LES SPYWARES OU « LOGICIELS ESPIONS »

Les internautes ont souvent l’habitude de télécharger des plusieurs programmes en ligne. Certains sont gratuits et d’autres payants. Beaucoup de programmes téléchargés viennent avec ce que l’on appelle des spywares ou « espiogiciels » en français.

NOUVEAU : Utilisez nos services pour en cas de piratage informatique en passant par le formulaire !

Les spywares sont des logiciels qui ont pour but d’espionner les comportements des internautes et de les transmettre à leur insu au créateur du logiciel, afin d’alimenter une base de données qui permet à ce denier de dresser le profil des internautes (on parle de profilage). Ils s’installent, généralement, en même temps que d’autres logiciels et ils permettent aux auteurs des dits logiciels de rentabiliser leur programme, par de la vente d’informations statistiques par exemple. Il s’agit donc, d’un modèle économique dans lequel la gratuité est obtenue contre la cession de données à caractère personnel.

Quels sont les enjeux juridiques liés à la prolifération des spywares ?

En effet, les espiogiciels peuvent causer préjudice aux internautes puisqu’ils permettent la divulgation d’informations à caractère personnel. Aussi, ils peuvent être une source de nuisances diverses telles que : la consommation de mémoire vive ou l’utilisation d’espace disque.

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

I.  Les différents types de spywares

À l’heure actuelle, on peut identifier quatre types d’espiogiciels qui sont susceptibles d’infester les appareils : les logiciels publicitaires, le cheval de Troie, les cookies de suivi et les moniteurs de système.

  • Les logiciels publicitaires

Les logiciels publicitaires sont une catégorie d’applications qui affichent des publicités sur les ordinateurs ou modifient les résultats de recherche dans les navigateurs. Certains logiciels publicitaires sont purement malveillants et ne demandent pas le consentement de l’utilisateur. De ce fait, il pourront surveiller les activités des utilisateurs en ligne pour diffuser des publicités ciblées.

Ces logiciels peuvent aussi avoir un impact négatif sur l’expérience de l’utilisateur et ralentissent souvent les navigateurs. Ils peuvent aussi servir de porte dérobée vers des ordinateurs à travers lesquels d’autres menaces peuvent être transmises ou des données peuvent être volées. Cependant, ils ne sont pas aussi dangereux que les chevaux de Troie informatique.

  • Cheval de Troie

Un cheval de Troie est un programme qui, lorsqu’il est activé, nuit directement à un système informatique. Il peut se déguiser en une application populaire ou en une mise à jour de sécurité. De ce fait, dès lors qu’elle est installée, la partie tierce qui le contrôle peut accéder à des informations sensibles concernant les utilisateurs.

  • Cookies de suivi

Les cookies de suivi ou traceurs fonctionnent comme des logiciels publicitaires, mais leur particularité c’est qu’ils envahissent de façon très discrète les téléchargements et l’historique du navigateur pour surveiller les activités des produits et services préférés. Ensuite, ils exploitent ces informations pour diffuser des publicités ciblées relatives aux produits ou services antérieurs.

Ainsi, l’article 5 (3) de la directive 2002/58/CE modifiée en 2009 pose le principe d’un consentement préalable de l’utilisateur avant le stockage d’informations sur son terminal ou l’accès à des informations déjà stockées sur celui-ci ; sauf si ces actions sont strictement nécessaires à la fourniture d’un service de communication en ligne expressément demandé par l’utilisateur ou ont pour finalité exclusive de permettre ou faciliter une communication par voie électronique.

Par ailleurs la CNIL a adopté le 17 septembre 2020 des lignes directrices, complétées par une recommandation visant notamment à proposer des exemples de modalités pratiques de recueil du consentement. Ainsi, tous les cookies n’ayant pas pour finalité exclusive de permettre ou faciliter une communication par voie électronique ou n’étant pas strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur nécessitent le consentement préalable de l’internaute.

La CNIL rappelle régulièrement que le consentement est une manifestation de volonté, libre, spécifique, univoque et éclairée. La validité du consentement est donc notamment liée à la qualité de l’information reçue. Elle doit être visible, mise en évidence et complète, elle doit être rédigée en des termes simples et compréhensibles par tout utilisateur, etc. Le consentement n’est valide que si la personne exerce un choix réel, et enfin, il doit pouvoir être retiré simplement et à tout moment par l’utilisateur.

Enfin, il serait intéressant d’évoquer un quatrième type d’espiogiciel, les moniteurs de système.

  • Les moniteurs de système

Ces spywares surveillent principalement les activités des utilisateurs. Ils peuvent recueillir des données telles que les programmes lancés, les sites web visités, les dialogues dans les salons de discussion ou les courriels.

II. L’absence de consentement de l’internaute « infesté » par un spyware

Les créateurs des spywares ou les éditeurs déclarent que les spywares sont légaux. Lorsqu’une personne décide de télécharger un logiciel principal gratuit, la licence d’utilisation contient une indication sur la présence d’un éventuel spyware.

L’utilisateur installe donc le spyware sur son ordinateur en toute connaissance de cause. Toutefois, il arrive souvent que les internautes ignorent totalement la présence de spywares. De ce fait, le consentement éclairé nécessaire avant toute conclusion d’un contrat (même à titre gratuit) et tout traitement automatisé d’informations à caractère personnel peut être remis en cause : le plus souvent, ces clauses sont écrites en tout petit et en anglais, voire illisibles ou absentes.

La loi informatique et libertés (LIL) instaure des obligations pour les responsables des traitements automatisés d’informations à caractère personnel et des droits pour les personnes fichées. Ainsi, il est précisé à l’article 226-16 du Code pénal énonce que « Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements automatisés d’informations nominatives sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende. ».

Une décision de la Cour d’appel rappelle cela d’ailleurs. En effet, une association et la personne chargée du fonctionnement de son site Internet ont été condamnées pour avoir utilisé des données à caractère personnel sur le site web sans respecter la loi informatique et liberté (CA Bourges, 11 janvier 2007, n° 2007/03).

Le projet de loi concernant la refonte de la LIL prévoit que l’amende peut atteindre 300 000 euros (article 14). Les responsables ont l’obligation d’informer préalablement les personnes auprès desquelles sont recueillies ces informations nominatives (article 27 de la loi du 6 janvier 1978 ; article 32 de la LIL version 2004).

Par conséquent, tout manquement à cette obligation constitue une infraction. Cette infraction est caractérisée par le fait que l’internaute n’est pas au courant de l’existence sur son ordinateur de ces petits programmes informatiques espions qui enregistrent ses moindres faits et gestes sur son ordinateur et sur Internet. Il n’a pas été informé par le responsable du traitement automatisé des informations à caractère personnel.

Par ailleurs, le fait pour un fournisseur de services de communications électroniques ou pour un responsable de traitement de ne pas procéder à la notification d’une violation de données à caractère personnel à la CNIL, en méconnaissance des articles 33 et 34 du règlement (UE) 2016/679 du 27 avril 2016 ou des dispositions du II de l’article 83 et de l’article 102 de la loi n° 78-17 du 6 janvier 1978, est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende (art. 226-17-1 code pénal).

