Le traitement des données « sensibles » par un supérieur hiérarchique d’une administration publique hors du cadre de la relation de travail : une violation légitime du droit au respect de la vie privée ? par Papillon- Condat Jeanne
Le traitement des données « sensibles » par un supérieur hiérarchique d’une administration publique hors du cadre de la relation de travail : une violation légitime du droit au respect de la vie privée ? par Papillon- Condat Jeanne
Résumé : Le traitement des données à caractère personnel est strictement encadré au nom du droit au respect de la vie privée dont peut se prévaloir tout justiciable. Il existe toutefois des limites à cette protection, parmi lesquelles celles découlant du statut de fonctionnaire, qui est inévitablement soumis à des règles de déontologie. Bien qu'une directive européenne ait été transposée en France et en Italie, les dispositions nationales demeurent hétérogènes à ce sujet. Pour assurer l'équilibre entre vie privée et devoirs déontologiques, les juges peuvent prendre en compte certains éléments tels que la qualification et les finalités des données collectées afin d’évaluer notamment si un employé publiant en ligne des annonces pour se prostituer, en dehors de son temps de travail, peut légitimement faire l’objet de mesures disciplinaires fondées sur le préjudice d’atteinte à l’image de la Collectivité territoriale qui l’emploie. En présence d'une telle intéraction entre plusieurs branches du droit, l'équilibre délicat entre la relation de travail, le droit de l'internet et le respect des droits et libertés fondamentaux, individuels comme publics engendre des ambiguïtés d'interprétation, propres à chaque système juridique.
Mots clés : traitement des données personnelles , données « super sensibles », vie privée, fonction publique et relation de travail.
Nota bene : L’ensemble des citations juridiques de source linguistique italienne précédées d’une astérisque (*) sont le résultat de mon propre travail de traduction.
Introduction :
La croissance rapide des technologies de l’information et de la communication sollicite une élaboration croissante de nouvelles règles destinées à garantir une protection efficace à tout justiciable. Malgré un effort constant des institutions européennes pour encadrer les activités virtuelles, la jurisprudence connaît une évolution si considérable qu’elle est parfois amenée à « anticiper » un futur cadre légal, tant européen que national. C’est alors que le juge se révèle essentiel pour répondre aux besoins d’adaptation du droit face aux nouvelles technologies. En effet autant la Cour de Justice de l’Union européenne que les juridictions nationales témoignent d’un certain activisme en la matière.
Il arrive même que des casuistiques appartiennent à plusieurs branches autres que celle du droit de l’internet, comme l’illustre la décision (n. 21107 du 7 octobre 2014) rendue par la Chambre civile (sezione I) de la Cour de cassation italienne. Le domaine législatif dont il est question, spécifique et singulier, vient effectivement accroître l’office du juge. Dans le cas d’espèce il s’agissait du traitement (numérique) des données à caractère personnel opéré par le chef de secteur d’une Collectivité territoriale. Celui-ci, informé par une source anonyme que l’un des salariés avait publié sur le net des annonces « compromettantes », a fait usage des données litigieuses dans le but de vérifier les dires de l’informateur. Après avoir conclu à un préjudice causé à l’image de l’institution dont était responsable l’auteur des publications, il prononçait à son encontre une mesure disciplinaire suivie de son exclusion définitive. Le contrôle de ces informations « intimes » aurait trouvé une justification dans le fait qu’il faille évaluer les conséquences néfastes d’un tel comportement sur l’administration avant de pouvoir décider du degré de la sanction à adopter. Précisons que le fonctionnaire agissait de la sorte uniquement en dehors de ses heures de travail, utilisant sa propre connexion internet pour « poster » des offres de prestations sexuelles en échange d’argent.
La question se pose alors de savoir dans quelle mesure il serait légitime pour un supérieur hiérarchique de traiter les données personnelles d’un subordonné afin de justifier que soit prononcée une sanction disciplinaire fondée sur l’atteinte portée à l’image de l’administration, si les informations proviennent d’un usage d’internet fait hors du cadre de la relation de travail? Jusqu’à quel point le contrôle nécessaire des fonctionnaires passant par la collecte de leurs données personnelles, au titre de la préservation de la bonne image de l’entité publique qui les emploie peut-il rendre admissible la violation du droit à la protection de leur vie privée, pourtant constitutionnellement garanti ?
