Un correspondant à la protection des données (CIL) peut être licencié sans l’avis de la CNIL en raison de ses agissements et de ses manquements à son obligation générale de loyauté (mais non pour non-respect de ses obligations de CIL).

Pour mémoire, le décret du 20 décembre 2015 prévoit la saisine de la CNIL, pour avis, précédant la rupture du contrat de travail du CIL dès lors que celle-ci est envisagée pour un motif tenant à manquement du salarié aux devoirs de sa mission en tant que correspondant à la protection des données, telles qu’elles sont décrites aux termes du guide pratique de la CNIL ou aux termes de son contrat de travail, à savoir, notamment, tenir la liste des traitements et assurer son accessibilité. Dans tous les cas il convient que l’employeur justifie avoir informé la CNIL du départ du salarié par lettre recommandée.  

Au sens des articles 22-III de la loi informatique et libertés et 52 à 55 de son décret d’application du 20 octobre 2005, le correspondant n’est pas un salarié protégé au sens des dispositions du Code du travail.

Un statut spécifique d’indépendance

Toutefois, il bénéficie d’un statut spécifique d’indépendance, dont l’un des effets est que le responsable des traitements ne peut mettre fin à l’exercice de ses fonctions sans en informer la CNIL. La fin de mission du CIL est ainsi encadrée, tant par la loi Informatique et Libertés que par son décret d’application.

Pour chacune des hypothèses de fin de mission du CIL, un formalisme particulier doit être respecté. En outre, la fin de mission du CIL aura des conséquences distinctes pour l’organisme, selon qu’il procède ou non à la désignation d’un nouveau correspondant

La fin de mission du CIL peut intervenir pour différentes raisons. La plupart du temps, le correspondant est :

• soit « démissionnaire » : il décide de mettre fin à ses fonctions de CIL, tout en conservant les autres fonctions qu’il exerce au sein de l’organisme, il part à la retraite ou démissionne de l’organisme.

• soit « déchargé de ses fonctions » pour des raisons indépendantes de tout manquement à l’exercice de ses missions particulières : il change de fonction au sein de l’organisme et ce changement a pour effet de l’empêcher de poursuivre ses activités de CIL (mutation, promotion, …) ; il fait l’objet d’une procédure de licenciement au titre des autres fonctions qu’il exerce au sein de l’organisme.

Dans toutes ces hypothèses, il appartient au responsable des traitements de notifier à la CNIL la fin de mission du CIL, par lettre remise contre signature ou par voie électronique avec accusé de réception. Le courrier doit mentionner le motif de la démission ou de la décharge du correspondant.

De plus, la preuve doit être apportée que ce dernier a bien été averti de la décision du responsable des traitements. Celui-ci doit ainsi joindre le justificatif de la lettre informant le CIL qu’il est mis fin à ses fonctions (un accusé de réception est suffisant).

La fin de mission du correspondant revêt un caractère officiel huit jours après la date de réception par la CNIL de sa notification.

Le cas particulier de la « décharge du CIL pour manquement à ses missions »

La loi et son décret d’application distinguent deux hypothèses : la décharge du CIL à la demande du responsable des traitements et la décharge du CIL à l’initiative de la CNIL.

Une telle décharge doit être justifiée par un manquement grave, personnellement imputable au CIL et relevant directement de l’exercice de ses missions. Elle doit en outre obéir à un formalisme renforcé pour que soient préservés les « droits de la défense » du correspondant.

La décharge du CIL à l’initiative du responsable des traitements

Lorsque le responsable des traitements constate que son correspondant a manqué aux devoirs de sa mission (ex. : non tenue du registre des traitements alors qu’il disposait à la fois du temps, des moyens et des informations nécessaires pour y procéder), il peut décider de le décharger de ses fonctions pour faute.

Il doit alors saisir la CNIL pour avis, par lettre recommandée avec accusé de réception, mentionnant les manquements graves qu’il impute au CIL.

Le responsable des traitements doit en outre informer le correspondant dans les mêmes formes, en lui indiquant qu’il peut adresser ses observations à la Commission. A compter de la date de réception du courrier de saisine, la CNIL dispose d’un délai d’un mois, renouvelable une fois sur décision motivée de son président, pour entendre les arguments du CIL et rendre son avis.

