Dans un arrêt du 9 avril 2025 (n°23-13.159), la Cour de cassation juge que l’adresse IP, qui permet d’identifier indirectement un salarié est une donnée à caractère personnel, de sorte que sa collecte par l’exploitation du fichier de journalisation constitue un traitement de données à caractère personnel, relevant du RGPD.
La Cour Suprême censure ainsi les juges du fond qui avaient validé le licenciement d’un salarié fondé sur des éléments issus de ce traitement, auquel le salarié n’avait pas consenti.
Licenciement basé sur les logs informatiques de l’entreprise
Un salarié, accusé d’avoir supprimé massivement des fichiers professionnels et transféré de nombreuses données de l’entreprise vers sa messagerie personnelle, avait été licencié pour faute grave.
L’employeur, pour étayer sa décision, produisait un constat d’huissier fondé sur l’analyse des fichiers de journalisation informatique, recoupés avec des messages envoyés depuis l’adresse IP du salarié.
Le salarié contestait la recevabilité de cette preuve, arguant que ce contrôle de son activité n’avait été ni déclaré à la CNIL, ni précédé d’une consultation du CSE, ni fait l’objet d’une information préalable des salariés, alors que l’adresse IP constituait, selon lui, une donnée personnelle.
Pas de données personnelles selon la cour d’appel… à tort
La cour d’appel valide pourtant la production du constat d’huissier. Elle estime que l’adresse IP utilisée ne permettait pas une identification certaine du salarié et que la messagerie interne de l’entreprise ne contient aucune donnée personnelle.
En conséquence, selon les juges du fond, aucune formalité préalable (déclaration, information, consultation) n’était donc exigée.
Une censure claire de la Cour de cassation au nom du RGPD
La Chambre sociale de la Cour de cassation casse l’arrêt. En se fondant sur les articles 4, 5 et 6 du RGPD, elle rappelle que :
- Les adresses IP permettant d’identifier indirectement un salarié sont des données à caractère personnel ;
- Leur collecte par l’exploitation du fichier de journalisation requiert le consentement des intéressés ;
- Leur traitement doit être conforme à la finalité pour laquelle elles ont été collectés.
Ainsi, l’exploitation de ces logs à des fins de contrôle individuel de l’activité du salarié, dont le consentement n’a pas été recueilli, constitue une violation du RGPD, de sorte que la preuve ainsi obtenue est illicite.
La Cour ne précise toutefois ni la finalité initiale de cette collecte, ni pourquoi seul le consentement serait valable en l’espèce, ce qui peut sembler discutable : l’intérêt légitime de l’entreprise pourrait être invoqué, notamment en matière de sécurité informatique.
Par ailleurs, si la Cour Suprême se prononce sur l’illicéité de la preuve produite, elle ne se prononce pas sur sa recevabilité.
En effet, depuis les arrêts récents de l’Assemblée plénière, une preuve bien qu’illicite peut néanmoins être jugée recevable si elle est indispensable à l’exercice du droit à la preuve et proportionnée au but poursuivi (Cass. ass. plén., 22 déc. 2023, n° 20-20.648).
Cet arrêt rappelle que la traçabilité informatique n’échappe pas au RGPD. Même l’adresse IP, lorsqu’elle permet d’identifier un salarié, impose à l’employeur de respecter le cadre légal des traitements de données personnelles.
Il reste à savoir si cette preuve, bien qu’illicite, aurait pu être néanmoins jugée recevable au nom du droit à la preuve.