En bref
Un salarié peut saisir la CNIL si son employeur traite illicitement ses données personnelles. La plainte peut déclencher des sanctions jusqu'à 20 M€ et rendre irrecevables les preuves issues d'un traitement non conforme au RGPD.
Les manquements RGPD de l'employeur justifiant une plainte CNIL
Art. 5 RGPD
« Les données personnelles doivent être traitées de manière licite, loyale et transparente, collectées pour des finalités déterminées, adéquates et limitées à ce qui est nécessaire au regard des finalités poursuivies. »
Source : RGPD — Règlement UE 2016/679
Art. L1121-1 C. trav.
« Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché. »
Source : Code du travail — article consolidé
La procédure de dépôt de réclamation auprès de la CNIL
Art. 77 RGPD
« Toute personne concernée a le droit d'introduire une réclamation auprès d'une autorité de contrôle si elle considère que le traitement de données la concernant constitue une violation du présent règlement. »
Source : RGPD — Règlement UE 2016/679
Exercez votre droit d'accès par lettre recommandée avant la plainte
Adressez une demande d'accès formelle par lettre recommandée avec accusé de réception. L'absence de réponse sous un mois constitue un motif renforcé de saisine de la CNIL et démontre la résistance de l'employeur.
Besoin d'un dossier juridique ?
Générez votre dossier complet en 3 minutes — mise en demeure personnalisée, chronologie des faits, plan de relances, signée par Me Sandy Lacroix.
Les pouvoirs de la CNIL et l'incidence sur la preuve prud'homale
Cass. crim., 3 février 1998, n° 96-82.665
« La CNIL, autorité administrative indépendante, dispose du pouvoir d'apprécier librement la suite à donner aux plaintes, quelle que soit la décision prise par les autorités judiciaires saisies en parallèle. »
Source : JUDILIBRE — Cour de cassation
Cass. soc., 8 octobre 2014, n° 13-14.991
« Les informations collectées par un système de traitement automatisé de données personnelles non conforme constituent un moyen de preuve illicite devant être écarté des débats judiciaires. »
Source : JUDILIBRE — Cour de cassation
Ne pas confondre irrégularité mineure et violation substantielle
Toute irrégularité formelle dans les formalités de protection des données ne rend pas automatiquement la preuve illicite. Seules les violations substantielles des règles entraînent le rejet de la preuve devant le juge prud'homal.
Nuances jurisprudentielles et régimes dérogatoires
Cass. soc., 23 avril 2013, n° 11-26.099
« Seule une modification substantielle portant sur les informations préalablement déclarées impose de nouvelles formalités. Une simple mise à jour logicielle ne crée pas cette obligation. »
Source : JUDILIBRE — Cour de cassation
Cass. crim., 28 septembre 2004, n° 03-86.604
« L'opposition au traitement des données peut être transmise par l'intermédiaire de la CNIL, sans formalisme. En matière de données sensibles, la légitimité de l'opposition est présumée par le seul exercice du droit. »
Source : JUDILIBRE — Cour de cassation
Recours complémentaires et protection du salarié plaignant
Documentez chaque échange écrit avec l'employeur et le DPO
Conservez tous les courriels, courriers recommandés et comptes rendus d'entretien relatifs au traitement litigieux. Ces pièces sont déterminantes pour étayer la plainte CNIL et un éventuel recours judiciaire.
Ne collectez jamais de preuves par des moyens illicites
L'accès frauduleux au système informatique de l'employeur ou l'enregistrement clandestin de conversations privées exposent le salarié à des poursuites pénales et fragilisent considérablement sa plainte.
Questions fréquentes
Un salarié peut-il déposer une plainte CNIL de manière anonyme contre son employeur ?
La CNIL ne traite pas les plaintes strictement anonymes : l'identité du plaignant doit être communiquée lors du dépôt de la réclamation. Toutefois, cette identité est protégée et n'est pas systématiquement révélée à l'employeur lors des contrôles. Le plaignant peut demander expressément que la confidentialité de son identité soit préservée vis-à-vis de l'organisme contrôlé.
Quel est le délai moyen de traitement d'une plainte CNIL contre un employeur ?
Le délai d'instruction varie selon la complexité du dossier, la gravité des faits dénoncés et le volume de réclamations reçues par la CNIL. En pratique, le traitement peut s'étendre de quelques semaines à plusieurs mois. La CNIL tient le plaignant informé des suites données à sa réclamation, qu'il s'agisse d'un contrôle, d'une clôture ou d'une médiation.
L'employeur peut-il sanctionner un salarié ayant déposé une plainte auprès de la CNIL ?
Un licenciement ou une sanction disciplinaire motivés par le dépôt d'une plainte CNIL constitueraient une mesure de représailles prohibée par le droit du travail. Le salarié peut invoquer la nullité de la décision et obtenir sa réintégration ou des dommages-intérêts substantiels. La charge de la preuve de l'existence d'un motif légitime et étranger à la plainte incombe alors à l'employeur.
La plainte CNIL est-elle un préalable obligatoire avant de saisir le conseil de prud'hommes ?
Non, la saisine de la CNIL n'est pas un préalable obligatoire à l'action judiciaire. Le salarié peut saisir directement le conseil de prud'hommes ou le tribunal judiciaire pour obtenir réparation du préjudice subi. Les deux voies de recours sont indépendantes et complémentaires, et peuvent être exercées simultanément pour maximiser la protection des droits du salarié.
Engager une procédure près de chez vous
Tribunaux judiciaires et commissaires de justice dans les principales juridictions
Votre ville n'est pas listée ? Voir toutes les juridictions (100+ villes) →
Vous êtes dans cette situation ?
Générez votre dossier complet en 3 minutes — mise en demeure, chronologie des faits, plan de relances, signée par Me Sandy Lacroix.
Générer mon dossier juridiqueÀ partir de 14,99 € · paiement sécurisé · document prêt en quelques minutes