Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
Cour d'appel de Poitiers, Chambre sociale, 26 juin 2025, n° 22/01398
CPH Niort 6 mai 2022
>
CA Poitiers
Infirmation partielle 26 juin 2025

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.
  • Accepté
    Manquement à l'obligation de sécurité

    La cour a constaté que des données personnelles sensibles avaient été accessibles sur internet, ce qui constitue un manquement à l'obligation de sécurité de l'employeur.

  • Rejeté
    Violation du RGPD

    La cour a jugé que la salariée n'a pas prouvé l'existence d'un préjudice distinct lié à la violation du RGPD, confirmant ainsi le jugement de première instance.

  • Accepté
    Frais de justice

    La cour a accordé une indemnité à la salariée pour couvrir ses frais de justice, en raison de la partie perdante.

Résumé par Doctrine IA

Dans cette affaire, Mme [Y] [B] a fait appel d'un jugement du Conseil de Prud'hommes de Niort qui l'avait déboutée de ses demandes de dommages et intérêts pour manquement à l'obligation de sécurité et violation du RGPD par son employeur, la SAS Laboratoires Copmed. La juridiction de première instance a conclu à l'absence de responsabilité de l'employeur. La cour d'appel a infirmé partiellement ce jugement, reconnaissant que la société avait effectivement manqué à son obligation de sécurité en rendant des données personnelles accessibles sur Internet, mais a confirmé le rejet des demandes liées au RGPD, faute de préjudice distinct. La cour a donc condamné la société à verser 3 000 euros à Mme [B] pour le manquement à l'obligation de sécurité, tout en déboutant la société de ses demandes reconventionnelles.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Commentaire0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 

Sur la décision

Référence :
CA Poitiers, ch. soc., 26 juin 2025, n° 22/01398
Juridiction : Cour d'appel de Poitiers
Numéro(s) : 22/01398
Importance : Inédit
Décision précédente : Conseil de prud'hommes de Niort, 6 mai 2022
Dispositif : Autre
Date de dernière mise à jour : 4 juillet 2025
Lire la décision sur le site de la juridiction

Sur les parties

Texte intégral

ARRET N° 171

N° RG 22/01398 – N° Portalis DBV5-V-B7G-GRYY

[B]

C/

S.A.S. LABORATOIRES COPMED

RÉPUBLIQUE FRANÇAISE

AU NOM DU PEUPLE FRANÇAIS

COUR D’APPEL DE POITIERS

Chambre Sociale

ARRÊT DU 26 juin 2025

Décision déférée à la cour : Jugement du 06 mai 2022 rendu par le Conseil de Prud’hommes – Formation paritaire de NIORT

APPELANTE :

Madame [Y] [B]

née le 13 Mars 1980 à [Localité 4]

[Adresse 6]

[Localité 2]

ayant pour avocat postulant Me Laura POMMIER, avocat au barreau de POITIERS et pour avocat plaidant Me Cyrielle MARQUILLY-MORVAN, avocat au barreau de VALENCE

INTIMÉE :

S.A.S. LABORATOIRES COPMED

N° SIRET : 381 939 164

[Adresse 3]

[Localité 1]

ayant pour avocat Me Sylvain JACQUES de la SELARL SOPHIA LEGAL SOCIETE D’AVOCATS, avocat au barreau de GRASSE

COMPOSITION DE LA COUR :

En application des dispositions des articles 907 et 805 du code de procédure civile, les conseils des parties ne s’y étant pas opposés, l’affaire a été débattue le 02 Avril 2025, en audience publique, devant :

Madame Françoise CARRACHA, présidente

Monsieur Nicolas DUCHATEL, conseiller, qui a présenté son rapport

Ces magistrats ont rendu compte des plaidoiries dans le délibéré de la cour composée de :

Madame Françoise CARRACHA, présidente

Madame Estelle LAFOND, conseillère

Monsieur Nicolas DUCHATEL, conseiller

GREFFIER, lors des débats : Madame Patricia RIVIERE

ARRÊT :

— CONTRADICTOIRE

— Prononcé publiquement par mise à disposition au greffe de la cour, les parties ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du Code de procédure civile, que l’arrêt serait rendu le 19 juin 2025. Le 19 juin 2025 la date du prononcé de l’arrêt a été prorogé au 26 juin 2025.

