webleads-tracker


logo WK-RH

WK-RH est le site Lamy-Liaisons Sociales dédié aux acteurs des ressources humaines : information, documentation, actualités et offres d'emploi pour faciliter votre vie professionnelle.

ARCHIVES

Paru dans Jurisprudence Sociale Lamy: N° 353 du 08/11/2013,08/11/2013
Jurisprudence Sociale Lamy - 2013
353
Chronique
Des salariés en « initiative contrôlée »
Auteur : 
Par
Denis Courtieu
Juriste en droit social, consultant SIRH MASTER DPRT
Les compétences d’expertise d’un salarié dressent parfois un écran face au pouvoir de contrôle et de direction de l’employeur. Celui-ci fait confiance, trop confiance parfois et engage cependant sa responsabilité, celle bien connue du commettant du fait des préposés : « La responsabilité du fait d’autrui incorpore depuis l’origine les relations de travail. L’article 1384, alinéa 5, du Code civil prévoit en effet la responsabilité des commettants du fait de leurs préposés, autrement dit dans l’immense majorité des cas, celle des employeurs du fait de leurs salariés »(1).
Fort de cette autonomie légitimée par l’expertise, il arrive en effet que le salarié ignore certaines règles hors de son domaine strict de compétences mais encadrant cependant son activité professionnelle. À l’inverse, il prétend parfois les connaître au risque de se tromper dans leur application.
Nous ne traiterons pas ici de la prise d’acte, une initiative réservée au salarié. La prise d’acte estelle le fruit d’une savante appréciation par le salarié des éléments tendant à prouver un manquement de son employeur ou d’un coup de tête qu’il risque de regretter dans l’hypothèse d’une requalification en simple – et peu lucrative – démission ? « Classiquement, la Cour de cassation exige que les faits à l’initiative de la prise d’acte soient « suffisamment graves » pour que la rupture produise les effets d’un licenciement sans cause réelle et sérieuse. Cette gravité peut s’apprécier soit dans l’acte lui-même soit dans ses conséquences »(2).
Par ailleurs, il est à relever une autre manifestation de l’initiative du salarié caractérisé par son droit d’alerte. Ce droit vient de faire l’objet d’une extension par l’article L. 4133-1 du Code du Travail : « Le travailleur alerte immédiatement l’employeur s’il estime, de bonne foi, que les produits ou procédés de fabrication utilisés ou mis en œuvre par l’établissement font peser un risque grave sur la santé publique ou l’environnement » (Loi no 2013-316, 16 avr. 2013, JO, 17 avr. 2013).
Prise d’acte et droit d’alerte semblent bien encadrés. Quant aux autres initiatives pour le moins hasardeuses, il importe de redonner un cadre solide.
I -
De l’ignorance totale au zèle excessif
Ignorance complète : Google piégé ?
Le géant américain se serait bien passé de cette publicité(3) : il reconnaît lui-même, tout en niant toute culpabilité, être l’auteur de « datascooping », c’est-à dire de collecte non autorisée de données privées à partir de ses véhicules Google Street chargés de cartographier les lieux publics.
Il s’agit non seulement de les numériser en prenant des photos mais aussi de capter divers identifiants électroniques pour offrir ensuite des services dits intelligents de géolocalisation.
C’est d’autant plus embarrassant que la protection des données personnelles est un sujet actuel et politique(4).
Le coupable est, selon Google, un morceau de code écrit par un ingénieur :
« So how did this happen ? Quite simply, it was a mistake. In 2006 an engineer working on an experimental WiFi project wrote a piece of code that sampled all categories of publicly broadcast WiFi data. A year later, when our mobile team started a project to collect basic WiFi network data [...] using Google’s Street View cars, they included that code in their software—although the project leaders did not want, and had no intention of using, payload data »(5).
Ce salarié était-il animé d’une intention de nuire ou non conscient – et non contrôlé par sa hiérarchie – de ces normes qui ne sont pas purement techniques ?
Le doute subsiste :
« The company blamed a rogue engineer for the operation. But the Federal Communications Commission said the engineer had worked with others and had tried to tell his superiors what he was doing. He was less a rogue than simply unsupervised, the agency said »(6). Cependant, le mal est fait et la réputation à reconstruire.