La décharge du CIL à l’initiative de la CNIL

Lorsqu’elle constate qu’un correspondant a manqué aux devoirs de sa mission, la CNIL peut également être à l’initiative de sa décharge. Avant de procéder à une demande en ce sens auprès du responsable des traitements, elle doit adresser au CIL une lettre recommandée avec accusé de réception, l’invitant à lui fournir ses observations sur les griefs dont elle fait état.

Dans ces deux hypothèses, si la procédure débouche sur la décharge du correspondant, le responsable des traitements aura le choix de désigner ou non un nouveau CIL.

____________________________________________________________________________________________________________________________

REPUBLIQUE FRANCAISE

AU NOM DU PEUPLE FRANCAIS

COUR D’APPEL DE PARIS

Pôle 6 – Chambre 8

ARRÊT DU 01 JUILLET 2020

Numéro d’inscription au répertoire général : N° RG 17/13300 – N° Portalis 35L7-V-B7B-B4LUL

Décision déférée à la Cour : Jugement du 29 Octobre 2015 -Conseil de Prud’hommes – Formation paritaire de PARIS – RG n° 13/14753

APPELANT

Monsieur D X

[…]

[…]

Représenté par Me Emmanuel WALLE de la SELAS ALAIN BENSOUSSAN SELAS, avocat au barreau de PARIS, toque : E0241

INTIMÉE

GIE GROUPEMENT DE PERSONNELS ET DE SERVICES

[…]

[…]

Représentée par Me Nicolas BILLON de la SELARL SIMON ASSOCIES, avocat au barreau de PARIS, toque : P0411

COMPOSITION DE LA COUR :

En application :

— de l’article 4 de la loi n° 2020-290 du 23 mars 2020 d’urgence pour faire face à l’épidémie de covid-19;

— de l’ordonnance n° 2020-304 du 25 mars 2020 portant adaptation des règles applicables aux juridictions de l’ordre judiciaire statuant en matière non pénale et aux contrats de syndic de copropriété, notamment ses articles 1er et 8 ;

— de l’ordonnance n° 2020-306 du 25 mars 2020 modifiée relative à la prorogation des délais échus pendant la période d’urgence sanitaire et à l’adaptation des procédures pendant cette même période ;

L’affaire a été retenue selon la procédure sans audience le 19 mai 2020, les avocats y ayant consenti expressément ou ne s’y étant pas opposés dans le délai de 15 jours de la proposition qui leur a été faite de recourir à cette procédure;

La cour composée comme suit en a délibéré :

Mme Sophie GUENIER-LEFEVRE, présidente

M. Benoît DEVIGNOT, conseiller,

Mme Corinne JACQUEMIN, conseillère

ARRÊT :

— contradictoire

— par mise à disposition de l’arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile.

— signé par Madame Sophie GUENIER-LEFEVRE, présidente et par Madame Nolwenn CADIOU, greffier à laquelle la minute de la décision a été remise par le magistrat signataire.

EXPOSÉ DU LITIGE

Par contrat à durée indéterminée du 6 décembre 2010, Monsieur D X a été engagé par le GIE Groupement de Personnels et de Services (GIE GPS), en qualité de responsable contrôle interne et sécurité du système d’information.

Aux termes d’un avenant à son contrat de travail du 23 février 2011, le salarié a été nommé aux fonctions de chef de projet senior ‘ contrôle interne et sécurité du système d’information.

La convention collective de la mutualité s’appliquait à la relation de travail.

Par lettre du 14 mars 2013, le salarié était convoqué à un entretien préalable en vue de son licenciement, tenu le 26 mars suivant et se voyait notifier une mise à pied à titre conservatoire.

Le 5 avril 2013, il était licencié pour faute grave.

Contestant la mesure prise à son encontre, M. X a saisi le conseil de prud’hommes de Paris le 4 octobre 2013 qui par un jugement du 29 octobre 2015 l’a débouté de l’ensemble de ses demandes.

Le 2 mars 2016, il interjetait appel de cette décision.