— Signé par Madame Françoise CARRACHA, présidente, et par Madame Elodie TISSERAUD, greffière, à laquelle la minute de la décision a été remise par le magistrat signataire.

EXPOSE DU LITIGE :

La société Laboratoires Copmed (SAS) a pour activité la vente de compléments alimentaires, produits de santé naturel et micronutrition.

Mme [Y] [B] a été recrutée par la société Copmed par contrat de travail à durée indéterminée daté du 22 août 2017 en qualité de déléguée commerciale sur le secteur Ouest-Vendée, statut employé, moyennant une rémunération brute mensuelle de 2 000 euros outre un commissionnement sur les ventes.

Par courriel daté du 30 janvier 2019, Mme [B] a indiqué à son employeur qu’elle avait constaté que les données de géolocalisation issues du dispositif équipant son téléphone mobile professionnel était accessible à tous sur internet.

Mme [B] a été placée en arrêt de travail à compter du 14 mars 2019.

Par courrier daté du 27 mai 2019, la salariée, par l’intermédiaire de son avocat, a demandé à son employeur de lui communiquer l’ensemble de ses données personnelles conformément aux dispositions du règlement général sur la protection des données (RGPD) ainsi que la notification et l’avis de réception de la notification envoyée à la CNIL dans les 72 heures de la faille de sécurité intervenue.

Le contrat de travail de Mme [B] a été rompu dans le cadre d’une rupture conventionnelle signée par les parties le 10 juillet 2019 et les relations de travail ont pris fin le 16 août 2019.

Par requête du 13 juillet 2020, Mme [B] a saisi le conseil de prud’hommes de Niort aux fins d’obtenir la condamnation de l’employeur au paiement de diverses sommes à titre de dommages et intérêts pour manquement à l’obligation de sécurité et violation du règlement RGPD.

Par jugement du 6 mai 2022, le conseil de prud’hommes de Niort a :

dit que la SAS Laboratoires Copmed n’est responsable d’aucun manquement à son obligation de sécurité de résultat,

débouté Mme [B] de l’ensemble de ses demandes,

débouté la SAS Laboratoires Copmed de l’ensemble de ses demandes,

laissé à chacune des parties la charge des dépens.

Mme [B] a relevé appel de cette décision par déclaration datée du 1er juin 2022.

Dans ses dernières conclusions communiquées le 28 février 2025 et auxquelles il convient de se reporter pour l’exposé détaillé de ses prétentions et moyens, Mme [B] demande à la cour de :

infirmer le jugement du conseil de prud’hommes de Niort rendu le 6 mai 2022 en ce qu’il l’a déboutée de l’intégralité de ses demandes, à savoir :

déboutée de sa demande de condamnation pour non-respect de l’obligation de sécurité,

déboutée de sa demande de condamnation pour violation du règlement RGPD et de son préjudice subi,

déboutée de sa demande de condamnation au titre de l’article 700 du code de procédure civile,

déboutée de sa demande d’assortir les condamnations sollicitées d’un intérêt au taux légal décompté depuis la saisine du conseil de prud’hommes.

statuant à nouveau, juger que la société Laboratoires Copmed a manqué à son obligation de sécurité,

juger que la société Laboratoires Copmed a manqué aux dispositions du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (appelé 'RGPD'),

en conséquence, condamner la société Laboratoires Copmed au paiement des sommes suivantes :

10 000 euros au titre du manquement de l’employeur à son obligation de sécurité,

20 000 euros en violation de la société Copmed du règlement RGPD, ainsi que du préjudice qu’elle a subi (sic),

2 500 euros, conformément aux dispositions de l’article 700 du code de procédure civile pour la procédure de première instance,

2 500 euros conformément aux dispositions de l’article 700 du code de procédure civile pour la procédure d’appel,

débouter la société Laboratoires Copmed de sa demande reconventionnelle visant à la condamner à lui payer la somme de 2 500 euros au titre de l’article 700 du code de procédure civile,

juger que chacune des sommes allouées produira des intérêts au taux légal à compter de la saisine du conseil de prud’hommes avec capitalisation des intérêts,

débouter la société Laboratoires Copmed de l’intégralité de ses demandes, fins et conclusions plus amples ou contraires,

condamner la société aux entiers dépens de première instance et d’appel.

