Adresse IP : une donnée à caractère personnel et un moyen de preuve ?

Pour la première fois, la chambre sociale de la Cour de cassation s’est prononcée sur la qualification de “donnée à caractère personnel” que revêt une adresse IP et sur la licéité de la preuve pouvant en résulter pour fonder un licenciement.

 

En l’espèce, un salarié de l’AFP, également correspondant informatique et liberté au sein de l’agence, avait été licencié pour faute grave, pour avoir adressé à une entreprise cliente et en même temps concurrente de l’AFP, cinq demandes de renseignements par voie électronique en usurpant l’identité d’autres sociétés clientes.

 

L’AFP avait établi les faits reprochés au moyen d’un constat d’huissier et en recourant à un expert informatique, ce qui avait permis de déterminer, grâce à l’exploitation des logs et des fichiers de journalisation conservés sur ses serveurs, que l’adresse IP à partir de laquelle les messages litigieux avaient été envoyés était celle du salarié précité.

 

Estimant que les logs (cf. traces informatiques), fichiers de journalisation et adresses IP n’étaient pas soumis à une déclaration auprès de la Cnil, ni à une information du salarié, dès lors qu’ils n’avaient pas pour vocation première le contrôle des utilisateurs, la cour d’appel a rejeté l’argument soulevé par le salarié selon lequel son licenciement était fondé sur des preuves illicites, et a jugé ledit licenciement justifié.

 

Une qualification sans équivoque de “donnée à caractère personnel”

La chambre sociale de la Cour de cassation, saisie d’un pourvoi formé par le salarié, juge que, dans la mesure où les adresses IP permettent d’identifier, même indirectement, une personne physique, il s’agit bien de données à caractère personnel.

 

Elle en conclut que leur collecte par l’exploitation d’un fichier de journalisation constitue un traitement de données à caractère personnel qui doit faire l’objet d’une déclaration préalable auprès de la Cnil, contredisant ainsi la décision des juges du fond (NB : il est opportun de rappeler ici que, si les textes applicables en matière de traitements de données à caractère personnel ne prévoient plus, depuis l’entrée en application du RGPD, de déclarations à effectuer auprès de la Cnil pour la mise en œuvre de tels traitements, tel était le cas à l’époque des faits, ce dont il résulte que les traitements de données à caractère personnel ainsi mis en œuvre en l’absence d’une telle déclaration devaient être considérés comme illicites).

 

Ce faisant, la chambre sociale de la Cour de cassation rejoint la position de principe d’ores et déjà exprimées par de nombreuses autres juridictions, parmi lesquelles la Cour de justice de l’Union européenne (2) ou encore la première chambre civile de la Cour de cassation (3) : une adresse IP est une donnée à caractère personnel.

 

Un moyen de preuve licite mais sous conditions

En l’espèce, il apparaît que le traitement de données à caractère personnel en cause n’avait pas été déclaré auprès de la Cnil.

 

Or, la chambre sociale de la Cour de cassation avait déjà pu être amenée à considérer que constituent un moyen de preuve illicite les informations collectées par un système de traitement automatisé de données personnelles n’ayant pas été déclaré auprès de la Cnil et que, si la faute à l’origine d’un licenciement n’était établie qu’au moyen d’une telle preuve illicite, alors le licenciement se trouvait nécessairement sans cause réelle et sérieuse car le moyen de preuve illicite devait être rejeté des débats (4).

 

Forte de ce constat, la Cour de cassation applique toutefois un raisonnement différent. Dans l’arrêt commenté ici, elle admet que l’illicéité d’un tel moyen de preuve au regard des dispositions applicables en matière de protection des données  caractère personnel n’entraîne pas systématiquement son rejet des débats, invitant les juges du fond à rechercher dans le cadre d’un contrôle de proportionnalité si l’atteinte portée à la vie personnelle du salarié par une telle production est justifiée au regard du droit à la preuve de l’employeur.

Elle précise que cette production ne peut toutefois être justifiée que si elle est indispensable à l’exercice de ce droit par l’employeur (et non plus seulement nécessaire à l’exercice de ce droit, comme elle avait déjà pu en faire mention (5)), et que l’atteinte à la vie personnelle du salarié est strictement proportionnée au but poursuivi.

 

Toutefois, et alors même que la chambre sociale de la Cour de cassation avait “tranché” il y a quelques temps (6) que l’absence de déclaration à la Cnil d’un système de messagerie électronique professionnelle non pourvu d’un contrôle individuel de l’activité des salariés n’était pas susceptible de porter atteinte à la vie privée ou aux libertés des salariés et ne rendait pas illicite la production en justice des courriels adressés par l’employeur ou par le salarié dont l’auteur ne peut ignorer qu’ils sont enregistrés et conservés par le système informatique, elle en déduit ici que “l’exploitation des fichiers de journalisation, qui permettent d’identifier indirectement une personne physique, constitue un traitement de données à caractère personnel […], et était ainsi soumise aux formalités préalables à la mise en œuvre de tels traitements [cf. déclaration auprès de la Cnil], ce dont il résultait que la preuve était illicite“. Elle renvoie tout de même aux juges du fond le soin de procéder à l’analyse de proportionnalité précitée.

 

*          *

*

 

Dans l’attente de la décision des juges du fond, cet arrêt est l’occasion de rappeler que les traitements de données à caractère personnel des salariés mis en œuvre par les employeurs doivent faire l’objet d’une attention particulière pour être déployés et implémentés conformément aux dispositions applicables en matière de droit des données à caractère personnel (ex: information des personnes concernées, légitimité des finalités poursuivies, insertion dans le registre des traitements,…) mais également de droit du travail (ex: formalisme spécifique auprès des instances représentatives du personnel,…), et ce tant pour assurer leur conformité intrinsèque que pour s’assurer de pouvoir disposer le cas échéant de moyens probatoires dont la licéité ne fait aucun doute.

 

Les équipes du pôle “Droit social” et du pôle “IT & data protection” d’Agil’IT se tiennent à votre disposition pour vous accompagner dans ce cadre.

 

 

(1) Cass. Soc., 25 novembre 2020, n°17-19.523: https://www.courdecassation.fr/jurisprudence_2/chambre_sociale_576/1119_25_45978.html

(2) CJUE, 19 octobre 2016, affaire C‑582/14: http://curia.europa.eu/juris/document/document.jsf?docid=184668

(3) Cass. 1ère Civ., 3 novembre 2016, n°15-22.595: https://www.legifrance.gouv.fr/juri/id/JURITEXT000033346676/

(4) Cass. Soc., 8 octobre 2014, n° 13-14.991: https://www.legifrance.gouv.fr/juri/id/JURITEXT000029565250/

(5) Cass. Soc., 9 novembre 2016, n° 15-10.203: https://www.legifrance.gouv.fr/juri/id/JURITEXT000033375477/

(6) Cass. Soc., 1er juin 2017, n°15-23.522: https://www.legifrance.gouv.fr/juri/id/JURITEXT000034858061/

 

 

Par AGIL’IT – Pôles Droit social et IT & Data protection

Sandrine HENRION, Avocate associée

Laure LANDES-GRONOWSKI, Avocate associée