CE, 9/10 SSR, 11 mai 2015, n°375669

Voici une affaire suffisamment exceptionnelle, un cas d’école pour ainsi dire, qui mérite d’être relevé.

Une entreprise industrielle a demandé à la CNIL l’autorisation de mettre en œuvre un traitement en matière d’infractions pédopornographiques. Cette autorisation lui a été refusée et le Conseil d’État a confirmé cette décision de la CNIL. La société disposait d’autres alternatives pour contrôler l’utilisation d’internet.

Le traitement en question

Le traitement pour lequel l’autorisation a été demandée consistait à rapprocher les consultations de sites internet et les chargements de toute origine opérés à partir des postes informatiques de chacun des salariés avec un fichier d’empreintes numériques correspondant à des contenus pédopornographiques communiqués par les autorités de police. Une alerte devait être déclenchée en cas de coïncidence permettant aux gestionnaires de la base de saisir, le cas échéant, les autorités compétentes d’une infraction suspectée.

Cela constituait bien un traitement de données à caractère personnel, quand bien-même les données étaient cryptées (ce cryptage pouvait être levé), n’étaient pas utilisées et même si la société les collectait « à raison de leur contenu et non leur utilisateur ». Ce traitement était donc soumis à la Loi informatique et libertés.

Les formalités requises

Les traitements relatifs aux infractions, condamnations et mesures de sûreté répondent à un régime particulier. Ils sont soumis à autorisation préalable de la CNIL (article 25-3° de la loi du 01 janvier 1978). De plus, la loi prévoit qu’ils ne peuvent être effectués que par un nombre limité de personnes, à savoir :
 

  • Les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales ;
  • Les auxiliaires de justice, pour les stricts besoins de l’exercice des missions qui leur sont confiées par la loi ;
  • Dans le domaine de la protection du droit auteur et des artistes interprètes, les organismes, représentant et défendant les droits des auteurs, producteur artistes et interprètes.

Il s’agissait donc de savoir si le traitement litigieux entrait dans le champ d’application de cette restriction. Le Conseil d’État répond par l’affirmative: « doivent être regardées comme entrant dans le champ d’application de [l’article 9 de la loi du 06 janvier 1978], non seulement les données relatives aux infractions, condamnations ou mesures de sûreté elles-mêmes, mais également les données qui, en raison des finalités du traitement automatisé, ne sont collectées que dans le but d’établir l’existence ou de prévenir la commission d’infractions, y compris par des tiers ». Par conséquent, la société ne pouvait être habilitée à mettre en œuvre ce traitement.

La société ne contestait pas ne pas être au nombre des personnes mentionnés à l’article 9. Mais elle semblait se fonder sur l’article 25-4° qui soumet également à autorisation (sans les limiter à certaines personnes) « les traitements automatisés susceptibles, du fait de leur nature, leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou règlementaire ». Le Conseil d’État ne retient pas cet argument pour autoriser le droit à la création du traitement, sans toutefois dénier le fait qu’il pouvait également entrer dans le champ d’application de cet article.

Choix surprenant

On peut s’étonner du choix opéré par la requérante. Pour qu’elle raison a-t-elle choisi de mettre en place un traitement aussi spécifique ? Y a-t-il eu des incidents, est-ce pour coopérer avec la police ? En tout état de cause, la loi ne permet pas à l’employeur d’endosser le rôle de justicier et de demander à la police d’utiliser ses propres moyens d’investigation.

Ceci ne revient pas à dire que l’on peut utiliser les moyens de l’entreprise en toute impunité, pour commettre des infractions ou simplement occuper son temps autrement qu’à travailler, ni que les sociétés ne peuvent pas mettre en œuvre des moyens de protection de leur réseaux. Mais il est important d’agir pour un motif légitime en tant qu’entrepreneur et employeur et en utilisant des moyens proportionnels à cet objectif.

Nos équipes spécialisées en données personnelles et droit du travail sont à votre disposition pour vous assister dans le choix et la mise en œuvre des outils adéquats.

Contact : stephanie.faber@squirepb.com