Dans ses dernières conclusions transmises le 14 octobre 2024 et auxquelles il convient de se reporter pour l’exposé détaillé de ses prétentions et moyens, la société Laboratoires Copmed demande à la cour de :

débouter Mme [B] de ses moyens et conclusions,

confirmer le jugement dans toutes ses dispositions,

y ajoutant, condamner Mme [B] à lui payer la somme de 2 500 euros au titre de l’article 700 du code de procédure civile et aux entiers dépens.

L’ordonnance de clôture est intervenue le 5 mars 2025.

MOTIVATION

I. Sur le manquement à l’obligation de sécurité

L’article L. 4121-1 du code du travail dispose que 'L’employeur prend les mesures nécessaires pour assurer la sécurité et protéger la santé physique et mentale des travailleurs.

Ces mesures comprennent :

1° Des actions de prévention des risques professionnels ;

2° Des actions d’information et de formation ;

3° La mise en place d’une organisation et de moyens adaptés.

L’employeur veille à l’adéquation de ces mesures pour tenir compte du changement des circonstances et tendre à l’amélioration des situations existantes.'

L’article L.4121-2 du code du travail dispose par ailleurs que :

« L’employeur met en oeuvre les mesures prévues à l’article L. 4121-1 sur le fondement des principes généraux de prévention suivants :

1° Eviter les risques ;

2° Evaluer les risques qui ne peuvent pas être évités ;

3° Combattre les risques à la source ;

4° Adapter le travail à l’homme, en particulier en ce qui concerne la conception des postes de travail ainsi que le choix des équipements de travail et des méthodes de travail et de production, en vue notamment de limiter le travail monotone et le travail cadencé et de réduire les effets de ceux-ci sur la santé ;

5° Tenir compte de l’état d’évolution de la technique ;

6° Remplacer ce qui est dangereux par ce qui n’est pas dangereux ou par ce qui est moins dangereux ;

7° Planifier la prévention en y intégrant, dans un ensemble cohérent, la technique, l’organisation du travail, les conditions de travail, les relations sociales et l’influence des facteurs ambiants, notamment les risques liés au harcèlement moral et au harcèlement sexuel, tels qu’ils sont définis aux articles L. 1152-1 et L. 1153-1, ainsi que ceux liés aux agissements sexistes définis à l’article L. 1142-2-1 ;

8° Prendre des mesures de protection collective en leur donnant la priorité sur les mesures de protection individuelle ;

9° Donner les instructions appropriées aux travailleurs.'

Il résulte de ces textes que l’employeur, tenu d’une obligation de sécurité envers les salariés, doit prendre les mesures nécessaires pour assurer leur sécurité et protéger leur santé physique et mentale. Toutefois, l’employeur ne méconnaît pas cette obligation légale s’il justifie avoir pris toutes les mesures de prévention prévues par les articles L.4121-1 et L.4121-2 du code du travail et si, informé de l’existence de faits susceptibles de constituer un manquement à son obligation de sécurité, il a pris les mesures immédiates propres à les faire cesser.

En l’espèce, au soutien de son appel, Mme [B] expose en substance que :

elle a constaté le 29 janvier 2019 que tous ses déplacements et ceux des collaborateurs étaient visibles sur le moteur de recherche google et que les adresses et heures de déplacements étaient accessibles à tous,

l’adresse de son domicile apparaissait également dans les données visibles sur internet par tout internaute ainsi que celle de l’ensemble des collaborateurs,

il était possible de suivre sur une carte ou dans le cadre d’une liste chacun de ses déplacements journée par journée et heure par heure depuis le 16 janvier 2018,

elle a été victime de plusieurs intrusions dans son domicile en son absence qui étaient directement en lien avec les manquements de l’employeur, car il était possible de suivre ces déplacements et de savoir quand elle n’était pas chez elle, dans le but de l’intimider,

le secteur dans lequel évolue la société est très concurrentiel et une concurrence agressive est à déplorer,

la société n’a pas cru devoir informer le CHSCT ni mettre à jour le document unique d’évaluation des risques alors que le danger de fuites des données relatives à la géolocalisation avait bien été identifié dès le mois de janvier 2019,

en sa qualité d’employeur, la société Copmed devait protéger les équipements qu’elle mettait à la disposition de ses salariés pour éviter les fuites de données personnelles et, par là même, assurer la sécurité de ses salariés,

les mesures de prévention et de contrôle ont été inexistantes car les données personnelles des salariés ont été disponibles sur internet plus d’un an,

elle a été choquée des manquements de son employeur et s’est vue prescrire un arrêt en mars et en avril 2019, et elle a été contrainte de rompre son contrat de travail, n’étant plus en mesure de l’exécuter sereinement, son médecin attestant qu’elle présente des signes typiques de syndrome post traumatique, et de vendre sa maison car elle ne se sentait plus en sécurité.

