Victime d’un incident de sécurité ?

Vous êtes victime d’un incident de sécurité ? Contactez notre CERT

10/04/2023

Cybersecurity Insights

RGPD : commentaire de la décision de la Cour de Cassation du 8 mars 2023

Dans un arrêt du 8 mars 2023 (21-12.492), la chambre sociale de la Cour de cassation a fait primer le droit à la preuve sur le droit à la protection des données à caractère personnel, dans le cadre d’un litige prud’homal.

Après avoir été licenciée et estimant avoir subi une inégalité salariale par rapport à certains de ses collègues masculins ayant occupé un poste similaire au sien, une salariée a saisi la juridiction prud’homale en référé, sur le fondement de l’article 145 du code de procédure civile. Cet article permet au juge d’ordonner, à la demande de tout intéressé, les mesures permettant de conserver ou d’établir avant tout procès la preuve de faits dont pourrait dépendre la solution d’un litige. Dans cette affaire, les juges avaient ainsi ordonné à l’employeur de communiquer à la salariée les bulletins de paie de huit salariés, avec occultation des données personnelles, à l’exception des noms et prénoms, de la classification conventionnelle, de la rémunération mensuelle détaillée et de la rémunération brute totale cumulée par année civile. Ces éléments devaient permettre à la salariée d’établir la preuve, par comparaison, de l’inégalité salariale dont elle s’estime victime.

L’employeur a contesté la décision devant la Cour de cassation, en se fondant sur deux points.

D’une part, il faisait valoir que le juge ne peut prononcer, en application de l’article 145 du code de procédure civile, que des « mesures d’instruction légalement admissibles ». Or, la communication des bulletins de paie serait selon lui contraire au RGPD et notamment à son article 5. Selon les principes posés à cet article, les données à caractère personnel doivent en effet être collectées par le responsable de traitement (ici, l’employeur) pour des finalités déterminées, explicites et légitimes. Elles doivent ensuite être traitées de manière compatible avec ces finalités, mais également de manière licite, loyale et transparente à l’égard de la personne concernée, de façon à garantir un niveau de sécurité adapté permettant leur confidentialité et leur intégrité. Enfin, les données doivent être conservées sur une durée strictement nécessaire au regard de ces finalités.

Or, le fait de communiquer à la salariée des bulletins de paie de huit autres salariés, laissant apparaître leurs noms et prénoms ainsi que leurs rémunérations détaillées, s’inscrit dans un but très différent de la finalité légale pour laquelle les ressources humaines les avaient collectées. Par ailleurs, l’employeur estime que le juge n’a édicté aucune garantie de sécurité, de confidentialité et de limitation de la durée de conservation.

D’autre part, l’employeur faisait valoir que le droit à la preuve ne peut justifier la production d’éléments portant atteinte à la vie privée qu’à la condition que cette production soit indispensable à l’exercice de ce droit et que l’atteinte à la vie privée des salariés concernés soit proportionnée au but poursuivi.

Or, la salariée était selon lui en mesure de présenter d’autres éléments de fait susceptibles de laisser présumer l’existence de la discrimination dont elle s’estime victime.

Néanmoins, la Cour de cassation rejette ces arguments. Elle rappelle d’abord que, selon le considérant 4 du RGPD, le droit à la protection des données à caractère personnel n’est pas un droit absolu et doit être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité.

La Cour de cassation rappelle ensuite que le droit à la preuve peut justifier la production d’éléments portant atteinte à la vie personnelle à la condition que cette production soit indispensable à l’exercice de ce droit et que l’atteinte soit proportionnée au but poursuivi. Elle donne alors raison à la cour d’appel, qui a jugé que la communication des bulletins de paie des huit autres salariés, bien qu’ils portent atteinte à la vie personnelle de ces derniers, était « indispensable à l’exercice du droit à la preuve et proportionnée au but poursuivi, soit la défense de l’intérêt légitime de la salariée à l’égalité de traitement entre hommes et femmes en matière d’emploi et de travail ».

Si l’on peut déduire de sa solution que la Cour de cassation fait primer le droit à la preuve sur le droit à la protection des données personnelles, elle n’indique pas, en revanche, en quoi l’atteinte était proportionnée en l’espèce. Faut-il y voir une affirmation générale de la primauté du droit à la preuve sur le droit à la protection des données personnelles ? Il sera intéressant de suivre les affaires similaires sur lesquelles la Cour de cassation pourrait se prononcer à l’avenir.

Le Conseil d’Etat, dans une décision du 8 février 2023 (n°455887), avait plutôt préservé le droit à la protection des données personnelles en refusant aux patients de connaître l’identité des personnes ayant accédé à leur dossier médical.