Aux termes de ses dernières écritures notifiées le 4 septembre 2019 et soutenues oralement à l’audience, M. X demande à la cour d’infirmer le jugement déféré en déclarant le licenciement dont il a fait l’objet sans cause reelle et se’rieuse et au surplus brutal et vexatoire, de condamner le GIE G.FAà lui verser les sommes de :

—  52 487 euros à titre de dommages et intérêts en réparation du préjudice subi du fait du licenciement sans cause re’elle et sérieuse ;

—  5 626 euros à titre d’indemnité de licenciement ;

—  15 069 euros à titre d’indemnité compensatrice de préavis ;

—  1 507 euros à titre d’indemnité compensatrice de congés payés sur préavis ;

—  3 831 euros à titre de rappel de salaire pour la durée de la mise à pied non re’munérée du 14 mars 2013 au 5 avril 2013 ;

—  29 010 euros à titre de dommages et intérêts en réparation du préjudice résultant du caractère brutal et vexatoire de la mesure de licenciement ;

—  14 506,80 euros à titre de dommages et intérêts en réparation du préjudice résultant de la violation du statut protecteur lié à la perte de ses fonctions de correspondant informatique et libertés ;

—  4 835 euros à titre de dommages et intérêts en réparation du préjudice résultant de l’absence d’information de son droit à la portabilité de l’assurance complémentaire santé et prévoyance ;

—  2 000 euros au titre de l’article 700 du code de procédure civile et les dépens.

Dans ses dernières conclusions notifiées le 11 décembre 2019 et soutenues oralement à l’audience, le GIE GPS requiert de la cour, à titre principal, la confirmation du jugement entrepris et le débouté de toutes les demandes de M. X et, à titre subsidiaire, de juger que le licenciement repose sur une cause réelle et sérieuse et limiter les condamnations au paiement des sommes suivantes :

—  3.831 euros bruts au titre de la mise à pied à titre conservatoire ;

—  14.466,96 euros bruts à titre d’indemnité compensatrice de préavis ;

—  1.446,96 euros bruts au titre des congés payés y afférent ;

—  5.626,04 euros à titre d’indemnité conventionnelle de licenciement.

À titre infiniment subsidiaire, l’intimée sollicite que l’indemnité pour licenciement sans cause réelle et sérieuse soit limitée à 28.933,92 euros et qu’en tout état de cause, M. X soit condamné à payer la somme de 3.500 euros au titre de l’article700 du code de procédure civile.

Dans le cadre des dispositions des ordonnances du N°2020-304 du 25 mars 2020 et N° 2020 -595 du 20 mai 2020, cette affaire a été retenue avec l’accord exprès des avocats représentant les parties selon la procédure sans audience.

Il convient de se reporter aux énonciations de la décision déférée pour un plus ample exposé des faits et de la procédure antérieure et aux conclusions susvisées pour l’exposé des moyens des parties devant la cour.

SUR QUOI

Sur le licenciement

La faute grave, dont la charge de la preuve de la réalité des faits, de leur gravité et de leur imputabilité au salarié, pèse sur l’employeur, est la faute qui résulte d’un fait ou d’un ensemble de faits imputable au salarié qui constitue une violation des obligations résultant du contrat de travail ou des relations de travail d’une importance telle qu’elle rend immédiatement impossible le maintien du salarié dans l’entreprise.

Il résulte des termes de la lettre de licenciement, datée du le 5 avril 2013, qui fixent les limites du litige et servent de base à son contrôle, qu’il est reproché à M. X d’avoir, afin de couvrir un acte de piratage d’une boîte email d’un employé de l’entreprise, procédé à l’effacement de fichiers

informatiques constitués des logs de contrôle qui auraient permis de confondre le véritable auteur de l’envoi d’un email litigieux en s’introduisant dans la nuit du 12 au 13 mars sur le serveur général afin d’accéder ainsi à l’ensemble des boites aux lettres électroniques de la société en étant connecté au re’seau informatique de la Société de chez lui via un réseau virtuel privé ( Virtual Private Network :VPN).

Il est aussi mentionné que le 14 mars 2013 au soir, son compte utilisateur et son ordinateur, pourtant désactivés depuis sa mise à pied signifiée le même jour en fin de matinée lors d’un entretien avec M. P. Yet M. P. H été réactivés, son « logon » étant alors utilisé avec son code confidentiel pour effacer des fichiers, cela n’ayant pu être réalisé qu’avec la collaboration interne d’un des salariés de la Direction des Systèmes d’Information afin de maquiller la trace des agissements du 12 mars puisque la réactivation de son compte et de sa machine laisse apparaitre que la seule activité réalisée a consisté à détruire des données présentes sur son ordinateur.

