DROIT INFORMATIQUE

Jurisprudence

Cass. soc., 8 décembre 2009
pourvoi 08-17.191

droit informatique

Les grands arrêts de la jurisprudence en droit informatique : arrêt de la Cour de cassation, chambre sociale, du 8 décembre 2009 (pourvoi 08-17.191)

Cour de cassation, chambre sociale
8 décembre 2009, pourvoi 08-17.191

LA COUR DE CASSATION, CHAMBRE SOCIALE, a rendu l'arrêt suivant :


Attendu, selon l'arrêt attaqué, qu'en 2004, puis 2007 la société Dassault systèmes, société mère du groupe Dassault, a, à la suite de la loi américaine dite "Sarbanes-Oxley", élaboré un code de conduite des affaires applicable dans le groupe, dénommé " Code of Business Conduct" ; que ce code définissait, d'abord , les règles applicables à la diffusion des "informations confidentielles" et des informations à "usage interne" dont les salariés peuvent avoir connaissance dans le cadre de leur contrat de travail, dans les termes suivants s'agissant de ces dernières : "est considérée comme information à usage interne toute donnée relative ou appartenant à une personne ou une société, qui n'a pas vocation à être diffusée largement et qui est protégée ou non en vertu du droit de la propriété intellectuelle ou du secret industriel applicable (...) Avant toute utilisation d'information à usage interne (...) nous recueillons l'autorisation expresse de son propriétaire et nous nous assurons que son utilisation est conforme aux modalités de cette autorisation (exemples d'informations à usage interne : notes de service, information envoyée aux collaborateurs, organigrammes, objectifs et données se rapportant aux équipes, caractéristiques techniques, formules, dessins et modèles, inventions)" ; qu'il organisait, ensuite, un système d'alerte professionnelle ainsi défini : "l'utilisation du dispositif d'alerte professionnelle n'est ni obligatoire, ni exclusive. Si elle l'estime justifié, toute personne ayant connaissance d'un manquement sérieux aux principes décrits par le Code of Business conduct, en matière comptable, financière ou de lutte contre la corruption, peut signaler ce manquement aux personnes compétentes du groupe DS. Ce dispositif ne peut être utilisé hors du champ indiqué ci-dessus. Néanmoins, il s'applique également en cas de manquements graves aux principes décrits par le code lorsqu'il met en jeu l'intérêt vital du groupe DS ou l'intégrité physique ou morale d'une personne (notamment en cas d'atteinte au droit de la propriété intellectuelle, de divulgation d'informations strictement confidentielles, de conflits d'intérêts, de délits d'initié, de discrimination, de harcèlement moral ou sexuel)" ; que la version de 2007 de ce code a fait l'objet le 30 mai 2007 d'un engagement de conformité à l'autorisation unique n° 2005-305 du 8 décembre 2005 prise en application de l'article 25 II de la loi Informatique et liberté du 6 janvier 1978 ; qu'estimant que son contenu portait atteinte aux libertés fondamentales des salariés et que le dispositif d'alerte n'était pas conforme à cette autorisation unique et aurait dû faire l'objet d'une autorisation en application de l'article 25 I de la loi précitée, la fédération des travailleurs de la métallurgie CGT a saisi le tribunal de grande instance d'une demande d'annulation de ce code ;

Sur le premier moyen :

Attendu qu'il n'y a pas lieu de statuer sur ce moyen qui ne serait pas de nature à permettre l'admission du pourvoi ;

Mais sur le deuxième moyen :

Vu les articles L. 1121-1 et L. 2281-1 du code du travail ;

Attendu que pour déclarer licites les dispositions du code de conduite des affaires version 2007 relatives aux informations à usage interne, l'arrêt retient que l'article L. 2281-1 du code du travail concerne le droit d'expression qui s'exerce collectivement et non la liberté d'expression protégée par l'article L. 1121-1 du même code et que comme l'invoque à bon droit la société, les informations "à usage interne" sont définies et des exemples précis sont donnés ;

Attendu cependant, d'abord, que les salariés jouissent, dans l'entreprise et en dehors de celle-ci, de leur liberté d'expression à laquelle seules des restrictions justifiées par la nature de la tâche à accomplir et proportionnées au but recherché peuvent être apportées ;

Attendu ensuite que le droit d'expression directe et collective des salariés sur le contenu, les conditions d'exercice et l'organisation de leur travail s'exerce dans les conditions prévues par les articles L. 2281-1 à L. 2281-12 du code du travail et que l'utilisation d'informations dans le cadre de l'exercice de ce droit ne peut être en principe soumise à une autorisation préalable ;

Qu'en statuant comme elle a fait alors, d'une part, que les informations à usage interne dont la divulgation est soumise à autorisation préalable par le code de conduite de la société Dassault systèmes ne faisaient pas l'objet d'une définition précise, de sorte qu'il était impossible de vérifier que cette restriction à la liberté d'expression était justifiée par la nature de la tâche à accomplir et proportionnée au but recherché et, d'autre part, que l'exercice du droit d'expression directe et collective des salariés pouvait impliquer l'utilisation de certaines de ces informations, la cour d'appel a violé les textes susvisés ;

Et sur le troisième moyen, pris en sa première branche :

Vu l'article 25 de la loi du 6 janvier 1978 et les articles 1 et 3 de la délibération, portant autorisation unique de traitement automatisés de données à caractère personnel mis en oeuvre dans le cadre de dispositifs d'alerte professionnelle, n° 2005-305 du 8 décembre 2005 de la Commission nationale de l'informatique et des libertés (CNIL) ;

