Voilà un arrêt aussi surprenant que révélateur ! Il témoigne à la fois de la montée en puissance de la loi informatique et libertés dans les relations de travail, et de sa méconnaissance par l’ensemble des acteurs.

Ce qui est surprenant, ce n’est pas le contenu de l’arrêt du 28 novembre en tant que tel, c’est qu’il a fallu un arrêt de la Cour de cassation pour trancher la question de savoir si les entretiens annuels d’évaluation devaient ou non faire l’objet d’une déclaration auprès de la Cnil.

Seul, le sujet de la déclaration auprès de la Cnil retiendra ici notre attention. Selon les termes de l’arrêt de la cour d’appel de Paris : «au vu du dossier d’information constitué par l’employeur, le support de l’entretien annuel est un document manuscrit, établi contradictoirement le jour même de l’entretien individuel comportant des données à caractère personnel dont un exemplaire est remis à l’intéressé et un autre est conservé par la direction de l’AGME».

Le tribunal de grande instance, comme la cour, en a conclu «que dès lors, il constitue à l’évidence un traitement non encore automatisé de données propres à chaque salarié mais appelées à figurer dans un fichier »et que, par conséquent, il devait faire l’objet d’une déclaration simplifiée auprès de la Cnil.

La Cour de cassation juge au contraire qu’en vertu de l’article 22 de la loi informatique et libertés, seuls les traitements automatisés de données à caractère personnel font l’objet d’une déclaration auprès de la Cnil ; par conséquent, dès lors que l’évaluation du personnel ne faisait pas l’objet d’un traitement automatisé, elle décide que la cour d’appel a privé sa décision de base légale, et casse l’arrêt qui faisait interdiction à l’AGME de procéder aux entretiens d’évaluation sans déclaration simplifiée auprès de la Cnil.

À ce stade, il convient de rappeler quel est le champ d’application de la loi informatique et libertés, dans quel cas il est nécessaire de déclarer à la Cnil, et quels sont les critères de la déclaration simplifiée :

CHAMP D’APPLICATION DE LA LOI INFORMATIQUE ET LIBERTéS

Un champ très large

Conformément à l’article 2 de cette loi (L. n° 78-17, 6 janv. 1978, JO 7 janv. mod. par L. n° 2004-801, 6 août 2004, JO 7 août), sont concernés tous les « traitements automatisés de données à caractère personnel», ainsi que tous les «traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers».

Il faut donc :

  • d’une part, qu’il s’agisse de «données à caractère personnel», c’est-à-dire «toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres»;

  • d’autre part, que ces données à caractère personnel fassent l’objet d’un traitement automatisé — autrement dit d’une informatisation — ou, si elles ne sont pas informatisées, qu’elles soient contenues ou appelées à figurer dans un fichier

Le même article 2 de la loi informatique et libertés définit comme fichier «tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés ».

En bref, peu de chose échappe à la loi informatique et libertés ! Relativement aux salariés ou aux candidats à l’emploi, toute collecte, utilisation ou conservation de données à leur sujet rentre dans le champ de cette loi : de l’entrée dans l’entreprise jusqu’à sa sortie, que ce soit à l’occasion du recrutement, de l’embauche, de la paye, de la gestion des ressources humaines, des carrières, en passant par la formation, le contrôle d’activités, la cyber-surveillance ou l’évaluation… tout est traitement de données à caractère personnel.

Quelques exceptions

Seules échappent des données anonymes relatives à des salariés non identifiés et non identifiables (par exemple, un sondage organisé auprès des salariés par voie de questionnaires totalement anonymes) ou encore des données qui, même non anonymes, ne seraient ni informatisées ni non plus conservées ou appelées à être conservées dans un «fichier», c’est-à-dire qui ne feraient pas l’objet d’un classement organisé (par exemple, des prises de notes ou des brouillons qui seraient en vrac).

Le législateur a en effet voulu protéger l’individu vis-à-vis de l’exploitation des données le concernant ; si ces données ne sont pas organisées, alors elles ne sont pas considérées comme exploitables, et elles échappent à la protection offerte par la loi informatique et libertés.