Les normes de source européenne ont été transposées dans les systèmes français et italien à partir de la Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la « protection des personnes physiques à l'égard du traitement des données à caractère personnel et à leur libre circulation », et grâce à la Convention européenne des Droits de l’Homme, ratifiée par la France en 1974 et par l’Italie en 1955. Les différentes Commissions nationales formant le groupe de travail « G29 » (en référence à l’article 29 de ladite directive) jouent un rôle déterminant. A travers leur mission, elles entérinent les objectifs européens en ce qu'elles sont chargées de favoriser le développement de l’informatique tout en assurant la protection des données de chaque utilisateur. En France il s’agit de la « Commission nationale de l’informatique et des libertés », ci après dénommée « CNIL », en Italie elle est appelée « Garante per la protezione dei dati personali », soit le « Garant de la protection des données personnelles », ci après « Garante ». Cependant, malgré les compétences dont sont dotées ces autorités administratives indépendantes et la transposition de cette directive –qui est pourtant le texte fondateur en matière de protection des données personnelles- dans les systèmes juridiques examinés, l’application des textes européens qui en est faite n’est, à l’heure actuelle, ni parfaitement homogène ni exhaustive.
Une conception extensive de la notion de « traitement » dans un but de protection accrue des données personnelles
Les définitions de « traitement des données à caractère personnel » contenues dans l’article 2 de la loi française n. 78-17 du 6 janvier 1978 relative à « l’informatique, aux fichiers et aux libertés » dite « loi Foyer », et dans l’article 4 alinéa 1 a) du décret législatif italien n.196 du 30 juin 2003 se veulent extensives, conformément à la philosophie normative européenne. Cela s’explique en partie par la forte influence qu’avait eu la loi française n. 78-17 sur la Directive 95/46/CE, par la suite transposée en France (avec la loi n. 2004-801 du 6 août 2004, qui n’est autre qu’une actualisation de celle de 1978), et en Italie avec ce même décret de 2003. Elles sont formulées dans une liste considérable d’opérations consistant à en faire correspondre un nombre maximum aux critères d’application du régime protecteur. Ces procédés pouvant entrer dans cette qualification sont similaires dans les systèmes comparés, à ceci près que les notions ne sont pas énumérées dans le même ordre. Après juxtaposition des deux textes, ledit « traitement » est défini comme étant : « *Toute opération ou ensemble d’opérations effectuées, sans nécessairement recourir aux instruments électroniques (la loi Foyer diffère légèrement ici en disposant « quel que soit le procédé utilisé »), et notamment la collecte, l’enregistrement, l’organisation, la conservation, la consultation, l’élaboration (là où la définition française préfère la notion d’« adaptation »), la modification, la sélection (non précisée dans la loi de 1978), l’extraction, le rapprochement, l’utilisation, l’interconnexion, le verrouillage, la communication (les dispositions françaises ajoutent la communication « par transmission »), la diffusion (ainsi que « ou toute autre forme de mise à disposition »), l’effacement ou la destruction (enfin la norme italienne détaille : « y compris celle des données non enregistrées dans une base de données »). Il en résulte que peu d'opérations sont exclues du champ d’application de ces législations, qui par ailleurs ne considèrent que le traitement des données des personnes physiques. Une de ces exclusions est présente dans la décision commentée : celle relative aux traitements « mis en œuvre pour l’exercice d’activités exclusivement personnelles », initiée par la Directive de 1995 précitée et transposée en droit français à l’article 2 de la législation du 6 août 2004 (décret d’application du 20 novembre 2005 n. 2005-1309 modifié par le décret n. 2007-451 du 25 mars 2007), ainsi qu’en droit italien à l’article 3 de ce décret n.196/2003 selon lequel le « *principe de nécessité dans le traitement des données » exclut « dans un but d’utilisation la plus minime possible des données, celles ayant subi les traitements dont la même finalité pourrait être atteinte malgré leur caractère anonyme ou si la situation révèle un « cas de nécessité » suffisant à justifier que le sujet visé soit identifié ». Ces normes suivent donc fidèlement les ambitions de la Directive 95/46/CE qui fixe également un cadre strict en termes de collecte et d’utilisation des données personnelles. Toutes poursuivent ce but, finalisé par les tâches confiées aux organismes nationaux indépendants, d’instaurer l’équilibre entre un niveau élevé de protection de la vie privée des personnes et la libre circulation de ce type de données au sein de l’Union.
