Adresse IP et RGPD : ce que dit la Cour de cassation

Un chef d’agence est licencié pour faute grave après avoir supprimé plus de 4.000 fichiers et transféré une centaine d’e-mails, avec pièces jointes, vers ses adresses personnelles.

Ces agissements ont été détectés à la suite de signalements internes (des collaborateurs ont fait part de la disparition d’informations), puis confirmés par une enquête de l’employeur, fondée notamment sur un constat d’huissier reposant sur l’analyse des fichiers de journalisation (logs) et des adresses IP.

Le salarié a contesté son licenciement en soutenant notamment que la preuve reposait sur un dispositif de traçabilité informatique mis en place de manière irrégulière, sans déclaration à la CNIL, sans consultation des représentants du personnel, ni information préalable des salariés sur le dispositif de contrôle de leur activité.

La cour d’appel d’Agen a écarté les arguments du salarié, estimant que l’adresse IP en cause – une adresse interne (locale), non attribuée par un fournisseur d’accès – ne constituait pas une donnée personnelle, et n’était donc pas soumise à déclaration auprès de la CNIL.

Dans un arrêt rendu ce 9 avril (Cass. soc., 9 avril 2025, n° 23-13.159), la chambre sociale de la Cour de cassation adopte une solution différente. Elle considère que, même interne, une adresse IP constitue une donnée à caractère personnel au sens du RGPD, dès lors qu’elle permet d’identifier indirectement un individu. Elle en déduit que ce traitement de données, réalisé sans le consentement du salarié et à des fins différentes de celles initialement prévues (ici, le contrôle individuel de l’activité) est illicite. En conséquence, la Cour d’appel aurait dû écarter cette preuve.

1. Une qualification cohérente de « donnée personnelle » pour les adresses IP issues des logs informatiques, mais une justification juridique du traitement de données qui soulève des questions

Dans sa décision, la Cour de cassation affirme que les adresses IP doivent être qualifiées de données à caractère personnel, car elles permettent l’identification indirecte d’une personne. Cette analyse s’inscrit dans la ligne jurisprudentielle européenne et des positions constantes de la CNIL (voir notamment la délibération n° 2021-122 du 14 octobre 2021), conformément à l’article 4.1 du RGPD.

Dès lors, le traitement de ces données doit respecter les différentes conditions de licéité posées à l’article 6 du RGPD. A ce titre, la Cour relève l’absence de consentement du salarié (article 6 §1 a) et en déduit l’illicéité du traitement.

Ce raisonnement est néanmoins contestable, dans la mesure où le consentement n’est pas la seule base légale envisagée par le RGPD, et s’avère d’ailleurs le plus souvent inadapté dans le cadre des relations de travail.

Cette difficulté est d’ailleurs largement reconnue :
– par le Comité européen de la protection des données (CEPD – anciennement G29), dans ses lignes directrices 05/2020, selon lesquelles il considère comme « problématique que les employeurs traitent les données à caractère personnel de leurs employés actuels ou potentiels en se fondant sur leur consentement, dès lors qu’il est peu probable que celui-ci soit donné librement. Pour la majorité de ces traitements de données au travail, la base juridique ne peut et ne devrait pas être le consentement des employés [article 6, paragraphe 1, point a)] en raison de la nature de la relation employeur/employé. »
– par la CNIL, dans sa délibération n° 2022-126 du 23 mai 2022 (Référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion du personnel), qui considère que « Les employés ne sont que très rarement en mesure de donner, de refuser ou de révoquer librement leur consentement, étant donné la dépendance qui découle de la relation employeur/employé. »

Par ailleurs, le caractère révocable du consentement (article 7 §3 RGPD) compromet la fiabilité de son usage comme fondement d’un traitement des données internes de l’entreprise.

Enfin, subordonner la possibilité de conserver et auditer les logs internes à l’accord préalable du salarié revient à neutraliser les prérogatives de contrôle de l’employeur en matière de sécurité informatique, de traçabilité et de détection des usages anormaux.

D’autres fondements peuvent être mobilisés, en particulier l’intérêt légitime de l’employeur (article 6 §1 f RGPD), base expressément reconnue par la CNIL pour de nombreuses activités de traitement (mise à disposition des outils personnels et informatifs, gestion administrative du personnel, organisation du travail, suivi des carrières, etc.), notamment dans son référentiel visé ci-dessus. Cette notion d’intérêt légitime existait avant l’entrée en vigueur du RGPD (voir notamment l’avis du G29, devenu CEPD, n°06/2014 sur la notion d’intérêt légitime poursuivi par le responsable du traitement des données au sens de l’article 7 de la directive 95/46/CE).

2. Une appréciation stricte des finalités et une portée importante donnée à l’exclusion de la preuve

La Cour de cassation reproche à l’employeur d’avoir utilisé les logs pour une finalité différente de celle initialement déclarée – à savoir le contrôle individuel de l’activité – sans examiner la possible compatibilité de cette finalité avec celle prévue initialement, comme le prévoit pourtant l’article 6 §4 du RGPD.

Une analyse plus contextualisée, fondée sur une mise en balance des intérêts en présence, aurait également pu être envisagée.

La solution retenue conduit en effet à écarter une preuve essentielle, obtenue dans le cadre d’un constat d’huissier, ce qui soulève la question de la conciliation entre le droit à la protection des données personnelles et le droit à la preuve encore récemment confirmé par la Cour de cassation (Cass. ass. plén., 22 déc. 2023, n°21-11.330 : la preuve déloyale ou illicite, comme un enregistrement clandestin, est recevable à condition d’être indispensable à l’exercice de ses droits. Voir : « L’employeur peut-il utiliser des moyens de preuve déloyaux ? »).

3. Et maintenant ?

Cette décision ouvre le débat. Relevons tout d’abord qu’une consultation préalable de la CNIL – autorité compétente en matière d’interprétation du RGPD – aurait pu être envisagée pour une analyse plus détaillée des bases juridiques possibles du traitement.

Ensuite, l’affaire étant renvoyée devant la cour d’appel de Pau, une nouvelle analyse reste possible, en intégrant les exigences de proportionnalité, la légitimité de l’objectif poursuivi et la nécessité de garantir aux employeurs un accès effectif à certains moyens de preuve dans le cadre des relations de travail.