M. X fait grief aux premiers juges d’avoir retenu des éléments produits par le GIE G.FS. alors qu’ils étaient de’pourvus de force probante et s’être contenté de relever qu’il n’avait pas contesté avoir été connecté au réseau du GIE G.FS. au moment des faits litigieux,

Il ajoute que le doute doit lui profiter.

Il fait valoir que l’analyse « forensique » illustre des captures d’écran qui sont illisibles.

Il est constant que Monsieur X était habilité à se connecter à distance au serveur et qu’il avait participé à la mise en place du plan de sauvegarde informatique de l’entreprise.

Si cela ne prouve effectivement en rien qu’il est l’auteur des suppressions litigieuses, sa déclaration de main courante du 8-4-2013 et le fait d’avoir sollicité la Brigade d’enquête sur les fraudes aux technologies de l’information (Befti) ainsi que son fournisseur d’accès à internet, aux fins d’obtenir des éléments sur un éventuel piratage de la connexion à partir de son domicile ne démontrent pas le contraire, ce d’autant que ces saisines n’ont donné lieu à aucune suite permettant d’établir qu’il aurait été victime d’un tel piratage et qu’il ne serait pas l’auteur du maintien de la connexion du 12 mars jusque dans la nuit et de la suppression des fichiers.

Or, la connexion internet du poste de M. X via son VPN est établie par l’employeur qui verse au débat un rapport non conesté qui démontre que M. X a envoyé un email à M. C. via cette connexion le 12 mars 2013 à 21h 02 (pièce n°63) et que celle-ci n’a subi aucune interruption jusqu’à 3h38 du matin (identification de l’adresse IP, de son logon, de son user, de son ordinateur et de sa box à Choisy le Roi) (pièce n°28 page 4 et n°28 bis).

Dès lors que dans la même nuit du 12 au 13 mars, à 3h20, il y a eu suppression de l’historique des logs de connexion au serveur (logs pourtant conservés sur le serveur de secours au 54 rue de Courcelles), dans le but de faire disparaître toutes les preuves de logs sur le réseau et d’intrusions dans le serveur et par voie de conséquence de trace du piratage de la boîte messagerie de M. V. le 11 mars 2013, l’employeur établit un lien entre la connexion de M. X à la même heure et la suppression en litige.

Ce lien est confirmé par l’intervention de M. S., ami de M. X après la mise à pied de celui-ci et lorsqu’il était lui-même suspecté d’avoir été l’auteur du piratage initial de la messagerie de M. V. le 11 mars 2013.

En effet, le GIE GPS prouve que M. S. a relancé le système de secours et ce, en utilisant son compte utilisateur ADM-k… s…., le 14 mars 2013 à 18h47, (pièce n°2 page 5 agrandie pièce n°28 bis page 4). Cette relance a eu pour effet de détruire les logs antérieurs conservés.

C’est ainsi d’ailleurs que dans le cadre du litige qui a opposé M. S. Au GIE GPS lors de son licenciement, la Cour d’Appel de Paris a relevé, aux termes de sa décision définitive déboutant M. Ade ses demandes que « l’employeur fait observer à juste titre que si des éléments permettaient de penser que M. S. était impliqué dans le piratage de cette boite, tout doute a été levé avec les évènements suivants et notamment les destructions (la suppression historique des logs les 12 et 13 mars 2013, la réactivation du serveur enregistrant une copie de secours permettant seule la suppression des logs copiés sur ce serveur par une intervention de M. Anon contestée, la suppression des fichiers du poste de M. X après la mise à pied de celui-ci et la déconnexion de son poste nécessitant une intervention interne d’une personne connaissant le mot de passe de M. X ) ; que de plus, le jour de l’intervention sur le poste de M. X , M. S. n’a pas badgé le soir du 14 mars 2013 et les courriels produits et les surnoms donnés entre eux depuis 2011 établissent des rapports très amicaux entretenus par M. X et M. S.».

Dès lors, M. X ne peut utilement faire valoir que l’analyse « forensique » ne mentionne pas l’existence de sa connexion à distance dès lors que l’expert explique qu’en analysant les disques des postes de l’appelant il arrive à la conclusions que le poste DELL est totalement vierge et qu’il semblerait en conséquence qu’il ait subi « un formatage bas niveau ». Or, il est établi que les données du poste de M. X ont effectivement été effacées par l’intervention de M. S. dans les conditions indiquées ci-dessus . En tout état de cause la connexion en cause n’est pas contestée par l’appelant .

