Vous êtes victime d’un incident de sécurité ? Contactez notre CERT

10/04/2023

Cybersecurity Insights

RGPD : commentaire de la décision de la Cour de Cassation du 8 mars 2023

Dans un arrêt du 8 mars 2023 (21-12.492), la chambre sociale de la Cour de cassation a fait primer le droit à la preuve sur le droit à la protection des données à caractère personnel, dans le cadre d’un litige prud’homal.

Après avoir été licenciée et estimant avoir subi une inégalité salariale par rapport à certains de ses collègues masculins ayant occupé un poste similaire au sien, une salariée a saisi la juridiction prud’homale en référé, sur le fondement de l’article 145 du code de procédure civile. Cet article permet au juge d’ordonner, à la demande de tout intéressé, les mesures permettant de conserver ou d’établir avant tout procès la preuve de faits dont pourrait dépendre la solution d’un litige. Dans cette affaire, les juges avaient ainsi ordonné à l’employeur de communiquer à la salariée les bulletins de paie de huit salariés, avec occultation des données personnelles, à l’exception des noms et prénoms, de la classification conventionnelle, de la rémunération mensuelle détaillée et de la rémunération brute totale cumulée par année civile. Ces éléments devaient permettre à la salariée d’établir la preuve, par comparaison, de l’inégalité salariale dont elle s’estime victime.

L’employeur a contesté la décision devant la Cour de cassation, en se fondant sur deux points.

D’une part, il faisait valoir que le juge ne peut prononcer, en application de l’article 145 du code de procédure civile, que des « mesures d’instruction légalement admissibles ». Or, la communication des bulletins de paie serait selon lui contraire au RGPD et notamment à son article 5. Selon les principes posés à cet article, les données à caractère personnel doivent en effet être collectées par le responsable de traitement (ici, l’employeur) pour des finalités déterminées, explicites et légitimes. Elles doivent ensuite être traitées de manière compatible avec ces finalités, mais également de manière licite, loyale et transparente à l’égard de la personne concernée, de façon à garantir un niveau de sécurité adapté permettant leur confidentialité et leur intégrité. Enfin, les données doivent être conservées sur une durée strictement nécessaire au regard de ces finalités.

Or, le fait de communiquer à la salariée des bulletins de paie de huit autres salariés, laissant apparaître leurs noms et prénoms ainsi que leurs rémunérations détaillées, s’inscrit dans un but très différent de la finalité légale pour laquelle les ressources humaines les avaient collectées. Par ailleurs, l’employeur estime que le juge n’a édicté aucune garantie de sécurité, de confidentialité et de limitation de la durée de conservation.

D’autre part, l’employeur faisait valoir que le droit à la preuve ne peut justifier la production d’éléments portant atteinte à la vie privée qu’à la condition que cette production soit indispensable à l’exercice de ce droit et que l’atteinte à la vie privée des salariés concernés soit proportionnée au but poursuivi.

Or, la salariée était selon lui en mesure de présenter d’autres éléments de fait susceptibles de laisser présumer l’existence de la discrimination dont elle s’estime victime.

Néanmoins, la Cour de cassation rejette ces arguments. Elle rappelle d’abord que, selon le considérant 4 du RGPD, le droit à la protection des données à caractère personnel n’est pas un droit absolu et doit être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité.

La Cour de cassation rappelle ensuite que le droit à la preuve peut justifier la production d’éléments portant atteinte à la vie personnelle à la condition que cette production soit indispensable à l’exercice de ce droit et que l’atteinte soit proportionnée au but poursuivi. Elle donne alors raison à la cour d’appel, qui a jugé que la communication des bulletins de paie des huit autres salariés, bien qu’ils portent atteinte à la vie personnelle de ces derniers, était « indispensable à l’exercice du droit à la preuve et proportionnée au but poursuivi, soit la défense de l’intérêt légitime de la salariée à l’égalité de traitement entre hommes et femmes en matière d’emploi et de travail ».

Si l’on peut déduire de sa solution que la Cour de cassation fait primer le droit à la preuve sur le droit à la protection des données personnelles, elle n’indique pas, en revanche, en quoi l’atteinte était proportionnée en l’espèce. Faut-il y voir une affirmation générale de la primauté du droit à la preuve sur le droit à la protection des données personnelles ? Il sera intéressant de suivre les affaires similaires sur lesquelles la Cour de cassation pourrait se prononcer à l’avenir.

Le Conseil d’Etat, dans une décision du 8 février 2023 (n°455887), avait plutôt préservé le droit à la protection des données personnelles en refusant aux patients de connaître l’identité des personnes ayant accédé à leur dossier médical.

