{"id":15396,"date":"2025-05-16T14:54:24","date_gmt":"2025-05-16T12:54:24","guid":{"rendered":"https:\/\/www.poggi-avocats.com\/?p=15396"},"modified":"2025-05-16T14:54:25","modified_gmt":"2025-05-16T12:54:25","slug":"comment-on-the-court-of-cassation-ruling-of-9-april-2025-does-collecting-an-employees-ip-address-require-their-consent","status":"publish","type":"post","link":"https:\/\/www.poggi-avocats.com\/en\/commentaire-sur-larret-de-la-cour-de-cassation-du-9-avril-2025-collecter-une-adresse-ip-dun-employe-necessite-t-il-son-consentement","title":{"rendered":"Comment on the Court of Cassation ruling of 9 April 2025: does collecting an employee's IP address require their consent?"},"content":{"rendered":"\n

Un arr\u00eat r\u00e9cent de la chambre sociale de la Cour de cassation du 9 avril 2025, se pronon\u00e7ant sur la lic\u00e9it\u00e9 de l\u2019exploitation par l\u2019employeur des logs de journalisation d\u2019un salari\u00e9 pour fonder son licenciement, inqui\u00e8te la communaut\u00e9 des RSSI et des DSI<\/strong> (pourvoi 23-13.159, In\u00e9dit).<\/p>\n\n\n\n

Le Monde Informatique s\u2019en est fait l\u2019\u00e9cho en titrant \u00ab Collecter une adresse IP d\u2019un employ\u00e9 n\u00e9cessite son consentement<\/em> \u00bb.<\/p>\n\n\n\n

Quel enseignement faut-il tirer de cette d\u00e9cision ?<\/p>\n\n\n\n

Invoquant les dispositions de l\u2019article 6 \u00a7 1 du RGPD, la Cour \u00e9crit que le traitement n\u2019est licite que si, et dans la mesure o\u00f9, au moins une des conditions suivantes est remplie, notamment :<\/p>\n\n\n\n

    \n
  1. la personne concern\u00e9e a consenti au traitement de ses donn\u00e9es \u00e0 caract\u00e8re personnel pour une ou plusieurs finalit\u00e9s sp\u00e9cifiques.<\/li>\n<\/ol>\n\n\n\n

    Cette r\u00e9f\u00e9rence \u00e0 la loi est parcellaire.<\/p>\n\n\n\n

    Rappelons qu\u2019en vertu de l\u2019article du RGPD pr\u00e9cit\u00e9, il n\u2019existe pas une seule mais six bases l\u00e9gales permettant de collecter les donn\u00e9es \u00e0 caract\u00e8re personnel : le consentement, le contrat, l\u2019obligation l\u00e9gale, la mission d\u2019int\u00e9r\u00eat public, l\u2019int\u00e9r\u00eat l\u00e9gitime, la sauvegarde des int\u00e9r\u00eats vitaux.<\/p>\n\n\n\n

    La Cour poursuit son arr\u00eat en rappelant qu\u2019\u00ab Il en r\u00e9sulte que les adresses IP, qui permettent d\u2019identifier indirectement une personne physique, sont des donn\u00e9es \u00e0 caract\u00e8re personnel, au sens de l\u2019article 4 du RGPD \u00bb<\/em><\/p>\n\n\n\n

    Cette question ne fait pas d\u00e9bat et avait d\u00e9j\u00e0 \u00e9t\u00e9 tranch\u00e9e par la Chambre sociale de la Cour de cassation (25 novembre 2020 – pourvoi n\u00b017-19.523) en ligne avec la position prise par la CNIL dans une note du 6 janvier 2016.<\/p>\n\n\n\n

    La Cour conclut \u00ab de sorte que leur collecte par l\u2019exploitation du fichier de journalisation constitue un traitement de donn\u00e9es \u00e0 caract\u00e8re personnel qui n\u2019est licite que si la personne concern\u00e9e y a consenti<\/em> \u00bb.<\/p>\n\n\n\n

    Le syllogisme interroge.<\/p>\n\n\n\n

    D\u2019abord, ce n\u2019est pas \u00e0 la Cour Supr\u00eame de d\u00e9terminer la base l\u00e9gale d\u2019un traitement. C\u2019est une pr\u00e9rogative et une responsabilit\u00e9 du responsable de traitement au regard de chacune des finalit\u00e9s du traitement, sous le contr\u00f4le, a posteriori, de la CNIL (en France) dont les d\u00e9cisions peuvent faire l\u2019objet d\u2019un recours.<\/p>\n\n\n\n

    Ensuite, le \u00ab consentement \u00bb implique qu\u2019il doit \u00eatre libre, sp\u00e9cifique, \u00e9clair\u00e9 et univoque (articles 4 & 7 du RGPD). Cela signifie que la personne concern\u00e9e dispose d\u2019un contr\u00f4le sur ses donn\u00e9es et doit \u00eatre en mesure :<\/p>\n\n\n\n