Les start-up et la mise en conformité RGPD » Blanchemaille . 06/03/2018

Charlotte RIAUD aura le plaisir d’animer, ce mardi 6 mars 2018 à 11h, un atelier au sein de Blanchemaille sur le thème « Les start-up et la mise en conformité RGPD ».

La nouvelle réglementation européenne relative aux données personnelles conduit les professionnels à placer au cœur de leurs process et de leurs outils la protection des données personnelles.

Plutôt qu’une contrainte, le respect des données personnelles est un enjeu concurrentiel, valorisant la confiance des utilisateurs et des investisseurs.

Blanchemaille By euratechnologie. Rue du Fontenoy, à Roubaix

Cybersécurité au niveau européen

La Commission européenne propose la création d’une nouvelle Agence de cybersécurité de l’UE, qui assistera les États membres dans la gestion des cyberattaques, ainsi qu’un nouveau système européen de certification, qui permettra de garantir la sécurité d’utilisation des produits et services dans l’environnement numérique.

Votre traitement de données relève-t-il du « profilage » au sens du RGPD ?

L’entrée en application le 25 mai 2018 du Règlement Général concernant la Protection des Données (RGPD, Règlement UE 2016/679 )nous oblige à revoir nos pratiques en matière de traitement des données personnelles. Le profilage en est une illustration.

Le profilage de données fait l’objet d’un encadrement juridique plus strict que d’autres traitements en terme, par exemple, d’information des personnes physiques, d’étude d’impact à réaliser pour le responsable de traitement…

A ce titre, l’article 4-4° du RGPD définit le profilage comme : « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ».

En conséquence, les traitements qui ne sont pas automatisés (c’est-à-dite intervention humaine) sont donc exclus de la notion de profilage.

Le considérant 24 du Règlement indique que le profilage permet de prendre des décisions concernant une personne physique OU d’analyser ou prédire ses préférences, ses comportements ou ses dispositions d’esprit.

L’article 22 du Règlement dispose que : « la personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire ».

Concernant la notion de « traitement automatisé produisant des effets juridiques concernant la personne physique ou l’affectant de manière significative », le considérant 71 du Règlement donne l’exemple du rejet automatique d’une demande de crédit en ligne ou des pratiques de recrutement en ligne, sans aucune intervention humaine.

En outre, il indique que ce type de traitement inclut le profilage, dès lors que ce dernier produit des effets juridiques concernant la personne en question ou qu’il l’affecte de façon similaire, de manière significative.

Toutefois, le cadre juridique n’est pas définitif, le G29 (groupe européen réunissant les autorités nationales en matière de protection des données) n’a pas encore publié ses lignes directives, celles publiées à ce jour relatives au règlement concernent le Data Privacy Officer, la portabilité, l’autorité nationale chef de file et l’analyse d’impact.

De même, la CNIL indique que ces lignes directrices sont « en cours d’élaboration » et devraient être publiées au second semestre 2017. Nous aurons donc bientôt plus de précision sur cette notion de profilage.

En mars 2017, la CNIL avait consulté les professionnels afin de recueillir leurs questions et leurs difficultés d’interprétation, notamment sur le profilage, afin d’orienter le G29. Elle a publié sa synthèse des contributions le 23 mai dernier.  Il ressort de cette synthèse les demandes suivantes de la part des professionnels :

  • Une demande de définitions plus précises de certaines notions abordées dans les articles du Règlement européen relatifs au profilage (profilage, impact significatif, traitement automatisé etc.) ;
  • Une interrogation sur l’étendue des droits des personnes, notamment vis-à-vis du degré de précision de l’information à fournir à la personne concernée ainsi que de son consentement ;
  • Une argumentation visant à prouver la nécessité du profilage dans certains secteurs d’activité, notamment en matière de marketing (publicité ciblée), du secteur public et dans le domaine des ressources humaines.

Il convient de rester attentif à cette notion particulièrement sensible dans le BtoC.

