L’arrêt  du 9 avril 2025 rendu par la chambre sociale de la Cour de Cassation suite à un pourvoi a de quoi surprendre. Il est en tout cas très commenté sur Linkedin par des RSSI et des délégués à la protection des données. La plus haute juridiction a en effet considéré que la collecte d’une adresse IP d’un employé via l’exploitation d’un fichier de journalisation était un traitement de données personnelles. Et qu’au titre de l’article 6-1 du RGPD, ce traitement pour être licite doit obtenir le consentement du salarié.

Le problème est le contexte de l’affaire. Un salarié demande une rupture conventionnelle acceptée par l’employeur lors d’un rendez-vous. Quelques jours après des personnes signalent au responsable informatique la disparition de fichiers sur les serveurs de l’entreprise. Après enquête, il détermine que l’employé en question a supprimé 4 000 fichiers et s’est envoyé une centaine de courriels de sa boîte professionnelle vers un compte personnel. L’employeur a mandaté un huissier pour constater les infractions et a licencié le salarié pour faute grave. Celui-ci a contesté cette décision devant les Prud’hommes arguant que le constat d’huissier était illégal. L’affaire a été portée ensuite en appel où le juge a considéré que le licenciement était justifié et que les logs ne revêtaient pas le caractère de données personnelles.

Le consentement et la finalité de la collecte mis en avant

Le plaignant s’est ensuite pourvu en cassation. La plus haute juridiction a d’abord recalé l’analyse de la cour d’appel en rappelant la jurisprudence Manfrini. Celle-ci a considéré que l’adresse IP est une donnée à caractère personnelle. Elle souligne par ailleurs que la collecte de l’adresse IP par l’exploitation d’un fichier de journalisation constitue un traitement de données personnelles. Mais la nouveauté de l’arrêt du 9 avril 2025 est que ce traitement nécessite le consentement de l’employé au titre du RGPD. « L'employeur avait traité, sans le consentement de l'intéressé, ces données à une autre fin, à savoir le contrôle individuel de son activité, que celle pour laquelle elles avaient été collectées », explique la formation restreinte de la chambre sociale. Elle ne donne néanmoins pas de détails sur l’autre finalité du traitement des logs. En conséquence, la preuve est déclarée illicite et la Cour de Cassation renvoie l’affaire devant la Cour d’appel.

En attendant, cette décision laisse perplexe la plupart des RSSI et DPO qui intègrent dans leur charte informatique des clauses sur la traçabilité des actions réalisées par les salariés. L’arrivée du consentement change la donne. Faut-il la demander individuellement ou via un accord avec les représentants du personnel ? Est-ce que cette jurisprudence ne va pas être retoquée par une autre décision de la Cour de Cassation en assemblée plénière ? Comme on le voit l’arrêt du 9 avril 2025 devrait encore faire parler de lui dans les prochains mois.