Par Camille Pecnard, associé, et Caroline Alet, collaboratrice, Lavoix

En l’espèce, un salarié avait adressé à une entreprise cliente et concurrente de son employeur des demandes de renseignements par voie électronique en usurpant l’identité de sociétés tierces. Sur la base d’un constat d’huissier établissant que l’adresse IP à partir de laquelle les messages litigieux avaient été envoyés appartenait au salarié, l’employeur a licencié ce dernier pour faute grave. Dans cet arrêt dit « Manfrini », la Cour de cassation a confirmé que l’adresse IP est bien une donnée personnelle et admet la possibilité de recourir, dans certaines limites, à un traitement non déclaré pour appuyer le licenciement d’un salarié.

L’adresse IP est une donnée à caractère personnel

La protection des données personnelles a été largement renforcée avec l’adoption du règlement européen 2016/679 du 27 avril 2016 (RGPD), mais elle n’est pas apparue avec celui-ci. La notion de donnée à caractère personnel a été consacrée par la directive 95/46/CE du 24 octobre 1995 transposée par la loi n° 2004-801 du 6 août 2004 modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (2).

Le RGPD est venu préciser et compléter la définition des données personnelles comme « toute information se rapportant à une personne physique identifiée ou identifiable […] ; est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale (3). »

Toutefois, le RGPD n’étant entré en vigueur qu’à compter du 25 mai 2018, l’affaire Manfrini est soumise au droit antérieur. Les traitements de données personnelles sont définis comme toute opération ou ensemble d’opérations portant sur des données personnelles. Avant l’adoption du RGPD, les responsables étaient contraints, à quelques exceptions près, de réaliser avant tout traitement soit une déclaration (simplifiée, ordinaire ou normale), soit une demande d’avis ou d’autorisation. Avec le RGPD, seuls les traitements de données les plus sensibles doivent faire l’objet de formalités préalables.

Une adresse IP est un numéro attribué à tout périphérique relié à un réseau informatique utilisant le protocole internet. Ce numéro peut être attribué de manière permanente (adresse IP fixe) ou provisoire (adresse IP dynamique qui change à chaque connexion au réseau) à une machine reliée au réseau.

La jurisprudence ancienne considérait que l’adresse IP n’était pas une donnée personnelle (Cass. Com., 13 janvier 2009, n° 08-84.088). Une première décision de la Cour de Justice de l’Union européenne du 19 octobre 2016 (C-582/14) est venue juger que si l’adresse IP dynamique ne permettait de révéler directement l’identité d’une personne physique, elle constituait une donnée à caractère personnel pour le fournisseur d’accès à Internet puisqu’il dispose des informations supplémentaires nécessaires à l’identification de la personne utilisant l’ordinateur. L’adresse IP permet donc d’identifier indirectement une personne physique.

Peu de temps après cette décision, la première chambre civile de la Cour de cassation a jugé que l’adresse IP constituait une donnée à caractère personnel dont le traitement devait être déclaré auprès de la Cnil, sans distinction entre adresse IP fixe et dynamique (Cass. Civ. 1^re, 3 novembre 2016, n° 15-22.595). Dans l’arrêt d’appel contre lequel se prononce la Cour de cassation le 25 novembre 2020, la cour d’appel de Paris avait jugé que les logs, fichiers de journalisation et adresses IP ne devaient pas faire l’objet d’une déclaration préalable auprès de la Cnil ni d’une information du correspondant informatique et libertés au motif que leur vocation première n’était pas le contrôle des utilisateurs.

La Haute juridiction casse l’arrêt en rappelant que l’adresse IP permettant indirectement d’identifier une personne physique, sa collecte par l’exploitation du fichier de journalisation constitue dès lors un traitement de données personnelles. Un tel traitement doit donc respecter les formalités préalables édictées par la loi Informatique et liberté en vigueur antérieurement au RGPD.

