Preuve du licenciement : peut-on utiliser l’adresse IP du salarié ?
Cass. soc., 9 avril 2025, 23-13.159
Ce qu’il faut retenir :
L’exploitation d’un fichier de journalisation permettant d’identifier indirectement un salarié par son adresse IP constitue un traitement de données à caractère personnel.
Lorsque ces données sont utilisées à d’autres fins que celles initialement prévues – en l’espèce, le contrôle de l’activité individuelle du salarié – sans son consentement, le traitement est illicite. La preuve issue d’un tel traitement est alors irrecevable.
Pour approfondir :
En l’espèce, un salarié avait été licencié pour faute grave après avoir supprimé plus de 4000 fichiers et dossiers et s’être adressé une centaine de courriels professionnels sur son adresse électronique personnelle.
L’employeur, informé de ces faits par des signalements internes, avait procédé à l’analyse des fichiers de journalisation (logs) et recoupé ces informations avec les messages envoyés à partir de l’adresse IP du salarié. Ces éléments avaient ensuite été constatés par un commissaire de justice.
Le salarié avait contesté son licenciement, soutenant que la preuve unique retenue – le constat de commissaire de justice – avait été obtenue à partir d’un outil de traçabilité mis en place de manière irrégulière.
L’employeur, de son côté, affirmait qu’aucun dispositif de contrôle des salariés n’avait été mis en œuvre. Selon lui, il ne s’agissait que d’une recherche ponctuelle sur les manipulations effectuées par le salarié via la messagerie interne, laquelle ne contenait, selon lui, aucune donnée personnelle.
La cour d’appel d’Agen a suivi ce dernier argument. Elle a considéré que l’adresse IP concernée relevait d’un réseau local et permettait uniquement d’identifier un ordinateur, et non une personne physique.
Elle en a conclu que les données analysées ne constituaient pas des données à caractère personnel et que la preuve était donc licite, justifiant ainsi le licenciement pour faute grave.
La Cour de cassation censure cette décision.
S’appuyant sur sa jurisprudence antérieure, elle rappelle tout d’abord que l’adresse IP constitue bien une donnée personnelle, dès lors qu’elle permet l’identification indirecte d’un individu.
La Cour de cassation précise que, conformément à l’article 6 §1 a) du RGPD, un traitement de données à caractère personnel n’est licite que s’il repose sur le consentement préalable de la personne concernée, dès lors que la finalité du traitement diffère de celle initialement prévue.
En l’espèce, la Cour relève que les données issues des fichiers de journalisation ont été utilisées en suivant une finalité distincte de celle pour laquelle elles avaient été initialement collectées, à savoir le contrôle de l’activité individuelle du salarié, sans que le consentement de ce dernier ait été recueilli.
Dès lors, elle juge le traitement illicite, rendant la preuve ainsi obtenue irrecevable.
Une solution critiquable :
La solution retenue par la Cour de cassation interroge.
L’article 6 du RGPD prévoit en effet plusieurs autres bases légales que le seul consentement pour fonder la licéité d’un traitement de données. En particulier, le traitement est licite lorsqu’il est nécessaire à la poursuite des intérêts légitimes du responsable de traitement (article 6 §1 f)).
En l’espèce, la Cour aurait pu considérer que le traitement réalisé par l’employeur poursuivait un intérêt légitime en cherchant à garantir la sécurité de son système d’information, sans avoir recours à la base légale relative au consentement. L’intérêt légitime, base légale plus souple et adaptée aux relations de travail, aurait pu justifier l’analyse des fichiers litigieux.
Si cette décision est inédite, et a donc une portée normative limitée, elle invite néanmoins les employeurs à faire preuve d’une vigilance accrue dans le choix de la base légale justifiant un traitement de données.
À rapprocher :
Un article rédigé par Géraud d'Eyssautier, du département droit Social