À l’opposé, un salarié, animateur socio-éducatif, peut être amené à se poser un cas de conscience à propos de l’utilisation d’une nouvelle version de logiciel.
Zèle forcené : un salarié qui se refuse à exécuter un ordre considéré par lui comme illégal
C’est l’objet d’une récente décision de la Cour de cassation rendue le 23 avril 2013 (Cass. soc., 23 avr. 2013, no 11-26.099). Au visa des articles 2 et 22 de la loi no 78-17 du 6 janvier 1978, ainsi que des articles L. 1234-1, L. 1234-9 et L. 1232-1 du Code du travail, la Cour de cassation énonce que « seule une modification substantielle portant sur les informations ayant été préalablement déclarées doit être portée à la connaissance de la Cnil ; qu’une simple mise à jour d’un logiciel de traitement de données à caractère personnel n’entraîne pas l’obligation pour le responsable du traitement de procéder à une nouvelle déclaration »(7).
Dans les faits, un salarié refuse de saisir des données jugées nominatives invoquant l’absence de déclaration auprès de la Cnil de la nouvelle version d’un logiciel.
L’employeur avait déjà effectué, le 1er septembre 2000, une déclaration à la Cnil d’un traitement ayant pour finalité « l’évaluation sociale des actions de prévention » alors qu’il utilisait, pour collecter et traiter les données, le logiciel EVA 3. À partir de janvier 2007, EVA 4 se substituait à la version précédente.
Le salarié récalcitrant est licencié pour insubordination réitérée et conteste judiciairement la décision de son employeur.
La Cour d’appel d’Aix-en-Provence lui donne raison(8) mais se voit censurée par la Cour de cassation : « En se déterminant comme elle l’a fait sans rechercher si le passage du logiciel EVA 3 à EVA 4 en janvier 2007 n’avait pas consisté en une simple mise à jour qui ne nécessitait pas une nouvelle déclaration auprès de la CNIL, la cour d’appel a privé sa décision de base légale ».
Sur le caractère nominatif ou non des données, l’espèce révèle un échange nourri entre direction et salariés : une succession de questions-réponses entre la direction et les salariés lors de réunions successives, l’établissement d’un guide de bonnes pratiques, le constat d’une diversité sur le terrain des pratiques de saisie et une réponse de la Cnil adressée en 2008 au salarié en cause rappelant le caractère non anonyme d’un certain nombre d’informations. Rien n’y fait : une impression de flou s’en dégage sur le rôle de chacun.
Qui de l’employeur ou du salarié a le dernier mot, fixe la conduite à tenir, quitte à rendre des comptes à des tiers (un contrôle Cnil par exemple) ?(9)
À l’instar de l’obligation de sécurité pesant sur l’employeur (CA Versailles, 10 mai 2000 in Cass. crim., 24 avr. 2001, no 00-84.712 : « par application des dispositions de l’article L. 230-2 du Code du travail, il y a eu violation de l’obligation générale de sécurité pesant sur l’employeur, obligation qui résulte de l’autorité et du contrôle que celui-ci exerce sur le salarié, et du fait de la subordination parallèle de l’employé qui ne peut déterminer lui-même les moyens de sa sécurité [...] »), il est raisonnable de penser qu’il est du ressort de l’employeur de déterminer les moyens de son exploitation conformes à la réglementation en vigueur. Et les outils ne manquent pas pour redonner, cette fois, l’initiative à l’employeur : formation ad hoc, « data compliance officer » et CIL (Correspondant Informatiques & Libertés).
II -
L’employeur, « celui qui sait, celui qui porte les risques »
« Ou aurait dû avoir conscience »(10). On reconnaîtra ici la célébrissime formulation de la Cour de cassation dans ses arrêts « amiante » du 28 février 2010 : « Le manquement à cette obligation [de sécurité de résultat] a le caractère d’une faute inexcusable, au sens de l’article L. 452-1 du Code de la sécurité sociale, lorsque l’employeur avait ou aurait dû avoir conscience du danger auquel était exposé le salarié ».