III. La violation de la vie privée de l’internaute et la collecte illégale d’informations à caractère personnel

Selon l’ article 9 du Code civil, chacun a droit au respect de sa vie privée. Or, les spywares installés sans le consentement des internautes violent sans conteste leur vie privée en collectant des informations à caractère personnel. Les données à caractère personnel ainsi que leur traitement et collecte sont définis dans la loi informatique et Libertés. Ainsi, les données personnelles consistent à toute information se rapportant à une personne physique identifiée ou identifiable. Elles peuvent concerner des informations relatives à la vie privée de la personne : le pays dans lequel vit l’internaute, le type d’achat qu’il effectue, les sites visités, etc.

À travers les logiciels espions, les destinataires des données peuvent constituer un fichier à des fins publicitaires sur les habitudes de téléchargement, les centres d’intérêts, les achats effectués sur la Toile et leur périodicité. Ces données personnelles sont cédées à des régies publicitaires qui les utilisent pour leur activité d’envoi de messages publicitaires sous forme de pop-ups, pop-unders et e-mails .

La loi pour la confiance dans une économie numérique condamne cela. Il faut le consentement préalable de l’internaute via les e-mails (article 22). L’internaute doit avoir consenti préalablement à l’envoi de messages publicitaires. Il faut savoir, que le profilage ne se limite plus au comportement des internautes sur Internet, mais il concerne désormais le simple lecteur d’un e-mail. Dans un communiqué du 22 juin 2004, la CNIL a énoncé que ce logiciel espion était totalement illégal en France.

Il s’agit, en effet, d’« une collecte frauduleuse, déloyale ou illicite de données nominatives » (article 25 de la LIL du 6 janvier 1978 ; article 6 nouveau de la LIL version 2004). Selon l’article 226-18 du Code pénal, les utilisateurs de ce type de logiciel encourent une peine de 5 ans d’emprisonnement et de 300 000 euros d’amende. Les sanctions sont lourdes en cas de collecte déloyale d’informations à caractère personnel, car elles peuvent aller jusqu’à 1,5 million d’euros d’amendes pour les personnes morales.

Ce principe de loyauté est extrêmement important. C’est la raison pour laquelle la LIL version 2004 indique explicitement qu’il s’agit d’une condition de licéité des traitements de données à caractère personnel.

La CNIL émet régulièrement des recommandations qui visent à limiter au maximum l’exploitation commerciale et publicitaire du profilage sur Internet. L’arsenal juridique français actuel n’est pas une loi française spécifique « anti-spyware », mais permet toutefois de sanctionner les dérives de ces logiciels espions. Les spywares prolifèrent. Il convient d’être vigilant notamment lorsque l’on télécharge un logiciel gratuit sur Internet. Par ailleurs, il faut savoir que ce n’est pas parce que l’on décide de désinstaller le logiciel téléchargé que le spyware disparaîtra. Il est nécessaire de les détruire via des programmes anti-spywares.

Pour cela, il convient, donc, de voir quelques conseils pratiques afin de se protéger contre les spywares.

IV. Comment se protéger contre les spywares ?

Selon le site français big data il est possible d’appliquer certaines conduites afin de se protéger contre les spywares :

  • Éviter le téléchargement d’applications suspectes : il arrive, très souvent, que des applications affichent de façon spontanée des promesses qui semblent invraisemblables. À cet effet, il ne faut jamais télécharger ni cliquer sur des applications qui ne proviennent pas de sites de confiance.
  • Se méfier des courriels. Ces derniers constituent souvent un moyen pour dissimuler les menaces qui s’infiltrent dans la vie numérique. Si un e-mail provenant d’une source inconnue invite à suivre un lien, il faut agir avec méfiance. En effet, cliquer aveuglément sur ces liens peut mettre le système informatique en danger, voire même pire.

Enfin, il faut mettre à jour régulièrement le système pour garantir une sécurité. Ainsi, lorsque la version avancée du navigateur ou du système est disponible auprès d’une source fiable, il faut procéder rapidement à une actualisation. Il convient dès lors de lire les termes et conditions de la mise à jour pour pouvoir modifier les paramètres de sécurité du navigateur, ensuite. Les paramètres par défaut ne sont pas suffisant pour se protéger contre le spyware. Il faut ajuster les paramètres selon le navigateur utilisé. L’objectif principal consiste à faire en sorte que ce dernier bloque tous les pop-up, sites web et plug-ins suspects pour assurer la sécurité.

Pour lire une version plus complète de cet article sur les spywares et le piratage informatique, cliquez

Sources :

https://www.cnil.fr/fr/reglement-europeen-protection-donnees
https://www.cnil.fr/fr/les-sanctions-penales
https://www.lebigdata.fr/spyware-tout-savoir
https://www.cnil.fr/fr/cookies-et-traceurs-que-dit-la-loi

Par internet-et-droit, Newsletter • Tags: , , , ,

LA PROTECTION DES BIENS ACHETES

Dans notre vie quotidienne, nous réalisons tous des achats, que ça soit des achats dans un magasin en physique, ou bien des achats en ligne. Cela fait partie de notre mode de vie. C’est la raison pour laquelle la protection conférée aux biens achetés est indéniable. Mais cette protection est encore plus forte lorsque l’on quitte l’achat des biens mobiliers et que l’on rentre dans le cadre de ventes immobilières.

En France, au travers d’une ordonnance du 17 février 2005, sera transposée une directive européenne de 1999. Celle-ci a mis en place une action en garantie uniforme fondée sur la notion de conformité du bien au contrat qui englobe le vice caché et la délivrance conforme.

NOUVEAU : Utilisez nos services pour faire valoir vos droits en passant par le formulaire !

C’est l’article 1641 du Code civil qui nous parle du « vice caché », aussi appelé défaut caché ». Ainsi, le vendeur est tenu de la garantie à raison des défauts cachés de la chose vendue qui la rendent impropre à l’usage auquel on la destine, ou qui diminuent tellement cet usage que l’acheteur ne l’aurait pas acquise, ou n’en aurait donné qu’un moindre prix, s’il les avait connus.

A cet effet, le consommateur français dispose, désormais, d’une action en garantie uniforme fondée sur la notion nouvelle de « conformité du bien au contrat » englobant le vice caché et la délivrance conforme. Le texte ne vise que : les contrats de vente de biens meubles corporels, les ventes de biens de consommation réalisés entre un vendeur professionnel et un consommateur. Sont exclus les
biens vendus par autorité de justice ainsi que ceux vendus aux enchères publiques.

Besoin de l’aide d’un avocat pour un problème de contrat ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

Il serait alors intéressant de voir les obligations du vendeur ainsi que les droits du consommateur (I), l’action spécifique dont dispose le consommateur (II) et enfin, les autres règles importantes relevant du droit de la consommation (III).

I.  Obligations du vendeur et droits du consommateur

A-Obligation de délivrance

La délivrance est l’acte d’exécution du contrat (fait juridique). C’est la mise à la disposition de la chose à l’acquéreur, au temps et au lieu convenus. Cela recouvre la remise de la main à la main ; remise de la chose à un transporteur ou à un commissionnaire pour le compte de l’acheteur, etc.

Le délai de la délivrance ne doit pas excéder une limite raisonnable, à défaut de précision sur la date de délivrance (1).  Par ailleurs, la convention de Vienne a adopté ce principe (art. 33 Convention de Vienne), déjà dégagé par la jurisprudence française

La délivrance se prouve par l’acte juridique de la réception du bien, matérialisé par un procès-verbal qui couvre en principe les défauts apparents, du moins s’ils n’ont pas fait l’objet de réserves (2) par l’acheteur et à condition que celui-ci soit suffisamment compétent pour les déceler dans ce domaine technique. Il incombe, donc, au vendeur de prouver qu’il a mis effectivement le bien vendu à la disposition de l’acheteur dans le délai convenu (3). L’obligation de délivrance comprend aussi les accessoires de la chose.

