Pour la Cour de cassation, les logs d’IP en entreprise exigent un consentement

Consentement et justice éclairés

Un récent arrêt de la Cour de cassation estime que l'identification d'un salarié à partir de son adresse IP, interne au réseau de l'entreprise et enregistrée au sein de fichiers de journalisation, n'est licite que si ce dernier a donné son consentement explicite pour ce recueil. La décision, motivée par le RGPD, interroge.

Alexandre Laurent

Le 02 mai à 09h30

5 min

Droit

Plusieurs juridictions ont déjà largement consacré l'adresse IP comme donnée personnelle. Mais le RGPD impose-t-il pour autant qu'une entreprise recueille le consentement explicite de ses employés si elle souhaite constituer et exploiter des fichiers de journalisation (logs) ? La question se pose en des termes nouveaux depuis le 9 avril dernier, date à laquelle la Cour de cassation a choisi d'y répondre par l'affirmative.

La cour d'appel distingue IP du réseau pro et donnée personnelle

L'affaire oppose une société de promotion immobilière à l'un de ses salariés. Après que les deux parties ont négocié une rupture conventionnelle, l'entreprise découvre que son employé a, la veille du rendez-vous, supprimé plusieurs milliers de dossiers et fichiers informatiques de l'agence à laquelle il est rattaché.

Elle affirme par ailleurs que l'employé a transféré sur des adresses personnelles une centaine de courriers électroniques issus de sa messagerie professionnelle, et fait constater ces manipulations par un huissier, en s'appuyant sur l'adresse IP du poste de son collaborateur.

La rupture conventionnelle se change alors en licenciement pour faute grave. L'employé échoue à contester ce licenciement devant le Conseil de Prud'hommes local. Il interjette ensuite appel, en arguant que « le contrôle de traçabilité informatique utilisé par l'huissier de justice est irrégulier » car l'employeur ne démontre pas avoir accompli de démarches préalables au recueil de l'adresse IP de ses salariés, alors que cette dernière constitue une donnée personnelle.

Dans sa décision du 10 janvier 2023, la cour d'Appel d'Agen choisit d'opérer une distinction entre l'adresse IP personnelle et l'accès au réseau fourni par l'entreprise.

« L'adresse IP n°172.25.11.3 n'est pas attribuée par un fournisseur d'accès à Internet. C'est une adresse IP de classe B qui correspond à une adresse de réseau local et qui n'a pas lieu d'être déclarée à la CNIL parce qu'elle n'identifie que des périphériques dans le réseau local et non une personne physique. Elle ne contient aucune donnée personnelle. Elle identifie seulement un ordinateur », écrit la cour.

Elle conclut sur cette base que le constat d'huissier est recevable et condamne l'ex employé aux dépens.

La Cour de cassation déplace le débat sur le terrain du RGPD

Saisie à la suite de cette décision, la chambre sociale de la Cour de cassation tranche rapidement ce paradoxe – déjà largement étayé par la jurisprudence – selon lequel une adresse IP pourrait ne pas être considérée comme une donnée personnelle, alors même qu'elle est utilisée dans cette procédure à des fins d'identification.

Elle choisit en revanche, dans son arrêt rendu le 9 avril dernier, de porter le débat sur un autre terrain : celui de la conformité au RGPD, qui encadre le traitement des données personnelles, interrogée à la fois sous l'angle de la finalité de la collecte, et sous celui du consentement. Et commence par rappeler :

« Selon l'article 5 du RGPD, les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) et collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités. »

Avant d'enchaîner sur la question du consentement :

« Selon l'article 6 § 1, le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie, notamment : a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques. »

De ce rappel de l'article 6, dans lequel elle se borne à mentionner le point a), elle conclut que si les adresses IP sont des données personnelles, « leur collecte par l'exploitation du fichier de journalisation constitue un traitement de données à caractère personnel qui n'est licite que si la personne concernée y a consenti ».