Attendu que pour déclarer licites les dispositions du code de conduite des affaires version 2007 relatives à l'alerte professionnelle, la cour d'appel retient que ce dispositif est conforme au régime simplifié d'autorisation unique défini par la CNIL dans sa délibération du 8 décembre 2005, dispensant les responsables de traitement automatisé de données à caractère personnel du régime normal de l'autorisation lorsque le traitement mis en oeuvre répond à une obligation législative ou réglementaire visant à l'établissement de procédures de contrôle interne dans les domaines financier, comptable, bancaire et de la lutte contre la corruption (article 1) ; que l'article 3 de cette autorisation prévoit que des faits qui ne se rapportent pas à ces domaines peuvent toutefois être communiqués aux personnes compétentes de l'organisme lorsque l'intérêt vital de celui-ci ou l'intégrité physique ou morale de ses employés est en jeu ; qu'il ne saurait être reproché à la société d'avoir étendu le dispositif d'alerte à des situations non prévues par la délibération de la CNIL et à des cas de mise en jeu de l'intérêt vital des personnes expressément prévue par cet article 3, qu'il ne peut donc être reproché à la société de ne pas avoir sollicité l'autorisation de la CNIL ;

Attendu, cependant, que l'autorisation unique susvisée, en son article Ier relatif à la finalité des traitements dispose que : "Seuls peuvent faire l'objet d'un engagement de conformité par référence à la présente décision unique les traitements mis en oeuvre par les organismes publics ou privés dans le cadre d'une alerte professionnelle répondant à une obligation législative et réglementaire de droit français visant à l'établissement de procédures de contrôle interne dans les domaines financier, comptable, bancaire et de lutte contre la corruption. Conformément à l'article 7-5° de la loi du 6 janvier 1978 modifiée, les traitements mis en oeuvre dans les domaines comptable et d'audit par les entreprises concernées par la section 301(4) de la loi américaine dite " Sarbanes-Oxley" de juillet 2002 entrent également dans le champ de la présente décision" ; que son article 3 relatif aux catégories de données à caractère personnel enregistrées prévoit limitativement ces catégories de données en précisant que "Les faits recueillis sont strictement limités aux domaines concernés par le dispositif d'alerte. Des faits qui ne se rapportent pas à ces domaines peuvent toutefois être communiqués aux personnes compétentes de l'organisme concerné lorsque l'intérêt vital de cet organisme et l'intégrité physique ou morale de ses employés est en jeu" ; qu'il en résulte qu'un dispositif d'alerte professionnelle faisant l'objet d'un engagement de conformité à l'autorisation unique ne peut avoir une autre finalité que celle définie à son article 1er que les dispositions de l'article 3 n'ont pas pour objet de modifier ;

Qu'en statuant comme elle a fait, la cour d'appel a violé les textes susvisés ;

Et sur le troisième moyen, pris en ses troisième et quatrième branches :

Vu les articles 6, 32, 39 et 40 de la loi du 6 janvier 1978 informatique et libertés modifiée et les articles 9 et 10 de la délibération portant autorisation unique de traitement automatisés de données à caractère personnel mis en oeuvre dans le cadre de dispositifs d'alerte professionnelle, n° 2005-305 du 8 décembre 2005 ;

Attendu que débouter le syndicat de sa demande d'annulation du code de conduite version 2007, la cour d'appel retient que dès lors que la déclaration du système d'alerte a été faite auprès de la CNIL, la société n'était pas tenue de rappeler dans le paragraphe concerné du code de conduite des affaires les dix articles de la délibération du 8 décembre 2005, et notamment ses articles 9 et 10 concernant l'information de la personne faisant l'objet de l'alerte professionnelle et le respect des droits d'accès et de rectification et qu'il suffisait de rappeler comme l'a fait la société les points principaux de cette délibération ;

Attendu cependant, que les mesures d'information prévues par la loi du 6 janvier 1978 reprises par la décision d'autorisation unique de cette commission pour assurer la protection des droits des personnes concernées doivent être énoncées dans l'acte instituant la procédure d'alerte ;

Qu'en statuant comme elle a fait alors que le dispositif d'alerte professionnelle de la société Dassault systèmes ne prévoyait aucune mesure d'information et de protection des personnes répondant aux exigences de la loi du 6 janvier 1978 et de la délibération du 8 décembre 2005 portant autorisation unique, la cour d'appel a violé les textes susvisés ;


Et sur le quatrième moyen :

Vu l'article 624 du code de procédure civile ;

Attendu que la cassation à intervenir sur les deuxième et troisième moyens entraîne par voie de conséquence la cassation de l'arrêt en ce qu'il déboute la fédération des travailleurs de la métallurgie de sa demande en dommages-intérêts ;

PAR CES MOTIFS :

CASSE ET ANNULE, mais uniquement en ce qu'il a déclaré licites les dispositions du code de conduite des affaires de la société Dassault systèmes version 2007 relatives aux "informations à usage internes" et au dispositif d'alerte professionnelle et débouté la Fédération des travailleurs de la métallurgie de ses demandes correspondantes et de sa demande de dommages-intérêts, l'arrêt rendu le 17 avril 2008, entre les parties, par la cour d'appel de Versailles ; remet, en conséquence, sur ces points, la cause et les parties dans l'état où elles se trouvaient avant ledit arrêt et, pour être fait droit, les renvoie devant la cour d'appel de Paris ;

Condamne la société Dassault systèmes aux dépens ;

Vu l'article 700 du code de procédure civile, condamne la société Dassault systèmes à payer à la Fédération des travailleurs de la métallurgie la somme de 2 500 euros ;

Dit que sur les diligences du procureur général près la Cour de cassation, le présent arrêt sera transmis pour être transcrit en marge ou à la suite de l'arrêt partiellement cassé ;

Ainsi fait et jugé par la Cour de cassation, chambre sociale, et prononcé par le président en son audience publique du huit décembre deux mille neuf.

MOYENS ANNEXES au présent arrêt.

Moyens produits par la SCP Masse-Dessen et Thouvenin, avocat aux Conseils, pour la Fédération des travailleurs de la métallurgie.