La règle classique figure dans le Code civil (4). Il s’agit d’abord des accessoires matériels, du genre du câble d’alimentation d’un appareil, son disque dur, ainsi que des notices ou manuels d’utilisation, de fonctionnement et d’entretien. Il existe aussi des accessoires incorporels, comme un code de déblocage et surtout l’ensemble des informations nécessaires à son exploitation.

B-Garantie contre les vices cachés

Pour que le vice caché puisse être invoqué, il faut l’existence d’un vice nuisible à l’usage de la chose, qui est caché et qui est invoqué dans un délai relativement court.

En premier lieu, la garantie suppose l’existence d’un vice. Ce dernier consiste objectivement dans l’absence d’une qualité normalement attendue, la chose devant être propre à l’usage auquel elle est destinée de par sa nature : ainsi d’un ordinateur de fonctionner (5). Le vice rend donc la chose impropre à l’usage auquel on la destine, ou diminue grandement cet usage. Par ailleurs, le vice s’apprécie en principe in abstracto, contrairement à la non-conformité. Le vice doit être relativement important. Sinon, il n’empêche pas l’usage de la chose. Ne sont donc pas des vices les défauts mineurs, facilement réparables (6).

En second lieu, le vice doit être caché. Cela figure à l’article 1641 du Code civil qui ne parle que des défauts cachés. Toutefois, l’article 1642 du code civil précise que « Le vendeur n’est pas tenu des vices apparents et dont l’acheteur a pu se convaincre ». L’apparence implique toutefois que l’acheteur ait connu le vice « dans sa cause et son amplitude », ou « son étendue et sa gravité ». Le vice cesse aussi d’être caché lorsque, même non apparent, le vendeur en a informé son partenaire, qui a accepté la marchandise à ses risques et périls (Versailles, 24 nov. 2000, Mme Lemarie). 

En revanche, le vice est difficilement considéré comme caché lorsque l’acheteur est un professionnel, achetant dans le domaine de sa compétence technique, car il est à même de procéder à une vérification minutieuse. N’est donc pas caché le défaut qui était décelable lors d’un examen normal par un bon professionnel (7).

Et enfin, l’action en garantie est soumise à un délai de deux ans depuis l’ordonnance n° 2005-136 du 17 février 2005. Le délai ne commence à courir que du jour de la découverte du vice (C. civ., art. 1648). Le vice pourra n’apparaître qu’après un assez long temps : pour un système informatique complexe et de grande ampleur, la mise en plein régime supposera une durée importante, de sorte que le délai peut s’enfler.

C-Garantie de conformité

L’article L. 217-4 du code de la consommation définit les obligations du vendeur au titre de la conformité : « Le vendeur livre un bien conforme au contrat et répond des défauts de conformité existant lors de la délivrance. Il répond également des défauts de conformité résultant de l’emballage, des instructions de montage ou de l’installation lorsque celle-ci a été mise à sa charge par le contrat ou a été réalisée sous sa responsabilité. »

En faveur du consommateur, il y a une présomption d’antériorité du défaut : « Les défauts de conformité qui apparaissent dans le délai de vingt-quatre mois à partir de la délivrance du bien sont présumés exister au moment de la délivrance, sauf preuve contraire » (C. consom., art. L. 217-7). Cependant, le vendeur peut combattre la présomption d’antériorité si celle-ci n’est pas compatible avec la nature du bien ou le défaut de conformité invoqué (C. consom., art. L. 217-7  al. 3).

S’agissant des sanctions du défaut de conformité, le législateur confère à l’acheteur cinq solutions (réparation, remplacement, réduction du prix, résolution du contrat, dommages-intérêts). (L. 217-9 et L. 217-10 code de consommation).

L’acheteur peut choisir librement entre la réparation et le remplacement. Cependant, cette liberté cesse lorsque le choix de l’acheteur entraîne un coût disproportionné au regard de l’autre modalité, compte tenu de la valeur du bien ou de l’importance du défaut ; le vendeur est alors tenu de procéder, sauf impossibilité, au second mode de réparation en nature (C. consom., art. L. 217-9).

Concernant, la résolution ou la réduction du prix. Si la réparation ou le remplacement sont impossibles, une autre option s’offre à l’acheteur : celle de rendre le bien et de se faire restituer le prix (action en résolution du contrat), ou de garder le bien et d’obtenir le remboursement d’une partie du prix (action en réduction du prix, la traditionnelle réfaction).

Par ailleurs, l’acheteur peut aussi obtenir des dommages-intérêts. Cela n’avait pas été prévu par la directive de 2005 et a donc été ajouté par le législateur français (C. consom., art. L. 217-11 al. 2).

II. Une action spécifique

Lorsqu’il y ‘ a un défaut de conformité, le consommateur dispose d’un délai de deux ans pour intenter une action contre le vendeur, et cela à compter de la délivrance du bien. Néanmoins, cette action ne prive pas le consommateur du droit d’intenter l’action résultant des vices cachés prévus par les articles 1641 à 1649 du Code civil.

Par ailleurs, le « bref délai » d’action prévu à l’article 1648 du Code civil a également été réformé ; il est maintenant de deux ans à compter de la découverte du vice. Les dispositions de l’ordonnance du 17 février 2005 s’appliquent aux contrats conclus postérieurement à son entrée en vigueur.

III. Autres règles importantes relevant du droit de la consommation

  • L’information sur les modes alternatifs de règlement de litiges

L’article L. 211-3 du Code de la consommation prévoit que « lors de la conclusion de tout contrat écrit, le consommateur est informé par le professionnel de la possibilité de recourir, en cas de contestation, à la procédure de médiation de la consommation dans les conditions prévues au titre Ier du livre VI ». L’objectif est d’inciter les consommateurs à se tourner vers des modes de résolution amiable des litiges. Si cette information supplémentaire est déclenchée par la conclusion d’un contrat écrit, le texte ne semble pas imposer l’écrit pour l’information elle-même.

  • L’information dans les foires et les salons

Selon l’ article L.224-59 du Code de la consommation, avant la conclusion d’un contrat « à l’occasion d’une foire, d’un salon ou de toute manifestation commerciale relevant du chapitre II du titre VI du livre VII du Code de commerce », le professionnel doit informer le consommateur qu’il ne dispose pas d’un délai de rétractation. Cette information donnée sur les lieux doit se faire par affichage, de manière visible pour le consommateur :

–sur un panneau dont le format ne peut pas être inférieur au format A3 ;

–dans une taille de caractères ne pouvant être inférieure à celle du corps 90 (A. 2 déc. 2014, art. 1er).

Les offres de contrat faites dans les foires et les salons doivent impérativement mentionner l’absence de délai de rétractation en termes clairs et lisibles dans un encadré apparent situé en-tête du contrat. Toutefois si le professionnel propose sur place au consommateur de financer son achat par un crédit affecté, le contrat de vente ou de service doit comporter un encadré apparent mentionnant le droit de rétractation de 14 jours accordé à l’emprunteur et les conséquences qui y sont attachées (art. L. 224-62).

Le non-respect de ce formalisme est sanctionné par une amende administrative maximale de 3 000 euros pour une personne physique et de 15 000 euros pour une personne morale (art. L. 224-23).