Toutefois dans cette affaire la disposition italienne, bien qu’étant très générale, n’avait pas été citée par les juges en première instance ; cela avait initialement eu comme répercussion de priver le fonctionnaire du bénéfice de la protection du droit au respect de sa vie privée.
Nonobstant l’existence de la directive et le caractère abstrait de ces normes, les difficultés pour les tribunaux persistent, ce qui entraîne des disparités internes. Ce constat est récurrent même dans les cas où le traitement litigieux entre dans une des catégories prévues par ces textes. Ces obstacles découlent du statut particulier de fonctionnaire et du fait qu’aucune autre source légale ne fournisse de remède contre les opérations opérées par les administrations qui contrôleraient abusivement ces activités informatiques ; cet abus se manifeste par l'utilisation des données qui relèvent de la sphère strictement privée des salariés, lesquelles données étant pourtant dépourvues de tout lien avec leur vie professionnelle. Les fonctionnaires sont évidemment soumis à des obligations déontologiques, mais en tout état de cause, ici le requérant n’avait fait état d’un comportement ni directement offensant envers son employeur, ni constituant une quelconque limitation à l’exercice habituel de ses fonctions. Il devient d'autant plus délicat de respecter l'équilibre en question puisque la vie privée du requérant peut être remise en cause par ses devoirs de loyauté d'une part et parce-que la libre circulation des données personnelles n'aurait pas lieu d'être envisagée sous l'angle de sa vie professionnelle d'autre part, étant donné que les activités pratiquées semblent correspondre à l'exclusion des traitements « mis en œuvre pour l'exercice d'activités exclusivement personnelles ».
L’effet attendu de ces législations a des conséquences inverses en pratique : le législateur européen se veut prolifique à l’occasion du développement des nouvelles technologies, néanmoins il semble oublier l’importance de préserver leur utilisation effective. En d'autres termes paradoxalement les normes qu’il édicte ignorent en réalité les circonstances de faits mixtes. En l'occurrence l’exemple est tout trouvé dans la relation de travail que le droit peine à articuler avec les activités numériques des employés lorsqu'elles sont nuisibles pour l'employeur, et ce, même si elles sont exercées en toute intimité. Il en découle qu’au lieu d’être pris en compte, puisqu’ils relèvent de plusieurs sphères du droit, ces cas d'espèces ne sont pas légalement consacrés. Plus précisément les normes ne disposant rien relativement à la fonction publique vis-à-vis de la vie privée, la Cour suprême a été contrainte de dégager une solution fondée sur le caractère général des seuls textes éventuellement applicables, en redoublant d’ingéniosité pour l’adapter au droit de l’internet. Cela traduit un tour de force jurisprudentiel sensé combler un vide juridique d’ampleur européenne en terme de relation de travail compromettant la protection de la vie privée. Le souhait européen d’encadrer un maximum de faits d’espèce par l'élaboration de lois nécessairement abstraites et générales a conduit en contrepartie à une production prétorienne excessive, incohérente avec le but initial d’assurer une protection législative erga omnes à ces situations complexes. Finalement, au mépris de la directive de 1995, cela mène à des diversités nationales.
L’analyse comparative du traitement des données personnelles et de la protection de la vie privée, révélatrice d’ambiguïtés
En France la section 2 de la loi Foyer n’est pas codifiée, à l’exception de certaines dispositions répressives transposées dans le Code pénal. Au contraire en Italie les articles du décret législatif de 2003 font partie intégrante du Codice in materia di protezione dei dati personali, également intitulé Codice della privacy, qui signifie « *Code de la vie privée ». En ce sens la frontière entre « données à caractère personnel » et « vie privée » n’est pas totalement étanche d’un point de vue linguistique car le mot « privacy » est employé en italien pour désigner la « vie privée » parallèlement aux « données personnelles » appelées « dati personali ». Alors même que la traduction du mot anglais « privacy » en français peut faire référence concomitamment à la vie privée et aux données personnelles, il apparaitra parfois que ces traductions divergentes portent à confusions, que l’on se réfère à la conception de la « vie privée » et du « traitement des données à caractère personnel », ou à l’étendue des pouvoirs des juges de l’ordre juridique interne de ces deux pays.