Toujours est-il que l’employeur tire – ou espère tirer – profit de son activité. À lui de supporter les risques de son entreprise. On retrouve classiquement le balancement entre risques et profits : « La responsabilité du salarié dans l’exécution du contrat de travail ne peut être retenue qu’exceptionnellement, ce qui par ailleurs peut s’expliquer par des considérations travaillistes tenant au fait que le salarié est placé sous l’autorité et la subordination de l’employeur dans l’exécution de la prestation de travail et que sa faute constitue pour l’employeur un risque d’entreprise »(11).
En réservant la voie disciplinaire, ponctuelle, incertaine (recherche d’une faute), plus curative que préventive, son rôle de responsable de l’application des normes revient en force via la proposition de formations destinées à ses salariés, la désignation d’un référent interne ou d’un correspondant informatique & libertés.
Formations
Il est d’usage de distinguer les formations accroissant les compétences (promotion) des formations actualisant les connaissances (employabilité), sans oublier bien évidemment celles dédiées précisément à la conformité.
L’employabilité se définit comme la capacité d’un salarié à conserver ou obtenir un emploi, dans sa fonction ou dans une autre fonction, à son niveau hiérarchique ou à un autre niveau, dans son entreprise ou dans une autre entreprise.
Plus globalement, l’article L. 6321-1 du Code du travail est explicite et ferme. On notera l’indicatif impératif : « L’employeur assure l’adaptation des salariés à leur poste de travail. Il veille au maintien de leur capacité à occuper un emploi, au regard notamment de l’évolution des emplois, des technologies et des organisations ».
Pour apaiser les réactions, Google n’a pas hésité à s’engager :
« Google will also be required to run – for at least 10 years – a training program for employees about privacy and confidentiality of user data, and will conduct a public service advertising campaign aimed at educating consumers about steps they may take to better secure their personal information while using wireless networks »(12).
Il s’agit en premier lieu d’un document intitulé « Assurance of voluntary compliance »(13) signé entre Google et les autorités américaines. On relèvera tout particulièrement les points 13 & 14 : « 13. Google continued and updated training of its employees regarding Google’s privacy principles and Code of Conduct. 14. Google enhanced the core training for engineers with a particular focus on privacy and security of data, including a security awareness program ».
Suivre une formation devrait conduire le salarié à une attitude plus prudente, plus conforme. En matière de sécurité, la part de l’employeur reste cependant prépondérante dans l’appréciation et le partage des responsabilités : « Si l’accident survenu au chauffeur d’un poids-lourd chargé d’hydrogène liquide résulte partiellement d’un manquement aux règles de sécurité alors qu’il disposait de la formation nécessaire pour apprécier les risques encourus, ni les autorités, ni l’employeur n’ayant pris la mesure de ces risques et de l’inadaptation du site à ce type de chargement, le licenciement pour faute grave est requalifié en licenciement pour cause réelle et sérieuse »(14).
Être formé ne délivre pas un blanc-seing à l’employé.
« L’article L. 230-3 [nouvel article L. 4122-1 du Code du travail] prévoit que l’obligation salariale de sécurité doit être appréciée en fonction de sa « formation », de ses « possibilités » et « conformément aux instructions qui lui sont données par l’employeur [...]. L’obligation salariale de sécurité apparaît « encadrée et conditionnée » ; elle « consiste en une obligation de discernement mise à la charge du salarié. Il lui faut être capable de reconnaître, d’identifier une situation dangereuse, de faire preuve de bon sens dans des limites qui varient selon les situations et les individus »(15).
Référent interne : le « Data Compliance Officer »(16)
Si le « compliance officer »(17) a de beaux jours devant lui, son domaine d’intervention est de nature à s’étendre au-delà des seuls impératifs de conformité financière pour traiter des problématiques de données personnelles et d’entreprise ou de réglementation en matière de santé publique(18).
Correspondant Informatique & Libertés
La littérature est dense et de qualité(19). On s’y reportera. Il est à noter les caractéristiques intéressantes : le CIL est « chargé d’assurer d’une manière indépendante le respect des obligations prévues par la loi de 1978, tout en exonérant l’entreprise de l’obligation de déclaration préalable des traitements ordinaires et courants. Il peut être un salarié de l’entreprise ou une personne extérieure (consultant, expert-comptable, avocat) ».