En réponse, la société Laboratoires Copmed objecte pour l’essentiel que :

elle utilise un dispositif qui n’est pas de la géolocalisation dans la mesure où il s’agit d’une application installée sur le téléphone mobile professionnel qui a pour objet d’indiquer au collaborateur la présence de praticiens autour de sa position,

elle ne suit pas les déplacements de ses salariés, n’a pas accès aux déplacements des collaborateurs et n’exerce pas un contrôle sur lesdits déplacements,

si les véhicules de fonction sont équipés d’un dispositif GPS, ce dispositif n’est pas relié à la société et en aucune façon elle n’a accès aux données GPS du véhicule,

les salariés sont contractuellement tenus d’élaborer de façon hebdomadaire un plan de tournée, et de rendre compte quotidiennement de leur activité, sur la base de leurs seules déclarations sans qu’elle ne puisse vérifier la réalité des déplacements déclarés,

elle n’était pas tenue aux obligations propres à la mise en place d’un dispositif de géolocalisation puisqu’elle ne collecte pas de données sur le suivi des déplacements,

d’après le prestataire de service informatique, le personnel de la société, et personne d’autre, a pu avoir temporairement accès à une page test montrant des points de géolocalisation, inexploitables,

l’outil d’aide à la prospection est licite au regard de la finalité du contrat de travail, qui est de visiter de la clientèle et des prospects pour vendre les produits de l’entreprise,

Mme [B] ne prouve pas que ses données personnelles aient pu être consultables par un tiers et ne dispose d’aucune preuve quant à la réalité des intrusions qu’elle prétend avoir subies,

elle emploie moins de 30 salariés et n’a donc jamais eu de CHSCT, aucun incident n’est survenu et aucun risque n’a été caractérisé de telle sorte que le DUER n’avait pas à être modifié,

la cour d’appel de Lyon saisie du même litige engagé par un autre salarié l’a débouté de toutes ses demandes.

Sur ce, il résulte des pièces produites que la salariée s’est manifestée auprès de son employeur le 29 janvier 2019 en lui adressant le message suivant :

'Je vous transmets ce mail pour vous informer d’un fait grave pour la protection de notre vie privée. Par hasard hier soir, sur mon ordinateur personnel, j’ai fait une recherche sur Google avec mon nom prénom +2019 afin de découvrir si j’étais présente sur une liste de gagnants à un concours. Sur la première page de proposition Google, tout en bas, apparaissaient plusieurs noms prénoms de collègues délégués et dans l’intitulé est noté Localisation GPS COPMED.

J’ai bien fait de faire ma curieuse et j’ai pris le temps de tester l’outil de géolocalisation de notre laboratoire qui est accessible à tout le monde et visible en recherche sur Internet ! Nous sommes visibles sur la place publique. Ca va à l’encontre des textes de la CNIL et autres articles présents dans le droit européen qui protègent chacun.

Vous avez accès à ces articles, qui sont stricts et bien cadrés que chaque entreprise est tenue de respecter.

Comment cela se fait-il que ces informations, cet outil ait pu être en accès public ' (') Je comprends qu’une entreprise puisse nous géolocaliser pour notre travail si cette géolocalisation est utile. Et nous devons être protégés. Là, ce n’est pas le cas et depuis un moment’ 16 janvier 2018 ! Cet outil est censé être accessible à peu de personnes habilitées dans l’entreprise, [Localité 5] qui peuvent gérer le personnel, les équipes.

Après cette découverte hier soir, j’ai eu du mal à m’endormir. Je ne me sens plus en sécurité chez moi, puisque les données satellites de cet outil permettent à des tierces personnes de découvrir où je vis (…)'.