La Cour de cassation semble en réalité reprendre la solution rendue par la Cour de justice de l’Union européenne (CJUE) dans un arrêt du 2 mars 2023 (C 268/21). En effet, après avoir rappelé que les juridictions nationales doivent garantir la protection des personnes physiques à l’égard du traitement des données à caractère personnel, elle énonce toutefois que, selon le considérant 4 du RGPD, ce droit n’est pas un droit absolu mais doit être mis en balance avec d’autres droits fondamentaux, tel que le droit à une protection juridictionnelle effective garanti à l’article 47 de la Charte des droits fondamentaux, dont découle le droit à la preuve.
Si le raisonnement est ainsi identique à celui adopté par la Cour de cassation, la solution l’est tout autant : lorsque la production du document contenant des données à caractère personnel s’avère justifiée, la juridiction nationale peut l’ordonner dès lors que cette divulgation est adéquate et pertinente à l’objectif poursuivi et que cet objectif ne peut pas être réalisé par le recours à des moyens de preuve moins attentatoire à la protection des données personnelles.

La CJUE précise toutefois que la juridiction nationale doit, dans une telle hypothèse, envisager des mesures supplémentaires de protection des données telles que la « pseudonymisation des noms des personnes concernées ou toute autre mesure destinée à minimiser l’entrave au droit à la protection des données à caractère personnel que constitue la production d’un tel document ».

C’est ce que semble faire la cour d’appel en occultant les données personnelles autres que celles indispensables à l’établissement de la preuve de l’inégalité salariale, à savoir les noms et prénoms ainsi que la rémunération, bien que le caractère suffisant de cette mesure de protection puisse être discuté : les noms et prénoms des salariés ne sont pas des données absolument nécessaires en l’espèce, la civilité des personnes aurait pu suffire pour la preuve.

Subsiste donc la question de l’encadrement d’un tel transfert de données et les mesures de sécurité d’un tel traitement. L’employeur devra également tenir son obligation d’informer les salariés concernés…

Finalement, il résulte tout de même de cette décision qu’un salarié peut, au titre de son droit à la preuve, obtenir copie de données personnelles relatives à ses collègues.

julien vavasseur

Julien VAVASSEUR

Consultant Governance, Risks & Compliance

Voir les derniers Cybersecurity Insights

13 novembre 2023
Version révisée (Edition 4) de la norme ISO/CEI 27005 : Almond vous propose un top 3 des changements normatifs et des précisions sur leurs implications directes dans les travaux des Risk Managers au sein des organisations.
19 octobre 2023
C’est ce que tente d’éclairer cet article en explorant les avantages d’une approche ISO 27001 pour structurer les réponses attendues par vos clients dans les questionnaires SSI qu’ils vous transmettent.
16 octobre 2023
L'authentification multi-facteurs, un sujet toujours d'actualité à ne pas négliger !
11 octobre 2023
Chez Almond, nous préconisons de parachever les pratiques de contrôle par une approche par les risques pour améliorer la qualité du portefeuille des fonds d’investissement.
5 octobre 2023
Did you ever imagine that you or your colleagues could be a serious threat to your company? Discover our study: Insider Threat !
29 septembre 2023
Découvrez la solution SASE de Zscaler avec Benoit Vérove, Partner et Lead Security Integration chez Almond et Reda Nedjar, Principal Sales Engineer chez Zscaler au travers d'une démonstration technique au cœur de l'outil Zscaler Zero Trust Exchange™!
16 juin 2023
Le SASE en 7 min chrono : décrypter le SASE, sa fonction et ses usages. Pour y voir plus clair, nous vous proposons d’entrer en immersion dans les plateformes SASE des experts du secteur. Découvrons ensemble, la solution SASE proposée par Cato Networks. Joseph Fernando, SE Manager South EMEA, chez Cato Networks réalise une démonstration technique de la solution Cato SASE Cloud, au côté de Benoit Vérove, Partner et Lead Security Integration chez Almond.
12 juin 2023
Comme chaque année, SWIFT met à jour son standard CSCF et apporte son lot de nouveautés. Nous vous proposons ici quelques clés de lecture associées aux changements fondamentaux apportés par le CSCF v2023
5 juin 2023
Depuis 2021, tous les clients SWIFT se trouvent dans l’obligation de réaliser une évaluation de conformité dans le cadre du Customer Security Program (CSP) de SWIFT.
2 juin 2023
Décryptez la technologie SASE, au travers d'une démonstration technique de la solution Harmony Connect proposée par Check Point.