« L’avocat CIL ne dénoncera pas son client à la CNIL ; si le responsable de traitements commet des manquements graves à la loi Informatiques & Libertés en contrariété avec les recommandations de son avocat CIL, ce dernier devra mettre fin à son mandat ».
Pour conclure, on peut s’interroger sur le point de savoir quelle option pour l’association ADSEA 06, employeur du salarié licencié ? Des formations, un référent interne sont un luxe.
Reste le CIL, dont la désignation est portée à la connaissance des instances représentatives du personnel (Loi no 78-17 du 6 janvier 1978, art 22 III aliéna 1 et 2, visé par ailleurs par la décision du 23 avril 2013). De quoi apaiser les scrupules des salariés ?
Notes
(1)
J.-Fr. Cesaro, Professeur à l’Université Panthéon-Assas (Paris II), « Le co-emploi, un phénomène de paramnésie juridique », La Semaine Juridique Social no 7, 12 févr. 2013, 1081.
Retour au texte
(2)
D. Chenu, Maître de conférences à l’Université d’Orléans, « Comportement agressif de l’employeur en dehors du temps et du lieu de travail et prise d’acte », La Semaine juridique social no 17, 30 avr. 2013, 1182.
Retour au texte
(3)
Les faits remontent à la période 2008-2010, le solde des comptes intervenant en 2013.
Dès 2011, « en France, la Commission nationale de l’informatique et des libertés avait condamné Google à une amende de 100 000 euros pour la collecte de données des réseaux Wifià proximité par les voitures de son service Street View » (Le Monde du 12 mars 2013) ;
« L’équivalent britannique de la Cnil va ouvrir une enquête sur le service Street View de Google, après que la société a reconnu avoir bel et bien collecté “par erreur” des URL, des adresses mail et des mots de passe. En mai dernier, Google avait déjà admis avoir enregistré des données privées lors des tournées de ses véhicules en Europe et en Amérique » (Le Monde du 25 octobre 2010).
L’objet du « délit » : « The Payload Data (la charge utile) may include URLs of requested Web pages, partial or complete email communications, or any other information, including any confidential or private information being transmitted to or from the network user ».
Retour au texte
(4)
« Internet : une loi pour renforcer la protection des données personnelles », Le Monde du 28 février 2013 ; « Projet de règlement européen : un enjeu majeur pour la France », Cnil, 26 avr. 2013.
Le groupe de l’Article 29 (This Working Party was set up under Article 29 of Directive 95/46/EC. It is an independent European advisory body on data protection and privacy) a rendu le 27 février 2013 un avis portant sur les applications pour smartphones et tablettes (« Opinion 02 /2013 on apps on smart devices »). Cet avis contient des directives et recommandations pour les développeurs d’applications ainsi que pour les autres intervenants que sont les app stores, les producteurs de systèmes d’exploitation et de terminaux mobiles ou encore les agences et régies publicitaires.
Retour au texte
(5)
Google Official Blog, 14 mai 2010, Alan Eustace, Senior VP, Engineering & Research, Google.
Retour au texte
(6)
New York Times du 12 mars 2013.
Retour au texte
(7)
La Semaine Juridique Entreprise et Affaires no 20, 16 mai 2013, act. 365 ; La Semaine Juridique Social no 19, 7 mai 2013, act. 225, Veille par Lydie Dauxerre.
Retour au texte
(8)
CA Aix-en-Provence, 6 sept. 2011, no 10/12618 ; voir aussi le magazine « 01 Business & Techno » du 5 janvier 2012.
Retour au texte
(9)
« Les missions de contrôle sont encadrées par les articles 11-2o-f et 44 de la loi du 6 janvier 1978 modifiée le 6 août 2004, et par les articles 61 à 69 du décret du 20 octobre 2005 modifié par le décret du 25 mars 2007 » (site de la Cnil).
Retour au texte
(10)
Voir notamment la Semaine Sociale Lamy, Supplément no 1452, 28 juin 2010.
Retour au texte
(11)
Étude par Jean-Yves Frouin Conseiller à la Cour de cassation, Professeur associé à l’Université François Rabelais de Tours, La Semaine Juridique Social no 46, 10 nov. 2009, 1516.
