Données nominatives et procédures de justice
Collecte et licéité des preuves
Nous avons déjà abordé la question de la gestion des preuves dans une procédure de justice (qui, pour une entreprise, est souvent une procédure prud'hommale). Dans ce premier article, nous évoquons la collecte d'une preuve informatique, et le fait que cela ne s'improvise pas. Ce point de vue n'a pas changé.
Nous traitons ici d'un sujet connexe : l'exploitabilité devant un tribunal des éléments collectés.
Lors de nos interventions auprès de nos clients, pour la mise en oeuvre d'élements de sécurité et de supervision, surveillance ou détection, nous discutons toujours des contraintes liées aux traitements de données à caractère personnel (DCP). Nous considérons qu'il est de notre devoir de conseil d'avertir nos clients sur ces points. Car un système de surveillance, si les utilisateurs entrent dans son champ d'activité, est un système traitant des DCP.
C'est particulièrement vrai pour un outil de contrôle ou de traçabilité de la navigation Internet, qui permet de savoir qui va voir quoi et quand. Il en est de même d'un outil suivant l'utilisation de la messagerie, qui permet de savoir qui discute avec qui, sur quel sujet et quand.
Lorsqu'une entreprise envisage une procédure à l'encontre de l'un de ses collaborateurs, qui s'appuierait entre autres sur des données collectées par des outils de supervision, il est critique pour elle de s'assurer que ces données pourront être acceptées par le tribunal.
Cour de cassation, 8 octobre 2014
La chambre sociale de la cour de cassation a rendu en 2014 un arrêt dénué de toute ambigüité (version complète et version courte, sur Legalis.net).
En résumé, dans ce dossier, une collaboratrice a été licenciée pour un usage personnel excessif de sa messagerie professionnelle.
Cependant, le système de supervision/traçabilité à partir des données duquel l'usage excessif a été caractérisé n'avait pas été déclaré à la CNIL au jour de l'entretien préalable de la collaboratrice. De ce fait, les preuves ont été considérées comme obtenues de façon non-licite, et écartées.
Article 226-16 et suivants, RGPD
Trop d'entreprises ignorent encore leurs obligations concernant les traitements de DCP qu'elles réalisent. Bien souvent, elles ne se rendent mêne pas compte qu'un certain traitement est un traitement de DCP.
De très nombreux outils liés à la sécurité du système d'informations vont induire la production, le stockage ou le traitement de DCP, que ces données soient directement identifiantes ou seulement indirectement identifiantes. Selon ce qui est fait, et ce qu'il est envisagé de faire, avec ces données nous ne pouvons qu'encourager nos clients à s'assurer de leur pleine conformité au RGPD. Cela permet d'éviter des risques juridiques significatifs.
N'hésitez pas à nous contacter sur ces sujets.