L'attendu final réunit les deux arguments. « En statuant ainsi, alors que l'exploitation des fichiers de journalisation, qui avaient permis d'identifier indirectement le salarié, constituait un traitement de données à caractère personnel au sens de l'article 4 du RGPD et qu'elle constatait que l'employeur avait traité, sans le consentement de l'intéressé, ces données à une autre fin, à savoir le contrôle individuel de son activité, que celle pour laquelle elles avaient été collectées, ce dont il résultait que la preuve était illicite, la cour d'appel a violé les textes susvisés », conclut la cour.

Le consentement s'impose-t-il vraiment ?

La décision fait s'interroger plusieurs professionnels du droit et de la protection des données, remarque Le Monde informatique. Elle semble en effet éluder les autres conditions prévues par le RGPD pour que le traitement de données personnelles revête un caractère licite, alors que la procédure montre qu'il est légitime de questionner certaines d'entre elles.

Ces conditions sont, pour mémoire, au nombre de six, et l'exécution de l'une d'entre elles suffit. Le traitement de données personnelles peut ainsi se faire sans consentement s'il est nécessaire à la sauvegarde d'intérêts vitaux, à l'exécution d'une mission d'intérêt public ou d'autorité publique, à l'exécution d'un contrat, au respect d'une obligation légale, ou à des fins d'intérêts légitimes tels que, par exemple, la sécurité d'un système d'information.

Le RGPD expliqué ligne par ligne (articles 1 à 23)

Commentaires (29)

Abonnez-vous pour prendre part au débat

Déjà abonné ? Se connecter

Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.

Accédez en illimité aux articles

Profitez d’un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

Timanu69

Le 02/05/2025 à 10h43

Le type est toujours vivant ou depuis il a glissé malencontreusement dans un escalier ?

fred42 Abonné

Modifié le 02/05/2025 à 13h05

C'est le bordel les débats et la décision de la Cour d'appel !

On est sur des faits qui se déroulent en novembre 2019, soit moins d'un an et demi après l'entrée en vigueur du RGPD.

C'est probablement pour cela qu'il y a encore des arguments (des 2 côtés) comme déclaration des traitements à la CNIL, "correspondant informatique et liberté (CIL)" qui sont hors sujet depuis le RGPD.

L'arrêt sur lequel se fonde le salarié de novembre 2020 qui cite la déclaration à la CNIL concerne très certainement des faits antérieurs au RGPD. Il est donc à utiliser avec précaution. Le status donnée personnelles ou non d'une adresse IP qui était retenu dans cet arrêt peut probablement être utilisé pour le RGPD, par contre, la déclaration à la CNIL non.

La cour de Cassation recentre à juste titre le débat sur le RGPD mais effectivement en ne citant que le a) du 1 de l'article 6 en fait une lecture très (trop ?) restreinte.

En plus, il ne suffit pas qu'une des 6 conditions de licéité soit établie pour que le traitement soit licite, il faut aussi qu'il y ait information des personnes.
Sur ce point, ça a l'air d'être le cas par la charte informatique (datant d'avant le RGPD) d'après ce qu'en dit l'employeur, mais le problème est quand même que comme cette charte date de 2015, elle n'est peut-être pas conforme au RGPD. Ce point serait à creuser mais je pense qu'elle ne parle pas de motifs légitimes pour justifier le traitement des logs avec adresses IP alors même que ce serait probablement ici une condition valable pour le traitement et donc il n'y aurait pas besoin du consentement.
L'article 13 du RGPD dispose qu'il faut indiquer :

lorsque le traitement est fondé sur l'article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;

Si la Cour de Cassation ne parle que de consentement, c'est peut-être bien que les intérêts légitimes n'ont pas été indiqués par l'employeur ce qui rend le traitement illicite. Il reste cependant à analyser ce traitement vis-à-vis du 4. de l'article 6 qui peut quand même rendre possible le traitement et ça, c'est le travail d'un juge, c'est assez compliqué de mettre en balance les droits des 2 parties.

Je pense donc que sur le fond, la Cour de Cassation a bien fait de casser le jugement qui n'avait pas l'air de s'appuyer sur le RGPD. Il ne faut pas attacher trop d'importance à ce qu'elle ne cite que le consentement dans le cas présent. Il ne faut pas faire de cette décision une jurisprudence qui dirait que seul le consentement importe.