Il est constant que Mme [E], responsable administrative et destinataire du mail, lui a répondu quelques minutes plus tard : 'Je reviens vers toi pour te rassurer : nous prenons le problème au sérieux. Le site n’était visible sur mon poste qu’avec Firefox ; avec internet explorer je ne l’ai pas trouvé : c’est une bonne chose, internet explorer était le plus utilisé des deux. J’ai prévenu [Z] et tu as sans doute vu le mail que j’ai envoyé à toute l’équipe : pour trouver le problème [Z] a dû couper la géolocalisation. (…). Sois sans crainte nous veillons sur nos salariés et sur leur sécurité et mettons tout en oeuvre pour que tout fonctionne pour le mieux'.

Le 31 janvier 2019, M. [M], directeur commercial de la société, a également adressé à Mme [B] le message suivant : 'Je comprends ta surprise en constatant qu’en effectuant des recherches approfondies sur Mozilla ' qui n’est pas le moteur de recherche le plus fréquenté '

on pouvait tracer les déplacements des collaborateurs Copmed. Tu es passée au laboratoire pour en faire part à [S] qui a immédiatement contacté [Z] qui lui-même a tout de suite bloqué l’information disponible sur internet. (…) Comme nous l’avons détecté très rapidement, il ne s’agit pas d’un piratage, mais d’une erreur très ponctuelle donc pas d’inquiétude à avoir de ce côté là. (…) Pour rappel, la géolocalisation est un outil d’aide dans l’organisation des tournées demandé, reconnu et apprécié par tous et non pas un outil de surveillance des délégués contrairement à ce qui est sous entendu dans ton mail (…)'.

Dans un témoignage produit aux débats par la salariée, Mme [C], directrice régionale et sa responsable directe, atteste que : 'Alors que je me trouvais en déplacement avec une de ses collègues, Mme [Y] [B] m’a appelée un matin pour me faire part de sa découverte et de son inquiétude concernant des données d’activité présentes sur une carte de localisation GPS accessible au public sur internet. Afin de vérifier ces propos je me suis de suite connectée sur mon ordinateur via un moteur de recherche et ai bien constaté ce qu’elle m’avait dit ainsi que pour plusieurs de ses collègues : des données géographiques retraçaient l’intégralité de leurs déplacements sur une journée et précisaient les différents lieux de passage (cf les triangles rouges en guise de marqueurs sur la carte). Mme [Y] [B] en a rapidement averti la direction par mail.'

L’ensemble de ces éléments permet d’établir, malgré les dénégations partielles de l’employeur, que les données de géolocalisation des commerciaux de la société, enregistrées dans l’application permettant d’afficher la liste des clients et prospects situés à proximité de leur position, ont été visibles en accès libre sur internet, ce qui a été constaté par les responsables hiérarchiques de la salariée.

Les captures d’écrans produites par Mme [B] permettent ainsi de constater que ses déplacements successifs sur la journée du 29 janvier 2019 étaient positionnés à l’aide de marqueurs rouges sur la carte accessible sur internet, avec les points GPS, les dates et heures associées, en ce compris les données correspondant à son domicile. Etaient également consultables une table de correspondance entre les numéros d’IMEI et les nom et prénom des salariés ainsi qu’un historique depuis le 15 janvier 2018.

L’explication technique fournie par le sous-traitant informatique de l’employeur est la suivante : 'l’apparition de ces liens incriminés comme des bugs informatiques n’étaient que des pages permettant de tester l’application et la cohérence des points de données GPS remontés par le téléphone mobile. Sans doute après l’une des dernières mises à jour hebdomadaire du logiciel Copmed faite le week-end, ces pages de tests sont apparus. Immédiatement alerté, j’ai supprimé ces pages qui sont donc devenues inaccessibles par les salariés de la société'.

Cette explication, qui manque de clarté, est contredite par les échanges de courriels et témoignages produits ainsi que par les copies d’écran versées aux débats qui laissent apparaître que c’est bien le site de l’application de géolocalisation de la société qui était accessible ainsi que ces différentes fonctionnalités, et non pas de simples pages de tests.

L’existence d’une faille dans les procédures internes à la société en matière de sécurité informatique est donc établie, avec pour conséquence le fait que des données personnelles sensibles relatives aux déplacements des commerciaux ont été rendues accessibles à tout internaute.

Un tel dysfonctionnement était susceptible d’exposer les salariés à des actes de malveillance alors que l’employeur, qui ne produit aucun élément s’agissant des procédures en place en matière de sécurité informatique et ne justifie pas avoir pris toutes les mesures de prévention prévues par les articles L.4121-1 et L.4121-2 du code du travail, se devait de préserver la confidentialité de ces données personnelles.

