SysFailure

Imprimer

Données nominatives et procédures de justice

.

Collecte et licéité des preuves

Nous avons déjà abordé la question de la gestion des preuves dans une procédure de justice (qui, pour une entreprise, est souvent une procédure prud'hommale). Dans ce premier article, nous évoquons la collecte d'une preuve informatique, et le fait que cela ne s'improvise pas. Ce point de vue n'a pas changé.

Nous traitons ici d'un sujet connexe : l'exploitabilité devant un tribunal des éléments collectés.

Lors de nos interventions auprès de nos clients, pour la mise en oeuvre d'élements de sécurité et de supervision/surveillance/détection, nous discutons toujours des contraintes liées aux traitements de données nominatives. Nous considérons qu'il est de notre devoir de conseil d'avertir nos clients sur ces points. Car un système de surveillance, si les utilisateurs entrent dans son champ d'activité, est un système traitant des données nominatives.

C'est particulièrement vrai pour un outil de contrôle ou de traçabilité de la navigation Internet, qui permet de savoir qui va voir quoi et quand. Il en est de même d'un outil suivant l'utilisation de la messagerie, qui permet de savoir qui discute avec qui, sur quel sujet et quand.

Lorsqu'une entreprise envisage une procédure à l'encontre de l'un de ses collaborateurs, qui s'appuierait entre autres sur des données collectées par des outils de supervision, il est critique pour elle de s'assurer que ces données pourront être acceptées par le tribunal.

Cour de cassation, 8 octobre 2014

La chambre sociale de la cour de cassation a rendu récemment un arrêt dénué de toute ambigüité (version complète et version courte, sur Legalis.net).

En résumé, dans ce dossier, une collaboratrice a été licenciée pour un usage personnel excessif de sa messagerie professionnelle.

Cependant, le système de supervision/traçabilité à partir des données duquel l'usage excessif a été caractérisé n'avait pas été déclaré à la CNIL au jour de l'entretien préalable de la collaboratrice. De ce fait, les preuves ont été considérées comme obtenues de façon non-licite, et écartées.

Article 226-16 et suivants...

Trop d'entreprises ignorent encore leurs obligations concernant les traitements de données nominatives qu'elles réalisent. Bien souvent, elles ne se rendent pas compte qu'un certain traitement est un traitement de données nominatives.

De très nombreux outils liés à la sécurité du système d'informations vont induire la production, le stockage et/ou le traitement d'informations nominatives. Selon ce qui est fait, et ce qu'il est envisagé de faire, avec ces données nominatives, nous ne pouvons qu'encourager nos clients à déclarer ces traitements à la CNIL ou, au minimum, à contacter la CNIL pour savoir si une déclaration est nécessaire.

N'hésitez pas à prendre conseil auprès d'avocats spécialisés sur ces sujets.