La Cour de cassation a confirmé que la collecte à des fins d’enquête de données personnelles de salariés et candidats, librement accessibles sur Internet, est déloyale.
Si enquêter sur des personnes via la recherche de leur nom sur Internet est de plus en plus courant, cette pratique peut, dans certains cas, s’avérer lourde de conséquences et engager la responsabilité pénale de ces « enquêteurs ».
C’est sur cette thématique que la chambre criminelle de la Cour de cassation s’est prononcée par un arrêt du 30 avril 2024.
En l’espèce, le syndicat d’entreprise s’est aperçu que sa société (la « Société ») procédait régulièrement à des enquêtes sur ses salariés, candidats à l’embauche, clients ou prestataires en ayant recours à un enquêteur privé (l’« Enquêteur »).
Ces enquêtes portaient sur un nombre important de données à caractère personnel (antécédents judiciaires, renseignements bancaires, déplacements à l’étranger, etc.) dont la plupart étaient publiées et librement accessibles sur Internet.
À la suite d’une plainte du syndicat, l’Enquêteur a été condamné par le Tribunal correctionnel du délit de collecte déloyale de données à caractère personnel[1]. La Société semble quant à elle avoir été poursuivie du délit de détournement de la finalité d’un fichier[2].
L’Enquêteur contestait devant la Cour de cassation la décision du Tribunal correctionnel confirmée en appel et mettait notamment en avant le caractère public et librement accessible des données collectées.
Cet arrêt est l’occasion de revenir sur les règles applicables aux recruteurs et aux traitements de données publiques librement accessibles.
Les employeurs sont tenus de respecter le RGPD lorsqu’ils enquêtent sur leurs candidats et salariés
Il est commun pour les sociétés d’enquêter sur leurs futurs salariés dans le cadre de leurs processus de recrutement.
Cette enquête passe généralement par l’analyse des informations contenues sur le CV, une prise de contact avec les anciens employeurs, etc. Dans certains secteurs, l’employeur peut également demander un extrait du casier judiciaire du futur salarié.
Pour autant, les possibilités de collecte et de traitement des données à des fins de recrutement ne sont pas sans limite.
À titre d’exemple, la CNIL, dans son guide du recrutement[3], rappelle qu’il est interdit pour une société de demander à un candidat de communiquer certaines données, telles que son numéro de sécurité sociale, ses coordonnées bancaires, des informations sur son état de santé ou sur les membres de sa famille notamment.
S’agissant du casier judiciaire, la CNIL rappelle que l’employeur peut demander à un salarié de lui fournir un extrait. En revanche, si l’employeur peut le consulter, il ne peut pas le conserver[4].
Dans son arrêt, la Cour de cassation a considéré que les moyens utilisés pour réaliser les collectes de données étaient déloyaux dans le cadre d’un rapport employeur/employé – les employés sont considérés comme des personnes « vulnérables » par le RGPD en raison du lien de subordination qui les unis à leur employeur.
Les sociétés sont donc invitées à faire preuve de vigilance dans le cadre des traitements de données qu’elles réalisent à des fins de recrutement et de gestion des ressources humaines.
Une donnée personnelle librement accessible n’est pas une donnée « libre de droits »
L’Enquêteur contestait sa condamnation et arguait que la collecte de données diffusées publiquement par la personne concernée directement ou par voie de presse ne constituait pas un traitement déloyal.
Cet arrêt pose la question des règles applicables aux données personnelles librement accessibles sur Internet ou publiées directement par la personne concernée.
Le caractère « public » d’une donnée personnelle ne signifie pas qu’elle est « libre de droits » et qu’elle peut être traitée en dehors des règles prévues par le RGPD et la Loi Informatique et Libertés.
Partant, la personne qui souhaite traiter des données librement accessibles au public devra notamment s’assurer qu’elle dispose d’une base légale pour fonder son traitement et informer les personnes concernées de ce dernier[5].
En l’espèce, la Cour de cassation a relevé que la collecte et le traitement des données à des fins dévoyées de profilage avaient été faits à l’insu des personnes concernées sans qu’elles aient été informées et, par conséquent, eu le droit de s’opposer au traitement.
En conséquence, la responsabilité pénale de l’Enquêteur pouvait être engagée[6].
Les responsables de traitement doivent donc veiller à respecter leurs obligations tirées du RGPD, peu importe la source des données et leur caractère public.
Lire l’arrêt de la chambre criminelle de la Cour de cassation du 30 avril 2024, n°23-80.962
[1] Délit réprimé à l’article 226-18 du Code pénal
[2] Délit réprimé à l’article 226-21 du Code pénal
[3] https://www.cnil.fr/fr/le-guide-du-recrutement
[4] Des exceptions existent pour certaines fonctions considérées comme sensibles.
[5] Cette obligation d’information ne s’applique pas lorsque la communication de ces informations s’avère impossible ou exigerait des efforts disproportionnés. Dans une telle hypothèse, le responsable de traitement est invité à documenter son choix de ne pas informer les personnes concernées.
[6] L’arrêt ne se prononce pas sur la responsabilité de la Société, cette dernière n’étant pas partie au pourvoi.
