StopCovid : défendre le contact tracing

stopcovidInvité le samedi 11 avril par Julien Pasquet dans l’Intégrale Week-end de CNews (1), Alain Bensoussan était interrogé sur la polémique autour du tracking à l’occasion du projet StopCovid, une application pour smartphone visant à lutter contre la propagation du Covid-19.

Cette application que le gouvernement développe en partenariat avec l’inria est-elle sans danger pour les libertés individuelles ? Elle revêt un enjeu sanitaire majeur, mais également d’un enjeu de libertés publiques.

Libérer le potentiel des technologies

La technologie est source d’opportunités pour lutter contre le Covid-19.

« Dans un moment aussi particulier, il faut libérer les technologies » explique Alain Bensoussan. Nous sommes tous en restriction sur de nombreuses libertés fondamentales et la protection des données en est une parmi tant d’autres. L’importance dans ce domaine est d’observer le « coût/avantage ». Des pays comme la Corée du Sud ont montré qu’il y avait un  vrai avantage.

L’important n’est pas tant la donnée que son utilisation après le confinement. Il faut donc prévoir des garde-fous qui permettront de pouvoir utiliser toutes les technologies permettant d’exploiter la « data ».

Le Règlement européen sur la protection des données du 27 avril 2016 (RGPD) permet au gouvernement d’utiliser les données personnelles de santé pour « des motifs d’intérêt public dans le domaine de la santé publique » (RGPD, art. 9).

Dans le cas d’un état d’urgence, il est ainsi possible de prendre des règles d’exception par rapport aux principes généraux. Le règlement européen offre les garanties nécessaires pour mettre en œuvre le projet gouvernemental StopCovid.

« Il est donc important de libérer les technologies en permettant à chacun d’entre nous de pouvoir les utiliser et surtout d’en avoir la maîtrise ».

Toutefois, Alain Bensoussan émet une réserve s’agissant de la fracture digitale.

Ne pas aggraver la fracture numérique

La fracture digitale risque de s’aggraver pour ceux qui n’auront pas accès à cette application faute d’avoir un smartphone.

Lorsque la technologie est un prérequis à la participation d’un programme offrant une chance de ne pas contracter le virus, elle laisse à l’extérieur les personnes qui en sont dépourvues.

Etant écartée du dispositif, « elles ne pourront bénéficier de l’opportunité d’être informée d’avoir été en contact avec une personne infectée » développe ainsi Alain Bensoussan.

Le choix de ne pas utiliser de smartphone écarte immédiatement 13 millions de Français qui n’en possèdent pas, notamment, les personnes très âgées qui sont particulièrement touchées par la pandémie. Selon la mission Société Numérique, 13 millions de nos concitoyens demeureraient encore éloignés du numérique (2).

StopCovid n’est pas une application de « tracking » individuel

Pour certains, l’application StopCovid n’est pas une réponse à la crise mais une démarche idéologique destinée à limiter les libertés des personnes.

Comment se situer par rapport à cette position très tranchée ? Selon Alain Bensoussan, « il faut permettre l’utilisation des données dans l’intérêt de tous ».

Selon l’Inria partenaire du projet, la future application StopCovid n’utilise que le bluetooth, en aucun cas les données de bornage GSM ni de géolocalisation. Il ne s’agit pas d’une application de surveillance puisqu’elle est totalement anonyme.

Pour Alain Bensoussan, si l’on veut améliorer la situation sanitaire et économique en permettant un déconfinement dans les meilleures conditions, « il faut pouvoir recourir aux technologies du 21ème siècle sans en avoir peur en mettant les garde-fous associés ».

Il faut libérer les technologies numériques lorsqu’est en jeu non pas le caractère privé de la vie mais la vie en tant que tel.

(1) Retrouvez la totalité de l’interview d’Alain Bensoussan pour CNEWS, « StopCovid : le tracking suscite la polémique »,  dans #IntégraleWE, 11 avril 2020.
(2) « Treize millions de Français en difficulté avec le numérique », Mission société numérique (pilotée par le gouvernement de M. Édouard Philippe).




Le contact tracing pour lutter contre la propagation du Covid-19

contact tracingAlain Bensoussan a été interviewé par frenchweb.fr sur le projet StopCovid, une application de contact tracing pour lutter contre la propagation du Covid-19.

Alain Bensoussan, avocat spécialisé dans le droit numérique et les nouvelles technologies, s’exprime sur l’application mobile que développe le gouvernement en partenariat avec l’inria : le « StopCovid ». Cette application de géolocalisation qui repose sur la base du volontariat est une solutions de traçage numérique pour identifier les personnes ayant été en contact avec le Covid-19.