PREMIER MOYEN DE CASSATION

Le moyen fait grief à l'arrêt attaqué d'AVOIR déclaré régulière la procédure de consultation des représentants du personnel relative au « Code of Business Conduct » version 2007 et, en conséquence, d'avoir débouté la FEDERATION DES TRAVAILLEURS DE LA METALLURGIE CGT de sa demande d'annulation dudit Code.

AUX MOTIFS PROPRES QUE, Sur la procédure suivie en 2007 ; qu'au soutien de son appel incident sur ce point, la Fédération des Travailleurs de la Métallurgie CGT expose que la réunion du comité d'entreprise des 25 et 30 janvier 2007 ne peut être considérée comme une réunion de consultation préalable à la mise en oeuvre d'une modification du règlement intérieur puisqu'il s'agissait pour la direction d'une modification de la version initiale du « Code of Business Conduct » ; que le comité d'entreprise ne pouvait valablement prendre position sans qu'il ait été préalablement statué sur ce qu'il advenait des « alertes » traitées sur la base de la première version ; qu'il n'a, en tout état de cause, pas été consulté sur la version définitive telle qu'elle a été adressée à l'inspection du travail puisque la direction a annoncé des modifications à venir et qu'ainsi le texte transmis à la direction du travail est « forcément différent » de celui qui a été soumis au comité ; qu'il ajoute que ces observations sont également valables s'agissant de la consultation du CHSCT et sollicite en conséquence l'annulation de cette seconde version du « Code of Business Conduct » ; qu'or, comme l'invoque la société anonyme DASSAULT SYSTEMES, après deux réunions d'information sur la version 2 du « Code of Business Conduct » (cf. ordre du jour et procès-verbaux des 28 novembre et 21 décembre 2006), le comité d'entreprise a bien été consulté conformément aux dispositions des articles L 122-35 et L 122-36 du code du travail lors de la réunion qui s'est déroulée sur deux jours les 25 et 30 janvier 2007 ; qu'il résulte en effet, en sus de l'ordre du jour qui précise le terme de consultation, de l'extrait du procès-verbal de cette réunion que le directeur des relations sociales a précisé : « l'inspection du travail a considéré que certaines dispositions du code de conduite des affaires avaient une portée disciplinaire. La CGT a saisi le tribunal de grande instance afin que ce code soit adopté selon la procédure applicable en matière de règlement intérieur. Voici les raisons pour lesquelles nous vous consultons aujourd'hui » ; que le comité d'entreprise a, dès lors, été valablement appelé à se prononcer et a d'ailleurs émis, tout comme le CHSCT le 16 février 2007, un avis défavorable ; que quant au fait que l'inspection du travail aurait reçu une version du « Code of Business Conduct » distincte de celle sur laquelle le comité d'entreprise a été consulté, il n'est établi par aucune pièce, étant observé que seules des modifications mineures avaient été sollicitées par certains membres du comité d'entreprise et acceptées par la direction comme le prouve la lecture du procèsverbal de cette même direction ; qu'ainsi le comité d'entreprise et le CHSCT ont été régulièrement consultés sur la seconde version du « Code of Business Conduct » dont l'inspection du travail a été destinataire le 30 avril 2007, qui a été adressée au conseil de prud'hommes de NANTERRE, lequel en a accusé réception le 16 mai 2007, puis affichée le jour même dans les locaux de la société et diffusée sur l'intranet ; que la Fédération des Travailleurs de la Métallurgie CGT sera, en conséquence, déboutée de son appel incident sur ce point.

ET AUX MOTIFS ADOPTÉS QUE Sur la procédure suivie en 2007 ; qu'il ressort du procès-verbal de réunion du comité d'entreprise des 25 et 30 janvier 2007 que la consultation de l'instance représentative du personnel a eu lieu au titre des adjonctions apportées au règlement intérieur par certaines dispositions du « Code of Business Conduct » ; qu'au demeurant, il apparaît que le comité d'entreprise ne pouvait ignorer que cette consultation faisait suite à l'instance en justice engagée par la Fédération des Travailleurs de la Métallurgie CGT visant à faire reconnaître la nature disciplinaire du « Code of Business Conduct » ; que le syndicat ne peut valablement soutenir que l'entrée en vigueur de la nouvelle version du « Code of Business Conduct » ne pouvait intervenir avant qu'il ne soit statué sur le sort réservé aux alertes traitées sur la base de la première version ; qu'enfin il n'est aucunement démontré que la version du « Code of Business Conduct » adressée à l'inspection du travail serait distincte de celle sur laquelle le comité d'entreprise a été consulté ; qu'à cet égard, il sera relevé que la version communiquée à l'Inspecteur du travail est datée du 30 janvier, date de la réunion du comité d'entreprise, et résulte de modifications mineures apportées le jour même à la suite des observations faites par les membres du comité d'entreprise ; que dans la mesure où le comité d'entreprise et le CHSCT ont été régulièrement et préalablement consultés, où l'Inspecteur du travail a été destinataire de la nouvelle version du « Code of Business Conduct » et enfin où ce document a fait l'objet des mesures de publicité requises, aucune irrégularité de procédure n'est caractérisée.

ALORS QUE aux termes des articles L122-36 et L122-39 alors applicables du Code du travail (devenus art. L1321-4 et L1321-5), le règlement intérieur ne peut être introduit qu'après avoir été soumis à l'avis du comité d'entreprise et transmis, avec cet avis, à l'inspection du travail, ces règles s'appliquant également en cas d'adjonction au règlement ; que cette obligation de consultation a un caractère substantiel, la régularité de celle-ci impliquant que l'avis des représentants soit recueilli sur la version définitive du document

QU'en jugeant tout à la fois que le document transmis était conforme à celui faisant l'objet de la consultation, et que des modifications avaient été sollicitées par certains membres du comité, que la direction se serait engagée à apporter, la Cour d'appel a statué par des motifs contradictoires et n'a donc pas justifié sa décision au regard des articles L122-36 et L122-39 alors applicables du Code du travail (devenus art. L1321-4 et L1321-5),

ET ALORS en tout cas QU'en ne précisant pas quel était le contenu des modifications qualifiées de mineures apportées au document après consultation, la Cour d'appel n'a pas mis la Cour de cassation en mesure d'exercer son contrôle et a privé sa décision de base légale au regard des dispositions susvisées.