Retour au texte
(12)
Corporate Crime Reporter, 12 mars 2013. Il est notable que l’entreprise CISCO (73 000 salariés en majorité techniciens et travaillant à distance) a opté récemment pour un code de conduite électronique interactif afin d’assurer un « top-down ethics messaging » efficace. « Cisco E-Book Delivers Ethics on the Go, Cisco systems converts its Code of Business Conduct to an e-book so its 73,000 employees get quick advice ». Law Technology News 21 mai 2013 Ruth Savolaine Document disponible à l’adresse suivante : http :// at.law.com/LTNCiscoCOBC ; « Like many organizations, Cisco has found that evolving technologies mean more employees want to bring their own devices to work. That’s why our team looks at the new realities of providing ethics content on a wide range of devices. This is especially important in managing our foundational Code of Business Conduct ». Tout dernièrement : « Mieux former les développeurs Open Source aux questions juridiques. La Fondation Linux estime que l’Open Source nécessite des connaissances juridiques que ne possèdent pas toujours les développeurs », Le Monde Informatique, 25 oct. 2013, Article de Loek Esser, IDG NS.
Retour au texte
(13)
Voir aussi la mise en place d’un « Privacy Program », point no 16. Au demeurant, un ensemble assez précis d’engagement : « [...] e. regular employee training that is designed to : 3- (1) inform new employees about the importance of user privacy and their role in helping maintain it ; (2) offer further privacy education to Google employees with responsibilities materially relating to the privacy or confidentiality of user data ; (3) make privacy certification programs available to key employees, such as the Certified Information Privacy Professional Certification (“CIPP”) or similar certifications demonstrating mastery of a widely recognized body of privacy knowledge ; and (4) provide in-house counsel privacy awareness refresher training for counsel advising product teams. [...] ».
Retour au texte
(14)
CA Douai, 18 févr. 2011, no 10/00921.
Retour au texte
(15)
« L’obligation salariale de sécurité est-elle une obligation de sécurité ? », Étude par Caroline André, Docteur en droit privé, Avocat, chargée d’enseignement à la Faculté de droit et à l’IUT de Reims Professeur à la Reims Management School, La Semaine Juridique Social no 7, 12 févr. 2008, 1094.
Retour au texte
(16)
Data Protection Compliance Officer : « The Data Protection Compliance Officer is an appointed individual who advises implications of Data Protection law and develops the company’s privacy and data protection policies ».
Retour au texte
(17)
A. Lobry, « La compliance : un métier d’avenir », Les Échos, Entreprises & Marchés, 10 mai 2012.
Retour au texte
(18)
Pour une offre d’emploi postée le 8 mai 2013 par une grande entreprise. « PRIVACY COMPLIANCE OFFICER Job Assumes lead role in privacy to be the privacy compliance Officer of the... companies in France for the French data protection Authority (CNIL). France complies with all applicable EU and French data protection laws, regulations as well as... privacy policies. [...] Monitors privacy compliance by advising the... France Boards and senior management, conducting regular audits to assess compliance programs effectiveness, putting corrective plans in place and providing training and appropriate tools for the employees of the different companies in coordination with the EMEA privacy compliance organization ».
Une autre offre parle de « Conformité en soin de santé » (Health Care Compliance) faisant référence notamment aux processus d’enregistrement (préparation et suivi de dossiers) de type Autorisation de Mise sur le Marché.
Retour au texte
(19)
Sur le CIL (l’article 22, III de la loi de 1978) et les opportunités offertes aux avocats, lire F. Creux-Thomas, « Avocat-CIL, en un battement ? », La Semaine Juridique Édition Générale no 43, 22 oct. 2012, 1125 : « Depuis 2004 a été mis en place par la Cnil un réseau de correspondants à la protection des données personnelles dénommés CIL. Alors que certains y voyaient « l’œil de Moscou de la Cnil », la fonction s’est progressivement installée dans les entreprises. L’avocat peut tenir le rôle de CIL sur simple candidature auprès de la Cnil. Sur 3 200 CIL déployés dans 11 000 organismes (entreprises, associations, institutions). 50 sont avocats [...]. En pleine expansion, le métier de CIL évolue vers celui de compliance officer chargé de gérer les risques « informatique et libertés » ».
Retour au texte