Un enjeu sanitaire majeur peut-il justifier l’atteinte aux libertés publiques ?

Les règles issues du Règlement européen sur la protection des données du 27 avril 2916 (RGPD) interdisent la collecte et le traitement de données de santé (art. 9). Cette notion recouvre toute opération portant sur des données de santé relatives à une personne identifiée ou identifiable.

Il est donc difficile de faire ce type de tracing en tant que tel, explique Alain Bensoussan, à moins d’entrer dans l’une des exceptions qui autorisent l’utilisation de ces données. Cela peut être le cas lorsque le traitement est nécessaire pour :

  • « des motifs d’intérêt public important, sur la base du droit de l’Union ou du droit d’un État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée » ;
  • « des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé ».

Dans le cas d’un état d’urgence tel que nous le vivons aujourd’hui, il est ainsi possible de prendre des règles d’exception par rapport aux principes généraux. Selon Alain Bensoussan, « Il faut quand même que les règles telles que la dignité, la loyauté, la transparence continuent à s’appliquer malgré le caractère dérogatoire ».

Ainsi, « Le Conseil constitutionnel demande qu’à chaque fois qu’il y a une ingérence, une atteinte extrêmement importante à une liberté, cela soit limité dans le temps et qu’il y ait des garanties pour que cela ne s’inscrive pas dans une politique liberticide au-delà de la résolution du problème exceptionnel », rappelle Alain Bensoussan.

Le contact tracing et le respect du principe de proportionnalité

Un dispositif de traçage numérique tel que le contact tracing ou la géolocalisation s’il peut être justifié par l’intérêt public doit néanmoins « respecter l’essence du droit à la protection des données ».

Cela signifie qu’il faut trouver un principe de proportionnalité. « Là on va porter atteinte à un certain nombre de principes fondamentaux, mais il faut quand même que les règles telles que la dignité, la loyauté, la transparence continuent à s’appliquer malgré le caractère dérogatoire », développe Alain Bensoussan.

Les premiers garde-fous à prévoir seraient :

  • de limiter un tel dispositif dans le temps ;
  • d’informer les personnes et
  • de détruire les éléments ainsi acquis dès la fin de la situation d’urgence sanitaire.

Alain Bensoussan met aussi en avant l’obligation d’auditabilité et de transparence des délibérations du comité scientifique.

En outre, il faut libérer les technologies numériques lorsqu’est en jeu non pas le caractère privé de la vie mais la vie en tant que telle.

(1) Retrouvez le point de vue juridique de Alain Bensoussan pour Frenchweb concernant l’App Stop Covid, « Pourquoi est-il difficile d’imposer une app de tracking en France? », Frenchweb.fr, 15 avril 2020.

 




Tendance : droit du travail numérique

droit du travail numérique

Emmanuel Walle, directeur du département droit du travail de Lexing Alain Bensoussan Avocats animera un petit-déjeuner débat

consacré aux tendances du monde du travail numérique, le 6 février 2019.

Parmi les reformes sociales majeures récentes et celles programmées pour cette nouvelle année, signalons celles sur les conditions de travail, le système de prévention des risques professionnels, les services de santé au travail, ou encore les arrêts de travail.

Emmanuel Walle fera le point sur la pratique du droit à la déconnexion, examinera le forfait jour à l’aune de la jurisprudence, l’état des lieux du recours au télétravail et de l’utilisation de la géolocalisation pour assurer le contrôle de la durée du travail.

Enfin la revue des tendances du droit du travail numériques en ce début 2019 ne serait pas complète sans un point sur le RGPD et le défi qu’il peut constituer pour la direction des ressources humaines en ce qui concerne les relations salariés et employeurs notamment en cas de faille de sécurité.

Nous vous proposons donc de faire le point sur ce qui va changer en 2019.

Le petit-déjeuner débat a lieu de 9h30 à 11h30 (accueil à partir de 9h00) dans nos locaux, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes.




Géolocalisation : condamnation du loueur de véhicules

Géolocalisation : condamnation du loueur de véhiculesUne société de location de véhicules est responsable du traitement de géolocalisation installé dans ses véhicules.

Une société de location de véhicules de luxe avait déclaré à la Cnil le dispositif de géolocalisation présent dans ses véhicules mis en location en réalisant un engagement de conformité à la norme simplifiée n° 51.

Cet engagement de conformité ne pouvait toutefois couvrir le traitement concerné, dans la mesure où la norme simplifiée n° 51 est relative à la géolocalisation des véhicules des salariés, alors qu’en l’espèce les véhicules étaient loués sans chauffeur. La Cnil reprochait notamment à la société de location de véhicules de n’avoir pas accompli les formalités déclaratives pour le traitement en cause.

