Cass. Soc 9 avril 2025 n° 23-13.159

Un salarié, chef d’agence, est licencié sur la base d’un constat d’huissier s’étant fondé sur des fichiers de journalisation informatiques (adresse IP interne, échanges de courriels), au travers desquels l’employeur s’est aperçu du détournement de quelque 4000 sur sa boite mail personnelle.

Après avoir rappelé que les adresses IP sont des données à caractère personnel au sens du RGPD dès lors qu’elles permettent d’identifier indirectement une personne physique, la Cour précise que l’exploitation de ces fichiers à des fins de contrôle individuel constitue un traitement de données qui doit respecter les principes de licéité, loyauté et transparence.

Or, en l’espèce, les données avaient été utilisées à une finalité différente de celle pour laquelle elles avaient été collectées et le salarié n’avait pas consenti à ce traitement ultérieur.

En conséquence, la Cour annule la décision d’appel, notamment la validité du licenciement et le rejet des demandes du salarié, et renvoie l’affaire devant la cour d’appel de Pau, compte tenu de l’illicéité de la preuve.

Attention, cela ne signifie pas pour autant que pour exploiter l’adresse IP d’un salarié, son consentement est systématiquement requis. Comme tout traitement de données, une base légale pertinente doit être définie. L’absence de consentement a en l’espèce été critiquée au regard du détournement de finalité qu’une telle exploitation non prévue revêtait.