Il en sera donc déduit que la société Laboratoires Copmed a bien manqué à son obligation de sécurité, contrairement à ce qu’ont retenu les premiers juges.

Il doit toutefois être retenu que la société, par l’intermédiaire de son sous-traitant en charge des questions informatiques, est immédiatement intervenue dès l’alerte donnée par Mme [B] pour mettre un terme au dysfonctionnement constaté, en suspendant provisoirement l’accès à l’outil de géolocalisation, et aucun élément ne permet d’établir depuis combien de temps ces données étaient accessibles sur internet.

Par ailleurs, si les échanges de courriels produits permettent d’établir que Mme [B] a été fortement perturbée par la découverte de ce dysfonctionnement, qui a été à l’origine d’un préjudice moral incontestable résultant de la crainte d’une utilisation abusive des données par un tiers non autorisé et/ou de la perte de contrôle sur ces données personnelles, aucun élément ne permet de relier les arrêts maladie survenus en mars et en avril 2019, les intrusions alléguées au sein de son domicile, ni même la vente de ce domicile ou la rupture du contrat de travail qu’elle impute à ces intrusions, à la seule découverte fortuite de l’exposition de ses données personnelles. Mme [B] n’établit pas non plus que l’altération de son état de santé telle qu’elle ressort du certificat médical de son médecin traitant établi le 6 avril 2021, soit plus de deux ans après l’incident, fait suite à la découverte sur internet de la carte de ses déplacements professionnels.

Le préjudice subi par la salariée sera donc entièrement réparé par l’octroi d’une somme de 3 000 euros à titre de dommages et intérêts. S’agissant d’une créance indemnitaire, cette somme produira intérêts au taux légal avec capitalisation à compter de la présente décision.

Le jugement attaqué sera par conséquent infirmé de ce chef.

II. Sur la responsabilité de l’employeur au titre du règlement RGPD

Au soutien de son appel, Mme [B] expose que :

le système mis en place par la société était un système de collecte de données personnelles soumis au RGPD, dès lors que les données de localisation permettent de les relier à une personne physique directement ou indirectement identifiable,

l’employeur collectait des données à caractère personnel, selon la définition énoncée par l’article 4 du RGPD,

le système de collecte de données personnelles était un système de géolocalisation qui n’était pas justifié par la nature de la tâche à accomplir et proportionnée au but recherché, dans la mesure où elle exerçait les fonctions de délégué commercial et disposait donc d’une liberté dans l’organisation de ses déplacements

ses données personnelles ont été divulguées ce qui constitue une violation de données à caractère personnel au sens de l’article 4 et l’employeur, en sa qualité de responsable de traitement, est nécessairement responsable,

le système de collecte de données personnelles n’était pas sécurisé ni régulièrement contrôlé en violation de l’article 32,

à la suite de la violation des données personnelles, la société n’a ni averti la CNIL ni les personnes concernées en violation des articles 33 et 34,

la société a violé son droit d’accès à ses données personnelles concernant les données relatives à la géolocalisation.

En réponse, la société Laboratoires Copmed objecte que :

aucune preuve ne permet de certifier que les données auraient été effectivement visibles sur internet, comme le confirme le rapport établi par un expert judiciaire,

aucune violation des données à caractère personnel n’a été constatée de telle sorte que la société n’avait aucunement l’obligation d’informer la CNIL,

elle n’a jamais fait l’objet de piratage et aucune intrusion dans son système informatique n’a jamais eu lieu,

aucun événement ne permet d’engendrer un risque pour les droits et libertés des personnes physiques au sens de l’article 33 RGPD.

Sur ce, le traitement des données à caractère personnel est défini et réglementé par le règlement (UE) 2016/679 du 27 avril 2016 dit règlement général sur la protection des données (RGPD).

Selon son article 1er, le RGPD établit les règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données, et il protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel.

L’article 2 précise que ce règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel ou appelées à figurer dans un fichier.

L’article 4 paragraphe 1, du RGPD dispose qu’on entend par 'données à caractère personnel', toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une 'personne physique identifiable’ une personne physique qui peut être identifiée , directement ou indirectement, notamment par référence à un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Ce même article précise également qu’on entend par 'traitement', 'toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel'.

L’article 4, paragraphe 12, définit la violation de données personnelles, également dénommée 'faille de sécurité’ ou 'incident de sécurité’ impliquant des données personnelles, comme une 'une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données'.