Devant le Conseil d’Etat, la société de location de véhicules contestait sa qualification en tant que responsable de traitement et, par suite, son obligation de déclaration du dispositif de géolocalisation à la Cnil, au motif qu’elle n’était pas propriétaire de l’ensemble des 36 véhicules constitutifs du parc automobile mis en location et objet du contrôle.

Le Conseil d’Etat a rejeté cet argument dans sa décision du 18 décembre 2015 (1). En effet, il a relevé le faisceau d’indices suivants, indiquant que la société de location de véhicules déterminait les finalités et les moyens du traitement et devait donc être considérée comme responsable de traitement :

  • le contrat de location à l’origine de la plainte reçue par la Cnil était signé par la société de location de véhicules ;
  • l’ensemble des données de géolocalisation des véhicules concernés était accessible depuis un seul poste de travail, dont l’épouse du gérant de la société détenait le mot de passe ;
  • la société de location de véhicules a agi en tant que responsable de traitement en réalisant l’engagement de conformité à la norme simplifiée n° 51.

Le Conseil d’Etat en conclut que la société de location de véhicules doit être considérée comme responsable de traitement et qu’elle n’est donc pas fondée à demander l’annulation de la délibération de la Cnil la condamnant à une sanction pécuniaire d’un montant de 5 000 euros et à la publicité de la décision.

Cette décision rappelle ainsi l’obligation incombant à chaque responsable de traitement de vérifier la conformité de son dispositif de géolocalisation et de réaliser auprès de la Cnil les formalités déclaratives.

Chloé Torres,
Julie Schwartz
Lexing, Droit Informatique et libertés

(1) CE. 10ème / 9ème SSR 18-12-2015, n° 384794, Loc Car Dream.
(2) Délib. Cnil du 22-7-2014, n° 2014-294.




Juristendances « Informatique et libertés » n°64 – 2015

Juristendances Informatique et libertés n°64-2015L’édito de la Lettre juristendances Informatique et libertés de juillet-août porte sur le management de la sécurité des SI.

Il traite de l’appréciation des risques à la détermination de solutions garantissant la sécurité des données.

Le responsable de traitements, tenu d’une obligation générale de sécurité en vertu des dispositions de l’article 34 de la loi Informatique et libertés, doit en effet s’assurer de la préservation de l’intégrité et de la confidentialité des informations, sous peine de lourdes sanctions (300 000 euros d’amende et 5 ans de prison). Il dispose pour ce faire d’un référentiel normatif et documentaire, constitué de normes ISO et AFNOR ainsi que du référentiel de labellisation des audits édicté par la Cnil et révisé en 2015.

La Lettre appelle également l’attention des entreprises sur une nouvelle délibération édictée par la Cnil le 4 juin 2015, en matière de géolocalisation des véhicules utilisés par les salariés. Un FAQ sur ce thème est également proposé dans ce numéro.

Cette délibération vient compléter une norme du 16 mars 2006, relative aux conditions d’octroi du bénéfice du régime de la déclaration simplifiée. Il revient aux entreprises ayant effectué une déclaration simplifiée en référence à la précédente norme, de se mettre en conformité avec les nouvelles conditions posées par la Cnil d’ici le 17 juin 2016.

Lettre juristendances Informatique et libertés n°64 Juillet-Août 2015

 




La nouvelle délibération Cnil sur la géolocalisation des salariés

La nouvelle délibération Cnil sur la géolocalisation des salariésFace à l’évolution des pratiques en matière de géolocalisation des véhicules utilisés par les salariés, la Cnil a adopté une nouvelle délibération n°2015-165 du 4 juin 2015 (1).

Cette norme vient compléter la norme du 16 mars 2006 relatives aux conditions permettant de bénéficier du régime de la déclaration simplifiée.

Les finalités du traitement – La géolocalisation ne peut être mise en œuvre que pour tout ou partie des finalités suivantes :

  • le respect d’une obligation légale ou réglementaire imposant la mise en œuvre d’un dispositif de géolocalisation en raison du type de transport ou de la nature des biens transportés ;
  • le suivi et la facturation d’une prestation de transport de personnes ou de marchandises ou d’une prestation de services directement liée à l’utilisation du véhicule, ainsi que la justification d’une prestation auprès d’un client ou d’un donneur d’ordre ;
  • la sûreté ou la sécurité du salarié lui-même ou des marchandises ou véhicules dont il a la charge, en particulier la lutte contre le vol du véhicule ;
  • une meilleure allocation des moyens pour des prestations à accomplir en des lieux dispersés, notamment pour des interventions d’urgence ;
  • le contrôle du respect des règles d’utilisation du véhicule définies par l’employeur ;
  • à titre accessoire uniquement, le suivi du temps de travail, lorsque ce suivi ne peut être réalisé par un autre moyen et que les salariés ont été dûment informés de sa finalité.