DEUXIEME MOYEN DE CASSATION

Le moyen fait grief à l'arrêt attaqué d'AVOIR déclaré licite les dispositions du « Code of Business Conduct » version 2007, et en conséquence, débouté la FEDERATION DES TRAVAILLEURS DE LA METALLURGIE CGT de toutes ses demandes afférentes.

AUX MOTIFS PROPRES QUE Sur la nature juridique du « Code of Business Conduct » ; que ce « Code of Business Conduct », dans ses deux versions successives de 2004 et 2007, comporte à la fois des règles d'éthique et une procédure d'alerte professionnelle ; que le tribunal a relevé que sa nature juridique n'était plus discutée et que les dispositions qui constituent des adjonctions au règlement intérieur concernent les paragraphes relatifs à la protection des actifs de l'entreprise (propriété intellectuelle, informations confidentielles et à usage interne, utilisation des médias et outils électroniques), à la conduite des activité professionnelles (conflits d'intérêts, délit d'initié, tenue des rapports financiers) et au dispositif d'alerte professionnelle dans la mesure où ces paragraphes instaurent des règles générales et permanentes en matière de discipline ; que ce point n'est pas davantage discuté devant la cour (...) ; Sur la licéité des clauses du « Code of Business Conduct » hors dispositif d'alerte professionnelle ; que le tribunal a annulé les dispositions du « Code of Business Conduct » dans sa version de 2007 relatives aux informations à usage interne et au dispositif d'alerte professionnelle ; que contrairement à ce que prétend la Fédération des Travailleurs de la Métallurgie CGT, la société anonyme DASSAULT SYSTEMES soutient son appel s'agissant de l'annulation des dispositions relatives aux informations à usage interne ; que la Fédération des Travailleurs de la Métallurgie CGT réitère devant la cour ses demandes de nullité fondées sur l'atteinte à la liberté d'expression des salariés, à leur vie privée ainsi qu'aux droits et prérogatives des institutions représentatives du personnel s'agissant des informations confidentielles et à usage interne ; que les dispositions contestées sont contenues en page 7 et 8 de la version du 30 janvier 2007 du « Code of Business Conduct » ; que sous le titre « INFORMATION CONFIDENTIELLES ET A USAGE INTERNE », celles-ci sont ainsi définies : « Informations confidentielles. Sont considérées comme confidentielles les informations relatives ou appartenant à une personne ou à une entreprise, qu'il s'agisse d'une société du groupe DS ou d'un tiers, et dont la divulgation est interdite par contrat ou en vertu de la loi. Seuls les groupes de personnes ou les personnes clairement identifiées peuvent y avoir accès. Nous veillons à ce que ces informations soient gardées en sécurité et ne soient pas divulguées. Exemples d'informations confidentielles : *les informations non encore diffusées au grand public par l'un des canaux autorisés du groupe DS, *les documents portant la mention « confidentiel », notamment ceux relatifs à la sécurité militaire ; *les stratégies d'entreprise non publiées, *les programmes de recherche et de développement actuels et en projet, les innovations technologiques, les inventions, les fusions ou les acquisitions envisagées ainsi que les investissements ou les désinvestissements, *les informations remises par nos clients ou partenaires par exemple plans de développement, modèles ou tout autre type d'information dont la divulgation n'est pas clairement autorisée, *le contenu des négociations en cours avec nos clients ou partenaires, *les données financières et les prévisions, *les informations personnelles des collaborateurs (fournies par les collaborateurs eux-mêmes). Informations à usage interne. Est considérée comme information à usage interne toute donnée relative ou appartenant à une personne ou à une société, qui n'a pas vocation à être diffusée largement et qui est protégée ou non en vertu du droit de la propriété intellectuelle ou du secret industriel applicable. Ces données peuvent être, ou non, confidentielles (le cas échéant, les principes énoncés ci-dessus ainsi que ceux concernant les informations à usage interne s'appliquent). Avant toute utilisation d'information à usage interne, qu'elle soit propriété du groupe DS ou d'un tiers, nous recueillons l'autorisation expresse de son propriétaire et nous nous assurons que son utilisation est conforme aux modalités de cette autorisation. Exemples d'informations à usage interne : *notes de service, information envoyée aux collaborateurs, *organigrammes, *objectifs et données se rapportant aux équipes, *caractéristiques techniques, formules, dessins et modèles, inventions. Points de vigilance : *Nous sommes attentifs à mentionner « Confidentiel » sur tout document considéré comme confidentiel, *Les personnes à qui sont confiées des informations confidentielles ou à usage interne au groupe DS ou qui entrent en possession de telles informations assurent la confidentialité de celles-ci et ne les utilisent que conformément aux autorisations données, *Nous ne divulguons pas d'informations confidentielles ou à usage interne relatives aux activités du groupe DS à d'autres personnes que leurs destinataire, que ce soit au sein du groupe ou à l'extérieur du groupe DS, *Nous ne divulguons pas d'informations confidentielles ou à usage interne appartenant ou relatives à nos clients et partenaires, par exemple des plans de développement ou un savoir faire spécifique, *Sans porter préjudice à la liberté d'expression dont nous jouissons notamment dans le cadre de nos relations familiales, nous veillons à ne pas avoir de discussions portant sur des informations confidentielles du groupe DS ou de nos clients ou partenaires, dans des lieux publics (avions, trains, restaurants, séminaires etc). Nous sommes également vigilants aux sujets que nous abordons avec des proches ou des relations d'affaires lorsqu'ils portent sur le Groupe DS ou nos clients ou partenaires, *Parce qu'elle peut avoir des conséquences sur la réputation et le cours de l'action du Groupe DS ou de nos clients et partenaires, la communication au nom de DS avec les médias, les journalistes, consultants ou analystes est réservée aux personnes habilitées » ; Sur la clause relative aux informations confidentielles ; que contrairement à ce que soutient la Fédération des Travailleurs de la Métallurgie CGT, les dispositions relatives aux informations confidentielles ne sont pas contraires à l'article L120-2 du code du travail qui énonce que nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché ; qu'en effet, d'une part, cette clause détermine précisément les informations présentant un caractère confidentiel et ne permet donc pas à la société anonyme DASSAULT SYSTEMES de qualifier une information de confidentielle pour qu'elle le devienne, à moins qu'elle ne le soit en vertu de la loi ou du contrat de travail, d'autre part elle se borne à rappeler l'obligation de discrétion professionnelle qui pèse sur tout salarié et s'oppose à la divulgation d'informations confidentielles, la société anonyme DASSAULT SYSTEMES relevant à juste titre qu'elle n'est qu'une reprise de l'article 33 du règlement intérieur qui dispose qu'il est interdit aux salariés de communiquer à des tiers tout document ou information qui n'a pas été rendu public par la société DASSAULT SYSTEMES ; que l'appel de ce chef de la Fédération des Travailleurs de la Métallurgie CGT sera, en conséquence, rejeté ; Sur la clause relative aux informations à usage interne ; que le tribunal a lié cette clause avec celle contenue au paragraphe « Points de Vigilance » selon laquelle « les personnes à qui sont confiées des informations confidentielles ou à usage interne au groupe DS ou qui entrent en possession de telles informations assurent la confidentialité de celles-ci et ne les utilisent que conformément aux autorisations données » ; qu'il a en effet considéré qu'en étendant la confidentialité à des informations dites à usage interne sauf autorisation contraire de leur propriétaire alors que cette catégorie d'informations apparaît peu définie et très étendue, la société anonyme DASSAULT SYSTEMES portait atteinte à la liberté d'expression des salariés et contrevenait ainsi à l'article L461-1 du Code du travail ; qu'or, d'une part, cet article concerne le droit d'expression qui s'exerce collectivement et non la liberté d'expression protégée par l'article L120-2 du même code ci-dessus rappelé ; d'autre part et comme l'invoque à bon droit la société anonyme DASSAULT SYSTEMES, ces informations sont définies et des exemples précis donnés soit notes de service, organigrammes, objectifs et données se rapportant aux équipes, caractéristiques, formules, dessins et modèles, inventions ; que le jugement sera, en conséquence, infirmé sur ce point ; Sur les points de vigilance ; que la Fédération des Travailleurs de la Métallurgie CGT conteste trois de ces points soit *Nous ne divulguons pas d'informations confidentielles ou à usage interne appartenant ou relatives à nos clients et partenaires, par exemple des plans de développement ou un savoir faire spécifique, *Sans porter préjudice à la liberté d'expression dont nous jouissons notamment dans le cadre de nos relations familiales, nous veillons à ne pas avoir de discussions portant sur des informations confidentielles du Groupe DS ou de nos clients ou partenaires, dans des lieux publics (avions, trains, restaurants, séminaires etc). Nous sommes également vigilants aux sujets que nous abordons avec des proches ou des relations d'affaires lorsqu'ils portent sur le Groupe DS ou nos clients ou partenaires, *Parce qu'elle peut avoir des conséquences sur la réputation et le cours de l'action du Groupe DS ou de nos clients et partenaires, la communication au nom de DS avec les médias, les journalistes, consultants ou analystes est réservée aux personnes habilitées » ; qu'elle soutient en ce qui concerne les deux premiers points qu'ils sont attentatoires à la vie privée des salariés, ce qui n'est à l'évidence pas le cas s'agissant de la non divulgation d'informations confidentielles ou à usage interne qui, par essence, concerne leur vie professionnelle ; que s'agissant du troisième point, la Fédération des Travailleurs de la Métallurgie CGT considère qu'elle porte atteinte aux prérogatives des institutions représentatives du personnel que ce soit le comité d'entreprise ou les syndicats auxquels la loi confère le droit de désigner des représentants auprès du comité ; qu'or d'une part, comme le rappelle à juste titre la société anonyme DASSAULT SYSTEMES, les représentants du personnel sont, en application de l'article L432-7 du Code du travail, soumis à une obligation de discrétion à l'égard des informations présentant un caractère confidentiel et données comme telles par le chef d'entreprise ou son représentant ; que d'autre part, seule la communication au nom de la société anonyme DASSAULT SYSTEMES est réservée aux personnes habilitées et les institutions représentatives du personnel n'ont pas vocation à s'exprimer au nom de celle-ci ; que la Fédération des Travailleurs de la Métallurgie CGT a, à juste titre, été déboutée de sa demande d'annulation de cette clause ;