Pour lire une version plus complète de cet article sur sur la protection des biens achetés, cliquez

SOURCES :

(1)Ch. Com. 12 nov. 2008, n° 07-19.676

(2)Civ. 1re, 12 juill. 2005, no 03-13.851

(3)Ch. Com. 15 sept. 2009, no 07-21.842

(4)C. civ., art. 1615

(5)Com. 24 avr. 2007, no 05-17.051

(6)Com. 24 oct. 1995, no 94-12.247

(7)Com. 4 mars 2003, no 00-18.668

Par internet-et-droit, Newsletter • Tags: , , , ,

LA PROTECTION DES DONNÉES MÉDICALES

Aujourd’hui, la quasi-totalité des objets dispose d’une connexion à l’Internet. Dans cette société du tout connecté où les flux sont incessants, une catégorie de données reste cependant sujette à une attention particulière : les données dites personnelles, regroupant en leur sein les données médicales.

NOUVEAU : Utilisez nos services pour faire protéger vos données personnelles et/ ou médicales en passant par le formulaire !

Tout d’abord, il apparaît plus aisé de définir plus précisément ce que l’on entend par une donnée médicale. Dans un premier temps, cette donnée médicale n’est pas nécessairement informatique : une donnée médicale peut en effet être archivée sous la forme d’un écrit.

Il en va ainsi des certificats médicaux ou des ordonnances. De plus, dans le cas où un professionnel de santé décide de recourir à l’utilisation d’un magnétophone pour enregistrer des constats sur l’état de santé d’un de ses patients, on est également en présence de données médicales. Ainsi, le terme de donnée médicale englobe tout ce qui a attrait à une méthode de conservation de l’état de santé d’un patient : la question de la protection des données médicales, avec les règles de déontologie et de respect de la vie privée s’y afférant, n’est donc pas récente.

La CNIL est revenue récemment sur la définition des données médicales, notamment au regard du grand texte européen en matière de protection des données personnelles qui s’apprête à entrer en vigueur. Elle affirme que « Les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne ».

Besoin de l’aide d’un avocat pour un problème de protection de données ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

D’ailleurs, cette définition est d’autant plus intéressante qu’aucun texte juridique européen, jusqu’alors, n’encadrait précisément le contour des données médicales, travail laissé au juge lors de ses rendus.

Une telle définition apparaît des plus nécessaires puisque nos données médicales transitent effectivement par le biais des nouvelles technologies, les services de santé (comme presque tous les domaines sociaux aujourd’hui d’ailleurs) étant progressivement dématérialisés.

Or l’évolution fulgurante des technologies informatiques peut constituer un danger pour la protection des données médicales. Ainsi, ces données médicales peuvent se voir perdues, corrompues, détruites, voire même détournées. Ainsi, le récent cas de suicide du prévenu suspecté d’avoir volé le dossier médical de Michael Schumacher rappelle que les données médicales, du fait de leur caractère éminemment personnel, restent des données sensibles devant faire l’objet d’une protection particulière.

Force est de constater que la France est pionnière en la matière puisqu’elle dispose de ce fait d’un régime juridique protégeant l’ensemble des données personnelles. Ce régime date de la loi du 06 janvier 1978. L’objectif principal de cette loi est d’assurer la sécurité du traitement des données à caractère personnel. Parmi ces dernières on y trouve les données médicales qui font également l’objet de dispositions particulières. En effet, le législateur a jugé que ces données étant sensibles par nature, il était nécessaire d’y accorder une protection spécifique. Ainsi, le code de la santé publique protège les données médicales, et notamment leur traitement par les professionnels de santé.

Une donnée informatique est, par définition, immatérielle. Elle suppose donc une localisation sur un serveur. Hélas, dans le cas où un ressortissant français tombe malade dans un pays étranger et est soigné là bas, ses données médicales ne seront pas situées sur le territoire national. La loi française ne s’appliquant que sur le territoire français, le régime de protection des données médicales pourra se voir alors modifié, et certaines atteintes à la confidentialité de données médicales seront peut-être tolérées alors qu’elles constituent une infraction au droit français.

Dès lors, quelle est la réelle portée juridique de la protection des données médicales à la fois sur le plan national et international ? L’évolution récente de certaines technologies informatiques peut-elle rentrer en contradiction avec la confidentialité de données si sensibles ?

I. Une protection des données médicales encadrée au plan national

La France possède un régime juridique particulier sur la protection des données médicales particulièrement efficace. De plus, la CNIL assure une surveillance particulière des dites données et elle délivre régulièrement des informations pratiques destinées à renseigner les professionnels de la santé.

A. Un cadre juridique et réglementaire efficace

La France s’est doté la première d’un régime juridique spécifique aux données personnelles et à l’utilisation des données personnelles. En effet, la loi dite informatique et Liberté promulguée le 06 janvier 1978 a pour objet spécifique de protéger le traitement des données à caractère personnel.

Le caractère sensible de cette catégorie de données, qui permet ainsi de catégoriser les individus en fonction de leurs ethnie, sexe, état de santé, etc.…, justifie à lui seul la mise en place d’une protection. Si cette loi s’attache à traiter de la protection de l’ensemble des données dites à caractère personnel, la loi dite « Kouchner » promulguée le 4 mars 2002 a pour objet de s’intéresser particulièrement aux données médicales.

A cet effet, l’article L. 1111-7 du code de la santé publique met en place pour les patients les conditions d’accès à leurs données relatives à leur santé. Lorsqu’un individu souhaite avoir accès à n’importe quel document dont le contenu est relatif à son état de santé (par exemple une feuille de consultation ou une ordonnance médicale), ce dernier peut demander directement ou par le biais d’un médecin l’accès à ce document. Il est une fois de plus intéressant de noter que la loi rappelle le caractère à la fois informatique ou non d’une donnée dite médicale : l’interprétation de la loi ne peut ainsi pas permettre d’abus de langage allant dans le sens d’une stricte interprétation informatique du terme de « donnée ».

Toutefois, l’article L. 1111-8 du code de la santé publique s’attache plus précisément à la licéité de l’hébergement et du traitement de données de santé. Ainsi, dans le cadre d’opérations de soins ou de diagnostic, les données de santé récupérées peuvent uniquement être hébergées auprès de personnes physiques ou morales qui sont agréées à cet effet.

D’ailleurs, cet hébergement de donnée de santé ne peut être effectué qu’après consentement exprès de la personne concernée. Enfin, les dispositions du code de la santé publique rappellent que le traitement de telles données doit évidemment respecter les conditions posées par la loi informatique et Libertés. Ainsi, aux vues de tout ce qui a été énoncé, la France s’est progressivement dotée au fur et à mesure des années d’outils juridiques efficaces dans la protection et surtout dans la prévention des atteintes potentielles portées aux données médicales.

Les professionnels de la santé sont ainsi encadrés lorsqu’ils sont amenés à traiter avec des données médicales. Par exemple, un pharmacien stocke des données issues de la lecture d’une carte vitale d’un patient sur des serveurs spécialement habilités à recevoir des données à caractère personnel. De plus, le secret médical imposé par la déontologie des professions relatives au milieu de la santé interdit toute divulgation de donnée médicale à autrui sans accord de ce dernier ou au détriment des conditions posées par la loi.

A ce titre, même si la loi pose des interdictions et des conditions de traitement des données médicales qui sont claires, le rôle de la CNIL dans le traitement de telles données reste non négligeable puisqu’elle assure un suivi « pratique » dans le suivi des données.