La période transitoire – Les entreprises ayant déjà effectué une déclaration simplifiée en référence à la précédente norme ont jusqu’au 17 juin 2016 pour se mettre en conformité avec les nouvelles conditions posées par la Cnil.

Les données collectées –

  • l’identification du salarié (nom, prénom, coordonnées professionnelles, matricule interne, numéro de plaque d’immatriculation du véhicule) ;
  • les données relatives à ses déplacements (données de localisation, historique des déplacements effectués) ;
  • les données complémentaires associées à l’utilisation du véhicule (vitesse de circulation du véhicule, nombre de km parcourus, durées d’utilisation du véhicule, temps de conduite, nombre d’arrêts), sachant toutefois que, sauf si une disposition légale le permet, le traitement de la vitesse maximale ne peut pas s’effectuer ;
  • la date et l’heure d’une activation et d’une désactivation du dispositif de géolocalisation pendant le temps de travail.

Les limites – La géolocalisation ne peut permettre de :

  • collecter des données de localisation en dehors du temps de travail du salarié, dont ceux résultant des trajets domicile – lieu de travail ou pendant ses temps de pause ;
  • suivre le temps de travail du salarié sauf si ce suivi ne peut être réalisé par un autre moyen, et que ces derniers ont été dûment informés, ainsi que les institutions représentatives du personnel.

La sécurité des données – La CNIL pose également certaines recommandations concernant la préservation de la sécurité des données et leur durée de conservation.

On ne peut que recommander :

  • d’auditer des dispositifs de géolocalisation ;
  • de vérifier l’existence d’une déclaration à la Cnil, l’information des salariés et IRP ;
  • de vérifier la conformité du dispositif déclaré à la nouvelle délibération de la Cnil.

Emmanuel Walle
Lexing Droit Travail numérique

(1) Délib. 2015-165 du 4-6-2015, JO du 17-6-2015.




Sms privés sur un portable professionnel : quels risques ?

Sms privés sur un portable professionnel : quels risques ?Sms, méls, appels personnels passés à l’aide des outils de l’entreprise. Aussi étonnant qu’il soit, il est possible d’utiliser l’ordinateur, la tablette ou le téléphone fourni par l’entreprise à des fins privées, sous certaines conditions.

Alain Bensoussan répond aux questions de Sandrine Chauvin pour Capital.fr. « Vous avez droit à une vie privée résiduelle au bureau », commente Alain Bensoussan, avocat spécialisé en droit de l’informatique et de l’internet, et ce, depuis un arrêt de la Cour de cassation du 2 octobre 2001, dit « arrêt Nikon« . Pas question évidemment d’y passer tout son temps. L’utilisation des outils informatiques à des fins autres que professionnelles est le plus souvent tolérée, si elle reste raisonnable et si elle n’affecte pas la sécurité des réseaux, la productivité de l’entreprise ou de l’administration concernée, précise la Cnil.

Pour que l’employeur puisse surveiller les SMS envoyés depuis un téléphone professionnel, la règle est très simple : « Les messages écrits, envoyés ou reçus par le salarié au moyen du téléphone mis à sa disposition par l’employeur pour les besoins de son travail, sont présumés avoir un caractère professionnel. » C’est ce que rappelle l’arrêt rendu par la Cour de cassation du 10 février 2015. Concrètement, cela signifie que votre employeur peut consulter tous les SMS que vous envoyez ou que vous recevez sur le téléphone fourni par l’entreprise, et ce, sans demander votre aval. Sauf si vous avez clairement indiqué la mention « personnel » ou « privé », précise Maître Bensoussan. Cette règle est aussi valable pour les emails ou les fichiers stockés sur son ordinateur.

L’usage privé abusif des outils professionnels peut être sanctionné par « Un licenciement pour cause réelle et sérieuse », prévient Maître Alain Bensoussan. Evidemment, il peut y avoir des journées exceptionnelles, dans le cas d’un proche malade par exemple, mais la règle est de traiter de façon limitée ses affaires privées au bureau.

L’employeur ne peut pas surveiller les salariés à leur insu. Ces derniers doivent être informés des dispositifs mis en place pour contrôler l’utilisation d’internet et de la durée de conservation des données.