Cette comparaison soulève assurément le problème du manque d’antécédents jurisprudentiels. De surcroît les juges nationaux sont plus régulièrement amenés à examiner l’équilibre entre libertés d’expression et/ ou d’opinion et les impératifs déontologiques sous l’angle de la responsabilité civile. Ils s’appuient de ce fait sur l’article 6 de la loi du 13 juillet 1983 qui dispose que : « La liberté d’opinion est garantie aux fonctionnaires ». En outre ils se sont davantage prononcés sur la liberté de s’exprimer sur des forums de discussion ou des blogs à l’encontre de son employeur. En l’occurrence les juges français comme italiens évalueront, d’un point de vue pénal, la portée des propos litigieux pour décider ou non de prononcer les sanctions relatives aux délits de diffamation ou d’injure. Ce sont les articles 594 et 595 du Codice penale et les alinéas 1 et 2 de l’article 29 de la loi française du 29 juillet 1881 sur la liberté de la presse qui les consacrent. Enfin il est plus fréquent que les juridictions soient confrontées au « détournement de connexion internet » par un salarié sur son lieu de travail, qu’elles qualifient alors de délit d’abus de confiance (c’est le cas par exemple de la Chambre criminelle de la Cour de cassation française le 19 mai 2004, numéro de pourvoi 03-83953). Contrairement à l’arrêt de 2014, ces espèces connaissent une antériorité sur laquelle les magistrats peuvent se baser pour trancher ; cela amenuit indéniablement leurs difficultés.
L’évolution technologique a comme conséquence d'accroître les domaines nécessitant une protection législative, au point qu’il devienne crucial de protéger à la fois les libertés d’expression ou d’opinion et la liberté de circulation des informations, autant que la vie privée. L’article premier de la loi française de 1978 dispose donc que : « l’informatique doit être au service du citoyen (…) Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques », l’article 2 du décret législatif italien également : « *les dispositions du présent code garantissent que le traitement des données personnelles s’effectue dans le respect des droits et libertés fondamentaux, ainsi que de la dignité de la personne concernée, principalement quant à son intimité, son identité personnelle et le droit à la protection de ses données à caractère personnel ». L’ambiguïté repose sur un idéal de protection « coûte que coûte » des individus, fondée sur le droit fondamental de s’exprimer sur n’importe quel support, qui contraste finalement avec les impératifs liés au statut « public ». Consécutivement ces impératifs empêchent l’octroi d’une liberté d'expression absolue et inconditionnelle pour cause de déontologie, d’éthique voire de bonnes mœurs.
La Chambre civile de la Cour de cassation italienne en 2014 l’a revendiqué et affirme que le principe d’égalité ayant une valeur constitutionnelle, certains de ces cas complexes devraient promouvoir une protection renforcée des fonctionnaires, au même titre que d’autres justiciables qui se prévaudraient du respect à leur vie privée. Elle ajoute par ailleurs, pour tenter de résoudre le problème d’augmentation des menaces potentielles à ces libertés notamment en interdisant purement et simplement tout traitement, qu’il faudra que les données remplissent certaines conditions de qualification et de finalités.
La qualification nécessaire de certaines données personnelles ou les justifications constitutionnelles d'une interdiction de traitement
Dans cet arrêt (n. 21107 de 2014) la Cour de cassation italienne se réfère aux articles 2 et 3 de la Constitution italienne du 27 décembre 1947 pour qualifier, de « *données super sensibles » du fait de leur nature spécifique, celles qui touchent « *à la sphère la plus intime d’une personne, tant il s’agit de son propre corps que de ses choix moraux les plus confidentiels » ; ces articles proclament le droit à la vie privée, à la liberté d’opinion et le principe d’égalité. Ensuite elle rappelle sa jurisprudence (Chambre civile de la Cour de cassation italienne, sezione I, décision n.14390 du 8 juillet 2005) justifiant par ce biais que des données portant sur la santé ou la sexualité des personnes concernées bénéficient de la protection « renforcée ». En l’espèce le fonctionnaire dévoilait son intimité bisexuelle dans les publications contestées, à ce sujet la Cour précise que les administrations publiques doivent se conformer scrupuleusement aux procédures prévues par la loi au moment où elles effectuent le traitement des données « sensibles » d’un individu. Avec la décision de 2014, cette problématique est l’une des rares à évoquer l’équilibre entre le respect du droit fondamental à la vie privée et le traitement nécessaire des données intimes des membres du personnel d’une autorité publique y compris en dehors de la relation de travail. Il s’agissait d’un inspecteur de police dénoncé par un collègue pour avoir posté en ligne, hors des heures de service, des annonces pornographiques fétichistes et homosexuelles ; s’en est suivie une mesure disciplinaire menant à une mutation puis à la suspension de ses fonctions.
