Points clés à retenir
- L’illicéité d’un moyen de preuve n’entraîne plus automatiquement son rejet par le juge civil, qui doit apprécier sa proportionnalité et sa nécessité.
- Cette évolution jurisprudentielle n’autorise pas pour autant l’employeur à recourir librement à des procédés de surveillance ou de collecte déloyaux.
- La collecte de données personnelles par des moyens frauduleux, déloyaux ou illicites peut engager la responsabilité pénale de l’employeur, indépendamment du litige prud’homal.
- L’affaire IKEA illustre que même des données accessibles publiquement peuvent constituer une collecte pénalement répréhensible si leur usage détourne leur finalité.
- L’employeur doit désormais arbitrer entre l’intérêt probatoire d’une preuve illicite et le risque pénal encouru lors de sa collecte et de son exploitation.
L’affaire IKEA
A la suite de la plainte d’un syndicat qui faisait état d’un système d’espionnage organisé au sein de la société IKEA France, plusieurs perquisitions ont été réalisées. Des contrôles ont été, par ailleurs, diligentés par la CNIL. A la suite de ces premières opérations, une information judiciaire a été ouverte des chefs notamment de collectes de données personnelles contenues dans un fichier par un moyen frauduleux, déloyal ou illicite, faits réprimés à l’article 226-18 du Code pénal.
Les investigations ont très vite mis en lumière le rôle joué par le directeur du Département Gestion des Risques de la société IKEA France, qui missionnait régulièrement des sociétés – dont la société E – pour effectuer des recherches sur des personnes. C’est ainsi que Monsieur JPF a réalisé, en qualité de dirigeant de la société E, de nombreuses investigations privées sur des candidats (notamment concernant la véracité des informations figurant dans les CV), mais aussi sur du personnel (soupçonné de vol ou encore ayant dénoncé des faits dans l’entreprise, tels que les conditions d’hygiène alimentaire d’un restaurant d’un magasin). Les clients en litige avec la société (dont des clients défaillants) pouvaient également faire l’objet de recherches. Des enquêtes étaient alors réalisées sur leur patrimoine et leur solvabilité. Pour l’exercice de ces missions, Monsieur JPF utilisait un logiciel qui balayait de manière systématique les diverses bases de données accessibles en ligne (Facebook, Twitter, etc.), dans lesquelles il pouvait collecter de nombreux renseignements sur les personnes ciblées (activités professionnelles ou privées, activités familiales, état d’âme, difficultés conjugales et professionnelles, démêlés judiciaires). Il épluchait également la presse locale, riche en faits divers, et pouvait aussi procéder, au besoin, à des enquêtes de voisinage.
Par un jugement en date du 15 juin 2021 [1], le tribunal correctionnel de Versailles a déclaré le directeur du Département Gestion des Risques de la société IKEA France coupable des faits de collecte de données personnelles par un moyen frauduleux, déloyal ou illicite et l’a condamné à une peine de dix-huit mois d’emprisonnement avec sursis et au paiement d’une amende de dix mille euros. JPF a, quant a lui, été condamné, pour les mêmes faits en tant que complice, à une peine de deux ans d’emprisonnement avec sursis et au paiement d’une amende de vingt mille euros [2].
Ce dernier a – contrairement au directeur du Département Gestion des Risques de la société IKEA France – interjeté appel de la décision. Mais la juridiction du second degré n’est pas allée dans son sens et l’a reconnu coupable – en tant qu’auteur et non plus en tant que complice – du délit visé à l’article 226-18 du Code pénal, car selon la Cour de appel de Versailles : « Il est considéré comme déloyal, notamment dans les relations employeur/employé lorsque la collecte a été assurée par la capture d’informations diffusées sur des sites publics – sites Web, annuaires, forums de discussion, réseaux sociaux… – dès lors que les informations collectées ont donné lieu à une utilisation sans rapport avec l’objet de leur mise en ligne, et ont été recueillies à l’insu des personnes concernées les privant ainsi de leur droit d’opposition institué par la Loi informatique et libertés. » [3]
JPF a, sans plus de succès, formé un pourvoi en cassation. La Chambre criminelle a, en effet, estimé que la cour d’appel, en se déterminant comme elle l’a fait, n’avait pas méconnu les termes de l’article 226-18 du Code pénal : « le fait que les données à caractère personnel collectées par le prévenu aient été pour partie en accès libre sur internet ne retire rien au caractère déloyal de cette collecte, dès lors qu’une telle collecte, de surcroît réalisée à des fins dévoyées de profilage des personnes concernées et d’investigation dans leur vie privée, à l’insu de celles-ci, ne pouvait s’effectuer sans qu’elles en soient informées. » [4]
La question de la licéité de la preuve recueillie dans le cadre d’une enquête privée
Le principe a été posé il y a plusieurs années : si l’employeur a le droit de contrôler et de surveiller l’activité de son personnel durant le temps de travail, il ne peut mettre en œuvre un dispositif de contrôle qui n’a pas été porté préalablement à la connaissance des salariés. Ainsi, et notamment, les comptes rendus de filature (ou rapports d’enquête) (i) réalisés à la demande d’un employeur, par un enquêteur privé, établissant la faute du salarié et (ii) réalisés à l’insu de ce dernier sont considérés comme des moyens de preuve illicites [5].