Les conséquences pour l’employeur

Dès lors que l’employeur traite des données qui entrent dans le champ d’application de la loi informatique et libertés — et, on l’a vu, c’est le cas d’à peu près toutes les opérations effectuées sur des données relatives aux salariés — il est tenu par les différentes obligations prévues par cette loi, à savoir notamment : l’obligation d’informer le salarié (cette information doit porter sur la finalité poursuivie par le traitement, le caractère obligatoire ou facultatif des réponses par le salarié, les destinataires des données collectées, les droits du salarié d’accéder à ses données et de les faire rectifier le cas échéant…), l’obligation d’assurer la sécurité et la confidentialité des données, etc.

Toutefois, une des obligations prescrites par la loi informatique et libertés ne concerne que les traitements automatisés : c’est l’obligation de déclaration auprès de la Cnil.

DANS QUELS CAS FAUT-IL DéCLARER À LA CNIL

Le principe

Conformément à l’article 22 de la loi informatique et libertés : «Les traitements automatisés de données à caractère personnel font l’objet d’une déclaration auprès de la Commission nationale de l’informatique et des libertés ».

Cette obligation particulière de déclaration auprès de la Cnil ne vise par conséquent, selon les termes mêmes de la loi, que «les traitements automatisés de données à caractère personnel», les traitements non automatisés n’étant pas visés par l’article 22 1.

L’hypothèse visée par l’arrêt

Or, en l’espèce, le support d’entretien annuel d’évaluation est un document manuscrit, permettant à l’évidence de collecter des données non anonymes sur chaque salarié évalué, et dont un exemplaire était destiné à la direction du personnel :

dès lors, dans la mesure où — encore à l’évidence — ces exemplaires d’entretien annuel sont destinés à être conservés par l’entreprise de manière organisée, c’est-à-dire en vertu d’un mode de classement, il s’agit bien de données à caractère personnel contenues ou appelées à figurer dans un fichier, et donc d’un traitement de données à caractère personnel au sens de la loi informatique et libertés.

Ceci impliquait notamment pour l’employeur, conformément aux prescriptions de cette loi, de procéder à une information des salariés sur les finalités du traitement, le caractère obligatoire ou facultatif des réponses, les destinataires des données, le droit d’accès et de rectification, etc., et de faire porter une mention en ce sens sur le support de collecte, à savoir sur le support d’entretien annuel d’évaluation (les jugements étant muets sur ce point, nous ne savons pas si cette obligation avait été respectée en l’espèce).

En revanche, dès lors que les données à caractère personnel traitées dans le cadre de l’évaluation annuelle ne faisaient pas l’objet d’une informatisation, il ne s’agissait pas d’un traitement automatisé, et dès lors, aucune déclaration à la Cnil n’était requise.

Le tribunal de grande instance ainsi que la cour d’appel ont donc confondu les notions de «traitement», «fichier», et «traitement automatisé» pour juger que la collecte de données sur support papier, et leur conservation dans un fichier au sens de la loi informatique et libertés, devait faire l’objet d’une déclaration auprès de la Cnil pour être licite.

Ils ont également apprécié de manière erronée l’obligation de procéder à une «déclaration simplifiée» auprès de la Cnil, ce qu’il convient également d’expliciter.

LES CRITèRES DE LA DéCLARATION SIMPLIFIéE

Pour le tribunal de grande instance comme pour la cour d’appel, les entretiens d’évaluation devaient faire l’objet d’une « déclaration simplifiée de conformité à la norme n° 46 de la Cnil ».

Un choix de l’employeur

Ce point mérite éclaircissement: en effet, les déclarations simplifiées auprès de la Cnil ne constituent jamais une obligation pour l’entreprise, qui dispose toujours du choix, soit d’effectuer une déclaration normale, soit d’effectuer une déclaration simplifiée.

Même l’arrêt de la Cour de cassation comporte une ambiguïté à cet égard puisqu’il dispose que «les traitements automatisés de données à caractère personnel font l’objet d’une déclaration auprès de la Cnil, et que […], les traitements automatisés relatifs à l’évaluation professionnelle des salariés font l’objet d’une déclaration simplifiée ».

Conformément à l’article 24 de la loi informatique et libertés, la Cnil a la possibilité d’adopter des normes dites «normes simplifiées », pour les catégories les plus courantes de traitements automatisés de données à caractère personnel. Ces normes précisent de manière limitative les conditions auxquelles un traitement automatisé de données à caractère personnel doit répondre (en termes de finalités, de données susceptibles d’être traitées, de destinataires des données, de durée de conservation…) pour pouvoir faire l’objet d’une déclaration simplifiée.

