Une adresse IP interne est-elle une donnée personnelle ? La Cour de cassation corrige la cour d’appel… et se trompe à son tour

La cour d’appel d’Agen avait jugé que non. La Cour de cassation l’a corrigée — à juste titre. Mais ensuite, en examinant la question de la licéité du traitement, elle a considéré que la finalité poursuivie était incompatible avec la finalité initiale, et que seul le consentement du salarié pouvait dès lors autoriser la réutilisation. Ce faisant, elle commet à son tour une erreur grave, en contradiction avec le RGPD et la jurisprudence constante de la CJUE.

Une erreur à corriger au plus vite.

Les faits

M. I., cadre salarié de la société IGC depuis 2004, exerçait depuis plusieurs années les fonctions de chef d’agence. Le 8 novembre 2019, il initie une rupture conventionnelle, à laquelle l’employeur donne un accord de principe, en convenant d’un départ négocié au 31 mars 2020. Toutefois, quelques jours plus tard, un évènement imprévu vient bouleverser ce processus.

Le 26 novembre 2019, des salariés de l’agence signalent de manière fortuite au service informatique un dysfonctionnement : plusieurs fichiers semblent avoir disparu du système. Cette alerte conduit le responsable informatique de l’entreprise à mener une investigation interne. Celle-ci révèle que plus de 4.600 fichiers et dossiers ont été supprimés depuis le poste informatique de M. I., et qu’un grand nombre de courriels comportant des documents professionnels ont été transférés vers ses adresses e-mail personnelles.

L’employeur décide alors d’interrompre le processus de rupture conventionnelle et convoque M. I. à un entretien préalable au licenciement, tout en le plaçant à titre conservatoire en mise à pied. Un huissier de justice est parallèlement mandaté afin de constater les manipulations numériques alléguées sur les serveurs internes de l’entreprise.

Le constat ayant confirmé les faits, l’employeur notifie à M. I. son licenciement pour faute grave. Il lui reproche notamment d’avoir supprimé massivement des données sensibles et d’avoir transféré des documents confidentiels sans autorisation, des agissements jugés incompatibles avec le maintien de la relation de travail.

Cour d’appel : l’adresse IP secondaire n’est pas une donnée personnelle

Le salarié contestait la régularité du constat d’huissier, réalisé après analyse du serveur informatique interne, en invoquant notamment : l’absence de déclaration CNIL d’un outil de traçabilité ; l’absence de consultation du CSE ; le non-respect des formalités d’information des salariés sur les dispositifs de contrôle.

L’affaire aboutit devant la cour d’appel d’Agen qui rappelle en préambule que le licenciement pour faute grave, dont la preuve incombe à l’employeur, ne peut pas être justifié par des éléments de preuve obtenus de façon illicite et dont la production est de ce fait irrecevable.

La cour souligne s’intéresse alors à la nature de l’adresse IP analysée par l’huissier : « L’adresse IP n°172.25.11.3 n’est pas attribuée par un fournisseur d’accès à Internet. C’est une adresse IP de classe B qui correspond à une adresse de réseau local ». Il est vrai que les plages d’adresses IP privées sont définies par une norme et que les adresses 172.16.0.0 à 172.31.255.255 constituent une plage réservée aux réseaux locaux.

Il en découle selon la cour d’appel que l’adresse IP concernée « n’identifie que des périphériques dans le réseau local et non une personne physique. Elle ne contient aucune donnée personnelle. » Dès lors, « aucune déclaration à la CNIL n’étant exigée, l’intervention de l’huissier de justice est régulière et son constat constitue une preuve licite. »

Cour de cassation : l’adresse IP secondaire est une donnée personnelle

L’arrêt de la cour d’appel est critiquable pour deux raisons au moins.

D’une part, il est illogique : si le constat a permis d’attribuer à un salarié déterminé les comportements en cause, c’est précisément parce que l’adresse IP – secondaire ou non – est une information susceptible d’identifier une personne physique ou de la rendre identifiable … en d’autres termes c’est une donnée à caractère personnel.

D’autre part, il fait fi des arrêts de la CJUE qui exigent en substance de ne pas s’arrêter à l’aspect technique de l’information mais de rechercher s’il y a un risque d’identification ; en ce sens, voir notamment :