L’article 30 dispose que la survenue d’une violation de données à caractère personnel entraîne pour le responsable du traitement l’obligation de la notifier.

L’article 82 du RGPD dispose enfin que toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.

Pour obtenir réparation sur le fondement de ce texte, il appartient au requérant de rapporter la preuve des préjudices qu’il a subis en lien direct et certain avec les fautes retenues.

En l’espèce, il résulte des développements susvisés que la société Laboratoires Copmed a bien recueilli des données personnelles, issues de la géolocalisation des téléphones mis à la disposition de ses délégués commerciaux, et notamment les dates, heures, position géographique, numéro d’IMEI et identité du délégué associé, et que toutes ces données étaient stockées au sein de l’application 'Localisation GPS', comme l’illustre la possibilité d’interroger l’historique des déplacements des délégués.

Si cette application permettait de proposer aux délégués commerciaux un service d’affichage des clients et prospects situés à proximité et qu’aucun élément ne permet d’établir que ces données ont pu également être utilisées afin de contrôler leur activité, il n’en demeure pas moins que ces données personnelles permettaient de retracer leurs déplacements et que leur traitement automatisé aurait dû être soumis au RGPD, ce dont ne justifie pas l’employeur.

Toutefois, une simple violation du RGPD est insuffisante à conférer un droit à réparation de la personne concernée (CJUE, 25 janvier 2024, affaire C687/21) et Mme [B] se borne à alléguer le même préjudice que celui résultant du manquement à l’obligation de sécurité déjà réparé, et notamment le fait d’avoir subi trois intrusions au sein de son domicile outre le traumatisme allégué consécutif à la vente de sa maison.

Dès lors, à défaut de justifier de l’existence d’un préjudice distinct propre au manquement résultant de la violation du RGPD, il y a lieu de confirmer le jugement déféré en ce qu’il a débouté Mme [B] de sa demande de dommages et intérêts à ce titre.

III. Sur les dépens et l’application de l’article 700 du code de procédure civile

La société Laboratoires Copmed, partie perdante, sera condamnée aux dépens de première instance et d’appel, en application de l’article 696 du code de procédure civile. Sa demande en application de l’article 700 du code de procédure civile sera rejetée, tant pour les frais irrépétibles exposés en première instance, par voie de confirmation de la décision attaquée, qu’en cause d’appel.

Pour un motif tiré de l’équité, il y a lieu de condamner la société Laboratoires Copmed à payer à Mme [B] une somme totale de 3 000 euros en application de l’article 700 du code de procédure civile, tant au titre de la première instance que de la procédure d’appel.

PAR CES MOTIFS

La cour,

Confirme le jugement rendu le 6 mai 2022 par le conseil de prud’hommes de Niort en ce qu’il a débouté Mme [Y] [B] de sa demande de dommages et intérêts au titre de la violation par la société Laboratoires Copmed du règlement RGPD et la société Laboratoires Copmed de sa demande d’indemnité sur le fondement de l’article 700 du code de procédure civile,

L’infirme pour le surplus

Statuant à nouveau sur les chefs infirmés,

Condamne la société Laboratoires Copmed à payer à Mme [Y] [B] la somme de 3 000 euros à titre de dommages et intérêts pour manquement à son obligation de sécurité,

Dit que cette somme allouée à Mme [Y] [B] produira intérêts au taux légal avec capitalisation dans les conditions prévues par l’article 1343-2 du code civil à compter de la présente décision,

Condamne la société Laboratoires Copmed aux dépens de première instance et d’appel,

Déboute la société Laboratoires Copmed de sa demande sur le fondement de l’article 700 du code de procédure civile en cause d’appel,

Condamne la société Laboratoires Copmed à payer à Mme [Y] [B] la somme totale de 3 000 euros en application de l’article 700 du code de procédure civile tant au titre des frais engagés en première instance qu’en cause d’appel.

