La chambre sociale de la Cour de Cassation a rendu, le 9 avril 2025, un arrêt marquant pour la gestion des données personnelles en entreprise. Cette décision impose que la collecte de l’adresse IP d’un salarié via des fichiers de journalisation ne peut être légale que si elle est précédée de son consentement explicite. Cette jurisprudence suscite un vif débat parmi les responsables de la sécurité des systèmes d’information (RSSI) et les délégués à la protection des données (DPO).
**Le contexte de l’affaire et la décision de la Cour**
L’affaire a débuté lorsqu’un salarié, après avoir accepté une rupture conventionnelle, est suspecté d’avoir supprimé plusieurs milliers de fichiers sur les serveurs de son entreprise et transféré des courriels professionnels vers une adresse personnelle. L’employeur, pour étayer son dossier, a fait constater ces infractions par un huissier, ce qui a conduit au licenciement pour faute grave du salarié. Contestant cette décision, le salarié a saisi les Prud’hommes, arguant que le constat reposait sur des données collectées illégalement. En appel, le licenciement a été jugé justifié, les courriels de journalisation n’étant pas considérés comme des données personnelles.
Cependant, la Cour de Cassation a cassé cette décision en rappelant la jurisprudence Manfrini, qui confirme que l’adresse IP est une donnée personnelle au sens du RGPD. Elle précise que la collecte de cette donnée via des fichiers de logs constitue un traitement soumis aux règles strictes du règlement général sur la protection des données. La nouveauté de cet arrêt est d’exiger que ce traitement obtienne le consentement du salarié, notamment parce que l’employeur a utilisé les données à d’autres fins, notamment le contrôle individuel de l’activité du salarié.
**Les implications pour les entreprises et la gestion des données**
Cette décision bouleverse les pratiques courantes en entreprise où la collecte et la traçabilité des actions des salariés via des systèmes informatiques sont souvent intégrées dans les chartes informatiques sans nécessiter un consentement individuel explicite. Le consentement devient ainsi une condition sine qua non pour la légalité de ces traitements, posant plusieurs questions pratiques:
– Comment recueillir ce consentement dans le cadre professionnel ?
– Le consentement peut-il être implicite via un accord collectif ou nécessite-t-il une validation individuelle ?
– Quel impact pour la gestion courante et la prévention des risques en matière de sécurité informatique ?
Les professionnels du droit et de la sécurité attendent également de voir si cette jurisprudence sera confirmée ou amendée par une future assemblée plénière de la Cour de Cassation.
**Vers une évolution des politiques internes et des bonnes pratiques**
Les entreprises sont désormais invitées à revisiter leurs politiques de gestion des données personnelles, notamment celles relatives aux logs informatiques. Un dialogue avec les représentants du personnel et un cadre clair de recueil du consentement apparaissent comme indispensables pour assurer la conformité au RGPD.
Cette décision rappelle également l’importance pour les RSSI et DPO d’anticiper les évolutions jurisprudentielles pour adapter les dispositifs techniques et organisationnels afin de concilier sécurité et protection des données personnelles.
👉 **Source ici**