Sur ce point du traitement des données médicales d’ailleurs, le cadre légal en vigueur s’est doté, depuis le 26 janvier 2016, de nouvelles dispositions grâce l’entrée en vigueur de la « loi de modernisation de notre système de santé ».

S’agissant de la grande nouveauté de ce texte, elle figure essentiellement au niveau l’allègement des coûts de procédures d’agrément pour l’Etat, qui délègue désormais ce rôle à des organismes certificateurs privés exerçant par voie d’audit.

De plus, on parle désormais du secteur « médico-social » concerné par ces dispositions, ouvrant plus largement la voie à un tel contrôle (incluant de fait les établissements pour personnes âgées, les foyers d’accueil, etc.).

Le 25 mai 2018 est entrée en vigueur une nouvelle réglementation qui traite notamment des données personnelles. Il s’agit du règlement général sur la protection des données, RGPD. Entre autres, Il prévoit un allègement des formalités préalables. Pour certains traitements comportant des données de santé, les formalités à effectuer auprès de la CNIL sont ainsi supprimées.

Au total 9 traitements bénéficient de cette suppression de formalités comme les traitements nécessaires à la sauvegarde de la vie humaine, les traitements pour lesquels la personne concernée a donné son consentement exprès ou encore les traitements nécessaires à la médecine préventive.

Ces interventions médicales pourront donc être effectuées sans aucune formalité auprès de la CNIL (Commission nationale de l’informatique et des libertés). En revanche le responsable doit pouvoir démontrer à tout moment la conformité de ces actes avec le RGPD en retraçant toutes les démarches entreprises. Un certain nombre d’obligations lui incombera de ce fait. Un registre des traitements récapitulant l’ensemble des traitements doit être mis en place. Pour les traitements présentant un risque élevé une analyse d’impact doit être menée. L’information des personnes doit être encadrée et l’effectivité de leurs droits doit être assurée.

B. Des recommandations pratiques délivrées par la CNIL

La CNIL a pour objet spécifique de protéger les données personnelles ainsi que de préserver les libertés individuelles de chaque individu. À ce titre, la CNIL accorde une attention particulière à la manière dont sont effectués des traitements de données à caractère personnel.

Ainsi, la CNIL utilise souvent des recommandations faites aux entreprises ou aux professionnels concernés afin de rappeler les pratiques idéales à effectuer suivant la situation. Dans le cas de la protection des données médicales, la CNIL s’est prononcée sur les modalités optimales à adopter dans le cas où un professionnel de santé héberge ou traite des données médicales.

La CNIL commence par rappeler la nécessité première de maintenir le degré de confidentialité des données de santé au même rang que celui du secret médical. Pour se faire, la CNIL donne des indications d’ordre technique qui, si elles peuvent paraître acquises pour de plus en plus de gens aujourd’hui au regard de l’ouverture du milieu informatique au grand public, reste nécessaire, voire indispensables dans certains cas, pour s’assurer d’un minimum de sécurité sur les données hébergées.

Dans un premier temps, la CNIL donne des recommandations relatives à la sécurité informatique minimale à adopter : un mot de passe doit être mis en place sur l’ordinateur et ce dernier doit faire l’objet d’un arrêt complet à chaque absence du professionnel de santé.

Il est recommandé par la CNIL de ne jamais faire de copie de son mot de passe pouvant être lu ou intercepté par un tiers non autorisé à accéder au système informatique. A ce titre, rappelons simplement que la simple intrusion dans un système informatique sans autorisation constitue à lui seul un délit pénal. De plus, la CNIL recommande pour le professionnel médical de disposer de supports de sauvegardes externes permettant d’éviter la perte de données.

Si un client venait à vouloir consulter ses données médicales et que le professionnel est dans l’incapacité de lui fournir, il se rendrait coupable d’un acte illicite, et ce même si la perte de données est liée à un problème technique ou ne dépendant pas de sa volonté.

Si la CNIL prend la peine de rappeler des points qu’elle considère elle-même comme étant des dispositions de sécurité élémentaires, elle s’attarde également sur le cas où un traitement de données médicales fait l’objet d’une mise en réseau.

Dans un tel cas de figure, la CNIL recommande alors une gestion plus poussée des mots de passe : ces derniers doivent être distincts suivant l’utilisateur qui utilise l’ordinateur (par exemple chaque pharmacien devrait, pour un unique poste informatique dans un office, avoir son propre identifiant et son propre mot de passe) et trois erreurs consécutives doivent, à l’instar des erreurs lors de l’entrée d’un code PIN erroné, bloquer le système.

De plus, la CNIL ne recommande pas à ce qu’un compte d’un utilisateur puisse être ouvert sur plusieurs postes différents : cela signifie ainsi que le professionnel médical n’est pas présent devant l’un de ses postes, ce qui rend accessible les données à un tiers. De plus, les données médicales doivent faire l’objet d’un cryptage : c’est obligatoire pour les données personnelles. Ainsi, outre une intégrité des données qui doit constamment être vérifiée au plan informatique, la confidentialité de ces dernières doit être assurée par un chiffrement total ou partiel des données nominatives en fonction des cas. Enfin, dans le cas où l’accès au réseau se fait via Internet, un système de pare-feu est hautement recommandé pour prévenir de toute tentative d’interception des données médicales lorsque ces dernières font l’objet d’un flux.

La CNIL délivre également des recommandations à l’égard de ceux qui traitent ces données de santé notamment en ce qui concerne l’information due aux personnes dont les données sont collectées. Cette information est obligatoire afin que ces personnes conservent la maîtrise de leurs données. Cette obligation est prévue par le RGPD.

Ainsi c’est au responsable de traitement d’informer les personnes sur le traitement de leurs données. Il est nécessaire que cette information soit divulguée de façon concise, transparente, compréhensible et aisément accessible. Le but étant qu’elle soit le plus intelligible possible notamment pour le grand public. Pour satisfaire cette condition, il faudra aller à l’essentiel tout en faisant en sorte que toutes les mentions obligatoires soient dans le document servant à la délivrance de l’information.

Le responsable de traitement est libre quant au support choisi pour délivrer l’information. Toutefois certains supports sont également plus favorables à la compréhension de l’information par le public. Certaines techniques peuvent aussi être utilisées pour atteindre cet objectif comme l’utilisation de pictogrammes, le surlignage des informations importantes ou le recours à la vidéo.

L’information doit aussi être adaptée à la pathologie de la personne, à son âge et aux circonstances dans lesquelles les données ont été recueillies. Les mineurs doivent ainsi bénéficier d’une information spécifique tout comme les personnes vulnérables.

Il convient de rappeler qu’en mars 2021, un fichier contenant les données médicales de près de 500 000 personnes a été publié en ligne à leur insu. À la suite de cela, le tribunal judiciaire de Paris, le 04 mars 2021, avait ordonné le blocage sans délai de l’accès au site hébergeant le fichier en question aux principaux fournisseurs français d’accès à internet.

En septembre 2021, la CNIL a été informée de la fuite de données de l’Assistance Publique-Hôpitaux de Paris (AP-HP) qui concernent 1,4 million de personnes testées contre la COVID-19 en 2020. En outre, le secrétaire d’État au Numérique Cédric O avait expliqué le 17 février 2021, devant l’Assemblée nationale que, désormais, une cyberattaque visant un hôpital a lieu chaque semaine.