LE GREFFIER, LE PRÉSIDENT,

Décisions similaires

Citées dans les mêmes commentaires3

  • Relations du travail et protection sociale ·
  • Protection sociale ·
  • Intervention volontaire ·
  • Complément de salaire ·
  • Accident du travail ·
  • Prétention ·
  • Employeur ·
  • Professionnel ·
  • Assurance maladie ·
  • Caractère ·
  • Conservation ·
  • Reconnaissance
  • Demande en partage, ou contestations relatives au partage ·
  • Partage, indivision, succession ·
  • Droit de la famille ·
  • Legs ·
  • Assurance-vie ·
  • Successions ·
  • Testament ·
  • Donations ·
  • Décès ·
  • Notaire ·
  • Prime ·
  • Libéralité ·
  • Masse
  • Contrat tendant à la réalisation de travaux de construction ·
  • Contrats ·
  • Préjudice de jouissance ·
  • Décret ·
  • Huissier de justice ·
  • Tribunal judiciaire ·
  • Tarifs ·
  • Titre ·
  • Valeur ·
  • Expertise ·
  • Recouvrement ·
  • Jugement

Citant les mêmes articles de loi3

  • Relations du travail et protection sociale ·
  • Relations individuelles de travail ·
  • Désistement ·
  • Appel ·
  • Saisine ·
  • Dessaisissement ·
  • Incident ·
  • Mise en état ·
  • Acquiescement ·
  • Réserve ·
  • Adresses ·
  • Ordonnance
  • Tribunal judiciaire ·
  • Territoire français ·
  • Éloignement ·
  • Séjour des étrangers ·
  • Droit d'asile ·
  • Assignation à résidence ·
  • Interdiction ·
  • Ordonnance ·
  • Identité ·
  • Obligation
  • Demande relative à d'autres contrats d'assurance ·
  • Contrat d'assurance ·
  • Contrats ·
  • Sociétés ·
  • Responsabilité ·
  • Assureur ·
  • Clause ·
  • Installation ·
  • Europe ·
  • Incendie ·
  • Tuyauterie ·
  • Devis

De référence sur les mêmes thèmes3

  • Relations du travail et protection sociale ·
  • Autres demandes contre un organisme ·
  • Protection sociale ·
  • Adresses ·
  • Consorts ·
  • Radiation du rôle ·
  • Mine ·
  • Ordonnance ·
  • Assurance maladie ·
  • Justification ·
  • Sécurité sociale ·
  • Magistrat ·
  • Maladie
  • Biens - propriété littéraire et artistique ·
  • Demande relative à un droit de passage ·
  • Servitudes ·
  • Cadastre ·
  • Tierce opposition ·
  • Parcelle ·
  • Servitude ·
  • Mise en état ·
  • Consorts ·
  • Profit ·
  • Procédure civile ·
  • Droit de passage ·
  • Procédure
  • Relations du travail et protection sociale ·
  • Relations individuelles de travail ·
  • Travail ·
  • Heures supplémentaires ·
  • Prime ·
  • Titre ·
  • Ags ·
  • Résultat ·
  • Convention de forfait ·
  • Créance ·
  • Sociétés ·
  • Liquidation judiciaire

Sur les mêmes thèmes3

  • Loisir ·
  • Développement ·
  • Recours en révision ·
  • Associations ·
  • Ville ·
  • Citation ·
  • Insuffisance d’actif ·
  • Mandataire judiciaire ·
  • Adresses ·
  • Liquidateur
  • Demande d'indemnisation à raison d'une détention provisoire ·
  • Relations avec les personnes publiques ·
  • Responsabilité des personnes publiques ·
  • Détention provisoire ·
  • Condition de détention ·
  • Réparation ·
  • Préjudice moral ·
  • Pandémie ·
  • Relaxe ·
  • Matériel ·
  • Contentieux ·
  • Surpopulation ·
  • Lien
  • Droits attachés à la personne ·
  • Droit des personnes ·
  • Hospitalisation ·
  • Détention ·
  • Liberté ·
  • Traitement ·
  • Trouble mental ·
  • Consentement ·
  • Curatelle ·
  • Ordonnance du juge ·
  • Adresses ·
  • Santé publique

Textes cités dans la décision

  1. RGPD - Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
  2. Code de procédure civile
  3. Code civil
  4. Code du travail
Extraits similaires à la sélection

Aucune décision de référence ou d'espèce avec un extrait similaire.

Inscrivez-vous gratuitement pour imprimer votre décision
Cour d'appel de Poitiers, Chambre sociale, 26 juin 2025, n° 22/01398
  1. Doctrine
  2. Décisions de justice
  3. 2025
  4. CA Poitiers, ch. soc., 26 juin 2025, n° 22/01398
Contactez notre service commercial au 01 84 80 33 48