En définitive les fondements textuels et l’issue de la sentenza de 2005 sont différents de ceux de l’arrêt de 2014, mais la démarche de qualification des données apparaît tout aussi utile dans l'une comme l'autre de ces décisions. En Italie il est donc inévitable pour l’entité publique voulant initier une procédure disciplinaire de qualifier les données sensibles (définies à l'article 22-1 de la loi n. 675 du 31 décembre 1996 reprises par l'article 4 du décret législatif n. 196 du 30 juin 2003) pouvant être sujettes aux opérations de traitement. Ces données ne seront appréhendées qu’après délivrance non seulement du consentement écrit de l'intéressé, mais aussi, comme le prévoit l’article 13 du décret de 2003 sus cité, d’une autorisation émanant du Garante.
En France c’est l'article 8 de la loi de 1978 qui « interdit de collecter ou de traiter des données à caractère personnel qui (…) sont relatives à la santé ou à la vie sexuelle de celles-ci ». La CNIL a également un pouvoir de contrôle et de sanction envers un employeur qui violerait cette interdiction. Ce dernier est pareillement obligé, en vertu de la règle de transparence, d’informer préalablement le salarié que son ordinateur professionnel sera contrôlé et devra obtenir son consentement comme base légale du traitement des données. A titre d’illustration la Cour de cassation souligne le caractère impératif de l'information préalable in Soc. 7 juin 2006, n. 04-43866.
Malgré cette uniformisation légale, des doutes subsistent quant à la perception des juges français du droit au respect de la vie privée d'un salarié. En ce sens les lois relatives à la fonction publique (en particulier la loi n. 2007-148 du 2 février 2007) prévoient qu'un fonctionnaire doit faire « un usage prudent et modéré d'internet dans son cadre professionnel mais aussi en dehors de ses heures de service ». Sur le terrain jurisprudentiel, comme évoqué précédemment, peu de cas y font allusion. L'arrêt « Nikon » de la Chambre sociale de la Cour de cassation du 2 octobre 2001 (n. 99-42.942 publié au bulletin) revêt cependant une importance capitale car il consacre pour la première fois une liberté individuelle du salarié dans le champ des nouvelles technologies, ce qui en a fait un arrêt de principe. Malheureusement il ne délivre qu'une réponse partielle sur les seuls agissements d'un salarié pendant son temps de travail. S’en est suivi un licenciement pour faute grave à son encontre, pour avoir utilisé, dans le cadre de ses fonctions et à des fins personnelles, le matériel mis à sa disposition par la société. Concrètement son supérieur hiérarchique s’était servi de ses données personnelles dans l’espoir de prouver une faute. La Cour casse et annule en donnant raison à l'employé qui fondait son pourvoi sur un licenciement sans cause réelle et sérieuse ; elle invoque son droit « même au temps et au lieu de travail, de bénéficier du respect de l'intimité de sa vie privée » et en déduit l'interdiction pour l'employeur de violer « cette liberté fondamentale lorsqu’il prend connaissance des messages personnels émis grâce à un outil informatique mis à sa disposition pour son travail ». Étonnamment les juges français n’ont pas fait application des articles 6 et 15 de la Déclaration des Droits de l’Homme et du citoyen de 1789 relatifs aux emplois publics ni de la loi de 1978, lesquels encadrent pourtant le secteur de la protection informatique des travailleurs. Ils mentionnaient plutôt l'article 8 de la Convention européenne de sauvegarde des Droits de l'Homme et des Libertés fondamentales relatif au « droit au respect de la vie privée et familiale » interdisant l'ingérence de l’autorité publique, ainsi que l'alinéa premier de l’article 9 du Code civil selon lequel : « Chacun a droit au respect de sa vie privée » ; et l'ancien article L121-2 du Code du travail qui disposait « qu'un employeur qui apporterait aux libertés individuelles des restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché ne pourrait légitimement prononcer une sanction disciplinaire ».