ET AUX MOTIFS éventuellement ADOPTÉS QUE sur la nature juridique du « Code of Business Conduct »; qu'en application des dispositions des articles L122-34 et L122-39 du Code du travail, tout document diffusé par l'employeur à destination des salariés édictant des prescriptions générales et permanentes en matière notamment d'hygiène, de sécurité et de discipline, susceptibles d'entraîner, en cas de manquement, des poursuites disciplinaires est constitutif d'une adjonction au règlement intérieur ; que si dans un premier temps, la société DASSAULT SYSTEMES a dénié au document intitulé « Code of Business Conduct » tout caractère disciplinaire, elle a néanmoins admis dans un second temps que certaines dispositions de ce code pouvaient être qualifiées de prescriptions générales et que la mise en oeuvre du dispositif d'alerte prévu par le code pouvait conduire à l'application de sanctions disciplinaires ; qu'ainsi la nature juridique du « Code of Business Conduct » n'est plus discutée ; qu'il convient toutefois de préciser, en adoptant l'argumentation développée par le Directeur régional du travail, de l'emploi et de la formation professionnelle d'Ile de France dans sa décision du 25 avril 2005 que les dispositions du « Code of Business Conduct » qui constituent des adjonctions au règlement intérieur concernent les paragraphes relatifs à la protection des actifs de l'entreprise (propriété intellectuelle, informations confidentielles et à usage interne, utilisation des médias et outils électroniques), à la conduite des activité professionnelles (conflits d'intérêts, délit d'initié, tenue des rapports financiers) ainsi qu'au dispositif d'alerte professionnelle dans la mesure où ces paragraphes instaurent des règles générales et permanentes en matière de discipline ; (...) Sur la licéité des clauses du « Code of Business Conduct » ; que l'article L122-35 du Code du travail dispose que le règlement intérieur ne peut contenir de clause contraire aux lois et règlements ainsi qu'aux dispositions des conventions et accords collectif de travail applicables dans l'entreprise ; qu'il ne peut apporter aux droits des personnes et aux libertés individuelles et collectives des restrictions qui ne seraient pas justifiées par la nature de la tache à accomplir ni proportionnée au but recherché ; que la demanderesse critique tout d'abord l'introduction par ce « Code of Business Conduct » d'une catégorie d'informations dénommées « à usage interne » dont l'utilisation est conditionnée par l'autorisation explicite de leur propriétaire ainsi que la qualification abusive d'informations dites confidentielles ; qu'en premier lieu, le « Code of Business Conduct » précise, dans un paragraphe intitulé « informations confidentielles » que « sont considérées comme confidentielles les informations relatives ou appartenant à une personne ou à une entreprise, qu'il s'agisse d'une société du Groupe DS ou d'un tiers et dont la divulgation est interdite par contrat ou en vertu de la loi » ; qu'à titre d'exemples sont cités « les informations non encore diffusées au grand public par l'un des canaux autorisés du groupe DS, les documents portant la mention « confidentiel », notamment ceux relatifs à la sécurité militaire, les stratégies d'entreprise non publiées, les programmes de recherche et de développement actuels et en projet, les innovations technologiques, les inventions, les fusions ou les acquisitions envisagées ainsi que les investissements ou les désinvestissements, les informations remises par nos clients ou partenaires, le contenu des négociations en cours avec nos clients ou partenaires, les données financières et les prévisions, les informations personnelles des collaborateurs » ; que cette clause délimite clairement les informations présentant un caractère confidentiel en précisant qu'il ne peut s'agir que d'informations dont la divulgation est interdite par la loi ou par contrat ; qu'ainsi les exemples cités, qui ne correspondraient pas à cette définition, ne relèveraient pas du domaine de la confidentialité ; que dans ces conditions et contrairement à ce que soutient la demanderesse, il ne suffirait pas à la société DASSAULT SYSTEMES de qualifier une information de confidentielle pour qu'elle le devienne à moins qu'elle ne le soit en vertu de la loi ou du contrat de travail ; qu'aucune illicéité n'est encourue de ce chef (...) ; que la demanderesse dénonce ensuite la clause en page 8 qui précise que « sans porter préjudice à la liberté d'expression dont nous jouissons notamment dans le cadre de nos relations familiales, nous veillons à ne pas avoir de discussions portant sur des informations confidentielles du Groupe DS ou de nos clients ou partenaires, dans des lieux publics. Nous sommes également vigilants aux sujets que nous abordons avec des proches ou des relations d'affaires lorsqu'ils portent sur le Groupe DS ou nos clients ou partenaires » comme attentatoire à la vie privée du salarié ; que néanmoins cette clause réserve expressément la liberté d'expression dont jouit le salarié dans le cadre de ses relations familiales ; qu'elle ne porte donc aucune restriction excessive à la vie privée du salarié ; qu'en outre la demanderesse fait grief à la clause qui stipule en page 8 « parce qu'elle peut avoir des conséquences sur la réputation et le cours de l'action du Groupe DS ou de nos clients et partenaires, la communication au nom de DS avec les médias, les journalistes, consultants ou analystes est réservée aux personnes habilitées » de porter atteinte aux droits et prérogatives des institutions représentatives du personnel ; mais que les institutions représentatives du personnel n'ont pas vocation à s'exprimer au nom de la société DASSAULT SYSTEMES ; que cette clause ne saurait donc avoir pour effet de restreindre les droits et prérogatives de ces institutions ;