Si le traitement projeté entre dans le cadre fixé par la norme, alors l’employeur à la faculté, plutôt que d’effectuer une déclaration dite «normale» dans laquelle il lui appartient de décrire le traitement projeté, de s’engager simplement à respecter la norme: il procède alors à une déclaration simplifiée.

Une norme simplifiée sur l’évaluation

Depuis janvier 1978, date de l’entrée en vigueur de la loi informatique et libertés, la Cnil a adopté une cinquantaine de normes, dans des secteurs divers, et dont plusieurs concernent les traitements automatisés de données à caractère personnel mises en œuvre par les employeurs : norme n° 42 sur la gestion des contrôles d’accès aux locaux, des horaires et de la restauration, norme n° 47 relative à l’utilisation par les salariés des services de téléphonie fixe et mobile sur les lieux de travail, norme n° 51 sur la géolocalisation des véhicules utilisés par les employés, et norme n° 46 — celle en cause dans le cas d’espèce —, relative aux traitements mis en œuvre par les organismes publics et privés pour la gestion de leurs personnels.

Cette norme n° 46 permet, entre autre, d’effectuer des traitements automatisés portant sur l’évaluation professionnelle de l’employé, sous certaines conditions.

Mais le fait que la Cnil ait adopté une norme simplifiée pour telle ou telle catégorie de traitements, n’impose jamais à l’employeur de choisir la déclaration simplifiée plutôt que la déclaration normale: il lui est toujours loisible, s’il le préfère, d’effectuer auprès de la Cnil une déclaration normale relativement au traitement qu’il met en œuvre.

La Cnil indique d’ailleurs très clairement sur son site Web, à la rubrique «Déclarer»: «Si ce que vous mettez en œuvre est strictement conforme à une des normes simplifiées que la Cnil a établie, vous pouvez effectuer une déclaration simplifiée» (http://www.cnil.fr).

La procédure simplifiée ne constitue par conséquent qu’une faculté, le déclarant étant toujours libre de recourir à la déclaration normale.

Les pièges de la déclaration simplifiée

Il s’agit là d’ailleurs d’un choix stratégique, puisque la déclaration normale donne à l’employeur une marge de manœuvre beaucoup plus grande relativement aux traitements automatisés qu’il est susceptible de mettre en œuvre sur les données du personnel. Au demeurant, une déclaration normale, une fois effectuée auprès de la Cnil, peut par la suite être modifiée, c’est-à-dire évoluer en fonction de l’évolution des traitements automatisés de données dans l’entreprise au cours du temps, ce qui n’est pas le cas d’une déclaration simplifiée. L’article 226-16-1, A, du Code pénal punit de cinq ans d’emprisonnement et de 300000 euros d’amendes, en cas de déclaration simplifiée, le fait de ne pas respecter, y compris par négligence, la norme simplifiée établie par la Cnil.

LES RELATIONS DE TRAVAIL DE PLUS EN PLUS IMPACTéES

En tout état de cause, cette affaire révèle la part grandissante prise par la loi informatique et libertés dans les relations de travail: elle est en effet de plus en plus utilisée par les salariés et par les représentants du personnel à l’encontre de l’employeur.

La sanction par le juge

Ainsi, il est désormais de jurisprudence constante que les enregistrements effectués à l’insu du salarié ou sans déclaration auprès de la Cnil ne sont pas recevables, en tant que preuve de la faute du salarié, devant les juridictions prud’homales. De surcroît, la Cour de cassation a jugé, à propos d’un salarié licencié pour refus réitéré de badger, alors que le traitement automatisé de données effectué dans le cadre du badgage n’était pas déclaré à la Cnil, «qu’à défaut de déclaration à la Cnil d’un traitement automatisé d’informations nominatives concernant un salarié, son refus de déférer à une exigence de son employeur impliquant la mise en œuvre d’un tel traitement ne peut lui être reproché » (Cass. soc., 6 avr. 2004, n° 01-45.227, Bull. civ. V, n° 103, Allied signal industrialFibers).

L’absence de déclaration auprès de la Cnil des traitements automatisés de données sur le personnel a également fait l’objet dans certains cas de poursuites pénales. Ainsi, dans une affaire d’évaluation du personnel sur tableau Excel, le comité central d’entreprise ainsi que le syndicat.