Paradoxalement les conclusions de la Cour française rejoignent celles des juges italiens dans la décision n. 21107 du 7 octobre 2014. Tous retiennent la violation du droit à la vie privée par l’entité publique lorsqu'elle collecte des informations sur les orientations sexuelles du fonctionnaire, alors qualifiées de « données sensibles », dans le seul but de prouver un risque d’atteinte à l’image ou un manquement à ses obligations déontologiques.
Cette casuistique vient de nouveau mettre en évidence la carence législative européenne pour des sujets tels que la fonction publique et la relation de travail ; cependant il faut rappeler que la directive en question date de 1995, autrement dit avant qu'internet ne soit largement utilisé. Cela explique qu’elle ne couvre pas les données traitées à des fins d'exécution de la loi. Dans l’optique d’y remédier, la Commission européenne propose en 2012 un nouveau règlement portant sur un ensemble unique de règles pour toutes les données collectées en ligne. Son objet est à la fois de permettre qu’elles soient conservées de manière sûre et de fournir aux entreprises un cadre clair sur la façon dont les traiter. Les députés de la Commission des libertés civiles ont appuyé ce projet en votant le 21 octobre 2013 une révision majeure de ces règles lacunaires. Le premier amendement insiste sur le fait qu’au regard du Considérant 14 « Le présent règlement ne traite pas des questions de protection des libertés et droits fondamentaux ou de libre circulation des données relatives à des activités n'entrant pas dans le champ d'application du droit de l'Union ». En réponse à cette proposition de la Commission, le 12 mars 2014 le Parlement européen adoptait en session plénière ledit règlement qui compose, avec la directive, le nommé « paquet législatif ». Le dessein de cette réforme, actuellement discutée au sein du Conseil de l’Union européenne, est notamment de moderniser ces normes considérées désuètes et d’améliorer les conditions d’obtention d’un consentement explicite d’utilisation des informations.
Il n’en demeure pas moins que la qualification délicate de données « sensibles » due à cette uniformisation précaire conduit encore aujourd’hui au constat d’une regrettable insécurité juridique, et ce, malgré les avancées autrefois apportées par la Directive 95/46/CE. En effet si la loi du 6 janvier 1978 appliquait des règles différentes au secteur public et au secteur privé, cette distinction est abandonnée lors de sa transposition par la loi du 6 août 2004. Désormais la distinction s’opère uniquement entre les données et les traitements courants face à ceux qui présentent des risques particuliers ou ceux qui concernent la sûreté, la défense et la sécurité publique. Malheureusement ces avancées sont apparues insuffisantes.
En somme la solution retenue en l’espèce, alors qu’elle n’est pas spécifique au droit de l’internet, fait preuve d’une grande tolérance envers le fonctionnaire. Pour ce faire, la Cour s’est appuyé sur le principe de proportionnalité pour évoquer l'importance des enjeux liés au respect des libertés fondamentales. L’énoncé de ce principe a permis de garantir au salarié une protection outrepassant celle qui est prévue par les dispositions de la directive. Les textes qui la garantissent sont peu nombreux dans cette matière mais font actuellement l'objet d'un examen destiné à accroître leur applicabilité.
Une sanction disciplinaire proportionnée aux finalités d'opérations de traitement des données « sensibles »?
Le tribunal de Verbania avait exclu l’application du Codice della privacy pour l’arrêt de 2014, *la collecte d’informations en ligne ayant respecté les finalités de la procédure disciplinaire dans l’unique intention d’obtenir des preuves illustrant les écarts de conduite du demandeur, ce qui était proportionné à l’atteinte portée à l’image de l’administration. A la suite de cette décision le Garante s’est pourvu en cassation sur le fondement de l'autorisation préalable obligatoire, en introduisant un recours contre cet organisme public pour ne pas avoir tenu compte du refus qu’elle lui avait alors opposé de poursuivre ce traitement. Le Garante argumentait a contrario que les annonces postées sur le web touchaient exclusivement à la vie sexuelle du fonctionnaire, et devaient être qualifiées de données « sensibles » entrant dans les critères d'application du régime de protection conféré par le Codice della privacy ; de ce fait il déplorait l’abus exercé par la Collectivité devant être appréhendé par les juges du fond.