Droit d’accès aux données personnelles par les héritiers d’une personne décédée

Mme A.B. avait fait usage, auprès de la Mutuelle de sa mère décédée, d’une demande de droit d’accès aux informations concernant cette dernière, en application de l’article 39 de la loi Informatique et Libertés du 6 janvier 1978.

Cette demande était présentée en marge d’une procédure judiciaire relative à un accident de la circulation, engagée par la mère, décédée entre temps.

Estimant qu’il n’avait pas été répondu à sa demande, Mme A.B a adressé une plainte auprès de la CNIL. Celle-ci a été rejetée par la Commission, qui a estimé que le droit d’accès est un droit personnel qui ne se transmet pas aux héritiers.

Mme A.B. demandait l’annulation de cette décision devant le Conseil d’Etat.

Le Conseil d’Etat a estimé que « lorsque la victime a engagé une action en réparation avant son décès ou lorsque ses héritiers ont ultérieurement eux-mêmes engagé une telle action, ces derniers doivent être regardés comme des  » personnes concernées  » au sens de l’article 39 de la loi précitée pour l’exercice de leur droit d’accès aux données à caractère personnel concernant le défunt, dans la mesure nécessaire à l’établissement du préjudice que ce dernier a subi en vue de sa réparation et pour les seuls besoins de l’instance engagée ».

Il a, dès lors, été fait droit à la demande d’annulation du refus opposé par la CNIL.

Conseil d’État, 10ème – 9ème ch. réunies, décision du 7 juin 2017

CNIL : programme de contrôle 2017

 

La CNIL a dévoilé son programme de contrôle pour l’année 2017. Rappelons que les thématiques figurant dans ce programme représentent, en général, environ un quart de l’activité totale de la Commission.Les 3 thématiques retenues pour l’année 2017 sont les suivantes :

  • La confidentialité des données de santé traitées par les sociétés d’assurance : Rappelons qu’un pack de conformité a été publié par la CNIL en novembre 2014, qui encadre notamment le traitement de données de santé au regard de l’obligation de secret médical.
  • Les fichiers de renseignement. Il s’agit notamment des fichiers de prévention des atteintes à la sécurité publique autorisés par décret et mis en œuvre par les services du ministère de l’Intérieur, dans lesquels ont été versés les anciens dossiers des renseignements généraux : PASP (Prévention des Atteintes à la Sécurité Publique), GIPASP (Gestion de l’Information et Prévention des Atteintes à la Sécurité Publique) et EASP (Enquêtes Administratives liées à la Sécurité Publique).
  • Les télévisions connectées (« Smart TV »). Les informations recueillies par ces dispositifs sont en effet susceptibles de révéler de nombreux aspects de la vie privée des utilisateurs, en particulier leurs habitudes de vie.

 

La CNIL envisage également de continuer à entretenir une activité élevée de contrôle des dispositifs de vidéosurveillance et de vidéoprotection.

 

Nouvelles règles pour l’hébergement de données de santé.

L’ordonnance n°2017-27 du 12 janvier 2017 portant sur l’hébergement de données de santé à caractère personnel est venue modifier la procédure d’agrément des hébergeurs de données de santé (article 1111-8 du Code de la santé publique) en mettant en place un mécanisme de certification moins contraignant. Toutefois, pour pouvoir conserver les données de santé sur support papier ou sur support numérique dans le cadre d’un service d’archivage électronique, l’hébergeur devra être agréé.

L’ ordonnance doit encore être ratifiée par le Parlement et entrera en vigueur à une date fixée par décret et, au plus tard, au 1er janvier 2019.

Seuls les organismes n’hébergeant pas de données de santé à caractère personnel sont   concerné par cette nouvelle disposition.

A défaut,le non-recours à un hébergeur agréé est sanctionné sur le fondement des articles 1115-1 et 1115-2 du Code de la santé publique (3 ans d’emprisonnement et 45 000 euros d’amende pour les personnes physiques et 225 000 euros d’amende pour les personnes morales).