Logiciel de traçabilité d’un établissement bancaire: moyen de preuve illicite pour contrôler les salariés
- 14 avril 2020
- Cabinet Dalila MADJID
- No comments
Dans un récent arrêt du 11 décembre 2019, publié au bulletin, la Chambre sociale de la Cour de cassation, en adoptant la position des juges du fond, a confirmé qu’il convenait d’écarter des débats les documents résultant d’un moyen de preuve illicite, en l’espèce un outil de traçabilité dénommé « GC45 », utilisé par un établissement de crédit, destiné, initialement, au contrôle des opérations et procédures internes, à la surveillance et la maîtrise des risques, qui permettait aussi de restituer l’ensemble des consultations effectuées par un employé et qui était utilisé par l’employeur afin de vérifier si le salarié procédait à des consultations autres que celles des clients de son portefeuille.
La Cour de cassation s’est fondée sur les dispositions de l’article L. 2323-32 du Code du travail, dans sa version antérieure à la loi n°2015-994 du 17 août 2015, selon lesquelles, le comité d’entreprise est informé et consulté, préalablement à la décision de mise en oeuvre dans l’entreprise, sur les moyens ou les techniques permettant un contrôle de l’activité des salariés.
1- Un moyen de preuve jugé illicite
Dans les faits, un salarié est embauché le 1er octobre 1976 en qualité de prospecteur, puis de formateur, par une caisse régionale d’un établissement bancaire. Convoqué à un entretien préalable à son licenciement et mis à pied à titre conservatoire, le salarié a été licencié pour faute grave le 20 décembre 2012. Il a contesté son licenciement devant la juridiction prud’homale, qui l’a débouté. Il a ensuite interjeté appel du jugement.
L’employeur reprochait à son salarié d’avoir consulté à plusieurs reprises des comptes de 33 clients qui ne faisaient pas partie de son portefeuille entre le 12 juillet 2012 et le 16 octobre 2012. Ces consultations « auraient été détectées suite à une alerte par le logiciel de l’entreprise, de contrôle interne « GC45″, mis en place afin d’assurer la sécurité des données bancaires et une maîtrise des risques ».
L’employeur tentait de démontrer la faute grave de son salarié au moyen de ce logiciel, qui restitue l’ensemble des consultations effectuées par un employé.
Devant la Cour d’appel, le salarié soutenait que ces éléments n’ont pas été recueillis au moyen de preuve licite. En ce que si tout établissement de crédit doit se doter d’un système de contrôle interne à des fins de contrôle des opérations et procédures internes, de surveillance et de maîtrise des risques, un tel outil permet aussi de restituer l’ensemble des consultations effectuées par un employé. « A ce titre, l’employeur qui utilise l’outil de traçabilité afin de vérifier si son salarié procède à des consultations autres que celles des clients de son portefeuille aurait dû informer et consulter le comité d’entreprise sur l’utilisation du dispositif à cette fin, en application de l’article L. 2323-47 du code du travail, ce qu’elle n’a pas fait ».
En effet, si le comité d’entreprise « a bien été informé dès le 28 janvier 2012 de la mise en place de cette traçabilité’, la lecture du procès-verbal de la réunion dudit comité à cette date ne permet pas de retrouver une telle information comme le souligne le salarié. Le salarié soutient aussi que le compte-rendu relatif à la politique de lutte contre la fraude ne donne que des informations générales et aucune sur le contrôle du travail des salariés. Qu’un tel moyen de preuve en ce qu’il est illicite doit donc être écarté. Et que L’employeur échoue dans ces conditions à rapporter la preuve de la faute grave qu’il invoque. Ainsi, le licenciement doit donc être déclaré sans cause réelle et sérieuse et le jugement doit être infirmé en ce sens. Sur la période de mise à pied : Le licenciement étant déclaré sans cause réelle et sérieuse ».
La Cour d’appel a suivi le raisonnement du salarié, en écartant le moyen de preuve jugé illicite et considéré que la preuve de la faute grave n’était pas établie par l’employeur.
L’employeur a formé un pourvoi contre la décision des juges du fond, qui ont jugé le licenciement du salarié dépourvu de cause réelle et sérieuse et qui ont condamné l’établissement de crédit au paiement de diverses sommes.
Selon l’employeur un établissement de crédit est libre, sans avoir à en informer préalablement le comité d’entreprise, d’utiliser un système informatique destiné à assurer la sécurité des données bancaires et une maîtrise des risques, serait-il doté d’un système de traçabilité, pour vérifier si un salarié a procédé à des consultations autres que celles des clients de son portefeuille.
