En l’espèce, une compagnie aérienne a mis en place un outil informatique nommé « Main courante divisions de vols ». Ce traitement de données a été déclaré à la CNIL (conformément aux dispositions applicables avant l’entrée en vigueur du RGPD, le 25 mai 2018) et a pour finalité de permettre un suivi de l’activité journalière et de permettre un passage de consignes entre les cadres de permanence des sites des aéroports (cela leur permet notamment d’être informés des événements liés à l’exploitation, mais également des demandes particulières des pilotes). Cette application n’avait pas fait l’objet de critiques de la part de la CNIL au moment de la déclaration en 2005.

Remarque : bien que les faits soient antérieurs à l’entrée en vigueur du RGPD et des modifications apportées par la loi n°2018-493 relative à la protection des données personnelles, les règles de fond envisagées dans l’arrêt sont demeurées les mêmes. Cet arrêt apporte donc également quelques précisions sur les dispositions désormais en vigueur.

Le syndicat des pilotes d’Air France faisait valoir que, pour considérer que la collecte des données est loyale, il faut que, préalablement à la création d’un événement, les salariés en soient prévenus. Il estimait que l’information (relative à l’existence du traitement, à sa finalité, ainsi qu’aux destinataires) par un mémo circularisé n’était pas suffisante, quand bien même le mémo était accessible aux salariés sur l’intranet et qu’ils pouvaient accéder à l’événement à tout moment, lors de sa création mais également lorsqu’il avait été traité, pour y ajouter des commentaires.

La Cour de cassation juge qu’une information globale comme celle de l’espèce est suffisante, et qu’il n’est pas nécessaire que les salariés soient prévenus individuellement et systématiquement de la création d’un événement, et donc de la collecte de données. Cette solution indique donc qu’une information globale au moment de la création de l’application est suffisante, dès lors que les données personnelles collectées sont accessibles pour les personnes concernées, et que ces dernières peuvent les modifier. Les juges ont eu, dans cet arrêt, une appréciation assez souple des obligations d’information et de loyauté des responsables de traitements des données, qui est conforme à la jurisprudence de la CJUE.

L’appréciation souple de la finalité du traitement

Les données personnelles doivent être collectées pour une finalité déterminée, qui ne doit pas être détournée (art. 6 de la loi relative à l’informatique, aux fichiers et aux libertés). Or, le syndicat affirmait que la finalité de l’application avait été modifiée. En effet, la déclaration à la CNIL affirmait que cette finalité était de suivre l’activité journalière des salariés et de faire passer un certain nombre de consignes. Les données collectées avaient cependant été utilisées par l’employeur dans le cadre d’un contentieux prud’homal pour justifier le fait qu’un salarié n’avait pas accédé à la fonction d’instructeur. La Cour de cassation avait déjà jugé (Cass. soc., 15 nov. 2017, n° 15-21.188) que cela n’entraînait pas un changement de finalité, notamment parce que les services RH disposaient d’autres outils qui avaient permis de collecter ces mêmes données à des fins disciplinaires. La décision laisse cependant penser que la Cour de cassation aura une interprétation souple du changement des finalités.

Un arrêt de travail n’est pas une donnée sensible

Le syndicat faisait également valoir que l’application recensait un certain nombre de données sensibles, dont des arrêts de travail. Les juges répondent que, dès lors que le motif de l’absence n’est pas mentionné, il ne s’agit pas d’une information sur la santé des salariés et qu’elle ne constitue pas une donnée sensible, dont la collecte est interdite ou, dans certaines situations, soumise à des conditions de traitement particulières.

Vers un droit à l’erreur de l’employeur ?