En tout état de cause, la connexion de M. X depuis son domicile le 12 mars 2013 n’est pas contestée puisqu’il reconnaît avoir communiqué avec M. C. et qu’il ne s’explique pas sur la raison pour laquelle la déconnexion a eu lieu quelques minutes après l’effacement des logs en cause.

Les observations faîtes par M. X sur la base du rapport de M. C, dont il évoque la qualité d’expert de justice informatique, ne sont pas de nature à remettre en cause l’existence de la connexion du poste de M. X et de la suppression des logs à partir de son poste dès lors que le technicien ne fait que s’interroger sur le point de savoir s’il s’agit d’une anomalie du système qui serait déjà intervenue mais ne donne aucune indication sur ce genre d’anomalie, laquelle ne peut être retenue dès lors qu’il s’agit d’un effacement total et volontaire et ce, précisément des logs concernant le jour de l’envoi du mail de la boite de M. V.

Enfin s’agissant de la connexion de M. X , la capture d’écran de la pièce n°28 bis ne peut être considérée comme illisible la cour étant en mesure de déterminer qu’elle correspond à un agrandissement de la capture d’écran de la pièce n°28.

Il résulte de tout ce qui précède que l’employeur apporte la preuve de ce que la suppression de l’historique des logs du 11 mars 2013 a été effectuée par M. X depuis sa connexion à distance , dix minutes avant la déconnexion de son poste.

Au regard des fonctions de M. X, responsable du contrôle interne et de la sécurité du système d’information, ce fait constitue une faute grave du salarié justifiant son licenciement, rendant impossible immédiatement son maintien dans l’entreprise.

Dès lors le caractère brutal et vexatoire du licenciement ne peut être retenu et le jugement sera confirmé en ce qu’il a débouté M. X de l’intégralité des demandes présentées au titre de la rupture de son contrat de travail .

Sur la saisine préalable de la CNIL

M. X reproche à l’employeur de ne pas avoir recueilli, préalablement à son licenciement, l’avis de la Commission nationale de l’informatique et des libertés (CNIL).

Il fait valoir que les faits qui lui étaient imputés constituaient un manquement aux devoirs de sa mission de CIL( correspondant informatique et libertés), qui consistait notamment à « veiller au respect de la loi Informatique et libertés au sein de Groupe Pasteur Mutualité » et à « jouer un rôle de conseil, de recommandation et d’alerte » auprès des responsables de traitement.

L’article 53 du décret du 20 décembre 2015 prévoit la saisine de la CNIL, pour avis, précédant la rupture d’un contrat de travail dès lors que celle-ci est envisagée pour un motif tenant à manquement du salarié aux devoirs de sa mission en tant que correspondant à la protection des données, telles qu’elles sont décrites aux termes du guide pratique de la CNIL (pièces n°46 et n°47) ou aux termes de son contrat de travail (pièces n°1 et n°2), à savoir, notamment, tenir la liste des traitements et assurer son accessibilité.

Le licenciement de M. X ayant été prononcé en raison de ses agissements et de ses manquements à son obligation générale de loyauté et non pour non respect de ses obligations de CIL, il ne résulte pas du texte susvisé que la CNIL aurait dû être consultée.

Il convient au surplus de souligner que l’employeur justifie avoir informé ladite commission du départ du salarié par lettre recommandée du 17 avril 2013.

Le jugement déféré sera en conséquence confirmé sur ce point en ce que les premiers juges ont débouté M. X de sa demande de dommages et intérêts pour avoir été privé de la garantie prévue par son statut protecteur.

Sur les mesures accessoires

Succombant dans le cadre de son recours M. X sera condamné aux dépens d’appel et à payer au GIE GPS la somme de 1000 euros au titre de l’article 700 du code de procédure civile.

PAR CES MOTIFS

La Cour,

CONFIRME en tous points le jugement rendu par le conseil de prud’hommes de Paris le 29 octobre 2015.

Ajoutant,

CONDAMNE M. D X à payer au GIE Groupement de Personnels et de Services la somme de 1000 euros au titre de l’article 700 du code de procédure civile.

CONDAMNE M. D X aux dépens d’appel.

LE GREFFIER LA PRÉSIDENTE

Laisser un commentaire

Your email address will not be published.

Please fill the required fields*