ALORS d'une part, QUE les salariés jouissent, dans l'entreprise et en dehors de celle-ci, de la liberté d'expression à laquelle seules des restrictions justifiées par la nature de la tâche à accomplir et proportionnées au but recherché peuvent être apportées ; qu'en se contentant d'affirmer qu'en étendant l'obligation de confidentialité à une catégorie d'informations dite à usage interne, la société ne portait pas atteinte à l'article L 461-1 du code du travail sans rechercher si, ce faisant n'était pas entravée leur liberté d'expression la Cour d'appel n'a pas justifié sa décision au regard des articles L120-2 et L122-35 alors applicables du Code du travail (devenus art. L1121-1 et L1321-3 2°).

ALORS encore QU' en estimant que sont suffisamment définies pour ne pas porter atteinte à la liberté d'expression les informations figurant dans le « Code of Business Conduct » au seul motif que des exemples précis sont donnés, soit notes de services, organigrammes, objectifs et données se rapportant aux équipes, caractéristiques, formules, dessins et modèles, inventions, sans justifier que ces informations auraient été précises et limitées, et sans préciser des limites de ces informations, la Cour d'appel a privé sa décision de base légale au regard des articles L120-2 et L122-35 alors applicables du Code du travail (devenus art. L1121-1 et L1321-3-2°)

QU'en tout cas, en disant qu'en étendant la confidentialité à des informations aussi imprécises et indéfinies, le Code litigieux n'excède pas les limites autorisées la Cour d'appel a violé lesdites dispositions.