• L’emploi de l’expression « toute information » dans la définition de la notion de « donnée à caractère personnel » reflète l’objectif du législateur de l’Union d’attribuer un sens large à cette notion, laquelle englobe potentiellement toute sorte d’informations, tant objectives que subjectives, sous forme d’avis ou d’appréciations, à condition que celles-ci « concernent » la personne en cause. Une information « concerne » une personne physique identifiée ou identifiable lorsque, en raison de son contenu, sa finalité ou son effet, elle est liée à une personne identifiable (arrêt du 4 mai 2023, Österreichische Datenschutzbehörde et CRIF, C‑487/21, EU:C:2023:369, points 23 et 24).
• Est réputée « identifiable », « une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».
• L’utilisation par le législateur de l’Union du terme « indirectement » tend à indiquer que, afin de qualifier une information de donnée à caractère personnel, il n’est pas nécessaire que cette information permette, à elle seule, d’identifier la personne concernée (voir, par analogie, arrêt du 19 octobre 2016, Breyer, C‑582/14, EU:C:2016:779, point 41).
• Conformément au considérant 16 du règlement 2018/1725, pour déterminer si une personne physique est identifiable, il convient de prendre en considération « l’ensemble des moyens raisonnablement susceptibles » d’être utilisés par le responsable du traitement ou « par toute autre personne » pour identifier la personne physique « directement ou indirectement ».
• Pour qu’une donnée puisse être qualifiée de « donnée à caractère personnel », il n’est pas requis que toutes les informations permettant d’identifier la personne concernée doivent se trouver entre les mains d’une seule personne (voir, par analogie, arrêt du 19 octobre 2016, Breyer, C‑582/14, EU:C:2016:779, point 43). En particulier, la circonstance que des informations supplémentaires sont nécessaires pour identifier la personne concernée n’est pas de nature à exclure que les données en cause puissent être qualifiées de données à caractère personnel (voir, par analogie, arrêt du 19 octobre 2016, Breyer, C‑582/14, EU:C:2016:779, point 44).
• Encore faut-il cependant que la possibilité de combiner les données en cause avec des informations supplémentaires constitue un moyen susceptible d’être raisonnablement mis en œuvre pour identifier la personne concernée. Pour établir si des moyens sont raisonnablement susceptibles d’être utilisés afin d’identifier une personne physique, il convient, selon le considérant 16 du règlement 2018/1725, de prendre en considération l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-ci.
• Un moyen n’est pas susceptible d’être raisonnablement mis en œuvre pour identifier la personne concernée lorsque l’identification de cette personne est interdite par la loi ou irréalisable en pratique, par exemple en raison du fait qu’elle impliquerait un effort démesuré en termes de temps, de coût et de main‑d’œuvre, de sorte que le risque d’une identification paraît en réalité insignifiant (voir, par analogie, arrêt du 19 octobre 2016, Breyer, C‑582/14, EU:C:2016:779, point 46).

On ne sera donc pas surpris que la cour de cassation, sur moyen pris d’office, juge que « l’exploitation des fichiers de journalisation, qui avaient permis d’identifier indirectement le salarié, constituait un traitement de données à caractère personnel au sens de l’article 4 du RGPD (…) ».

Quelle base de licéité ?

La cour de cassation rappelle ensuite l’importance de disposer d’une base de licéité pour le traitement, mais elle le fait dans des termes ambigus :

« 5. Selon l’article 6 § 1, le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie, notamment : a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques.

6. Il en résulte que les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, au sens de l’article 4 du RGPD, de sorte que leur collecte par l’exploitation du fichier de journalisation constitue un traitement de données à caractère personnel qui n’est licite que si la personne concernée y a consenti. »

Comment concilier l’adverbe « notamment » (qui est correct) avec l’attendu suivant qui pose que le traitement n’est licite « que si » la personne concernée y a consenti ? La cour de cassation soutient-elle que le consentement est la seule base envisageable, ou n’y voit-elle qu’une possibilité parmi d’autres ?

Malheureusement, il n’y a plus de doute à la lecture de l’attendu décisif :

« En statuant comme elle l’a fait, alors que l’exploitation des fichiers de journalisation, qui avaient permis d’identifier indirectement le salarié, constituait un traitement de données à caractère personnel au sens de l’article 4 du RGPD et qu’elle constatait que l’employeur avait traité, sans le consentement de l’intéressé, ces données à une autre fin, à savoir le contrôle individuel de son activité, que celle pour laquelle elles avaient été collectées, ce dont il résultait que la preuve était illicite, la cour d’appel a violé les textes susvisés. »

Commentaire : le consentement n’est ni la seule base de licéité, ni la plus indiquée dans un contexte de relation de travail

Rappelons que (en très résumé) :

• Un traitement ultérieur est parfaitement licite si la nouvelle finalité poursuivie est la même que la finalité initiale, ou si elle est compatible avec la finalité initiale ;
• Si la nouvelle finalité n’est ni identique ni compatible avec la finalité initiale, le traitement ultérieur n’est licite et ne peut avoir lieu que s’il dispose, en tant quel tel, d’une base de licéité propre et satisfait aux règles du RGPD.

Il se déduit de l’arrêt de la cour de cassation qu’elle considère que les finalités sont différentes et incompatibles. On eût aimé qu’elle explique son raisonnement parce que ni la cour d’appel ni la cour de cassation ne permet de le comprendre.

Admettons toutefois que ce soit le cas ; qu’est-ce qui permet ensuite à la cour d’exiger le consentement comme seule base de licéité pour justifier la réutilisation ?

• D’une part, c’est absolument et radicalement contraire avec la jurisprudence de la CJUE : l’article 5, et les hypothèses de licéité qu’il énonce, est un tout cohérent et indivisible : ni le juge national, ni la loi de l’Etat membre, ne permet de supprimer ou d’ajouter à cette liste.
• D’autre part, c’est incompatible avec la jurisprudence de la CJUE qui considère que dans le contexte d’une relation de travail, où il y a un rapport hiérarchique, le consentement n’est pas la base de licéité adéquate car il est difficile d’établir son caractère « libre ».

En d’autres termes, non seulement la Cour de cassation a tort de mettre en exergue une seule base de licéité parmi les six hypothèses du RGPD, mais elle se trompe une seconde fois en exigeant le consentement qui est, précisément, la base de licéité la moins adéquate dans le cadre d’une relation de travail. Quid de l’intérêt légitime ? Quid du traitement nécessaire à l’exécution d’un contrat ? pourquoi les évacuer de la sorte ?

Il faut donc espérer que cet arrêt, absolument critiquable, reste aussi isolé que possible.

L’arrêt commenté est joint.