L’affaire portée devant la chambre sociale de la Cour de cassation concerne un licenciement pour faute grave prononcé à l’encontre d’un salarié en décembre 2019.
Il lui était reproché d’avoir envoyé des milliers de fichiers internes à l’entreprise sur sa boîte mail personnelle.
L’employeur a identifié la fuite de données à l’aide d’un outil de journalisation[1] ayant permis d’attribuer l’adresse IP à partir de laquelle les informations avaient été transmises, puis de remonter jusqu’au salarié qui a, par la suite, fait l’objet de la mesure de licenciement pour faute grave.
La Cour de cassation a cassé l’arrêt de la Cour d’appel d’Agen en estimant que l’exploitation du fichier de journalisation ayant permis d’identifier indirectement[2] le salarié constituait un traitement de données personnelles au sens du Règlement général sur la protection des données (RGPD), et que, le salarié mis en cause n’avait pas donné son consentement à un tel traitement, rendant ainsi la preuve illégale.
La question centrale posée par cet arrêt n’est donc pas tant le motif du licenciement, mais plutôt la licéité du moyen de preuve utilisé par l’employeur pour licencier le salarié.
Ainsi, l’arrêt rappelle que l’employeur ne peut s’exonérer du respect du RGPD lorsqu’il réunit les preuves nécessaires pour justifier la mesure de licenciement qu’il prononce.
En effet, les articles 5 et 6 du RGPD déterminent le cadre dans lequel l’employeur doit s’inscrire pour entreprendre un traitement des données personnelles de ses salariés.
Si l’article 5 rappelle que les données personnelles doivent être traitées de manière licite, loyale et transparente, et que cette collecte doit être entreprise dans une finalité déterminée, légitime et explicite, l’article 6 précise, quant à lui, que la licéité de ce traitement est conditionnée au consentement de la personne concernée pour le traitement de ses données réalisé dans une finalité explicite.
Par ailleurs, la Cour de cassation qualifie depuis déjà de nombreuses années les adresse IP comme des données à caractère personnel[3] au sens de la loi Informatique et Libertés[4].
En l’espèce, l’exploitation du système de journalisation pour identifier l’adresse IP du salarié à l’origine du transfert massif de données à l’extérieur de la société constituait un traitement de données à caractère personnel au sens de l’article 4 du RGPD et dont l’objectif était le contrôle individuel de son activité, nécessitant donc le consentement préalable du salarié à son traitement.
La Cour de cassation a donc conclu à l’illicéité de la preuve recueillie par la société, renvoyant ainsi les parties devant la Cour d’appel de Pau afin qu’elle statue à nouveau sur la mesure de licenciement prononcée.
______
[1] La CNIL qualifie les systèmes de journalisation comme « des systèmes indispensables pour la sécurité des données personnelles qui peuvent notamment permettre de détecter des incidents ou des accès non-autorisés » CNIL. 18 novembre 2021. « La CNIL publie une recommandation relative aux mesures de journalisation ».
[2] Par le biais de l’adresse IP de son ordinateur
[3] Cass. civ., 1ère, 3 novembre 2016, n° 15-22.595
[4] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés