Les données personnelles collectées par l’employeur au moyen d’un fichier de journalisation ne peuvent être utilisées à des fins de contrôle de l’activité des salariés sans que ces derniers aient donné leur consentement au traitement de ces données à une autre fin que celles pour laquelle elles avaient été collectées. C’est ce que décide la Cour de cassation dans un arrêt, non publié, rendu le 9 avril 2025 (Cass. soc., 9 avril 2025, n° 23-13.159).

L’affaire et la décision

Dans l’affaire ayant donné lieu à cette décision, un salarié a été licencié pour faute grave pour avoir supprimé des fichiers et des dossiers de l’entreprise qui figuraient sur son ordinateur professionnel et pour avoir transféré des documents professionnels sur sa boite mail personnelle.

Pour établir la preuve de ces agissements, l’employeur a fait appel à un huissier qui a procédé à un contrôle de traçabilité informatique à partir du fichier de journalisation, en procédant à des recoupements avec les messages envoyés de l’adresse IP de l’ordinateur attribué au salarié, c’est-à-dire du numéro d’identification unique attribué de façon permanente ou provisoire à chaque périphérique faisant partie d’un même réseau informatique utilisant Internet.

Le salarié a contesté son licenciement en invoquant notamment l’illicéité de la preuve.

Pour débouter le salarié de ses demandes, la cour d’appel avait retenu que «l’adresse IP n’était pas attribuée par un fournisseur d’accès à internet et que l’adresse IP correspondait à une adresse de réseau local qui n’avait pas lieu d’être déclarée à la CNIL en ce qu’elle n’identifiait que des périphériques dans le réseau local et non une personne physique, qu’elle ne contenait aucune donnée personnelle et qu’elle identifiait seulement un ordinateur, de sorte que le constat dressé par l’huissier constituait une preuve licite».

La Cour de cassation censure cette décision. Par un moyen soulevé d’office, elle retient qu’au regard des articles 4, 5 et 6 du RGPD, les adresses IP qui permettent d’identifier indirectement une personne physique sont des données à caractère personnel au sens de l’article 4 du RGPD, de sorte que leur collecte par l’exploitation du fichier de journalisation constitue un traitement de données qui n’est licite que si la personne concernée y a consenti.

Elle en déduit qu’en décidant que le moyen de preuve était licite alors que l’exploitation des fichiers de journalisation, qui avaient permis d’identifier indirectement le salarié, constituait un traitement de données à caractère personnel au sens de l’article 4 du RGPD et qu’il était constaté que l’employeur avait traité, sans le consentement de l’intéressé, ces données à une autre fin – à savoir le contrôle individuel de son activité – que celle pour laquelle elles avaient été collectées ce dont il résultait que la preuve était illicite, la cour d’appel a violé les textes susvisés.

Une décision à la portée incertaine

Cette décision est curieuse.

Certes, il ne semble pas qu’il puisse être contesté qu’un dispositif de journalisation, lorsqu’il est mis en place dans l’entreprise, constitue un traitement de données personnelles. En effet, une délibération de la CNIL le rappelle expressément et précise que la mise en place de ce dispositif participe au respect de l’obligation de sécurisation de tout traitement de données à caractère personnel (1). Ce dispositif a donc avant tout une finalité de sécurité des données.

Selon la jurisprudence constante de la Cour de cassation en matière de dispositif de contrôle de l’activité, tel qu’un système de vidéosurveillance, la mise en place d’un tel dispositif, lorsqu’il a pour objet de contrôler l’activité des salariés, doit faire l’objet d’une consultation préalable du CSE et d’une information des salariés (2). A défaut, le moyen de preuve est illicite.

Au cas particulier, si le dispositif de journalisation mis en place avait pour finalité d’assurer la sécurité des données, l’utilisation de ces données à des fins de contrôle de l’activité des salariés devait donc être précédée d’une consultation du CSE et d’une information des salariés. En l’occurrence, il n’est rien dit à ce sujet.