Enfin, si l’entreprise n’a pas mis en place de charte numérique, tous les dossiers, les mails, les SMS sont considérés comme « privés » même si le salarié utilise le matériel de l’entreprise, souligne Maître Bensoussan. L’employeur a en effet l’obligation d’organiser le droit à une vie privée résiduelle durant le temps de travail.

Alain Bensoussan pour Capital.fr, le 23 février 2015.

 




sms, mails, votre employeur peut-il vous espionner ?

sms, mails, votre employeur peut-il vous espionner ?Sms, mails : votre employeur peut-il vous espionner ? Alain Bensoussan, avocat spécialisé en droit des technologies et protection des données personnelles répondait aux questions de Pierre de Vilno sur Europe 1 midi le 20 février.

Un procès a confronté un salarié à son employeur qui était allé regardé les Sms échangés sur son portable professionnel. La cour de cassation vient de lui donner raison. L’employeur a le droit d’interroger le téléphone professionnel d’un salarié pour regarder les Sms envoyés et reçus sans avoir à demander l’avis du salarié (Cass. com. 10-2-2015, n° 13-14779).

Cette jurisprudence est née d’un litige entre deux entreprises ; celle qui s’estimait lésée a utilisée comme preuve des Sms échangés par des salariés avec leurs téléphones professionnels. La Cour de cassation a considéré ses messages comme des preuves tout à fait recevables car on n’est plus dans le domaine de la vie privée dès lors que l’on utilise du matériel mis à disposition de l’entreprise.

Pour surveiller les messages des employés plusieurs solutions existent. L’employeur peut bien sur vérifier directement en prenant le téléphone professionnel. Mais dans beaucoup d’entreprises, il existe un serveur par lequel transitent tous les Sms et que l’employeur peut consulter dès lors qu’ils ne sont pas signalés en objet comme « personnel » ou « privé ».

Pour Alain Bensoussan, « cette jurisprudence est la suite d’une construction qui a commencé avec l’affaire Nikon et le droit à la vie privée résiduelle des salariés dans l’entreprise. Dans cet arrêt du 2 octobre 2001, la Cour de cassation consacre dans tous les médias, le droit du salarié à avoir une vie privée résiduelle dans l’entreprise. Dans la mesure où cette cette vie privée est clairement identifiée, l’employeur n’a pas le droit d’y avoir accès. En milieu professionnel, tout ne relève pas nécessairement du travail, il peut y avoir des moments privés. Cette vie personnelle peut s’exprimer sans qu’il y ait détournement de l’obligation de loyauté.

Dans un deuxième temps, cette jurisprudence considère que dans la mesure où elle est identifiée, l’employeur n’a pas le droit de contrôler cette vie privée résiduelle, quel que soit le média. La règle qui est posée à l’époque, est que tout est professionnel, sauf ce qui est expressément signalé par le salarié comme étant personnel ou privé. On a continuer à construire ce droit à la vie privée résiduelle avec notamment, une charte organisant cette vie privée au sein de l’entreprise (…) » 

Le Journal de Wendy Bouchard sur Europe1, Europe Midi (Ecoutez l’émission du 20 février 2015 : à 57:40)




Déclaration Cnil d’un matériel de contrôle d’activité obligatoire

Déclaration Cnil d’un matériel de contrôle d'activité obligatoireTout système de surveillance de l’activité des salariés comportant l’enregistrement de données personnelles doit faire l’objet d’une déclaration Cnil.

Cependant, la chambre sociale de la Cour de cassation apporte une nuance à cette règle s’agissant de l’utilisation d’un matériel de contrôle dont la mise en place est rendue obligatoire par une réglementation spécifique.

Dans un arrêt rendu par la chambre sociale le 14 janvier 2014 (1), la Cour de cassation a précisé qu’en vertu des dispositions du règlement européen n° 3821/85 du 20 décembre 1985 (en vigueur à l’époque des faits) (2), d’application directe, l’employeur est tenu, sous peine de sanctions pénales, d’assurer la mise en place et l’utilisation d’un chronotachygraphe (« mouchard »), instrument de mesure et d’enregistrement servant à contrôler la vitesse, l’horaire et la distance parcourue.

Les tachygraphes peuvent en outre, être équipés d’une interface avec les systèmes de transport intelligents enregistrant des données relatives à la géolocalisation.

Lorsque l’employeur est tenu, en vertu d’une réglementation obligatoire, d’assurer la mise en place et l’utilisation d’un matériel de contrôle, une absence de déclaration Cnil de l’emploi de ce matériel ne peut le priver de la possibilité de se prévaloir, à l’égard du salarié, des informations fournies par ce matériel.