Jour 4 : Quel type d'attaque peut être qualifié de "triple extorsion" ?

  • Réponse 1 : Une attaque par ransomware
  • Réponse 2 : Une attaque par hameçonnage
  • Réponse 3 : Une attaque par déni de service
  • Réponse 4 : Une attaque par empoisonnement du cache DNS

Pour y répondre, rendez-vous sur notre page Linkedin ! A vos votes !

Jour 3 : Parmi ces quatre choix, lequel définit le mieux ce qu’est l’ISO 27001 ?

  • Réponse 1 : Un standard listant un ensemble d’exigences relatives à la sécurité des systèmes informatiques d’une entreprise
  • Réponse 2 : Une norme listant un ensemble de bonnes pratiques permettant d’optimiser la cybersécurité au sein d’une l’entreprise
  • Réponse 3 : Une norme listant un ensemble d’exigences relatives à la sécurité des informations nécessaires à une entreprise
  • Réponse 4 : Un standard listant un ensemble de méthodes pour optimiser les pratiques relatives à la sécurité des informations utilisées par une entreprise

Laïus explicatif : L’ISO 27001 est une norme internationale, dont les entreprises peuvent se prévaloir en se faisant certifier par un organisme indépendant ; elle contient un ensemble d’exigences que chaque entreprise, quels que soient sa taille et son domaine d’activité, doit impérativement appliquer pour obtenir sa certification ; ses exigences constituent donc le référentiel des audits de certification. A ne pas confondre avec la norme ISO 27002 qui est constituée de recommandations, basées sur les bonnes pratiques internationales, permettant d’aider une entreprise à appliquer les exigences de la norme ISO 27001 (donc norme qui ne donne pas lieu à une certification).

Les exigences de la norme ISO 27001 portent sur les informations nécessaires à une entreprise, recueillies et/ou traitées, quel que soit son support, électronique, papier et oral.

Les trois critères de sécurité retenus par la norme ISO 27001 sont la confidentialité, l’intégrité et la disponibilité des informations. Tout événement, qu’il soit d’origine environnementale ou humaine, intentionnelle ou involontaire, impactant un de ces trois critères, relève de cette norme.

Jour 2 : Qu'est-ce qu'une attaque DDoS?

  • Réponse 1 : Un logiciel espion qui enregistre ce qu’écrit un utilisateur
  • Réponse 2 : Un procédé visant à perturber l’accès à un site ou une application
  • Réponse 3 : Un virus informatique qui chiffre l’OS de votre ordinateur en échange d’une rançon
  • Réponse 4 : Une attaque Informatique visant à détermine votre mot de passe en testant un grand nombre de possibilité

Laïus explicatif : Une attaque DDoS ou « Distributed Denial of Service » est une attaque visant à rendre indisponible un site en le submergeant de requêtes provenant de multiples sources. Dans le cas où toutes les requêtes proviennent de la même source, on parle simplement d’attaque DoS (« Denial of Service »), ou « par déni de service ».

Jour 1 : Qu'est-ce que DORA?

  • Réponse 1 : Une jeune exploratrice bilingue
  • Réponse 2 : Un protocole de communication décrit dans le RFC 9364
  • Réponse 3 : Une organisation internationale de régulation de la cybersécurité
  • Réponse 4 : Un règlement qui s’applique aux entités financières et aux tiers prestataires de services informatiques

Laïus explicatif : DORA ou Digital Operational Resilience Act est un règlement européen publié en 2022 et en vigueur depuis janvier 2023. Le règlement traite de la résilience opérationnelle numérique du secteur financier. Il est applicable aux entités financières comme les banques, assurances, entreprises d’investissement, les établissements de paiement, etc. mais également aux tiers prestataires de services informatiques. Les entreprises concernées ont deux ans pour se mettre en conformité. Ils devront donc l’être en 2025 !

Le pilier relatif à la gestion des risques liés aux prestataires tiers de services TIC apparait comme l’un des plus difficile à mettre en place et à maintenir dans le temps pour les entreprises concernées. En quelques mots, les entreprises devront considérer ces risques comme faisant partie intégrante du risque lié aux technologies de l’information et de la communication (TIC) et notamment le risque de concentration, au niveau de l’entreprise mais également au niveau de l’ensemble du secteur financier européen. En effet, les autorités devront analyser ce risque en analysant les registres tenus et communiqués par les entreprises concernées par DORA et qui recense notamment la liste des tiers prestataires de services TIC avec lesquelles les entités financières conclues des contrats.

Pour plus d’informations, consultez notre avis d’expert sur le sujet : https://almond.eu/cybersecurity-insights/explorons-dora/