A la CNIL ton système automatisé de badges tu déclareras

/ /
Publié le 14 avril 2004
Par .

Tel est le « commandement » de la chambre sociale de la Cour de cassation dans son arrêt du 6 avril 2004 [courdecassation.fr] à une entreprise, pour que celle-ci puisse procéder au licenciement d’un salarié ayant refusé de se soumettre au contrôle des entrées et sorties par le biais du badge. Pourtant, avant d’instaurer cette obligation de pointage,…

Tel est le « commandement » de la chambre sociale de la Cour de cassation dans son arrêt du 6 avril 2004 [courdecassation.fr] à une entreprise, pour que celle-ci puisse procéder au licenciement d’un salarié ayant refusé de se soumettre au contrôle des entrées et sorties par le biais du badge.

 

Pourtant, avant d’instaurer cette obligation de pointage, l’entreprise croyait avoir paré à toutes les obligations légales. Elle avait préalablement informé les représentants du personnel (conformément aux articles L 432-2 [legifrance.gouv.fr] et L 432-2-1 du Code du travail) et fait figurer cette obligation dans le règlement intérieur à titre d’information des salariés (ainsi que l’exige l’article L 121-8 du même code). Aussi, lorsque l’un d’eux refusa par 19 fois de se plier à cette nouvelle exigence, l’entreprise se crut en droit de le licencier pour faute grave.

 

C’était oublier que la mise en place d’un système de badges permettant d’identifier les salariés constituait un traitement automatisé de données nominatives, qui, en tant que tel, devait être déclaré à la CNIL, préalablement à sa mise en œuvre. Cette obligation légale est issue de la Loi « informatique et libertés » [cnil.fr] du 6 janvier 1978.

 

En effet, l’article 4 de la loi vise les informations directement ou indirectement nominatives, c’est-à-dire toute information concernant une personne physique identifiée ou identifiable. La CNIL [cnil.fr] à ce propos précise :

 

– une personne est identifiée lorsque son identité apparaît directement dans un fichier.

– une personne est identifiable lorsqu’un fichier comporte des informations permettant indirectement son identification (par exemple, un n° de matricule ou un code, une adresse IP ou e-mail, un N° de téléphone, une photographie…).

 

Par traitement automatisé d’informations nominatives, l’article 5 de son côté entend « tout ensemble d’opérations réalisées par les moyens automatiques, relatif à la collecte, l’enregistrement l’élaboration, la modification, la conservation et la destruction d’informations nominatives ainsi que tout ensemble d’opérations de même nature se rapportant à l’exploitation de fichiers ou bases de données et notamment les interconnexions ou rapprochements, consultations ou communications d’informations nominatives ».

 

A côté des déclarations ordinaires, la CNIL a mis en place des déclarations simplifiées. Elles visent les traitements les plus courants qui ne portent manifestement pas atteinte à la vie privée ou aux libertés.

 

En l’occurrence, il suffisait à l’entreprise en cause de procéder à une déclaration simplifiée en attestant de la conformité du traitement automatisé avec la Norme simplifiée N°42 « concernant les traitements automatisés d’informations nominatives mis en oeuvre sur les lieux de travail pour la gestion des contrôles d’accès aux locaux, des horaires et de la restauration ».

 

Or, dans cette affaire, l’entreprise ne déclara ce système de badges que 2 ans après le licenciement du salarié récalcitrant.

 

C’est donc sans surprise que la Cour de cassation confirma l’arrêt de la Cour d’appel en concluant qu’ « à défaut de déclaration à la Commission nationale de l’informatique et des libertés d’un traitement automatisé d’informations nominatives concernant un salarié, son refus de déférer à une exigence de son employeur impliquant la mise en oeuvre d’un tel traitement ne peut lui être reproché ».

 

C’est ainsi que ce défaut de déclaration a privé de cause réelle et sérieuse le licenciement.

 

Sandrine Rouja

Secrétaire de rédaction de Juriscom.net