Timanu69

Le 02/05/2025 à 11h24

Le monsieur efface ses data et se les vire sur son compte... au minimum c'est une balle dans le genou.
Pas besoin de discourir avec des effets de manches d'avocats

fred42 Abonné

Le 02/05/2025 à 13h19

Ils auraient surtout dû porter plainte au pénal où une preuve même illicite peut être acceptée par un juge (c'est à lui d'apprécier son caractère probant).

La plainte s'appuyant sur l'article 323-2 de Code pénal :

Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de cinq ans d'emprisonnement et de 150 000 € d'amende.

Ensuite, ils demandent aux prudhommes ou en appel d'attendre le jugement pénal avant je jugement civil. Is auraient eu plus de chance d'avoir une preuve valable : la condamnation de l'employé. À mon avis, la seule absence de mention des motifs légitimes devrait pouvoir passer au pénal, le traitement lui-même semblant être décrit dans la charte informatique.

Timanu69

Le 02/05/2025 à 15h29

Houuu... toi toi toi... je t'aime...
Je vais finir par prendre ton 06 si un jour j'ai de nouveau des salariés en France

RuMaRoCO Abonné

Le 02/05/2025 à 16h32

[je ne suis par juriste et avocat et le commentaire suivant n'est que la conclution d'exépriences personnelles ne refletant pas focrement la réalité majoritairement appliquée]
Attention au pénal la lecteur des articles est strictes (cad ne passe pas par une interprétation).

La loi
[...]entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données [...]
Les faits :
[...]son employé a[...]supprimé plusieurs milliers de dossiers et fichiers informatiques [...]

[..] l'employé a transféré sur des adresses personnelles une centaine de courriers électroniques issus de sa messagerie professionnelle, [...]

Bien que je trouve aussi que cette employé meriterai qqch se passe avec ses genoux ; Des les deux faits indiqués, l'entrave ou le faussage ne sont pas clairement explicte.

alex.d. Abonné

Le 02/05/2025 à 11h19

Conclusion : pour ne pas prendre de risque, ne fournissez pas d’IP à vos salariés.

Timanu69

Le 02/05/2025 à 11h25

Si je factorise, en France, ne prenez pas de salariés, çà coûte trop cher

Gamble

Le 02/05/2025 à 11h31

Curieux de savoir si le nom de l'escroc immobilier a fuité, car il n'a pas l'air de contester les faits, juste la manière dont il s'est fait pincer.

Humble Abonné

Le 02/05/2025 à 11h42

Ça confirme ma vision du RGPD pour ce cas, c'est l'utilisation des données qui est illégale, pas la collecte.

127.0.0.1

Le 02/05/2025 à 12h14

Ni la collecte, ni l'utilisation. Le RGPD s'applique au traitement des données.

RGPD, Article 2 - Champ d'application matériel: Le présent règlement s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

obor2

Modifié le 02/05/2025 à 13h06

RGPD, Article 4 - Définitions

«traitement», toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction;

127.0.0.1

Le 02/05/2025 à 15h08

Effectivement, j'aurais du être plus clair.

"~~Ni la collecte, ni l'utilisation~~. pas seulement la collecte ou l'utilisation."

Jarodd Abonné

Modifié le 02/05/2025 à 13h40

Ces conditions sont, pour mémoire, au nombre de six, et l'exécution de l'une d'entre elles suffit. Le traitement de données personnelles peut ainsi se faire sans consentement s'il est nécessaire à la sauvegarde d'intérêts vitaux, à l'exécution d'une mission d'intérêt public ou d'autorité publique, à l'exécution d'un contrat, au respect d'une obligation légale, ou à des fins d'intérêts légitimes tels que, par exemple, la sécurité d'un système d'information.

Il faudra un jour ou l'autre définir ce qu'est un "intérêt légitime". Quand nos données personnelles sont partagées avec des tiers, ou utilisées pour une autre finalité que celle pour laquelle on l'a donné (exemple : publicité envoyée sur une adresse e-mail fournie pour le suivi de commandes), c'est toujours cette excuse qui est donnée par le responsable des données. C'est une sorte de joker permanent qui permet de s'affranchir de toutes les règles du RGPD, alors que je doute que le besoin d'envoyer des publicités ou de tracer l'utilisateur "pour améliorer le service" soit une finalité légitime.