On est alors en droit de se demander si ce principe s’appliquerait aujourd’hui avec la même force, sachant que la Chambre sociale de la Cour de cassation considère désormais que : « L’illicéité d’un moyen de preuve n’entraîne pas nécessairement son rejet des débats, le juge devant, lorsque cela lui est demandé, apprécier si l’utilisation de cette preuve a porté atteinte au caractère équitable de la procédure dans son ensemble, en mettant en balance le droit au respect de la vie personnelle du salarié et le droit à la preuve, lequel peut justifier la production d’éléments portant atteinte à la vie personnelle d’un salarié à la condition que cette production soit indispensable à l’exercice de ce droit et que l’atteinte soit strictement proportionnée au but poursuivi. » [6]
Ainsi, et selon la haute juridiction : « En présence d’une preuve illicite, le juge doit d’abord s’interroger sur la légitimité du contrôle opéré par l’employeur et vérifier s’il existait des raisons concrètes qui justifiaient le recours à la surveillance et l’ampleur de celle-ci. Il doit ensuite rechercher si l’employeur ne pouvait pas atteindre un résultat identique en utilisant d’autres moyens plus respectueux de la vie personnelle du salarié. Enfin le juge doit apprécier le caractère proportionné de l’atteinte ainsi portée à la vie personnelle au regard du but poursuivi. » Cette position de principe a été confirmée tout récemment par l’Assemblée plénière de la Cour de cassation, dans les termes suivants : « il y a lieu de considérer désormais que, dans un procès civil, l’illicéité ou la déloyauté dans l’obtention ou la production d’un moyen de preuve ne conduit pas nécessairement à l’écarter des débats » [7].
Attention au revers de la médaille !
Si un moyen de preuve obtenu à l’aide d’un dispositif illicite peut désormais, dans le cadre d’un procès civil, être considéré comme recevable, il n’en demeure pas moins que la mise en œuvre d’un tel dispositif et son exploitation par l’employeur pourraient s’analyser comme une infraction. Tel serait le cas, comme l’illustre l’affaire IKEA, pour des enquêtes privées aboutissant à une collecte de données personnelles, réalisées à l’insu des personnes concernées, à des fins de profilage et d’investigation. L’article 226-18 du Code pénal aurait vocation à s’appliquer pleinement. D’autres textes pourraient également être invoqués selon la sensibilité des données collectées (article 226-19 du Code pénal), dans l’hypothèse d’un détournement de finalité du traitement initial (article 226-21 du Code pénal) ou dans le cas d’une transmission des données à un tiers au préjudice de l’intéressé (atteinte à la considération ou à l’intimité de sa vie privée : article 226-22 du Code pénal).
Ainsi, si le juge civil doit mettre en balance – pour déterminer si un moyen de preuve est recevable – le droit au respect de la vie personnelle du salarié et le droit à la preuve, il appartient à l’employeur, de son côté, de mettre en balance, d’une part, l’intérêt de produire en justice le moyen de preuve illicite et, d’autre part, son risque pénal.
Références
[1] Tribunal correctionnel de Versailles, 5ème chambre, 15 juin 2021.
[2] Pour l’anecdote, la société IKEA France a été déclarée coupable pour des faits de recel habituel de biens provenant d’un délit et a été condamnée au paiement d’une amende d’un million d’euros.
[3] CA Versailles, 9ème chambre, RG : 21/02436, 27 janvier 2023.
[4] Cass. crim., 30 avril 2024, n° 23-80.962.
[5] Cass. soc., 26 septembre 2018, n° 17-16.020 ; Cass. soc., 23 novembre 2005, n° 03-41.401 ; Cass. soc., 4 février 1998, n° 95-43.421 ; Cass. soc., 22 mai 1995, n° 93-44.078.
[6] Cass. soc., 8 mars 2023, n° 21-17.802 ; Cass. soc., 8 mars 2023, n° 21-20.798 ; Cass. soc., 4 octobre 2023, n° 22-18.105.
[7] Cass. ass. plén., 22 décembre 2023, n° 20-20.648 ; Cass. ass. plén., 22 décembre 2023, n° 21-11.330.
Clause de non-responsabilité
Les opinions, présentations, chiffres et estimations présentés sur le site Web, y compris dans le blog, sont uniquement destinés à des fins d’information et ne doivent pas être considérés comme des conseils juridiques. Pour obtenir un avis juridique, vous devez contacter un professionnel du droit dans votre juridiction.
L’utilisation du contenu de ce site Web, y compris du blog, à des fins commerciales, y compris la revente, est interdite, sauf autorisation préalable de Evidency. La demande d’autorisation doit préciser le but et l’étendue de la reproduction. À des fins non commerciales, tout le matériel de cette publication peut être cité ou réimprimé librement, mais une reconnaissance est requise, ainsi qu’un lien vers ce site Web.
