Un arrêt récent de la chambre sociale de la Cour de cassation du 9 avril 2025, se prononçant sur la licéité de l’exploitation par l’employeur des logs de journalisation d’un salarié pour fonder son licenciement, inquiète la communauté des RSSI et des DSI (pourvoi 23-13.159, Inédit).

Le Monde Informatique s’en est fait l’écho en titrant « Collecter une adresse IP d’un employé nécessite son consentement ».

Quel enseignement faut-il tirer de cette décision ?

Invoquant les dispositions de l’article 6 § 1 du RGPD, la Cour écrit que le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie, notamment :

1. la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques.

Cette référence à la loi est parcellaire.

Rappelons qu’en vertu de l’article du RGPD précité, il n’existe pas une seule mais six bases légales permettant de collecter les données à caractère personnel : le consentement, le contrat, l’obligation légale, la mission d’intérêt public, l’intérêt légitime, la sauvegarde des intérêts vitaux.

La Cour poursuit son arrêt en rappelant qu’« Il en résulte que les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, au sens de l’article 4 du RGPD »

Cette question ne fait pas débat et avait déjà été tranchée par la Chambre sociale de la Cour de cassation (25 novembre 2020 - pourvoi n°17-19.523) en ligne avec la position prise par la CNIL dans une note du 6 janvier 2016.

La Cour conclut « de sorte que leur collecte par l’exploitation du fichier de journalisation constitue un traitement de données à caractère personnel qui n’est licite que si la personne concernée y a consenti ».

Le syllogisme interroge.

D’abord, ce n’est pas à la Cour Suprême de déterminer la base légale d’un traitement. C’est une prérogative et une responsabilité du responsable de traitement au regard de chacune des finalités du traitement, sous le contrôle, a posteriori, de la CNIL (en France) dont les décisions peuvent faire l’objet d’un recours.

Ensuite, le « consentement » implique qu’il doit être libre, spécifique, éclairé et univoque (articles 4 & 7 du RGPD). Cela signifie que la personne concernée dispose d’un contrôle sur ses données et doit être en mesure :

• de comprendre le traitement qui sera fait de ses données ;
• de choisir sans contrainte d’accepter ou non ce traitement ;
• de changer d’avis librement.

Dans sa Délibération n°2022-126 du 23 mai 2022 portant adoption d'un référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion du personnel, la CNIL a reconnu que l’employeur ne peut pas retenir le consentement comme base légale.

La raison est que les employés ne sont que très rarement en mesure de donner, de refuser ou de révoquer librement leur consentement, étant donné la dépendance qui découle de la relation employeur/employé.

Enfin, la CNIL a déjà donné son avis sur le traitement de la journalisation des logs au sein des entreprises, à l’opposé de la position prise par la Cour de cassation.

Dans sa Délibération n° 2021-122 du 14 octobre 2021, la CNIL donne la définition de la journalisation qui sont « des dispositifs qui permettent d’assurer une traçabilité des accès et des actions des différents utilisateurs habilités à accéder aux systèmes d’information (et donc aux traitements de données à caractère personnel que sont susceptibles de constituer ces systèmes) ».

Si elle fait valoir que la conservation de ces données de traçabilité est d’abord justifiée par l’objectif de sécurisation du traitement, elle reconnait que « Ces données peuvent également servir ex post lorsqu’une violation de données (notamment par consultation, transmission ou usage illégaux des données) est constatée et que le responsable de traitement cherche à en établir la responsabilité ».

La contrepartie est l’obligation qui pèse sur l’employeur d’informer les utilisateurs habilités à accéder au traitement de la mise en place du dispositif de journalisation, de la nature des données collectées et de la durée de conservation de ces dernières. Elle fournit un exemple de la façon dont l’information peut être réalisée via des mentions d’information présentées au moment de l’authentification lors de l’accès au traitement.

En conclusion, la décision du 9 avril 2025 de la chambre sociale de la Cour de cassation est incompréhensible.

L’arrêt de la Cour d’appel d’Agen cassé par la Cour de cassation témoigne que les notions de RGPD étaient déjà mal maîtrisées.

Sur la notion de données à caractère personnelle la Cour d’appel a mal motivé sa décision en mentionnant qu’« une adresse IP de classe B qui correspond à une adresse de réseau local [qui] n’identifie que des périphériques dans le réseau local et non une personne physique ». Elle n’a pas appliqué le RGPD en déclarant qu’« aucune déclaration à la CNIL n’étant exigée », sans aborder la question de la base légale du traitement.

Il convient de noter que la décision de la Cour de cassation du 9 avril 2025 n’a pas été publiée au bulletin, ce qui n’en fait pas un arrêt de principe. Elle crée une insécurité juridique que l’Assemblée Plénière devra rectifier. A moins que la CJUE ne soit saisie de la question. A la suite de cette cassation, l’affaire sera rejugée par la Cour d’appel de Pau.

D’un point de vue opérationnelle, notre conseil aux entreprises est de vérifier si leur charte informatique est à jour, ainsi que la façon dont elles informent leurs salariés sur le contrôle individuel de leur activité et leur process de recherche et d’utilisation de la preuve numérique. La charte informatique reste une documentation à privilégier et doit être rédigée en collaboration avec la DSI, la RSSI, le DPO et la Direction des Ressources Humaines. Dans cette affaire, la charte informatique de l’employeur datait de 2015 et n’avait pas été mise à jour.