RGPD : Le consentement du salarié devient-il obligatoire pour exploiter son adresse IP ?

Dans un arrêt du 9 avril 2025, la Cour de cassation a apporté une précision importante sur le régime juridique applicable à l’exploitation des fichiers de journalisation informatiques (logs), et notamment aux adresses IP des salariés, dans le cadre d’une procédure disciplinaire.

Une décision qui interpelle les employeurs : faut-il désormais obtenir le consentement du salarié pour pouvoir utiliser son adresse IP à des fins de contrôle ?

🟠 1 – L’affaire : un contrôle interne basé sur des logs informatiques

Le litige concernait un salarié licencié pour faute grave, à la suite d’une enquête interne révélant des suppressions et transferts de fichiers confidentiels.

Pour étayer cette décision, l’employeur avait missionné un huissier afin de réaliser un constat à partir des fichiers de journalisation du poste de travail du salarié, incluant les adresses IP utilisées.

Ces logs avaient été exploités afin d’identifier les actions du salarié sur le réseau informatique de l’entreprise. Toutefois, la Cour de cassation invalide cette méthode, en soulignant une erreur d’analyse de la cour d’appel. 

🟠 2 – L’adresse IP : une donnée à caractère personnel soumise au RGPD  

La Haute juridiction rappelle que l’adresse IP constitue bien une donnée à caractère personnel, conformément à la jurisprudence européenne et nationale, notamment l’arrêt Manfrini (Ch. soc. 25 nov. 2020, n°17-19.253).

En tant que telle, tout traitement de cette donnée doit reposer sur une base légale valide, en application de l’article 6, paragraphe 1 du RGPD.

Cet article prévoit six fondements possibles pour rendre licite un traitement de données :

• La personne concernée a donné son accord clair et explicite pour un usage spécifique de ses données ;
• Le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie (ex. : contrat de travail) ;
• Le traitement est requis pour respecter une obligation imposée par la loi (ex. : conservation de certaines données pour la sécurité) ;
• Le traitement est nécessaire pour protéger la vie ou l’intégrité physique d’une personne (peu fréquent en contexte professionnel) ;
• Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique ;
• Le traitement est nécessaire aux fins des intérêts légitimes du responsable de traitement, à condition que les intérêts ou les droits fondamentaux de la personne concernée ne prévalent pas.

Or, dans ce cas précis, l’employeur ne pouvait pas se prévaloir de son intérêt légitime, dès lors que le traitement visait un contrôle individuel du salarié, qui n’avait pas été préalablement informé de cette finalité ni explicitement consenti à cette utilisation de ses données personnelles à des fins disciplinaires. 

🟠 3 – Un traitement détourné de sa finalité initiale

La Cour a également reproché à l’employeur un détournement de finalité. En effet, les fichiers de journalisation avaient initialement été mis en place dans une logique de sécurité informatique et de bon fonctionnement du réseau, une finalité technique, donc collective.

En les réutilisant à des fins de surveillance individuelle sans base légale complémentaire ni information du salarié, l’employeur a contrevenu au principe de limitation des finalités, énoncé à l’article 5 du RGPD.

Conséquence : la preuve issue de ce traitement a été jugée illicite. Le licenciement s’en est donc trouvé juridiquement fragilisé.

🟠 4 – Vers une exigence de consentement ?

Cette décision soulève une question sensible : le consentement du salarié devient-il obligatoire pour tout usage de son adresse IP à des fins de contrôle ?

Dans le cas d’espèce, la Cour de cassation n’impose pas formellement le consentement comme la seule base légale possible. Mais elle écarte l’intérêt légitime en l’absence d’information préalable et de transparence suffisante.

Cette solution s’inscrit dans une tendance jurisprudentielle plus exigeante à l’égard des employeurs, en matière de surveillance numérique au travail.

La mise en œuvre d’un traitement de données à des fins de contrôle suppose désormais :

• Une information claire et préalable du salarié ;
• Une définition précise de la finalité du traitement ;
• Une proportionnalité entre les moyens utilisés et l’objectif poursuivi ;
• Une base légale solide, pouvant reposer sur l’intérêt légitime ou, dans certains cas, sur le consentement libre et éclairé du salarié.

🟠 5 – Les conséquences pratiques pour les employeurs

Cette décision appelle à une vigilance renforcée dans la gestion des données numériques générées par les salariés.

Les entreprises doivent :

• Mettre à jour leur politique informatique en précisant les finalités des traitements de logs ;
• Informer clairement les salariés de l’existence de ces traitements et de leur possible usage en cas d’enquête interne ;
• Limiter l’exploitation des données à ce qui est strictement nécessaire et documenter cette proportionnalité ;
• Consulter, le cas échéant, leur DPO (délégué de protection des données) pour sécuriser le recours aux fichiers de journalisation dans le respect du RGPD.

🟠 Conclusion

L’arrêt du 9 avril 2025 consacre un principe fort : l’exploitation d’une adresse IP à des fins disciplinaires doit respecter le RGPD dans toutes ses dimensions, et notamment le principe de transparence et la licéité du traitement.

S’il ne consacre pas une obligation générale de consentement du salarié, il impose aux employeurs une plus grande rigueur dans la gouvernance des données professionnelles.