Et il reste un point qui n'est pas abordé par les tribunaux : si le recueil du consentement est nécessaire pour enregistrer l'IP, peut-on refuser de le donner, sans que cela n'ait d'importance pour le travail du salarié, ou sans qu'il soit discriminé pour cette raison ?
Edit : un début de réponse par Aeris :

Bluesky

fred42 Abonné

Modifié le 02/05/2025 à 13h55

C'est au responsable de traitement de citer précisément les intérêts légitimes pour lesquels il fait des traitements de données personnelles et s'il se trompe, c'est tant pis pour lui, il sera sanctionné en cas de plainte.
C'est d'après ce que j'ai vu ici rarement retenu par les autorités de contrôle. Un responsable de traitement devrait donc utiliser cette condition de l'article 6 du RGPD avec la plus grande précaution.

Et justement, ici, je pense que c'est un cas où l'utilisation est possible : prouver qu'un employé détruit des données dans un système informatique ou exfiltre des données me semble un intérêt légitime valable (par opposition aux tracking d'un utilisateur pour lui faire de la pub ciblée). Voir mon premier commentaire (cs ce n'est déjà fait) : je pense que si l'intérêt légitime d'identifier les attaquants du système d'information avaient été invoqué dans la charte informatique, la Cour de cassation n'aurait pas cassé le jugement.

L'inconvénient est d'utiliser l'intérêt légitime est que l'employé peut s'y opposer, mais il ne le fera probablement pas parce que l'employeur pourrait le licencier, par exemple pour manque de confiance dans un employé qui ne veut pas que ses actions sur le système informatique soit tracées.

Quant à ta dernière question, sur le consentement, si tu n'acceptes pas, je pense que le raisonnement que je tiens pour l'intérêt légitime tient aussi ici : risque de licenciement faute de confiance ou de possibilité de faire son travail sans informatique. Cela montre que le consentement n'est pas forcément une bonne condition ici, parce que l'employé est obligé d'accepter pour ne pas risquer un licenciement. On peut alors dire que le consentement n'est pas libre.
En y réfléchissant, le motif légitime me semble un meilleur choix pour l'employeur que le consentement qui pourrait a posteriori ne pas être considéré comme libre.

Et comme dit dans mon premier commentaire, je pense que la Cour de cassation ne cite que le consentement que parce que dans ce cas, c'était la seule condition de l'article 6 pouvant être appliquée.

En tout cas, merci pour tes questions qui m'ont permis d'affiner ma position sur l'intérêt légitime sur lequel j'étais généralement défavorable.

Édit suite à ton lien vers Bluesky :
On est au moins d'accord avec @aeris22 que le consentement est dangereux pour l'employeur dans ce cas.
Par contre, je ne comprends pas pourquoi, il parle de TA (Tribunal administratif ?) alors qu'il s'agit de la Cour de Cassation (on est dans du droit civil et pas administratif).

fred42 Abonné

Le 02/05/2025 à 14h17

En relisant, la décision de la Cour de Cassation, je vois qu'elle a écrit :

5. Selon l'article 6 § 1, le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie, notamment :

a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques.

Ce qui est différent du contenu de l'article 6 du RGPD :

Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:

a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;

La différence est dans le mot "notamment". Cela conforte mon analyse qu'elle n'a pas dit que le consentement était la seule condition possible. Le notamment signifie que dans le cadre de ce jugement de la Cour d'appel, le consentement était la seule condition possible (probablement faute d'avoir cité un motif légitime dans la charte informatique).

C'est le titre de l'article relu dans le message de Bluesky cité par @Jarodd qui m'a fait relire la décision de la CC. Je pense qu'il ne faudrait pas être aussi affirmatif dans le titre.

Les DPO et autres avocats vont pouvoir dormir tranquille.

Timanu69

Le 02/05/2025 à 15h35

ite missa est

linconnu

Le 03/05/2025 à 13h38

Comme beaucoup de choses en entreprise, il faut le consentement mais ce consentement est rarement refusable.