Paradoxalement la Chambre civile de la Cour de cassation italienne, (sezione I, n. 14390 du 8 juillet 2005) avait donné raison au Garante qui déclarait légitimes les opérations de traitement et avait refusé d’accéder à la requête formulée par l’inspecteur de bloquer et d'effacer les données contestées. En effet les juges, après avoir rappelé l'impérativité de la demande d'autorisation préalablement aux vérifications des dénonciations par les entités publiques (article 9 du décret législatif n. 135 du 11 mai 1999), ont admis la violation de l’article 28 du décret du Président de la République n. 782 du 28 octobre 1985, selon lequel *on ne peut dénoncer les erreurs d’un agent administratif commises en dehors de l’exercice de ses fonctions si les actes révélés sont contraires aux devoirs qui incombent à un fonctionnaire ayant de pareilles responsabilités ; cet inspecteur appartenant au corps de la Police nationale, le traitement opéré par l’administration sur les données personnelles destinées seulement à certifier les dires du collègue qui l'a dénoncé était justifié par le respect du principe de proportionnalité entre les dénonciations et l'ampleur des agissements de l'inspecteur aux vues de ses fonctions. Le caractère proportionné permet, dans de telles circonstances, de déroger à cette disposition.
Les divergences de motifs des juges s’explique par la nature même des fonctions des salariés : les faux pas d’un inspecteur semblent plus inacceptables que ceux d’un fonctionnaire dont l’activité officielle dans les bureaux de la Collectivité territoriale est exercée simultanément à une autre officieuse, dont les cumuls ne seraient même pas révélateurs de conflits d’intérêt ni de fraude fiscale. Ces décisions semblent indiquer que si le comportement d’un individu n’est pas éthique mais n’a aucun rapport avec les tâches professionnelles qui lui sont attribuées, il pourra se prévaloir de son droit à la vie privée davantage qu’un employé qui aurait agi en violant les devoirs de loyauté qui lui incombent, même si cela a eu lieu en dehors de son temps de travail.
Les tribunaux italiens apprécient strictement les finalités de traitement, comme l’indique l'arrêt de la Chambre civile de la Cour de cassation italienne, sezione I, n. 14390 du 8 juillet 2005 : * « les opérations de traitement pourraient être admises si le décret législatif n. 135 de 1999 considérait expressément que la finalité reposant sur une procédure disciplinaire était d'intérêt public ». Autrement dit, pour qu'elles soient justifiées il faut que les finalités soient explicitement indiquées par la loi et/ ou qu'elles revêtent un intérêt public. L'article 68 de la loi italienne n. 121 de l981 dispose que « *les fonctionnaires appartenant au corps administratif de la Police nationale sont tenus, même en dehors du service, de se conformer aux devoirs inhérents à leurs fonctions ». De plus « *le traitement des données dont les finalités auraient été consenties, doit être autorisé par le Garante », au sens de l'article 9 du décret législatif n.135 de 1999 modifiant l'article 22 de la loi n.675 de 1996.
En France l’autorisation de la CNIL est d’autant plus indispensable que le traitement présente des « risques particuliers d’atteinte aux droits et aux libertés » (articles 25, 54 et 64 de la loi de 1978). Pour l'admission d'un traitement de données « sensibles » sur notre territoire, le fichier doit avoir un objectif précis, les informations exploitées dans ce fichier se doivent d'être cohérentes avec l’objectif poursuivi et ne peuvent pas être réutilisées de manière incompatible avec la finalité pour laquelle elles ont été collectées. Contrairement au système italien, ici les affirmations sont examinées explicitement sous l'angle du principe de proportionnalité, dont l'arrêt « Nikon » est précurseur. Aujourd'hui ce principe est formulé dans le Code du travail à l'article L1121-1 : « nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché », autrement dit la surveillance entreprise par l'employeur ne doit pas avoir pour seule motivation la sanction disciplinaire d'un salarié.