Dans cette affaire, un chauffeur routier avait été licencié pour faute grave pour avoir falsifié les données du chronotachygraphe installé dans son véhicule afin de falsifier son temps de travail et donc sa rémunération. Il contestait son licenciement et affirmait que les données enregistrées par l’appareil lui étant propres et permettant de l’identifier, pouvaient être considérées comme des données personnelles, entrant dans le champ de la loi informatique et libertés du 6 janvier 1978.

La cour d’appel avait considéré le licenciement sans cause réelle et sérieuse, en retenant que les enregistrements effectués par suivi satellitaire et chronotachygraphe des déplacements du salarié ne pouvaient être opposés à celui-ci, faute de déclaration de ces dispositifs à la Commission nationale de l’informatique et des libertés. La Cour de cassation n’a pas suivi la cour d’appel.

Elle a considéré que la cour d’appel avait violé le règlement européen, d’application directe, l’employeur étant tenu, sous peine de sanctions pénales, d’assurer la mise en place et l’utilisation d’un chronotachygraphe. De sorte qu’une absence de déclaration Cnil de l’emploi de cet appareil ne saurait le priver de la possibilité de se prévaloir, à l’égard du salarié, des informations fournies par ce matériel de contrôle, dont le salarié ne pouvait ignorer l’existence.

Emmanuel Walle
Lexing Droit Travail numérique

Isabelle Pottier
Lexing Droit Informatique

(1) Cass. soc 14-1-2014 n° 12-16218.
(2) Règlement CE 165-2014 du 04 02 2014 remplaçant le règlement 165/2014 du 20-12-1985.




Dispositif de géolocalisation : preuve d’un licenciement

Dispositif de géolocalisation : preuve d'un licenciementUn dispositif de géolocalisation peut-il servir de moyen preuve d’un licenciement ? Quelles sont les conditions et limites ?

Un agent de sécurité employé par la société d’exploitation du périphérique de Lyon ayant notamment pour mission la surveillance du tunnel de Fourvière s’était vu notifier son licenciement pour avoir, à plusieurs reprises, quitté son poste de surveillance pendant ses heures de travail. L’employeur avait eu connaissance des faits reprochés au moyen du système de géolocalisation installé sur le véhicule de service du salarié.

Contestant son licenciement, ce dernier a saisi le conseil de prud’hommes de Lyon arguant notamment du fait que les institutions représentatives du personnel n’avaient pas été consultées et informées préalablement à l’installation du système de géolocalisation, et que lui-même n’en avait pas été avisé à titre individuel. Il en déduisait alors que le mode de preuve utilisé pour motiver son licenciement devait être considéré comme illicite.

Le conseil de prud’hommes ayant débouté le salarié de ses demandes, ce dernier a saisi la Cour d’appel qui a infirmé le jugement de première instance, après avoir rappelé les principes applicables en matière de dispositifs de géolocalisation ainsi que la doctrine de la Cnil s’y rapportant.

En effet, les magistrats ont en premier lieu relevé que la société, au moment de l’installation du système de géolocalisation, n’était pas soumise à l’information et à la consultation des institutions représentatives du personnel (l’effectif de la société au moment de l’instauration du système n’atteignant pas le seuil légal de la mise en place de ces institutions). Elle avait en outre effectué des formalités préalables auprès de la Cnil, un récépissé lui ayant été délivré.

En second lieu, s’agissant de l’information des salariés, la Cour d’appel relève qu’une note de service visant à les informer de la mise en place du dispositif de géolocalisation avait été affichée. Cette note visait l’installation du système de géolocalisation à des fins de qualification et de quantification des interventions, ainsi que de gestion des itinéraires ou encore en vue de l’établissement de tableaux de bord des activités de la société. Aussi, la Cour d’appel relève que cette note ne visait que la finalité purement commerciale de la géolocalisation et non le suivi de l’activité des employés, but qui doit être justifié au regard de l‘activité de l’employé et qui n’était pas mentionné au titre des finalités poursuivies.

Les magistrats ont alors conclu que, du fait du détournement de finalité du dispositif de géolocalisation par rapport à celle qui avait été portée à la connaissance des salariés, ce moyen de preuve devait être considéré comme illicite et le licenciement comme privé de cause réelle et sérieuse.

Lexing Droit Marketing électronique

CA Lyon 13-3-2013




Collecte des points d’ accès Wi-Fi

accès Wi-FiDans un article publié sur son site internet le 20 janvier 2012, la Cnil fait un point sur la collecte des points d’accès Wi-Fi présents dans les box internet. Ces points d’accès Wi-Fi sont répertoriés dans des bases de données créées par les sociétés proposant aux détenteurs de Smartphone des applications utilisant la géolocalisation pour fournir un service.