Timanu69

Le 03/05/2025 à 23h53

Rajouter "elles me disent toutes çà", en 2025 çà ne passe plus comme blague ?

wanou Abonné

Le 03/05/2025 à 17h55

Pour moi, l'adresse IP des postes des salariés n'est pas une donnée personnelle. De fait, cette adresse est celle d'un ordinateur de la société avant d'être l'adresse d'une personne. Quand un piratage est réalisé, depuis l'intérieur ou non, il faut être en mesure de reconstituer le scénario.

Ce qu'il faudrait pour calmer tout le monde serait la constitution de boîtes noires qui stockeraient des fichiers journaux sensibles mais dont l'exploitation nécessiterais une clef privée non détenue par la société mais par la justice. Comme pour les dashcam.

fred42 Abonné

Le 03/05/2025 à 19h19

Pour moi, l'adresse IP des postes des salariés n'est pas une donnée personnelle.

À partir du moment où l'on peut identifier la personne qui a utilisé le poste grace à l'adresse IP, ça devient une donnée à caractère personnel. Et c'était bien le cas ici puisque la société a identifié le salarié fautif grace à l'adresse IP dans les journaux analysés.
Même si le poste de travail était partagé mais qu'il y ait une authentification de l'utilisateur par exemple lors de son login sur le poste et que ce login soit journalisé avec les informations : utilisateur, adresse IP du poste et horodatage du login et du logout, l'adresse IP devient aussi une donnée à caractère personnel.

Par contre, une adresse IP d'un robot n'est pas une donnée à caractère personnel.

Timanu69

Le 03/05/2025 à 23h55

La MAC adress ? C'est encore plus pertinent si on a du DHCP dans la boutique :-/

brupala Abonné

Le 04/05/2025 à 11h33

Justement, si il y a login, il y a consentement, s'identifier sur un système, c'est donner consentement à être surveillé par celui ci, sinon ça ne sert à rien d'identifier les utilisateurs, si c'est pour leur donner des droits sur un ensemble de choses, un login de groupe est suffisant.

wanou Abonné

Le 05/05/2025 à 18h11

Sauf que l'adresse IP n'est en aucun cas relié directement à un salarié, dans aucun log et dans aucune base de donnée. Pour arriver à une liste d'utilisateurs, il faut établir la liste des personnes qui ont ouvert au moins une fois une session sur la machine.
Une adresse IP ne permet donc pas d'identifier formellement une et une seule personne mais seulement une machine dans un parc de machines.

Si le salarié a utilisé son compte pro pour pirater les données, c'est l'utilisation son adresse pro qui prouve sa culpabilité, pas l'adresse de la machine.

Timanu69

Le 04/05/2025 à 00h18

En Corse.. en Sicile... il faut mettre son bras sur le salarié... et avoir... gentiment... une explication.
Tout en douceur.
On ne va pas se fâcher...

Timanu69

Modifié le 04/05/2025 à 00h03

@Flock

Tant qu'on y est, n'oubliez pas de cotiser à https://www.ircec.fr/

@SébastienGavois ? une idée d'article croustillant ? :p

Sébastien Gavois Équipe

Le 04/05/2025 à 10h26

Une idée d’article sur quoi ?

Timanu69

Le 05/05/2025 à 09h32

L'ircec ? Qui pompine un peu façon de ceux qui taxent les barrettes de RAM... (mais çà implique plus Flock)

JNSON Abonné

Le 10/05/2025 à 11h29

Je ne comprend pas trop. L'IP de l'ordinateur de l'entreprise permet d'identifier l'employé qui travail dessus, certes. De là, ils ont conclu que c'est une IP personnelle. Mais non, c'est une IP professionnelle pour moi, car elle appartient à l'entreprise, tout comme l'ordinateur ! Sinon, a quoi bon faire du monitoring en matière de sécurité si on ne peut pas se permettre de tracer l'ordinateur problématique ? Sans même viser un employé (présomption d'innocence), on ne pourrait pas circonscrire une attaque dans le réseau interne d'une entreprise, au motif que pour le faire, on risquerait d'identifier un employé... Si les employés refusent que l'on collecte ces IP professionnelles, alors pas de monitoring ?