Production en justice d’emails issus d’une messagerie professionnelle non déclarée à la CNIL : distinction de la licéité de la preuve selon la nature de la déclaration du système de messagerie imposée par la CNIL


La CNIL impose la déclaration simplifiée pour la gestion de la messagerie électronique professionnelle qui n’est pas pourvue d’un contrôle individuel de l’activité des salariés (norme n° 46).

En revanche, si la messagerie permet le contrôle individuel de l’activité des employés, la CNIL impose une déclaration normale.

La Cour de cassation s’était prononcée, en 2014, sur la licéité de la preuve issue d’un système qui aurait dû faire l’objet d’une déclaration normale. Par un arrêt du 1er juin 2017, elle vient de se prononcer sur la licéité de la preuve devant faire l’objet d’une déclaration simplifiée si bien que, désormais, la règle est claire.

- L'absence de déclaration simplifiée d'un système de messagerie électronique professionnelle non pourvu d'un contrôle individuel de l'activité des salariés (qui n'est dès lors pas susceptible de porter atteinte à la vie privée ou aux libertés) ne rend pas illicite la production en justice des courriels adressés par l'employeur ou par le salarié dont l'auteur ne peut ignorer qu'ils sont enregistrés et conservés par le système informatique (Cass. soc., 1er juin 2017, n° 15-23.522).

- Les informations collectées par un dispositif de contrôle individuel des flux des messageries avant sa déclaration à la CNIL constituent un moyen de preuve illicite et doivent dès lors être écartées des débats (Cass. soc. 8-10-2014 n° 13-14.991).

Nous vous rappelons que, sous réserve des règles de déclaration énoncées ci-dessus, l’employeur peut en principe consulter librement, et dès lors produire en justice comme moyen de preuve, les courriels issus de la messagerie électronique professionnelle mise à la disposition du salarié pour les besoins de son travail, sauf disposition contraire du règlement intérieur ou sauf si l’intéressé les a identifiés comme personnels. Il peut aussi être lui-même destinataire de mails transmis par le salarié et souhaiter les produire en justice à l'appui d'un tel licenciement.

NB : A compter du 25 mai 2018, le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 va modifier les règles relatives au traitement des données personnelles. Ce règlement marque principalement le passage d’une logique de « formalités préalables » (déclarations, autorisations) à une logique de « conformité » dont les acteurs seront responsables sous le contrôle de la CNIL. Ainsi, les responsables de traitements de données n’auront plus à effectuer de déclarations à la CNIL dès lors que les traitements ne constituent pas un risque pour la vie privée des personnes. En revanche, ils devront d’entrée mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles. Concrètement, ils devront veiller à limiter la quantité de données traitées dès l’embauche et être capables de démontrer cette conformité à tout moment.

(Publiée le 23 juin 2017)



Retour