La collecte étant effectuée sans information préalable individuelle des propriétaires de box, la Cnil recommande que l’information soit publiée sur un site dédié, que les sociétés communiquent à ce sujet et qu’elles prévoient des procédures d’opposition à cette collecte.

Enfin, ces bases de données doivent être déclarées à la Cnil.

Cnil, rubrique Actualité, article du 20 janvier 2012




Illicéité d’un système de géolocalisation d’un salarié

Illicéité d’un système de géolocalisation d’un salariéDans un arrêt du 3 novembre 2011, la Cour de cassation a précisé les conditions dans lesquelles un système de géolocalisation pouvait être mis en place afin de contrôler le temps de travail d’un salarié.

En l’espèce, le contrat de travail d’un salarié prévoyait que celui-ci bénéficiait d’une liberté d’organisation, dans la mesure où le programme d’activité fixé était respecté et qu’un compte rendu journalier était effectué.

Par la suite, son employeur a notifié l’installation sur son véhicule d’un système de géolocalisation afin de permettre l’amélioration de la production et une meilleure optimisation des visites effectuées tout en omettant de préciser la finalité du contrôle du temps de travail.

Constatant que la durée de travail n’était pas respectée, l’employeur a réduit la rémunération du salarié, lequel a alors pris acte de la rupture de contrat, considérant que le système de géolocalisation était illicite. La Cour de cassation valide la position du salarié en ce que la mise en place de ce dispositif était illicite et qu’elle constituait un manquement suffisamment grave justifiant la prise d’acte de la rupture du contrat de travail aux torts de l’employeur. A cette occasion, la Cour pose quatre conditions à respecter pour qu’un système de géolocalisation permettant de contrôler le temps de travail soit licite.

Au visa de l’article L.1121-1 du Code du travail, l’utilisation d’un tel dispositif :

  • est illicite si ce contrôle peut être fait par un autre moyen ;
  • n’est pas justifiée lorsque le salarié dispose d’une liberté dans l’organisation de son travail.

Par ailleurs et en référence à la loi Informatique et libertés, l’arrêt précise que la géolocalisation ne peut être utilisée par l’employeur pour d’autres finalités que celles qui ont été déclarées auprès de la Cnil et portées à la connaissance du salarié.

En l’espèce, la Cour de cassation constate, d’une part, un détournement de finalité au regard de celles qui avaient été portées à la connaissance du salarié et d’autre part, que ce système était incompatible avec la liberté du salarié dans l’organisation de son travail. Dès lors, c’est à juste titre que le salarié a pris acte de la rupture de son contrat de travail qui s’analyse en un licenciement sans cause réelle et sérieuse dans ses conséquences.

Cass soc 3-11-2011 n° 10-18036




Géolocalisation et collecte d’informations issues des points d’accès wi-fi

Par communiqué en date du 5 mai 2011, la Cnil a défini les règles de bonnes pratiques devant être observées en cas d’utilisation des données émises par un Smartphone pour constituer une cartographie à des fins de géolocalisation conformément aux dispositions de la loi informatique et libertés. Ainsi que le précise la commission,  » l’actualité récente illustre le risque de suivi des utilisateurs de services de géolocalisation « . Elle sollicite donc de l’ensemble des personnes concernées le respect de ces bonnes pratiques et se propose de répondre à toute demande d’informations complémentaires susceptible de lui être adressée.

Cnil, rubrique Actualité, article du 5 mai 2011




Vidéo Webex Supinfo : la géolocalisation


Géolocalisation. Alick Mouriesse, Président de SUPINFO International University a interviewé Maître Alain Bensoussan dans le cadre du rendez-vous des experts organisé par Supinfo University, le 20 septembre 2011.




La géolocalisation au coeur de l’actualité

Un arrêt de la Cour d’appel de Dijon, en date du 14 septembre 2010, vient en effet de rappeler les limites de l’utilisation, par un employeur, de systèmes de géolocalisation aux fins de surveillance de ses salariés. Un coursier avait été licencié pour faute grave, les griefs qui lui étaient reprochés ayant été relevés par l’employeur à l’aide d’un dispositif de géolocalisation. Toutefois, l’employé n’avait pas été informé de la mise en place de ce dispositif (qui n’avait par ailleurs pas fait l’objet des formalités adéquates auprès de la Cnil) et les juges de la Cour d’appel de Dijon en ont conclu que « les informations relatives à la conduite et à l’utilisation de son véhicule par l’intimé ayant été obtenues par l’employeur par des procédés dont la licéité n’est pas établie, les griefs qui en découlent ne sauraient être considérés comme avérés ».

