Traitement des données personnelles pour la gestion du personnel dans les collectivités territoriales : incidence du défaut d’information des agents sur la légalité des sanctions disciplinaires

Oui : les obligations d’information de la commune, en tant que responsable du traitement de données personnelles, prévues par l’article 32-I de la loi du 6 janvier 1978 modifiée dite loi "Informatique et libertés", ne sont relatives qu’aux modalités concrètes de fonctionnement du traitement, et leur méconnaissance ne peut avoir, à elle seule, pour effet de rendre la décision administrative instaurant ce traitement inopposable aux personnes concernées par le recueil de données personnelles. En l’espèce, une commune avait pris deux sanctions disciplinaires (un avertissement et une exclusion temporaire de fonction de deux jours) à l’encontre d’un agent ayant refusé de se soumettre au contrôle biométrique de son temps de présence. L’agent avait obtenu l’annulation des sanctions, les juges d’appel estimant que l’absence d’information individuelle avait eu pour effet de rendre le dispositif inopposable aux agents. Le conseil d’Etat censure cette position et donne raison à la commune. A noter que depuis une délibération de la CNIL de septembre 2012 il n’est plus possible de mettre en place un contrôle biométrique pour le contrôle du temps de présence des agents et salariés, ce procédé étant jugé disproportionné par rapport à l’objectif poursuivi. L’employeur peut en revanche toujours mettre en place des outils – y compris biométriques – de contrôle individuel de l’accès pour sécuriser l’entrée dans les bâtiments, ou dans  les locaux faisant l’objet d’une restriction de circulation. L’arrêt du Conseil d’Etat (non publié au recueil Lebon) n’en reste pas moins transposable à tous les traitements de données à caractère personnel mis en œuvre par les collectivités pour la gestion de leur personnel.

En octobre 2010, le maire d’une commune (40 000 habitants) décide, par arrêté, la création d’un traitement de données à caractère personnel, reposant sur un dispositif biométrique de reconnaissance des contours de la main, dont l’objet est la gestion des horaires et des temps de présence des agents municipaux. Régulièrement déclaré auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) [1], ce traitement n’a cependant pas donné lieu à une information préalable et individuelle des agents, comme l’exige pourtant l’article 32-I de la loi du 6 janvier 1978 modifiée, dite loi Informatique et libertés. L’un d’eux refuse de se soumettre à ce contrôle et fait l’objet de deux sanctions disciplinaires (un avertissement et une exclusion temporaire de fonction de deux jours). Il conteste la légalité de ces sanctions sur la base du défaut d’information individuelle et préalable.

L’agent est débouté en première instance. Pour faire droit à sa demande, la cour administrative d’appel relève que le système biométrique n’a fait l’objet d’une information individuelle que deux années après le prononcé des sanctions [2]. Or, si le défaut d’information exigée par l’article 32-I de la loi Informatique et libertés « est sans incidence sur la légalité de la décision du maire d’instaurer un dispositif biométrique, sa méconnaissance doit en revanche être regardée comme ayant eu pour effet de rendre une telle décision inopposable aux agents de la commune ». L’arrêté du maire reste donc légal mais il est inopposable aux agents. Les sanctions en découlant doivent par conséquent être annulées.

Sur pourvoi de la commune, le Conseil d’Etat confirme qu’il incombe au responsable d’un traitement de données à caractère personnel de fournir à toute personne concernée par l’inscription de données dans ce traitement, dès leur enregistrement, l’ensemble des informations prévues au I de cet article 32 de la loi du 6 janvier 1978, y compris quand ces données personnelles ne sont pas recueillies auprès de la personne directement concernée elle-même.

Mais pour autant c’est à tort, poursuit le Conseil d’Etat, que les juges d’appel en ont déduit que le dispositif était inopposable aux agents. En effet :

"les obligations du responsable du traitement de données ne sont toutefois relatives qu’aux modalités concrètes de fonctionnement de ce dernier et leur méconnaissance ne peut avoir, à elle seule, pour effet de rendre la décision administrative instaurant ce traitement inopposable aux personnes concernées par le recueil des données personnelles".

C’est donc par erreur de droit que la cour administrative d’appel a estimé qu’une telle méconnaissance devait être regardée comme ayant eu pour effet de rendre la décision du maire de la commune inopposable aux agents de la commune et en déduire que les sanctions litigieuses étaient illégales.

Une manière implicite pour le Conseil d’Etat de souligner qu’il n’existe pas, pour la fonction publique, de pendant aux dispositions de l’article L.1222-4 du code du travail aux termes duquel "aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance" ?

Toujours est-il que cet arrêt du Conseil d’Etat (non publié au recueil Lebon) relatif à l’incidence du défaut d’information des agents n’en demeure pas moins transposable pour tous les traitements de données à caractère personnel mis en œuvre dans les collectivités pour la gestion de leur personnel. Si le défaut d’information des agents, en l’état de la jurisprudence du Conseil d’Etat, n’a pas pour effet de rendre la décision administrative instaurant ce traitement inopposable aux agents, il est toujours préférable de satisfaire à cette obligation imposée par la loi "Informatique et libertés". Ne serait-ce que pour s’éviter un contentieux...

Conseil d’État, 28 décembre 2016, N° 384236