Récemment, lors du dernier Forum international de la cybersécurité (FIC) à Lille, les experts ont réaffirmé qu’en matière de santé, les règles de sécurité informatique sont insuffisamment appliquées. A cet égard, plusieurs failles ont été mises en exergue telles que les compétences insuffisantes en matière de cybersécurité chez les sous-traitants des établissements médicaux, les logiciels de santé dépassés en matière de cybersécurité et les systèmes d’information qui ne sont pas actualisés depuis des années.

Bien que la France dispose d’un arsenal protecteur conséquent pour assurer la confidentialité et l’intégrité des données médicales, l’internet n’a pas de frontières, et certaines données peuvent être amenées à transiter dans des états étrangers. La protection des données médicales devient alors beaucoup plus incertaine.

II. Une protection des données médicales incertaine au plan international

La loi française n’est applicable en France : il s’agit du principe de territorialité des lois qui reste immuable quel que soit le cas de figure, sauf exception prévue dans des conditions strictes. À ce titre, certaines législations internationales semblent ne pas accorder autant d’importance à la protection des données personnelles. De plus, l’ouverture des réseaux au monde entier amène à un risque : le législateur n’a pas le temps d’adapter la loi à la technique informatique.

A. Une absence de concertation internationale préjudiciable

Il est à noter que la majorité des autres états étrangers n’adopte pas de position hostile par rapport à la protection des données personnelles, bien au contraire. Ainsi, concernant les états européens, la plupart de ces derniers ont adopté une CNIL (ou un équivalent) permettant ainsi une certaine uniformisation de la protection des données personnelles, et donc par ce biais des données médicales.

Lorsqu’un traitement de données personnelles d’un citoyen français doit être effectué dans un pays étranger, un accord de la CNIL est obligatoire. Il reste assez rare que des données médicales soient transférées sans raison précise dans des serveurs étrangers. Cependant, il existe des cas de figure où des données médicales d’un ressortissant français peuvent être amenées à être traitées dans un pays étranger à l’Union européenne.

L’exemple des États-Unis constitue peut-être le meilleur exemple de risque d’atteinte à la protection des données médicales d’un citoyen français. Prenons le cas où lors du séjour d’un français aux États-Unis, ce dernier doit subir une hospitalisation imprévue dans un établissement de santé américain. Des feuilles de soin sont alors créées et l’état de santé du patient français se voit consigné (par écrit ou par ordinateur : encore une fois cela reste des données). Théoriquement, et dans la grande majorité des cas, les données médicales des patients français n’ont aucune raison d’être détournées de leur utilisation.

Or, il existe un principe en droit américain nommé le « Patriot Act ». Ce dernier permet au gouvernement américain de disposer librement des données personnelles d’un individu sur le fondement d’une seule suspicion de terrorisme ou d’espionnage. Si l’existence d’un tel principe est hautement compréhensible au regard de l’importance accordée par le gouvernement américain à tout ce qui concerne la sécurité nationale, le fondement d’une seule suspicion sans autre preuve apparaît bien léger pour assurer une protection des données médicales.

En outre, la cybercriminalité est un rempart à une bonne protection des données médicales lorsque des pare-feu ne sont pas suffisamment élaborés pour prévenir de telles attaques. Ainsi, entre les mois d’avril et juin 2014, Community Health Systems, un spécialiste de la gestion d’hôpitaux américains, a subi des cyberattaques qui ont subtilisé plusieurs millions de données personnelles. S’il n’est fait état d’aucune subtilisation de données médicales au sein des données volées, cette possibilité relance la nécessité d’une protection informatique nécessaire pour se prémunir de ce genre de piratage.

Le gouvernement fédéral américain, en 2021, avait annoncé que les données médicales de plus de 40 millions patients ont été compromises. Il s’agissait de violations de données concernant les informations de santé personnelles et protégées de millions de personnes. Toutes ces violations de données étaient dues à des incidents de piratage au cours desquels des personnes non autorisées ont eu accès à des réseaux de santé où des données de santé électroniques étaient stockées.

Que ce soit en matière de piratage, de législation étrangère moins regardante sur la protection des données personnelles ou encore sur l’absence de contrôle d’un patient français sur des données de santé qui seraient restées à l’étranger, la protection des données médicales à l’échelle internationale apparaît encore incertaine. De plus, la technique informatique est de plus en plus avancée et complexe, ce qui ralentit encore davantage une sécurité juridique constante et uniforme.

B. Un état technique avancé, ou le risque d’un retard juridique

Il apparaît pratiquement impossible de faire disparaître la carte vitale du système médical français : la gestion des données de santé apparaît bien trop longue au regard du nombre de patients à gérer. À ce titre, l’évolution informatique mêlée à des impératifs de gestion médicale ne pose pas de problème juridique en soi.

Néanmoins, des technologies nouvelles ne sont pas encore appréhendées par la loi. Il en va par exemple du Cloud computing. Le Cloud, ou l’informatique en nuage sont un système permettant de stocker des données sur des serveurs distants. Ainsi, aucun stockage physique n’est effectué sur le disque dur de l’ordinateur et tout se retrouve localisé dans des datacenters qui peuvent être localisés dans des pays étrangers. Certaines entreprises louent d’ailleurs des services de Cloud à des professionnels. Or dans le cas où un professionnel médical stockerait des données de santé de cette manière, outre un accord de la CNIL nécessaire, que se passe-t-il dans le cas où un patient souhaite avoir accès à ses données de santé?

Se pose alors la question de savoir si le médecin intermédiaire à qui la demande est effectuée doit traiter avec le fournisseur de service Cloud pour les obtenir, ou appartient-il au fournisseur d’avoir une telle responsabilité? De plus, lorsque des données, notamment personnelles, se retrouvent massivement stockées en un point physique fixe, les risques de cyberattaques se retrouvent augmentés.

En 2009, le gouvernement français avait élaboré le projet « Andromède » qui prévoit de stocker sous la forme d’un « Cloud souverain » les données nationales du gouvernement, de son administration et d’autres entreprises. Ce projet permettrait ainsi d’alléger considérablement les risques associés à une « volatilité » des données que l’on peut constater aujourd’hui.

En effet, puisque ces dernières sont toutes sous l’égide de la loi française, aucun problème de localisation des serveurs ne peut être relevé et le travail de surveillance de la CNIL serait considérablement allégé. D’ailleurs, bien que les données médicales ne semblent pas faire l’objet d’un stockage massif dans des serveurs Cloud étrangers, la question mérite néanmoins réflexion en ce que les dispositions relatives au bon traitement des données médicales par le droit français se voient d’un coup quasiment réduit à néant. Enfin, une législation numérique européenne serait la bienvenue puisque les données médicales se verraient enfin asservies à un régime juridique dans l’ensemble de l’Europe.

Pour lire une version plus complète de cet article sur la protection des données médicales, cliquer

Sources :

Par internet-et-droit • Tags: , , ,

LE POUVOIR DISCIPLINAIRE DE L’EMPLOYEUR

L’employeur, non seulement il assure la gestion de l’entreprise, mais aussi celle des salariés. Ainsi, il dispose d’un réel pouvoir disciplinaire réglementé par le Code du travail depuis la loi du 4 août 1982. Toutefois, l’employeur use de son pouvoir disciplinaire tout en respectant certaines conditions et/ou garanties préservant, notamment, les libertés et droits fondamentaux des salariés.

Dès lors que l’employeur remarque une faute disciplinaire de la part d’un salarié, il peut entamer une procédure disciplinaire. Cette faute doit être suffisamment importante pour provoquer une réaction patronale sous forme de sanction. Nous nous posons alors la question de savoir qu’est-ce qu’implique véritablement le pouvoir disciplinaire de l’employeur.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de droit du travail en passant par le formulaire !