ALORS d'autre part QUE les salariés bénéficient également d'un droit à l'expression directe et collective sur le contenu, les conditions d'exercice et l'organisation de leur travail, lequel implique qu'il puissent s'exprimer librement, dans le cadre prévu par la loi ou un accord collectif ; qu'en disant licite l'extension de l'obligation de confidentialité à une catégorie d'information dite « à usage interne », sans rechercher si cette extension ne portait pas atteinte à ce droit, la Cour d'appel a également privé sa décision de base légale au regard de l'article L461-1 alors applicable du Code du travail (devenus art. L2281-1 et ss.)

Et ALORS qu'à supposer que la Cour d'appel ait entendu statuer sur le fondement de ce texte, QU' en estimant que sont suffisamment définies pour ne pas porter atteinte au droit d'expression collective des salariés les informations figurant dans le « Code of Business Conduct » au seul motif que des exemples précis sont donnés, soit notes de services, organigrammes, objectifs et données se rapportant aux équipes, caractéristiques, formules, dessins et modèles, inventions, sans justifier que ces informations auraient été précises et limitées, et sans préciser des limites de ces informations, la Cour d'appel a privé sa décision de base légale au regard de l'article L461-1 alors applicable du Code du travail (devenus art. L2281-1 et ss.)

QU'en tout cas, en disant qu'en étendant la confidentialité à des informations aussi imprécises et indéfinies, le Code litigieux n'excède pas les limites autorisées la Cour d'appel a violé lesdites dispositions.

TROISIEME MOYEN DE CASSATION

Le moyen fait grief à l'arrêt attaqué d'AVOIR déclaré licite les dispositions du « Code of Business Conduct » version 2007, et en conséquence, débouté la FEDERATION DES TRAVAILLEURS DE LA METALLURGIE CGT de toutes ses demandes afférentes.

AUX MOTIFS Sur le dispositif d'alerte professionnelle QUE le « Code of Business Conduct » prévoit en page 11 et 12 un dispositif d'alerte professionnelle contesté par la Fédération des Travailleurs de la Métallurgie CGT qui l'estime illicite car contraire aux dispositions de l'article L422-1 du code du travail relatif aux prérogatives des représentants du personnel et à la loi du 6 janvier 1978 modifiée en août 2004 relative à l'informatique, aux fichiers et aux libertés ; qu'or, si en vertu de l'article L422-1 du code du travail, les délégués du personnel ont notamment pour mission de présenter à l'employeur toutes les réclamations individuelles ou collectives relatives aux salaires, à l'application du code du travail et des autres lois et règlements concernant la protection sociale, l'hygiène et la sécurité ainsi que des conventions et accords collectifs de travail applicables dans l'entreprise, cette mission n'est pas exclusive de la faculté pour les salariés de présenter eux-mêmes de telles réclamations ; qu'il sera au surplus rappelé que tout salarié peut au nom de la liberté d'expression relater tout fait qu'il estime préjudiciable à l'entreprise ou à une règle de droit ; que ce moyen est, en conséquence, inopérant ; que le dispositif instauré dans le " Code of Business Conduct " après avoir rappelé que son utilisation n'est ni obligatoire, ni exclusive, prévoit notamment que : « si elle l'estime justifié, toute personne ayant connaissance d'un manquement sérieux aux principes décrits par le « Code of Business Conduct » en matière comptable, financière ou de lutte contre la corruption peut signaler ce manquement aux personnes compétents du groupe DS, conformément à la procédure en vigueur. Ce dispositif d'alerte professionnelle ne peut pas être utilisé hors du champ indiqué ci-dessus. Néanmoins, il s'applique également en cas de manquements graves aux principes décrits par ledit Code lorsqu'il met en jeu l'intérêt vital du Groupe DS ou l'intégrité physique ou morale d'une personne (notamment en cas d'atteinte aux droits de propriété intellectuelle, de divulgation d'informations strictement confidentielles, de conflits d'intérêts, de délits d'initié, de discrimination, de harcèlement moral ou sexuel) » ; que la Commission Nationale de l'Informatique et des Libertés (CNIL) a, dans sa délibération n°2005-305 du 8 décembre 2005, défini un régime simplifié de déclaration dite autorisation unique dispensant les responsables de traitement automatisé de données à caractère personnel du régime normal de l'autorisation lorsque le traitement mise en oeuvre répond à une obligation législative ou réglementaire visant à l'établissement de procédures de contrôle interne dans les domaines financiers, comptable, bancaire et de lutte contre la corruption (article 1) ; que dans l'article 3 de cette même délibération, et non pas, comme le soutient la Fédération des Travailleurs de la Métallurgie CGT, seulement dans le document d'orientation annexé du 10 novembre 2005, elle a précisé que « les faits recueillis sont strictement limités aux domaines concernés par le dispositif d'alerte. Des faits qui ne se rapportent pas à ces domaines peuvent toutefois être communiqués aux personnes compétentes de l'organisme concerné lorsque l'intérêt vital de cet organisme ou l'intégrité physique ou morale de ses employés est en jeu » ; qu'il ne saurait en conséquence être reproché à la société anonyme DASSAULT SYSTEMES d'avoir étendu le dispositif d'alerte à des situations non prévues par la délibération de la CNIL et, partant, de ne pas avoir sollicité l'autorisation de celle-ci selon le régime de droit commun ; que pas davantage, et pour le même motif, ne peut-il lui être utilement reproché par la Fédération des Travailleurs de la Métallurgie CGT d'avoir étendu le dispositif d'alerte en cas de mise en jeu de l'intérêt vital du groupe et de l'intégrité physique et morale des employés, expressément prévue par l'article 3 ; que dès lors que la déclaration du dispositif d'alerte faite par la société anonyme DASSAULT SYSTEMES auprès de la CNIL, qui en a accusé réception, est conforme aux exigences posées par celle-ci (cf. mail de la CNIL du 24 mai 2007), l'appelante n'était pas tenue de rappeler dans le paragraphe concerné du « Code of Business Conduct » les dix articles de la délibération du 8 décembre 2005 portant autorisation unique et notamment les articles 9 et 10 de cette délibération concernant l'information de la personne faisant l'objet de l'alerte professionnelle et le respect des droits d'accès et de rectification ; qu'il suffisait de préciser, comme l'a fait la société appelante, les points principaux de cette délibération soit le caractère facultatif de l'utilisation du dispositif, son domaine précis, les outils mis en place, le fait que les alertes anonymes ne sont pas encouragées, la confidentialité de l'identité des utilisateurs du dispositif et le fait que les enquêtes et actions jugées nécessaires seront effectuées dans le respect de la réglementation applicable, ce qui implique le respect du droit d'accès et de rectification des salariés mis en cause ; que le jugement entrepris sera, en conséquence, infirmé de ce chef.

