Licenciement et RGPD : l’exploitation de l’adresse IP pour prouver une faute est illicite sans consentement du salarié

La Cour de cassation continue de préciser les limites du pouvoir de contrôle de l’employeur à l’ère du numérique.

Dans un arrêt du 9 avril 2025 (n° 23-13.159), la chambre sociale rappelle que l’exploitation de fichiers de journalisation (logs informatiques) contenant des adresses IP constitue un traitement de données à caractère personnel soumis au RGPD.

Dès lors, sans consentement du salarié ou base légale valide, la preuve ainsi recueillie est illicite et ne peut fonder un licenciement.

Les faits : un licenciement fondé sur les traces informatiques d’un salarié

Un chef d’agence, employé depuis 2004, est licencié pour faute grave en 2019.
Pour justifier cette décision, l’employeur produit un procès-verbal d’huissier fondé sur les fichiers de journalisation du réseau informatique de l’entreprise.
Ces logs, associant les messages envoyés depuis une adresse IP interne (172.25.11.3), permettent d’identifier le salarié à l’origine des faits reprochés.

La cour d’appel d’Agen avait jugé cette preuve licite : selon elle, une adresse IP locale ne constitue pas une donnée personnelle, puisqu’elle identifie un ordinateur et non une personne physique. Aucune déclaration CNIL n’était donc nécessaire, et le constat d’huissier avait été jugé régulier.

La position de la Cour de cassation : l’adresse IP est une donnée personnelle

La Cour de cassation ne suit pas ce raisonnement. En se fondant sur les articles 4, 5 et 6 du RGPD, elle rappelle que :

« Les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel. »

Autrement dit, même une adresse IP interne dans un réseau local d’entreprise constitue une donnée personnelle dès lors qu’elle permet — directement ou par recoupement — d’identifier un utilisateur déterminé.
L’exploitation de ces fichiers de logs est donc bien un traitement de données à caractère personnel soumis aux obligations du RGPD.

Une preuve illicite en l’absence de consentement ou de base légale

Le RGPD exige que tout traitement de données repose sur une base de licéité (article 6 §1).
Parmi ces bases figurent notamment :
• le consentement de la personne concernée ;
• l’exécution du contrat de travail ;
• le respect d’une obligation légale ;
• ou encore l’intérêt légitime de l’employeur, à condition de ne pas porter atteinte de manière disproportionnée aux droits du salarié.

En l’espèce, la Cour constate que l’employeur a utilisé les logs à une autre fin que celle pour laquelle ils avaient été collectés (la sécurité du réseau).
Cette réutilisation pour contrôler individuellement un salarié n’était ni prévue ni légitime au sens du RGPD.
L’absence de consentement du salarié rend le traitement illicite, et donc la preuve irrecevable.

Conséquence : la cassation pour violation du RGPD

La chambre sociale casse l’arrêt d’appel :

L’exploitation des fichiers de journalisation constituait un traitement de données personnelles illicite, de sorte que la preuve du licenciement était irrégulière.

En conséquence : • Le licenciement ne peut être considéré comme fondé sur une cause réelle et sérieuse. • La cour d’appel de Pau devra réexaminer l’affaire. • L’employeur est condamné aux dépens et à 2 000 euros au titre de l’article 700 du code de procédure civile.

Ce qu’il faut retenir

Cet arrêt s’inscrit dans une ligne jurisprudentielle claire : le pouvoir de contrôle de l’employeur ne peut s’exercer au mépris des règles de protection des données.

Trois enseignements pratiques :

1. Les logs, adresses IP et données de connexion sont des données personnelles dès qu’elles permettent d’identifier un salarié.
2. Leur exploitation à des fins disciplinaires suppose :une information claire et préalable du salarié,
   • une information claire et préalable du salarié,
   • une base légale de traitement (souvent l’intérêt légitime, mais à encadrer),
   • une politique interne conforme (charte informatique, registre RGPD, etc.).
3. Une preuve issue d’un traitement illicite est irrecevable : même si les faits sont réels, l’employeur ne pourra pas les utiliser devant le juge.

Un rappel utile à l’heure du digital workplace

Avec la généralisation du télétravail, des outils collaboratifs et des systèmes de suivi d’activité, la frontière entre contrôle légitime et surveillance illicite est plus que jamais ténue.
Les entreprises doivent donc :
• Mettre à jour leur registre des traitements ;
• Impliquer leur DPO dans la définition des politiques de sécurité et de contrôle ;
• Informer clairement les salariés sur les données collectées, leurs finalités et leurs droits.

Conclusion

Cet arrêt rappelle qu’une donnée technique n’est jamais neutre : dès lors qu’elle permet d’identifier un salarié, elle entre dans le champ du RGPD.
Le respect du droit à la protection des données est désormais une condition de validité des preuves disciplinaires.

Sécurisez votre gestion des ressources humaines, pensez MEMO RH !