Outre cet arrêt, la Cnil vient elle aussi de se prononcer, dans un récent communiqué, sur le nouveau service de géolocalisation lancé par Facebook mettant en garde les utilisateurs contre les risques en termes de sécurité des données de cette nouvelle application de géolocalisation.

CA Dijon 14 09 2010

Communiqué Cnil du 15 10 2010




Adoption d’une recommandation sur la géolocalisation des véhicules des employés

La Cnil a adopté le 16 mars 2006 une recommandation relative à la mise en œuvre de dispositifs destinés à géolocaliser les véhicules automobiles utilisés par les employés d’un organisme privé ou public. La recommandation définit le cadre dans lequel peuvent être mis en œuvre des outils de géolocalisation au sein du contexte professionnel. L’utilisation d’un outil de géolocalisation doit répondre à un besoin spécifique lié à la nature même de l’activité exercée par l’employeur. Les cas dans lesquels la mise en œuvre d’un outil de géolocalisation peut être admise sont au nombre de quatre : un impératif de sûreté ou de sécurité de l’employé lui-même ou des marchandises ou véhicules dont il a la charge, une meilleure allocation des moyens pour des prestations à accomplir en des lieux dispersés, le suivi et la facturation d’une prestation, le suivi du temps de travail, lorsque ce suivi ne peut être réalisé par d’autres moyens. Les conditions de mise en œuvre des outils de géolocalisation doivent être précisément déterminées.

La Cnil précise d’une part, que les employés doivent avoir la possibilité de désactiver la fonction de géolocalisation des véhicules à l’issue de leur temps de travail lorsque ces véhicules peuvent être utilisés à des fins privées. D’autre part, elle énonce les quatre garanties qui doivent entourer ces traitements, à savoir :

  • interdiction de collecter les données relatives aux éventuels dépassements de limitation de vitesse ;
  • mise en place de mesures de sécurité au sein de l’entreprise afin de limiter l’accès aux données de géolocalisation aux seules personnes qui, dans le cadre de leurs fonctions, peuvent légitimement en avoir connaissance ;
  • définition d’une durée de conservation adéquate ;
  • information préalable des employés.

De plus, la Cnil a adopté une norme destinée à simplifier les formalités préalables des entreprises dont le traitement de géolocalisation mis en œuvre s’inscrit dans les règles définies dans la recommandation.

Délibération n°2006-066 du 16 mars 2006




Guide de la géolocalisation des salariés

Informatique et libertés

Géolocalisation

Guide de la géolocalisation des salariés

La Cnil a élaboré un guide pratique concernant les droits et obligations en matière de géolocalisation des salariés dans lequel elle met en garde les entreprises contre les risques d’atteinte à la liberté d’aller et de venir et à la vie privée. Elle précise qu’un tel type de traitement est légitime, sous réserve que l’information des salariés soit correctement effectuée et que les finalités du traitement, ainsi que les conséquences résultant de l’analyse de ces données pour les salariés, soient clairement indiquées à la CNIL. Elle rappelle également que ce type de services doit être apprécié à la lumière du principe de proportionnalité posé par l’article L.120-2 du Code du travail. A ce titre, un arrêt du 26 novembre 2002 de la Chambre sociale de la Cour de Cassation faisant application de cet article a jugé qu’une filature organisée par l’employeur pour contrôler et surveiller l’activité d’un salarié constituait un moyen de preuve illicite, dès lors qu’elle impliquait nécessairement « une atteinte à la vie privée de ce dernier, insusceptible d’être justifiée, eu égard à son caractère disproportionné, par les intérêts légitimes de l’employeur ». La surveillance systématique des déplacements des salariés via la mise en œuvre d’un dispositif GPS/GSM pourrait être assimilée par les juridictions compétentes à une filature électronique.

Cnil, Guide de la géolocalisation des salariés

(Mise en ligne Mars 2005)




Une norme simplifiée couvrant les services de téléphonie fixe et mobile

Informatique et libertés

Géolocalisation

Une norme simplifiée couvrant les services de téléphonie fixe et mobile

La Cnil a adopté le 3 février 2005 une nouvelle norme simplifiée n° 47 relative à l’utilisation de services de téléphonie fixe et mobile sur les lieux de travail qui abroge la norme n° 40 sur les autocommutateurs. La norme exclut les traitements permettant l’écoute ou l’enregistrement d’une communication ou la localisation d’un employé.

Délibération 2005-019 du 03 février 2005

(Mise en ligne Février 2005)