Lorsqu’il a recours à des données à caractère personnel issues d’un traitement automatisé de données à caractère personnel pour établir l’existence d’un comportement fautif d’un salarié protégé, l’employeur ne peut utiliser que des données collectées et traitées de manière licite et loyale. En particulier, il doit respecter la finalité assignée au traitement automatisé de données à caractère personnel, telle qu’elle est déclarée auprès de la Commission nationale de l’informatique et des libertés (CNIL) ou, si un correspondant à la protection des données à caractère personnel a été désigné, telle qu’elle figure sur la liste tenue par ce correspondant.

Rapprochement illicite entre deux fichiers

Pour établir les faits de fraude au temps de travail reprochés à une salariée l’employeur n’est pas en droit de comparer les informations issues des ” badgeages ” virtuels lors de l’ouverture et de la fermeture du poste de travail informatique de la salariée avec celles provenant du système de contrôle des accès aux bâtiments et au parking.

Détournement de finalité

Le traitement automatisé des données collectées à partir du système de ” badgeage ” situé à l’entrée des bâtiments n’avait pour seule finalité que le contrôle des accès des locaux et des parkings. Même en présence d’un correspondant informatique et libertés, l’employeur n’est pas dispensé de l’obligation de respecter la finalité qu’il a assigné au fichier en cause dans la déclaration adressée à la CNIL. Pour ce faire, l’employeur aurait dû ajouter à sa déclaration CNIL une finalité de gestion des horaires et de contrôle du temps de présence des salariés.

Moyen de preuve illicite

Par suite, les moyens de preuve utilisés par l’employeur étaient illicites. Au demeurant, la salariée n’avait pas été préalablement informée, conformément aux exigences de l’article L. 1222-4 du code du travail, que ses horaires d’entrée et de sortie des bâtiments et des parkings étaient enregistrés et susceptibles d’être contrôlés.

Rappel sur le principe de finalité

Pour rappel, l’article 6 de la loi du 6 janvier 1978 relative à l’informatique et aux libertés pose le principe que les données sont collectées et traitées de manière loyale et licite ; elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. Télécharger la décision

Laisser un commentaire

Your email address will not be published.

Please fill the required fields*