1. Le législateur a prévu quelques exceptions au principe selon lequel les traitements non automatisés ne font pas l’objet d’une déclaration auprès de la Cnil ; selon l’article 25 de la loi informatique et libertés, une entreprise est soumise à demande d’autorisation auprès de la Cnil pour les traitements « automatisés ou non » portant sur des données relatives aux infractions, condamnations ou mesures de sûreté ou comportant le numéro de sécurité sociale (en dehors des cas de traitement de paye du personnel ou de relation avec les organismes de sécurité sociale où l’employeur est d’ores et déjà habilité à utiliser ce numéro) ; le transfert de données à caractère personnel vers un état non-membre de la communauté européenne est également soumis dans la plupart des cas à autorisation préalable de la Cnil, sans que l’informatisation des données transférées constitue une condition de la soumission à autorisation (L. n° 78-17, art. 69)

CGT ont obtenu la condamnation en première instance du directeur des ressources humaines, pour défaut de déclaration auprès de la Cnil et manquement à la sécurité des données traitées (il n’existait pas de mot de passe interdisant aux personnes non habilitées d’accéder aux informations, et des fiches imprimées avaient été jetées dans la corbeille à papier sans avoir été préalablement broyées ou rendues illisibles), et, en appel, la condamnation de l’entreprise en tant que personne morale à une amende de 7500 euros pour les mêmes faits (CA Versailles, 7e ch., 6 oct. 2003, Alstom Power Boilers).

Enfin, comme dans le cas d’espèce, la loi informatique et libertés est de plus en plus utilisée dans le cadre d’assignations en référé ou au fond, afin d’obtenir l’interdiction pour l’employeur de mettre en œuvre des systèmes de contrôles d’activité des salariés sans en avoir fait la déclaration préalable auprès de la Cnil, ou sa condamnation à des dommages et intérêts (pour un exemple de condamnation au fond: TGI Lille, 1re ch., 5 janv. 2006, CGT Rhodia c/Rodhia Intermédiaires SAS, concernant un système de vidéosurveillance, et pour un exemple d’ordonnance en référé : TGI Paris, 1re ch. sect. soc., 4 avr. 2006, Sud Télécom Paris c/SA France Télécom, concernant un dispositif d’écoutes téléphoniques des téléopérateurs).

La sanction par la Cnil

La Cnil participe activement à cette montée en puissance de la loi informatique et libertés dans les relations de travail : elle a publié sur son site web un «Guide pratique pour les employeurs», ainsi que de nombreuses fiches reprenant les obligations des employeurs du fait de la loi informatique et libertés dans de nombreux domaines (ressources humaines, surveillance des salariés, téléphonie, discrimination, alertes professionnelles, géolocalisation…). La Cnil instruit également, dans le cadre des pouvoirs de contrôle et de sanctions qui lui sont conférés par la loi, les plaintes dont elle est saisie à ce sujet : ainsi, elle a rappelé en avril 2007, à l’occasion de plaintes pour refus opposé par un employeur pour refus de communication à ses cadres de leur classement annuel ranking») et de leur potentiel de carrière, que ces données d’évaluation professionnelle sont communicables aux salariés concernés au titre de leur droit d’accès (Communiqué de la Cnil du 13 avril 2007 : « Les salariés peuvent consulter leurs données d’évaluation professionnelle »).

LE TEXTE DE L’ARRET

Attendu, selon l’arrêt attaqué, que l’association pour la gestion du groupe Mornay Europe (AGME) employant 2300 salariés a, en juin 2005, saisi pour consultation le comité d’entreprise d’un projet d’évaluation du personnel au moyen d’entretiens annuels; que ce dernier ainsi que le comité d’hygiène, de sécurité et des conditions de travail (CHSCT) et des organisations syndicales ont saisi le juge des référés pour qu’il soit fait défense à l’employeur de mettre en œuvre le projet tant que le CHSCT n’aurait pas été consulté et tant que le traitement des données à caractère personnel recueillies au cours de ces entretiens n’aurait pas fait l’objet d’une déclaration auprès de la Commission nationale de l’informatique et des libertés (Cnil); Sur le second moyen;

Attendu que l’AGME fait grief à l’arrêt de lui avoir fait interdiction de mettre en application le projet concernant les entretiens annuels d’évaluation des salariés tant qu’elle n’aura pas recueilli l’avis du CHSCT et transmis cet avis au comité d’entreprise, alors, selon le moyen :