Notons que le pouvoir disciplinaire est une prérogative de l’employeur (1) réglementée pour protéger les salariés (2) et contrôlée par le juge afin de sanctionner les abus éventuels (3)

I. Une prérogative de l’employeur

A) L’exigence d’une faute du salarié

L’employeur peut décider de prendre une sanction disciplinaire dès lors que le salarié commet une faute. La faute disciplinaire peut se définir comme le manquement par le salarié aux obligations qui découlent pour lui du contrat de travail. Elle peut être caractérisée en cas de refus du salarié d’accomplir son travail ou d’absences non justifiées du lieu de travail. Elle doit donc être distinguée des faits qui relèvent en principe de la vie personnelle du salarié, d’une simple insuffisance professionnelle, d’une mesure destinée à assurer la sécurité au sein de l’entreprise et au profit des clients, ainsi que du refus exprimé par le salarié contre la modification de son contrat de travail. Il ne sera pas fautif, non plus lorsque le salarié exerce un droit de grève, droit d’expression, une activité syndicale, etc.

Besoin de l’aide d’un avocat pour un problème de droit du travail ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

Relève incontestablement du droit disciplinaire tout manquement :

  • aux règles de discipline et d’organisation collective du travail énoncées dans le règlement intérieur (respect des horaires, des consignes d’hygiène et de sécurité, justification des absences…) ainsi qu’aux obligations qui découlent du lien de subordination et de l’appartenance du salarié à une communauté de travail (respect des directives et instructions de l’employeur, devoir de correction…) ;
  • à l’obligation générale de loyauté qui interdit au salarié de se livrer à des agissements moralement et/ou pénalement répréhensibles (notamment obligation de fidélité, de discrétion et de réserve).

S’agissant de l’exécution défectueuse de la prestation de travail, il n’y aura faute susceptible d’être sanctionnée sur le terrain disciplinaire que si l’exécution défectueuse est due à l’abstention volontaire du salarié ou à sa mauvaise volonté délibérée (1).

Par ailleurs, la chambre sociale (Cass. Soc., 20 décembre 2017) a décidé que, lorsque le salarié est déclaré inapte par le médecin du travail, est infondé le licenciement prononcé pour un motif autre que l’inaptitude, en l’occurrence, pour un motif disciplinaire (2).

B) Une faute sanctionnée

Dès lors que l’employeur a connaissance d’une faute commise par un salarié, il dispose d’un délai de deux mois pour engager les poursuites disciplinaires, c’est-à-dire pour convoquer le salarié à un entretien préalable ou pour lui adresser un avertissement ( l’article L1332-4 du Code du travail).

La Cour de cassation pose le principe que lemployeur sentend, au sens des dispositions du Code du travail relatives au droit disciplinaire, non seulement du détenteur du pouvoir de sanctionner, mais également du supérieur hiérarchique du salarié, même non titulaire de ce pouvoir (3) (Cass. Soc., 23 juin 2021, n° 20-13.762 et n° 19-24.020).

Le délai de deux mois court à compter du jour où l’employeur a eu connaissance exacte et complète des faits reprochés (Soc., 17 février 1993). Dans le cas contraire, la faute ne pourra plus faire l’objet d’une sanction : elle sera prescrite. Elle pourra toutefois être invoquée à l’occasion d’une nouvelle faute (Soc., 30 mars 1999).

Un nouveau délai recommence à courir à compter de la date de convocation au 1er entretien lorsque la procédure engagée concerne un salarié en arrêt maladie (4) (Cass. Soc., 9 octobre 2001, n° 99-41.217 ; Cass. Soc., 25 octobre 2007, n° 06-42.493). Toutefois, cet arrêt maladie n’entraîne ni suspension, ni interruption du délai de prescription (5) (Cass. Soc., 20 nov. 2014). Par conséquent, l’employeur ne peut plus engager la procédure disciplinaire au-delà du délai des deux mois.

C) Une sanction libre

L’article L1331-1 du Code du travail donne une définition de la sanction : il s’agit de « toute mesure, autre que les observations verbales, prise par l’employeur à la suite d’un agissement du salarié, considéré par lui comme fautif, que cette mesure soit de nature à affecter immédiatement ou non la présence du salarié dans l’entreprise, sa fonction, sa carrière ou sa rémunération ».

Le terme « toute mesure » est général et laisse, à l’employeur, une latitude d’exercice pour sanctionner la faute. La sanction doit donc être qualifiée comme telle par l’employeur ; elle doit aussi être proportionnée et justifiée par rapport aux faits reprochés aux salariés. Les sanctions les plus répandues sont :

  • l’avertissement (écrit ou verbal): il peut s’agir d’une simple lettre de l’employeur adressant des reproches à son salarié et le mettant en demeure d’apporter un maximum de soin à l’exécution de son travail (Soc., 13 octobre 1993) ;
  • le blâme (Soc., 7 décembre 1999);
  • la mise à pied disciplinaire, c’est-à-dire la suspension temporaire du contrat de travail.
  • la mutation (Soc., 10 juillet 1996) ;
  • la rétrogradation (Soc., 22 juin 1994);
  • le licenciement

Concernant la rétrogradation, il convient de préciser que l’acceptation par le salarié de la modification de son contrat de travail proposée par l’employeur à titre de sanction n’emporte pas renonciation du droit à contester la régularité et le bien-fondé de la sanction (6) (Cass. Soc., 14 avr. 2021).

II. Une prérogative réglementée pour protéger les salariés

A) Les sanctions interdites par la loi et la Jurisprudence

1) Les sanctions discriminatoires

Le Code du travail prévoit, à l’article L1132-1, que l’employeur ne peut pas sanctionner un salarié en raison de son origine, de son sexe, de ses mœurs, de sa situation de famille, etc. Il s’agit d’éléments appartenant à la vie privée du salarié qui ne doivent pas entrer dans le champ professionnel. L’employeur ne peut donc pas fonder sa sanction sur un de ces éléments.

Il ne peut pas, par ailleurs, apporter des restrictions aux droits des personnes et aux libertés individuelles et collectives qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché (article L1121-1 du Code du travail). La Jurisprudence a apporté des précisions. Par exemple, dans un arrêt du 28 mai 2003, la Chambre sociale de la Cour de cassation a décidé que la sanction disciplinaire était justifiée, car « la tenue vestimentaire de M.X était incompatible avec ses fonctions et ses conditions de travail ».

Cependant, linterdiction des discriminations ne fait pas obstacle à ce que lemployeur sanctionne différemment des salariés qui ont participé à une même faute dès lors que ces mesures disciplinaires ne sont pas le résultat dun détournement de pouvoir. Par ailleurs, la différenciation peut être fondée sur les comportements respectifs des salariés et tenir compte de leur ancienneté (12). En revanche, l’employeur qui a eu connaissance de divers faits commis par le salarié, considérés par lui comme fautifs, et qui choisit de n’en sanctionner que certains, ne peut plus ultérieurement prononcer une nouvelle mesure disciplinaire pour sanctionner les autres faits antérieurs à la première sanction (C. trav., art. L. 1331-1). L’employeur s’entend comme le supérieur hiérarchique du salarié, donc en cas de litige le juge doit rechercher si la personne qui a eu connaissance des faits fautifs par un salarié était ou non le supérieur hiérarchique (13).