La Cour de cassation semble en réalité reprendre la solution rendue par la Cour de justice de l’Union européenne (CJUE) dans un arrêt du 2 mars 2023 (C 268/21). En effet, après avoir rappelé que les juridictions nationales doivent garantir la protection des personnes physiques à l’égard du traitement des données à caractère personnel, elle énonce toutefois que, selon le considérant 4 du RGPD, ce droit n’est pas un droit absolu mais doit être mis en balance avec d’autres droits fondamentaux, tel que le droit à une protection juridictionnelle effective garanti à l’article 47 de la Charte des droits fondamentaux, dont découle le droit à la preuve.
Si le raisonnement est ainsi identique à celui adopté par la Cour de cassation, la solution l’est tout autant : lorsque la production du document contenant des données à caractère personnel s’avère justifiée, la juridiction nationale peut l’ordonner dès lors que cette divulgation est adéquate et pertinente à l’objectif poursuivi et que cet objectif ne peut pas être réalisé par le recours à des moyens de preuve moins attentatoire à la protection des données personnelles.

La CJUE précise toutefois que la juridiction nationale doit, dans une telle hypothèse, envisager des mesures supplémentaires de protection des données telles que la « pseudonymisation des noms des personnes concernées ou toute autre mesure destinée à minimiser l’entrave au droit à la protection des données à caractère personnel que constitue la production d’un tel document ».

C’est ce que semble faire la cour d’appel en occultant les données personnelles autres que celles indispensables à l’établissement de la preuve de l’inégalité salariale, à savoir les noms et prénoms ainsi que la rémunération, bien que le caractère suffisant de cette mesure de protection puisse être discuté : les noms et prénoms des salariés ne sont pas des données absolument nécessaires en l’espèce, la civilité des personnes aurait pu suffire pour la preuve.

Subsiste donc la question de l’encadrement d’un tel transfert de données et les mesures de sécurité d’un tel traitement. L’employeur devra également tenir son obligation d’informer les salariés concernés…

Finalement, il résulte tout de même de cette décision qu’un salarié peut, au titre de son droit à la preuve, obtenir copie de données personnelles relatives à ses collègues.

julien vavasseur

Julien VAVASSEUR

Consultant Governance, Risks & Compliance

Voir les derniers Cybersecurity Insights

2 juin 2023
Le 24 mai 2023, le gouvernement Américain a publiquement attribué à la Chine une série d’attaques ciblant des infrastructures critiques situées aux États-Unis ainsi que sur l’île de Guam.
Read more
26 mai 2023
La Chine étant devenue un acteur incontournable du cyberespace, elle s’implique également dans l’élaboration d’un régime de protection des données.
Read more
4 mai 2023
Après quelques rappels de la Directive NIS 1, l'article présentera les évolutions attendues avec l'adoption de la Directive NIS 2 et sa date d'entrée en vigueur.
Read more
4 mai 2023
Cet article a pour objet de présenter les enjeux liés à la protection des données personnelles auxquels les régies publicitaires sont confrontées, et de présenter un processus de mise en conformité pour répondre à ces enjeux.
Read more
3 mai 2023
L'objet de cette fiche vise à vous aider à réaliser la transition vers un outil de mesure d'audience conforme au RGPD.
Read more
28 avril 2023
Le terme APT, Advanced Persistant Threat, désigne un type d’attaque perpétré par des groupes professionnels, opérant dans des structures banalisées, pilotées et financées par des États.
Read more
24 avril 2023
Cet article vise à présenter l’état du droit actuel de l’encadrement de l’intelligence artificielle par l’IA ACT. Comment les droits et les libertés des personnes physiques sont-ils garantis ?
Read more
18 avril 2023
Alors que la loi d’orientation et de programmation du ministère de l’Intérieur (ou LOPMI), a été adoptée le 24 janvier 2023, les débats parlementaires qui l’ont animée ont fortement relancé la question de l’assurabilité des rançongiciels, mais aussi de leurs paiements toujours plus nombreux en France.
Read more
14 avril 2023
Les applications de l’intelligence Artificielle ne cessent de se multiplier, il est aujourd’hui de plus en plus difficile d’y échapper au quotidien. C’est également vrai pour les entreprises qui pour éviter de se laisser dépasser doivent apprendre à définir leur propre cadre éthique et pour cela il est important d’avoir les bons réflexes.
Read more
11 avril 2023
Chaque personne et chaque organisation doit se préparer à surmonter et à réagir aux incidents de cybersécurité. retrouvez les fiches pratiques à télécharger.
Read more
The crew
Cyber Security
Cloud & Digital Technology
Almond Institute
News
Join us
We are HIRING
Contactez-nous
Twitter Linkedin Facebook Youtube Instagram
Paris_
STRASBOURG_
NANTES_
RENNES_
LYON_
GENÈVE_
MOVE
FORWARD
WE'LL
WATCH
YOUR
BACK
Politique de confidentialité
Gestion des cookies
© 2023 Almond. Tous droits réservés.
Twitter Linkedin Facebook Youtube Instagram