L’employeur peut-il diligenter des enquêtes privées à l’insu de ses salariés ? C’est à cette question que la Chambre criminelle de la Cour de cassation a récemment répondue, dans une affaire dans laquelle avait été découvert un veste système d’espionnage organisé (profilage et enquêtes privées) au sein de la société IKEA France. Retour dans les années 2010…
L’affaire IKEA
A la suite de la plainte d’un syndicat qui faisait état d’un système d’espionnage organisé au sein de la société IKEA France, plusieurs perquisitions ont été réalisées. Des contrôles ont été, par ailleurs, diligentés par la CNIL. A la suite de ces premières opérations, une information judiciaire a été ouverte des chefs notamment de collectes de données personnelles contenues dans un fichier par un moyen frauduleux, déloyal ou illicite, faits réprimés à l’article 226-18 du Code pénal.
Les investigations ont très vite mis en lumière le rôle joué par le directeur du Département Gestion des Risques de la société IKEA France, qui missionnait régulièrement des sociétés – dont la société E – pour effectuer des recherches sur des personnes. C’est ainsi que Monsieur JPF a réalisé, en qualité de dirigeant de la société E, de nombreuses investigations privées sur des candidats (notamment concernant la véracité des informations figurant dans les CV), mais aussi sur du personnel (soupçonné de vol ou encore ayant dénoncé des faits dans l’entreprise, tels que les conditions d’hygiène alimentaire d’un restaurant d’un magasin). Les clients en litige avec la société (dont des clients défaillants) pouvaient également faire l’objet de recherches. Des enquêtes étaient alors réalisées sur leur patrimoine et leur solvabilité. Pour l’exercice de ces missions, Monsieur JPF utilisait un logiciel qui balayait de manière systématique les diverses bases de données accessibles en ligne (Facebook, Twitter, etc.), dans lesquelles il pouvait collecter de nombreux renseignements sur les personnes ciblées (activités professionnelles ou privées, activités familiales, état d’âme, difficultés conjugales et professionnelles, démêlés judiciaires). Il épluchait également la presse locale, riche en faits divers, et pouvait aussi procéder, au besoin, à des enquêtes de voisinage.
Par un jugement en date du 15 juin 2021[1], le tribunal correctionnel de Versailles a déclaré le directeur du Département Gestion des Risques de la société IKEA France coupable des faits de collecte de données personnelles par un moyen frauduleux, déloyal ou illicite et l’a condamné à une peine de dix-huit mois d’emprisonnement avec sursis et au paiement d’une amende de dix mille euros. JPF a, quant à lui, été condamné, pour les mêmes faits en tant que complice, à une peine de deux ans d’emprisonnement avec sursis et au paiement d’une amende de vingt mille euros[2].
Ce dernier a – contrairement au directeur du Département Gestion des Risques de la société IKEA France – interjeté appel de la décision. Mais la juridiction du second degré n’est pas allée dans son sens et l’a reconnu coupable – en tant qu’auteur et non plus en tant que complice – du délit visé à l’article 226-18 du Code pénal, car selon la Cour d’appel de Versailles : « Il est considéré comme déloyal, notamment dans les relations employeur/employé lorsque la collecte a été assurée par la capture d’informations diffusées sur des sites publics – sites Web, annuaires, forums de discussion, réseaux sociaux… – dès lors que les informations collectées ont donné lieu à une utilisation sans rapport avec l’objet de leur mise en ligne, et ont été recueillies à l’insu des personnes concernées les privant ainsi de leur droit d’opposition institué par la Loi informatique et libertés. » [1] JPF a, sans plus de succès, formé un pourvoi en cassation.
Ce que dit la Cour de cassation
La Chambre criminelle a estimé que la cour d’appel, en se déterminant comme elle l’a fait, n’avait pas méconnu les termes de l’article 226-18 du Code pénal. En effet, « le fait que les données à caractère personnel collectées par le prévenu aient été pour partie en accès libre sur internet ne retire rien au caractère déloyal de cette collecte, dès lors qu’une telle collecte, de surcroît réalisée à des fins dévoyées de profilage des personnes concernées et d’investigation dans leur vie privée, à l’insu de celles-ci, ne pouvait s’effectuer sans qu’elles en soient informées. »[2]
En d’autres termes, l’employeur, qui collecte des données personnelles concernant ses salariés sans les en informer préalablement, s’expose à un risque pénal, quand bien même les données collectées étaient accessibles à tous parce qu’en libre accès sur internet. L’ironie de l’histoire c’est que cela ne signifie pas pour autant, au regard des derniers arrêts de la chambre sociale et de l’assemblée plénière de la Cour de cassation[3], que l’employeur ne pourra pas se prévaloir, dans le cadre d’un procès civil, des moyens de preuve obtenus dans le cadre de cette collecte illicite, puisque que dans une telle situation, le juge ne peut écarter des débats les preuves ainsi obtenues sans avoir mis en balance, d’une part, le droit au respect de la vie personnelle du salarié et, d’autre part, le droit à la preuve. Il reste alors à l’employeur de mettre en balance, d’un côté, son intérêt à produire en justice le moyen de preuve illicite et, de l’autre côté, son risque pénal.
Auteur : Alexandre FIEVEE
Article publié sur BFM Business
[1] CA Versailles, 9ème chambre, RG : 21/02436, 27 janvier 2023.
[2] Cass. Crim., 30 avril 2024, n°23-80.962.
[3]Cass. Ass. Plén., 22 décembre 2023, n° 20-20.648 ; Cass. Ass. Plén., 22 décembre 2023, n° 21-11.330 ; Cass. Soc., 8 mars 2023, n° 21-17.802 ; Cass. Soc., 8 mars 2023, n° 21-20.798 ; Cass. Soc., 4 octobre 2023, n° 22-18.105.
[1] Tribunal correctionnel de Versailles, 5ème chambre, 15 juin 2021.
[2] Pour l’anecdote, la société IKEA France a été déclarée coupable pour des faits de recel habituel de biens provenant d’un délit et a été condamnée au paiement d’une amende d’un million d’euros.