La Cour d’appel a relevé que l’employeur était un établissement de crédit tenu de se doter d’un système interne de vérification des opérations et procédures internes, de surveillance et de maîtrise des risques. Selon les juges du fond « cet « outil » permettait aussi de restituer l’ensemble des consultations effectuées par un employé et que dès lors, l’employeur aurait dû informer et consulter le comité d’entreprise avant d’utiliser le dispositif litigieux pour vérifier si le salarié procédait à des consultations autres que celles des clients de son portefeuille »
Et ce, conformément aux dispositions de « l’article L. 2323-32 du code du travail, antérieur à la loi n° 2015-994 du 17 août 2015, le comité d’entreprise est informé et consulté, préalablement à la décision de mise en oeuvre dans l’entreprise, sur les moyens ou les techniques permettant un contrôle de l’activité des salariés ».
Position qui a été approuvée par la Cour de cassation.
2- Sur la validité d’un procédé de surveillance des salariés
Le présent arrêt rappelle les décisions déjà prises sur l’étendu du contrôle et de la surveillance des salariés par leur employeur.
En effet, si l’employeur a le droit de contrôler et de surveiller l’activité de son personnel durant le temps de travail, il ne peut mettre en oeuvre un dispositif de contrôle qui n’a pas fait l’objet, préalablement à son introduction, d’une information et d’une consultation du comité d’entreprise.
Il a déjà été jugé que constituait un moyen de preuve illicite, l’enregistrement du salarié par le système de vidéo surveillance de la clientèle mis en place par l’employeur, qui est également utilisé par celui-ci, pour contrôler ses salariés sans information et consultation préalables du comité d’entreprise (Chambre sociale 20 sept. 2018, n° 16- 26482; Chambre sociale, 7 juin 2006 n°04-43866; Chambre sociale, 15 mai 2001, Bulletin 2001 ; Chambre sociale, 23 nov. 2005, Bulletin 2005).
Les moyens de contrôle par l’employeur peuvent aussi être étendu aux logiciels destinés à tracer l’activité informatique des salariés, tel que le logiciel Keylogger.
Si l’article L. 2323-32 du Code du travail, antérieur à la loi n° 2015-994 du 17 août 2015 a été remplacé, l’obligation de consultation des instances représentatives du personnel par l’employeur demeure toujours. En effet, les dispositions de l’article L. 2312-38 du Code du travail exigent, pour la mise en place du contrôle de l’activité du salarié, la consultation du comité social et économique, qui a remplacé dorénavant le comité d’entreprise :
« (…)Le comité est informé et consulté, préalablement à la décision de mise en œuvre dans l’entreprise, sur les moyens ou les techniques permettant un contrôle de l’activité des salariés.«
Il est important de rappeler que, lorsque le procédé de surveillance des salariés entraîne un traitement des données personnelles des salariés, celui-ci doit être porté préalablement à leur connaissance et ce, en application des dispositions de l’article L. 1222-4 du Code du travail : »Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance »).
De plus, de nouvelles obligations se sont ajoutées avec le RGPD, qui impose, aux employeurs souhaitant mettre en place un procédé de contrôle de ses salariés, en plus de respecter les principes de finalité, de proportionnalité, de limitation du système de contrôle, le respect des droits des personnes sur leurs données, en prévoyant notamment une analyse d’impact de protection des données (AIPD) qui doit être effectuée lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes. Une délibération de la CNIL donne une liste de types d’opération de traitement pour lesquels l’AIPD n’est pas requise.
Au final, l’employeur doit demeurer transparent avec ses salariés.
Ces derniers doivent être informés, comme le préconise la CNIL, de la mise en œuvre d’un dispositif de surveillance, selon les modalités les plus appropriées en fonction de l’organisation et du fonctionnement de l’entreprise (charte d’utilisation des outils informatiques, note de service, avenant au contrat de travail, mention d’information sur un intranet, courrier d’information joint au bulletin de paye, etc.).
En fonction des technologies que l’employeur peut utiliser pour exercer son contrôle (vidéosurveillance, géolocalisation, écoutes et enregistrements téléphoniques, etc.) des règles particulières peuvent s’appliquer.
En somme, les employeurs doivent demeurer prudent, aussi bien, lorsqu’ils décident de mettre en place un procédé de surveillance des salariés que dans le choix des preuves pour établir l’existence d’une faute grave d’un salarié.
(Cass. Soc. 11 déc. 2019 n°18-11792)
Dalila MADJID
Avocate au Barreau de Paris
Faites un commentaire