Introduction

Un salarié a été licencié pour faute grave, l'employeur s'appuyant sur un constat d'huissier fondé sur l'analyse des fichiers de journalisation du réseau informatique de l'entreprise.

Ces fichiers ont permis d'identifier une adresse IP interne (172.25.11.3) associée au salarié, révélant des connexions non autorisées. La cour d'appel d'Agen a jugé que cette adresse IP, étant une adresse interne de réseau local, ne constituait pas une donnée personnelle, rendant ainsi la preuve licite.

La Cour de cassation a cassé cette décision, estimant que l'adresse IP interne permettait d'identifier indirectement une personne physique et constituait donc une donnée à caractère personnel au sens de l'article 4 du RGPD. Elle a conclu que l'exploitation de ces données sans le consentement du salarié, à des fins différentes de celles initialement prévues, rendait la preuve illicite.

Analyse

1. Sur la qualification de l'adresse IP comme donnée personnelle

La Cour de cassation affirme que l'adresse IP interne permet d'identifier indirectement une personne physique, rejoignant ainsi la position de la CJUE dans l'affaire Breyer (CJUE, 19 octobre 2016, C-582/14). Cette qualification est cohérente avec une interprétation large de la notion de donnée personnelle.

2. Sur la licéité du traitement et la nécessité du consentement

La Cour considère que l'utilisation des fichiers de journalisation à des fins de contrôle individuel de l'activité du salarié, différente de la finalité initiale de sécurité du système, constitue un traitement de données personnelles nécessitant le consentement de l'intéressé.

Cette position est critiquable. Le RGPD prévoit plusieurs bases légales pour le traitement des données personnelles, dont l'intérêt légitime du responsable du traitement (article 6, §1, f).

En l'espèce, l'employeur pourrait invoquer son intérêt légitime à assurer la sécurité de son système d'information et à prévenir les comportements fautifs.

Exiger systématiquement le consentement du salarié pour de tels traitements pourrait entraver la capacité de l'employeur à faire valoir ses droits et à assurer la sécurité de ses systèmes dans un contexte de recrudescence des menaces cyber.

Qui plus est, le consentement est une base légale contestée en matière RH dans la mesure ou la CNIL considère dans sa doctrine constante (Référentiel relatif à la gestion du personnel) que les salariés doivent être considéré comme des personnes vulnérables en raison du lien de subordination employé/employeur, et que pour cette raison leur consentement ne satisfait généralement pas à la condition de liberté du consentement prévue par le RGPD.

3. Sur la réutilisation des données

La Cour reproche à l'employeur d'avoir utilisé les données à une fin différente de celle initialement prévue, sans consentement.

Cependant, le RGPD autorise la réutilisation des données pour une finalité compatible avec celle initiale, sans nécessiter un nouveau consentement, sous réserve d'une évaluation de la compatibilité (article 6, §4). La Cour ne semble toutefois pas avoir procédé à une telle évaluation.

Conclusion

Si la Cour de cassation rappelle à juste titre que les adresses IP internes peuvent constituer des données personnelles, son interprétation stricte des conditions de licéité du traitement, en particulier l'exigence du consentement, soulève des interrogations.

Une approche plus nuancée, prenant en compte les autres bases légales prévues par le RGPD et procédant à une évaluation de la compatibilité des finalités, aurait permis une meilleure conciliation entre la protection de la vie privée et des salariés et le droit à la preuve de l'employeur.

‍