Preuve illicite, licenciement invalide : quand le RGPD s’invite au prud’homme

Les adresses IP (internet protocol), qui permettent d'identifier indirectement une personne physique, sont des données à caractère personnel, au sens de l'article 4 du RGPD. Leur collecte par l'exploitation d’un fichier de journalisation constitue un traitement de données à caractère personnel qui n'est licite que si la personne concernée y a consenti.

La Cour a été saisie par un pourvoi contestant un arrêt de la cour d’appel d’Agen, chambre sociale. Un salarié a été licencié pour faute grave. Ce licenciement a été justifié par la production d’un constat d’huissier faisant état d’informations provenant des fichiers de journalisation et de leur recoupement avec les messages envoyés de l’adresse IP attribuée au salarié. La cour d’appel retient que l’adresse IP n° 172.25.11.3 n’est pas attribuée par un fournisseur d’accès à Internet (adresse IP dynamique) ; c’est une adresse IP de classe B qui correspond à une adresse de réseau local et qui n’a pas lieu d’être déclarée à la CNIL parce qu’elle n’identifie que des périphériques dans le réseau local et non une personne physique. Elle ajoute qu’elle ne contient aucune donnée personnelle et qu’elle identifie seulement un ordinateur.

En utilisant comme preuve le traitement d’une adresse IP, la cour d’appel a-t-elle violé le droit ? La Cour de cassation répond de manière affirmative en considérant que l’adresse IP analysée sur le journal des logs est une donnée à caractère personnel. Selon l’article 5 du RGPD, les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) et collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités.
Selon l’article 6 § 1, le traitement n’est licite que si, et dans la mesure où la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques. En l’espèce, il aurait fallu déclarer le traitement à la CNIL.

Un arrêt dans la continuité de la jurisprudence relative à l’adresse IP

Cet arrêt confirme une jurisprudence déjà ancienne sur la nature de l’adresse IP. La Cour de justice de l’Union européenne a eu l’occasion de trancher la question de l’adresse IP « dynamique » (CJUE Breyer 19 octobre 2016, C-582/14). Cette adresse temporaire d’un utilisateur consultant un site Internet est conservée par l’exploitant du site. Celui-ci n’a pas les informations nécessaires pour identifier lui-même l’utilisateur, celles-ci étant détenues par le fournisseur d’accès à Internet (« FAI »), lui seul ayant la possibilité de faire le lien entre l’abonné et l’adresse IP. La CJUE considère que l’adresse IP dynamique est une donnée à caractère personnel.

Selon le considérant 26 de la directive 95/46/CE (qui a précédé le RGPD), une donnée à caractère personnel peut être une information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement. La Cour précise que « pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier la personne. […]. Une adresse de protocole Internet dynamique enregistrée par un fournisseur de services de médias en ligne à l’occasion de la consultation par une personne d’un site Internet que ce fournisseur rend accessible au public constitue, à l’égard dudit fournisseur, une donnée à caractère personnel […], lorsqu’il dispose de moyens légaux lui permettant de faire identifier la personne concernée grâce aux informations supplémentaires dont dispose le fournisseur d’accès à Internet de cette personne ».

Quelques jours plus tard, la chambre civile de la Cour de Cassation (Cass.civ. 3 novembre 2016 n°15-22.595) statue sur une affaire opposant deux groupes immobiliers concurrents. La victime a constaté la connexion sur son réseau informatique interne d’ordinateurs extérieurs au groupe, mais faisant usage de codes d’accès réservés aux administrateurs de son site internet. Elle a obtenu du juge des requêtes une ordonnance faisant injonction à divers fournisseurs d’accès à Internet de lui communiquer les identités des titulaires des adresses IP utilisées pour les connexions litigieuses. Pour la Cour, une adresse IP n’est pas directement liée à une personne mais à une machine, à un abonnement auprès d’un fournisseur d’accès. Mais on peut indirectement remonter à la personne. « Les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL ».

Plus récemment, la chambre sociale a confirmé la position de la chambre civile (Cour de cassation, Chambre sociale, 25 novembre 2020, 17-19.523) : « les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, au sens de loi Informatique et Libertés ».

L’arrêt du 9 avril confirme donc une jurisprudence désormais bien établie. Le traitement d’adresses IP en vue d’établir une preuve ne peut être légal que s’il a été déclaré à la CNIL et que si le consentement de la personne a été recueilli, ce qui est plus facile lorsque la personne soupçonnée appartient à l’entreprise, la mesure pouvant être incluse dans la charte informatique et inscrite parmi les finalités du traitement. Elle est néanmoins plus incertaine dès lors qu’il s’agit d’un tiers. Dans le cas de la connexion frauduleuse sur le site interne d’un concurrent, la voie pénale aurait sans doute été plus opérante.