ALORS QU'en application de l'article 25 I de la loi du 6 janvier 1978, modifiée par la loi du 6 août 2004, les dispositifs d'alerte professionnelle, lorsqu'ils prennent la forme de traitements automatisés de données à caractère personnel, doivent faire l'objet d'une autorisation préalable par la CNIL ; que toutefois la délibération n°2005-305 du 8 décembre 2005 porte autorisation unique de traitements automatisés de données à caractère personnel mis en oeuvre dans le cadre de dispositifs d'alerte professionnelle ; que les articles 1er et 3 de ladite délibération définissent précisément les dispositifs ainsi autorisés et limitent la collecte, sauf exception, aux faits concernés par ce dispositif ; que la Cour d'appel a considéré que le dispositif d'alerte institué par la société entrait dans le cadre de cette délibération, de sorte qu'aucune autorisation préalable n'était requise ; qu'en statuant de la sorte alors que la procédure d'alerte visait des situations non prévues par la délibération, ce dont il en résultait que ces dispositions étaient nulles, la Cour d'appel a, par motifs propres, violé l'article 25 I de la loi du 6 janvier 1978 modifiée et les articles 1er et 3 de la délibération n°2005-305 du 8 décembre 2005

QU'en tout cas , en disant que le dispositif d'alerte s'appliquant en cas de manquement grave aux principes décrits par le Code lorsqu'il met en jeu l'intérêt vital du Groupe DS ou l'intégrité physique ou morale d'une personne notamment en cas d'atteinte aux droits de propriété intellectuelle, de divulgation d'informations strictement confidentielles, de conflits d'intérêts, de délits d'initié, de discrimination, de harcèlement moral ou sexuel entre dans les limites de l'autorisation donnée par la CNIL limité au cas où l'intérêt vital de l'organisme concerné ou l'intégrité physique ou morale de ses employés est en jeu, la Cour d'appel a violé ladite délibération de la CNIL.

ALORS en tout état de cause QUE tout traitement automatisé de données à caractère personnel doit respecter les principes et règles posés par la loi du 6 janvier 1978, modifiée par la loi du 6 août 2004 ; qu'une autorisation de la CNIL ne saurait priver le juge judiciaire d'apprécier la licéité d'un dispositif lorsque celle-ci est contestée ; qu'en s'abstenant en l'espèce de rechercher si, comme il lui était demandé, le dispositif d'alerte professionnelle institué par la société défenderesse était licite, la Cour d'appel n'a pas donné de base légale à sa décision au regard des articles de la loi susvisée.

ALORS surtout QUE l'organisation syndicale demanderesse soulignait que l'absence, dans le code lui-même, de précisions sur la mise en oeuvre du droit d'accès, du droit de rectification, et des modalités de mise en oeuvre de l'alerte, de son archivage ou de sa destruction, étaient de nature à priver les salariés des garanties prévues par la loi du 6 janvier 1978. qu'en se contentant de dire que la société n'était pas tenue de rappeler les dix articles de la délibération de la CNIL et notamment ceux concernant l'information de la personne faisant l'objet de l'alerte et le respect des droits de rectification, sans rechercher si le Code mettait en oeuvre ces garanties, la Cour d'appel a privé sa décision de base légale au regard desdites dispositions de la loi du 6 janvier 1978.

QUATRIEME MOYEN DE CASSATION

Le moyen fait grief à l'arrêt attaqué d'AVOIR débouté la FEDERATION DES TRAVAILLEURS DE LA METALLURGIE CGT de sa demande de dommages et intérêts en réparation du préjudice porté à l'intérêt collectif de la profession.

AUX MOTIFS QUE, Sur les dommages et intérêts ; que la FEDERATION DES TRAVAILLEURS DE LA METALLURGIE CGT doit être déboutée de sa demande de dommages et intérêts, non justifiée.

ALORS d'une part, QUE la violation de l'obligation de soumettre pour avis aux représentants du personnel un document constituant une adjonction au règlement intérieur porte un préjudice certain à l'intérêt collectif de la profession ; que la Cour d'appel a déclaré nulle la première version du « Code of Business Conduct » élaborée et diffusée en 2004 sans avoir respecté l'obligation de soumettre le document à l'avis préalable des représentants du personnel ; qu'en déboutant la FEDERATION DES TRAVAILLEURS DE LA METALLURGIE CGT de sa demande de dommages et intérêts au motif que celle-ci n'est pas justifiée, la Cour d'appel n'a donc pas déduit de ses propres constatations les conséquences légales qui en résultaient et, partant, a, par motifs propres, violé l'article L411-11 du Code du travail alors applicable (devenu art. L2132-3).

QU'à tout le moins sur ce chef de demandes, à défaut de motifs, la Cour d'appel a violé l'article 455 du Code de procédure civile.

ALORS d'autre part, QUE le « Code of Business Conduct » dans sa version 2007 étant entachée de nullité pour avoir été irrégulièrement soumis à l'avis des représentants du personnel et pour comporter des clauses entachées de nullité, la cassation à intervenir sur le moyens précédents entraînera, par voie de conséquence, la cassation sur ce moyen.

 

Retour à la liste des décisions