1° qu’un simple risque de tension, de stress ou de pression psychologique imputé par l’arrêt à la pratique courante des entretiens d’évaluation n’est pas de nature à compromettre la santé physique ou mentale des travailleurs au sens de l’article L. 236-2, alinéa l, de sorte que viole ce texte par fausse application, l’arrêt qui décide que la mise en œuvre du projet relevait des compétences du CHSCT;

2° que la consultation préalable du CHSCT n’est obligatoire que dans le cas où la décision de l’employeur concerne un aménagement important modifiant les conditions d’hygiène et de sécurité ou les conditions de travail ; que le fait pour un employeur d’évaluer le travail des salariés placés sous son autorité est inhérent à la relation de travail ; que dès lors, la décision d’instituer un cadre objectif et transparent à ce processus d’évaluation en mettant en place des entretiens individualisés des salariés ne constitue pas un aménagement important des conditions de travail, de sorte qu’en décidant du contraire et en jugeant que la mise en oeuvre de ce projet nécessitait de la part de l’AGME la consultation préalable du CHSCT cumulativement avec celle du comité d’entreprise, la cour d’appel a violé l’article L. 236-2, alinéa 7 du Code du travail ;

3° que le juge ne peut s’immiscer dans le pouvoir de direction de l’employeur; qu’en l’espèce, l’AGME avait prévu d’écarter toute incidence directe entre les entretiens annuels d’évaluation et les décisions concernant la rémunération des salariés ; qu’en décidant cependant que le projet envisagé aurait comporté un lien «nécessaire» et «évident» sur la rémunération du salarié, la cour d’appel a substitué son appréciation à celle de l’employeur quant au contenu et à la portée de ce projet et a ainsi méconnu son office, violant de plus fort les dispositions de l’article L. 236-2 du Code du travail ;

4° que l’article L. 236-2 ne retient l’incidence éventuelle sur la rémunération des travailleurs que dans le cas où celle-ci est consécutive à une modification des cadences et des normes de productivité et que viole dès lors, par fausse application, ce texte, l’arrêt qui estime que l’incidence éventuelle du projet de l’AGME sur la rémunération suffirait, à elle seule et en l’absence de ces autres éléments, à rendre obligatoire la consultation du CHSCT;

Mais attendu qu’ayant relevé que les évaluations annuelles devaient permettre une meilleure cohérence entre les décisions salariales et l’accomplissement des objectifs, qu’elles pouvaient avoir une incidence sur le comportement des salariés, leur évolution de carrière et leur rémunération, et que les modalités et les enjeux de l’entretien étaient manifestement de nature à générer une pression psychologique entraînant des répercussions sur les conditions de travail, c’est sans encourir les griefs du moyen que la cour d’appel a exactement décidé que le projet de l’employeur devait être soumis à la consultation du CHSCT chargé, par application de l’alinéa 1 de l’article L. 236-2 du Code du travail, de contribuer à la protection de la santé des salariés; que le moyen n’est pas fondé ;

Mais sur le premier moyen, pris en sa troisième branche : Vu l’article 22 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, et les articles 1er et 3 de la norme simplifiée n° 46 adoptée par la Cnil le 13 janvier 2005, modifiée le 17 novembre 2005;

Attendu que, selon le premier de ces textes, les traitements automatisés de données à caractère personnel font l’objet d’une déclaration auprès de la Cnil, et que, en vertu des seconds, les traitements automatisés relatifs à l’évaluation professionnelle des salariés font l’objet d’une déclaration simplifiée ;

Attendu qu’en faisant interdiction à l’AGME de mettre en application le projet d’entretiens annuels d’évaluation de ses salariés tant que le traitement des données à caractère personnel recueillies au cours de ces entretiens n’aura pas fait l’objet d’une déclaration auprès de la Cnil sans constater que ces données sont destinées à faire l’objet d’un traitement automatisé, la cour d’appel a privé sa décision de base légale au regard des textes susvisés.[…]

Cass. soc., 28 nov. 2007, n° 06-21.964 P + B + R

Publication / Source: Semaine sociale Lamy

Auteurs

Mole-Ariane

Ariane Mole

Partner
France

Me joindre +33 (0)1 42 68 6000