2) Les sanctions pécuniaire

Les amendes ou autres sanctions pécuniaires sont interdites (art. L1331-2 code du travail).Toute disposition ou stipulation contraire est réputée « non écrite ». De ce fait, l’employeur ne peut pas prévoir dans le contrat de travail ou dans le règlement intérieur de son entreprise une interdiction générale visant toute forme de retenue sur salaire en raison d’une faute du salarié ou d’une exécution volontairement défectueuse de sa prestation de travail. De plus, il ne peut pas y avoir un cumul des sanctions (principe du non bis in idem).

L’article L1332-5 du Code du travail précise que les sanctions sont prescrites par trois ans. Cela signifie donc qu’une sanction antérieure de plus de trois ans à l’engagement de nouvelles poursuites disciplinaires ne peut pas être invoquée, par l’employeur, pour sanctionner plus gravement les faits reprochés au salarié. En revanche, l’employeur peut se prévaloir de faits ayant motivé une sanction prescrite pour justifier une différence de traitement (14). Il s’agissait dans ces affaires d’actions en discrimination syndicale.

B)  Une procédure disciplinaire à respecter

La procédure disciplinaire peut être conventionnelle ou légale (article L1332-2 du Code du travail). Cette procédure comporte deux phases : l’entretien préalable et la notification de la sanction.

  • L’entretien préalable

L’entretien préalable est une obligation légale : si le règlement intérieur de l’entreprise ne la prévoit pas, elle devra quand même avoir lieu.

Avant la notification de la sanction, un entretien préalable doit avoir lieu sauf si la sanction envisagée est « un avertissement ou une sanction de même nature qui n’a pas d’incidence, immédiate ou non, sur la présence dans l’entreprise, la fonction, la carrière ou la rémunération du salarié » (article L1332-2 du Code du travail). Pour être licite, il est nécessaire que la convocation, remise en main propre contre décharge ou envoyée en recommandé (article L122-44 du Code du travail), comporte les informations suivantes :  l’objet de l’entretien, ou la date, ou l’heure, ou le lieu de l’entretien, ou/et la possibilité pour le salarié de se faire assister par une personne appartenant à l’entreprise. Au cours de l’entretien, l’employeur indique le motif de la sanction et le salarié peut se défendre, apporter des explications concernant les faits qui lui sont reprochés.

  • La notification de la sanction

Une fois l’entretien passé, l’employeur doit notifier au salarié le motif de la sanction et la sanction elle-même. Pour les sanctions qui ont été infligées suite à un entretien préalable, elles ne peuvent intervenir moins d’un jour franc ni plus d’un mois après le jour fixé pour l’entretien ( L1232-2 du Code du travail). Dans un arrêt du 10 juillet 2002, la Chambre sociale de la Cour de cassation a énoncé que l’employeur est présumé avoir renoncé à l’application de la sanction si 20 mois se sont écoulés depuis sa notification.

III. Une prérogative contrôlée par le juge

A)  L’appréciation au cas par cas du Conseil des Prud’hommes

Le salarié sanctionné a la possibilité de contester la sanction disciplinaire devant le Conseil des prud’hommes. Le juge va contrôler le bien-fondé de la sanction. Il vérifie si cette sanction n’est pas injustifiée, disproportionnée par rapport à la faute commise ou irrégulière. La charge de la preuve incombe à l’employeur. Aussi, il a été précisé que la sanction prononcée par une juridiction ordinale (Conseil de l’Ordre des chirurgiens-dentistes) n’a pas l’autorité de la chose jugée devant le juge judiciaire. L’appréciation faite par l’ordre professionnel des manquements de l’un des leurs ne saurait s’imposer au juge prud’homal (Cass. Soc., 7 nov. 2006, n° 04-47.683).

B) L’annulation possible de la sanction

Si le juge constate que la sanction était disproportionnée, irrégulière ou injustifiée, elle pourra être annulée. Il ne s’agit pas d’une obligation, mais d’une faculté : le juge peut ordonner la poursuite du contrat de travail ou prononcer la nullité du licenciement et ordonner la réintégration du salarié à la demande de ce dernier.

Lorsque le salarié ne demande pas la poursuite de son contrat de travail ou lorsque la réintégration est impossible, le juge octroie au salarié une indemnité à la charge de l’employeur qui ne peut être inférieure aux salaires des six derniers mois. (article L1235-11 du Code du travail). Le pouvoir disciplinaire de l’employeur n’est dès lors pas illimité et si les employeurs veulent user de leur pouvoir disciplinaire ils doivent le faire en connaissance de cause.

Le juge du fond a pleine compétence pour examiner la réalité des faits reprochés au salarié. À cet effet, il examine tous les éléments de preuve fournis par les parties au soutien de leurs prétentions. Néanmoins, le juge n’a pas à s’expliquer sur les éléments qu’il retient ou écarte (15). Le juge examine, également, le caractère licite de la sanction. Ainsi, le juge peut-il être appelé à apprécier s’il s’agit, ou non, d’une sanction pécuniaire prohibée par la loi, ou encore si la sanction concerne des faits déjà sanctionnés.

Le contrôle de la régularité de la procédure suivie laisse au juge le pouvoir d’apprécier l’incidence de l’irrégularité. Contrairement au licenciement, l’irrégularité formelle peut justifier l’annulation de la sanction (16).

Pour lire une version plus complète de cet article sur le pouvoir disciplinaire de l’employeur, cliquez

SOURCES :

(1)(Cass. Soc. 31 mars 1998, n° 95-45.639 ; Cass. Soc., 19 juin 2002 n° 00-43.602, à propos d’une insuffisance de production).

(2)(Cass. Soc., 20 décembre 2017, n° 16-14.983).

(3)(Cass. Soc., 23 juin 2021, n° 20-13.762 et n° 19-24.020)

(4)(Cass. Soc., 9 octobre 2001, n° 99-41.217 ; Cass. Soc., 25 octobre 2007, n° 06-42.493).

(5)(Cass. Soc., 20 nov. 2014, n° 13-16.546)

(6)(Cass. Soc., 14 avr. 2021, n° 19-12.180)

(7)https://www.legifrance.gouv.fr/juri/id/JURITEXT000007025519

(8)https://www.legifrance.gouv.fr/juri/id/JURITEXT000007442781

(9)https://www.legifrance.gouv.fr/juri/id/JURITEXT000021788178/

(10)https://www.legifrance.gouv.fr/juri/id/JURITEXT000025437173

(11)https://www.legifrance.gouv.fr/juri/id/JURITEXT000007120293

(12)https://www.legifrance.gouv.fr/juri/id/JURITEXT000007039877

(13)https://www.legifrance.gouv.fr/juri/id/JURITEXT000043711119

(14)https://www.legifrance.gouv.fr/juri/id/JURITEXT000029057147/

(15)https://www.legifrance.gouv.fr/juri/id/JURITEXT000032265946

(16)https://www.legifrance.gouv.fr/juri/id/JURITEXT000007055168/

Par Vie quotidienne • Tags: , , , , ,

«< 55 56 57 58 59 >»

# Nos catégories juridiques

# Poser une question en ligne

Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, posez votre question en ligne.
La question sera alors payante et le montant est de 150 euros TTC. Paiement sécurisé par Paypal ou Crédit Mutuel »

# Nos articles avocat Paris

# Newsletter mensuelle

© Murielle Cahen Cabinet d’avocats Paris 2026
Powered by WordPressThemify WordPress Themes