La chambre sociale rejoint donc l’opinion de la première chambre civile ainsi que celle de la Cnil (4) en jugeant que l’adresse IP est une donnée personnelle. Cette décision comme celle de 2016 ne revient pas sur la distinction entre adresse IP fixe et dynamique, laissant encore ouverte la question de savoir si un régime différent doit être appliqué.

Si on transpose les enseignements de cette décision au droit positif, à défaut d’avoir à déclarer son traitement, l’employeur devrait prouver qu’il a correctement informé ses salariés, tenu ses registres, sécurisé les données et qu’il les a conservées conformément à la durée prévue. Ces nouvelles exigences pourront susciter quelques difficultés pratiques pour l’employeur qui, responsabilisé par les nouveaux textes, devra faire preuve de vigilance et de rigueur quant à la gestion des données personnelles de ses salariés.

Le régime de la preuve illicite obtenue au moyen d’un traitement de données

Auparavant, la chambre sociale jugeait que lorsqu’un licenciement pour faute n’était justifié qu’au moyen d’un traitement illicite de données personnelles, alors il devait être considéré sans cause réelle et sérieuse (Cass. Soc., 8 octobre 2014, n° 13-14.991). Une évolution a commencé à s’opérer notamment au travers de l’arrêt du 9 novembre 2016 (Cass. Soc., 9 novembre 2016, n° 15-10.203), où la Cour a reconnu que « le droit à la preuve peut justifier la production d’éléments portant atteinte à la vie personnelle d’un salarié à la condition que cette production soit nécessaire à l’exercice de ce droit et que l’atteinte soit proportionnée au but poursuivi ».

La Cour prend ici en considération deux arrêts récents de la Cour européenne des droits de l’homme (CEDH) : l’arrêt Barbulescu (5 septembre 2017, n° 61496/08) et l’arrêt Lopez Ribalda (17 octobre 2019, n° 1874/13 et 8567/13). Ces derniers admettent la recevabilité de preuves obtenues au détriment du droit à la vie privée issu de l’article 8 de la Convention européenne des droits de l’homme et des libertés fondamentales ou du droit interne relatif au traitement des données personnelles, sur le fondement de l’article 6 de la Convention qui régit le droit au procès équitable.

Dans l’arrêt Manfrini, la Cour de cassation énonce que le fait qu’un traitement soit illicite au regard de la loi Informatique et liberté, toujours dans sa version antérieure au RGPD, « n’entraîne pas nécessairement son rejet des débats » mais impose au juge de vérifier « si l’utilisation de cette preuve a porté atteinte au caractère équitable de la procédure dans son ensemble ». Plus précisément, la Cour énonce que cette vérification doit se faire « en mettant en balance le droit au respect de la vie personnelle du salarié et le droit à la preuve ». La chambre sociale rappelle que la production de la preuve illicite doit être indispensable à l’exercice du droit à la preuve et que l’atteinte doit être strictement proportionnée au but poursuivi.

La question de savoir si l’atteinte était en l’espèce proportionnée et si l’employeur n’avait d’autre choix que de recourir au traitement illicite pour prouver la faute du salarié échoit désormais à la cour de renvoi. Même si la Haute juridiction a explicitement circonscrit sa décision au traitement illicite en application du droit ancien, celle-ci reste toutefois intéressante à l’heure où le télétravail prend une ampleur considérable et où la surveillance des fichiers de journalisation représente un moyen aisé de contrôle pour l’employeur vis-à-vis du salarié à distance.

La Cnil a déjà livré ses premières recommandations (5) en matière de télétravail. Elle rappelle à cette occasion que « l’employeur doit […] toujours justifier que les dispositifs [de contrôle] mis en œuvre sont strictement proportionnés à l’objectif poursuivi et ne portent pas atteinte excessive au respect des droits et libertés des salariés, particulièrement le droit au respect de leur vie privée ». 

(1). Cass. Soc., 25 novembre 2020, n° 17-19.523.

(2). Auparavant, la loi de 1978 protégeait les « informations nominatives ».

(3). Article 4 (1) du RGPD.

(4). Communiqué du 2 août 2007.

(5). Les questions-réponses de la Cnil sur le télétravail, 12 novembre 2020.