La Cour de Cassation s’en prend aux logs au nom du RGPD
Une étonnante jurisprudence de la Cour de Cassation remet en cause l’utilisation des journaux de logs, considérés comme des données personnelles.
Voilà une affaire a priori banale qui risque de laisser de lourdes traces. Le litige remonte à 2019 mais la Cour de Cassation, chambre sociale, vient de rendre un arrêt le 9 avril 2025 cassant un jugement se basant sur la preuve apportée par les journaux de logs, cette preuve étant considérée comme illicite. Le tracking de l’activité informatique est en effet considéré, dans cet arrêt, comme un traitement de données personnelles soumis au RGPD. Et cela impliquerait donc, selon la Cour, le besoin d’un consentement des salariés à ce tracking.
Rappelons brièvement l’affaire. En 2019, un salarié demande une rupture conventionnelle à son employeur qui l’accepte. Mais, peu après, l’employeur s’aperçoit que le salarié a supprimé un certain nombre de données sur les systèmes de l’entreprise et en a transféré d’autres à l’extérieur, ce qui est prouvé par les traces dans les journaux de logs, traces rapportées par un constat d’huissier. La rupture conventionnelle est alors annulée et le salarié licencié pour faute grave. Ce dernier attaque l’entreprise devant le Conseil de Prud’hommes. L’affaire va en appel et, donc, en cassation. Les tribunaux jugeant sur le fond ont tous validé le licenciement pour faute grave, la Cour d’Appel remettant en cause le caractère de données personnelles des logs. Mais la Cour de Cassation vient donc de remettre en cause la licéité de la preuve utilisée.
La licéité du recours aux logs comme preuve remise en cause
Certes, que les logs soient des données personnelles, c’est une chose déjà admise dans la jurisprudence et la Cour d’Appel a donc méconnu celle-ci. Mais la charte informatique, annexée au règlement intérieur et ayant fait l’objet des consultations et informations obligatoires, prévoyait bien la traçabilité des actions effectuées par les utilisateurs. Là où la Cour de Cassation innove de manière gênante est bien sur cette phrase : « l’exploitation du fichier de journalisation constitue un traitement de données à caractère personnel qui n’est licite que si la personne concernée y a consenti. » Et, plus loin : « l’employeur avait traité, sans le consentement de l’intéressé, ces données à une autre fin (NDLR : quelle est la fin initiale ?), à savoir le contrôle individuel de son activité, que celle pour laquelle elles avaient été collectées, ce dont il résultait que la preuve était illicite ».
L’affaire n’est pas terminée puisqu’elle est renvoyée devant une autre Cour d’Appel. Si celle-ci n’accepte pas l’étrange interprétation du RGPD de la Chambre Sociale de la Cour de Cassation, surtout compte tenu du règlement intérieur de l’entreprise, l’affaire sera sans doute renvoyée devant la Cour de Cassation, cette fois en Assemblée Plénière. Cette affaire va donc devoir être suivie dans les années à venir. Ou, peut-être, le Législateur va-t-il s’en saisir pour clarifier les choses.
En savoir plus
- Arrêt de la Cour de Cassation, Chambre sociale, 9 avril 2025.
- Commentaire sur Linkedin de la consultante en protection des données et DPO externe Léah Perez.