Dans cette décision, la Cour retient que l’utilisation du dispositif de journalisation à d’autres fins que celles pour lesquelles elles avaient été collectées – à savoir pour contrôler l’activité du salarié – nécessitait son consentement préalable.

Or, le RGPD ne prévoit qu’une simple information des salariés lorsque les traitements de données sont mis en œuvre dans le cadre de l’exécution du contrat de travail, l’exécution du contrat constituant une base juridique suffisante en soi.

A cet égard, le référentiel Cnil de novembre 2019 précise d’ailleurs que « Les employés ne sont que très rarement en mesure de donner, de refuser ou de révoquer librement leur consentement, étant donné la dépendance qui découle de la relation employeur/employé. Ils ne peuvent donner leur libre consentement que dans le cas où l’acceptation ou le rejet d’une proposition n’entraine aucune conséquence sur leur situation. Exemples : les traitements effectués dans le cadre des opérations de recrutement ne peuvent pas être fondés sur le consentement des candidats, dès lors qu’un refus de leur part pourrait affecter leurs chances d’obtenir un emploi (ou certains types d’emplois). A l’inverse, l’enregistrement d’un clip promotionnel dans un espace de travail faisant apparaitre des employés identifiables, peut être fondé sur leur consentement dès lors que les personnes concernées bénéficient d’un choix d’apparaitre ou non dans ces enregistrements, et à condition que le choix réalisé n’ait aucun impact à leur égard (notamment à l’égard des conditions de travail, de rémunération, d’avancement, etc.) ».

En exigeant le consentement du salarié sur la collecte de ses données personnelles à d’autres fins que celles pour laquelle elles avaient été collectés, la Cour de cassation va donc au-delà des exigences posées, d’une part, par le RGPD et, d’autre part, par sa jurisprudence habituelle concernant la mise en place de dispositifs de contrôle de l’activité des salariés qui nécessite seulement leur information.

Enfin, si l’on considère que la preuve était illicite, la Cour de cassation ne pouvait reprocher au juge du fond de ne pas avoir apprécié si la production d’une telle preuve portait une atteinte au caractère équitable de la procédure dans son ensemble, en mettant en balance le droit à la preuve et les droits antinomiques en présence, le droit à la preuve pouvant justifier la production d’éléments portant atteinte à d’autres droits à condition que cette production soit indispensable à son exercice et que l’atteinte soit strictement proportionnée au but poursuivi.

En effet, c’est seulement dans le cas où l’employeur produit une preuve dont il reconnait lui-même le caractère illicite que le juge doit se livrer à cette appréciation. Il s’en déduit que l’application du droit à la preuve doit être expressément invoqué par la partie qui y a intérêt (3). Or, en l’espèce, l’employeur ne l’avait pas soulevé puisqu’il soutenait que la preuve était licite.

Cette décision est source d’interrogations tant il semble irréaliste de subordonner la mise en œuvre de traitements des données à caractère personnel des salariés, a fortiori lorsqu’ils ont pour finalité le contrôle de leur activité, à leur consentement préalable. Nul doute que devant la cour d’appel de renvoi, l’employeur soulèvera que le RGPD n’impose nullement le consentement du salarié mais seulement son information et qu’à supposer que la preuve soit illicite, il appartient alors au juge de mettre en balance le droit à la preuve de l’employeur et le droit à la vie personnelle du salarié.

Michèle Gueravetian, avocate, CMS Francis Lefebvre Avocats

Béatrice Taillardat-Pietri, Responsable adjointe de la doctrine sociale

(1) Délibération n°2021-122 du 14 octobre 2021 portant adoption d’une recommandation relative à la journalisation.
(2) Cass, soc, 10 novembre 2021, n°20-12.263.
(3) Cass soc., 8 mars 2023, n °20-21.848, Le droit à la preuve qu’est-ce que c’est ? comment ça fonctionne ? J-Y Frouin.