Tout comme le précise la décision italienne de 2014, la seule finalité liée à l’intérêt public ne suffit pas à exclure le consentement écrit de l’intéressé, l’autorisation fournie par l’autorité chargée de la protection des données personnelles avant tout éventuel traitement des données « sensibles » étant elle aussi nécessaire. Là où des insuffisances normatives sont dues au fait que les lois se doivent d’avoir un caractère général, les juges ont la lourde tâche d’assurer aux individus une protection plus uniforme et plus efficace de leurs données personnelles.
Les nouvelles technologies sont synonymes de danger du fait de leur diffusion temporellement et territorialement illimitée. Matthieu Démoulain in « Nouvelles technologies et droit des relations de travail, Essai sur une évolution des relations de travail » (Catherine Puigelier, RTD civ. 2013.231) en appelle à la vigilance de l'employeur sur le respect dû à la personne et à la dignité de chacun eu égard à l'importance des nouvelles technologies. Il écrit que temps de vie privée et temps de vie professionnelle tendent à se confondre, « la période de repos se dissolvant dans une exigence de permanente disponibilité ». Ces risques se retrouvent bien dans chacun des systèmes comparés. Dès lors la législation européenne se doit d'être d’autant plus protectrice, ce qui n’est pas encore le cas. Fort heureusement les autorités aspirent à combler ces lacunes dans un avenir proche, lacunes qui témoignent par ailleurs d'une harmonisation européenne encore insuffisante ; par exemple en ce qui concerne la traduction juridique de la « privacy ». Une telle entreprise pourrait évincer toute ambivalence d'interprétation. En effet la jurisprudence de ces Etats membres se borne à l'approche manifestement souveraine de la relation de travail articulée avec le droit de l'internet : quand en Italie la finalité de collecte des données est d'intérêt public, l'autorisation du Garante n'est plus de mise, et en France le principe de proportionnalité ne requiert que des finalités concurrentes pourvu qu'elles soient caractérisées par un usage pertinent et déterminé des données exploitées. De plus les dérogations à la loi excluant l'autorisation d'opérations de traitement requièrent le principe de nécessité italien tandis que l'on parle en droit français dans ce même contexte de l'exclusion de certains traitements « mis en œuvre pour l'exercice d'une activité personnelle ». Il semblerait qu'une norme internationale soit la bienvenue, de sorte qu'une convergence des droits permette une application plus uniforme des critères d'autorisation de traitement des données personnelles au sein d'un plus grand nombre de systèmes juridiques possible.
Pour l’heure, les juges français et italiens « composent » grâce à leur volonté commune consistant à s'efforcer de ne justifier qu’exceptionnellement certaines limitations au respect de la vie privée -ce qui confère une protection quasiment égale à tous les justiciables- tout en préservant l’indispensable caractère général des normes qui édictent les rapports entre le monde numérique et les autres sphères du droit.
Bibliographie :
Ouvrages
-
Derieux E., Granchet A., « Droit des médias, droits français, européen et international », Paris, LGDJ, Lextenso, 6ème édition, 2010, p. 604 à 607.
-
Desgens-Pasanau, G., « La protection des données à caractère personnel », Paris, LexisNexis, 2012.
-
Grynbaum L., Le Goffic C., Morlet- Haïdara L., « Droit des activités numériques », Paris, Précis Dalloz, 1ère édition, 2014, p. 755 à 906.
-
Sica S., Giannone Codiglione G., « La libertà fragile. Pubblico e privato al tempo della rete », Naples, Esi, 2014, p. 140.
Articles
- Les cahiers juridiques des Collectivités territoriales et des associations, n. 152, décembre 2011- janvier 2012 « L’interférence d’internet dans les obligations déontologiques » par Batazzi L., p. 24 à 26.
- Les cahiers de la fonction publique et de l’administration, n. 331, avril 2013, « La fonction publique face à la déontologie : dossier », par Pringault S., p. 28 à 53.
Sites internet
http://ec.europa.eu/index_fr.htm
http://www.europarl.europa.eu/news/public/default_fr.htm
http://www.echr.coe.int/Documents/Handbook_data_protection_FRA.pdf
www.echr.coe.int/Documents/Research_report_internet_FRA.pdf
www.senat.fr/lc/lc33/lc333.html