Cour de cassation versus RGPD : 2-0. Et ce n’est pas une bonne nouvelle !

La première[1] dans la procédure RH de départ d’un agent, un dysfonctionnement est constaté (l’ex-agent a semble-t-il conservé, voire supprimé des données) et, pour justifier une procédure juridique, l’employeur s’appuie sur les traces techniques d’accès au SI, qui sont liées à l’IP du salarié. Au terme d’un marathon juridique, la Cour de cassation a jugé que l’IP était une donnée à caractère personnel (DCP) et que sa collecte ne pouvait être réalisée qu’avec l’accord du salarié. Je passe sur le fait que l’accord de la personne n’est qu’un des fondements juridiques possibles pour un traitement de DCP, que le RGPD est un texte européen, que cet arrêt vient percuter une tonne d’obligations réglementaires annexes (je vous laisse imaginer la suite en matière de traces techniques en tout genre) : manifestement les juges n’avaient pas dû digérer leur repas de la veille.

La seconde, dans l’arrêt du 18 juin 2025[2] de la Cour de cassation (pourvoi n° 23-19.022), la haute juridiction vient de poser un principe qui pourrait transformer la gestion des départs conflictuels – notamment pour les cadres dirigeants. Les mails professionnels sont jugés comme étant des « données personnelles ». À ce titre, l’ex-salarié (quelle que soit la cause de son départ) peut en demander communication, voire effacement.

Dit autrement, et à ce stade de l’évolution de la jurisprudence (qui bouge tout le temps, et heureusement) :

– dès lors que le nom du salarié ou tout ce qui peut permettre la réidentification est présent, c’est une DCP ;

– les règles habituelles pour les DCP s’appliquent : consentement obligatoire au recueil, accès, rectification, communication, effacement et tout le tralala.

Même en considérant que ces deux arrêts ne sont valables que dans le champ professionnel (ce qui va nécessiter tout de même une légère adaptation du RGPD), même en considérant que seul le consentement s’applique (en tant que base légale du traitement) et que les autres aspects du RGPD (rectification, effacement) ne s’appliquent pas (et il va falloir me montrer comment on s’y prend avec le RGPD en l’état), une seule conclusion s’impose : en 5 mots comme en 100, on est dans la mouise.

Tiens, juste pour rire, je retire mon consentement de :

– mes traces d’accès Internet ;

– mon badgeage à l’entrée et à la sortie de tous les locaux ;

– la vidéosurveillance, et je ne demande pas à flouter – ho ho ho ! ce serait trop facile –, je demande que quand ma tronche passe devant une caméra, l’image qui permet de me réidentifier ne soit même pas captée ;

– ma fiche de notation ;

– tous les documents que je produis (et pour lesquels accessoirement mon employeur me paye, au même titre d’ailleurs que les mails que j’envoie – hors vie privée résiduelle s’entend) ;

– et, juste parce que je suis taquin, concernant la vidéosurveillance, en fait je suis d’accord pour être filmé les jours pairs, mais pas les jours impairs ;

– pour les traces d’accès Internet, finalement je viens de changer d’avis. Je suis d’accord pour que l’on trace uniquement pendant ma journée de travail et quand je suis appelé en astreinte, sauf entre midi et deux, sauf quand je suis en télétravail en accès VPN, sauf les jours fériés et sauf pour les sites commençant par la lettre A hébergés en Europe de l’Ouest et non soumis au Cloud Act.

Et bien entendu (je garde le meilleur pour la fin) : plus question de tracer les accès au DPI de sorte qu’il devient totalement impossible de s’assurer que seuls les praticiens en charge d’un patient ouvrent le DP de ce dernier ;

On pourrait continuer longtemps de cette façon ; il m’est impossible de lister la quantité de réglementations qui imposent de tracer des accès, ne serait-ce que dans la vie professionnelle (les accès Internet sont le cas le plus connu, mais il y en a des tonnes), et de collecter d’une manière ou d’une autre des DCP sur les fondements de l’obligation légale, de l’intérêt légitime ou tout simplement parce que l’on paye les gens pour le faire, et j’en passe.

Pour ceux qui s’en souviennent, l’arrêt Nikon (2001) avait sanctuarisé le droit à la vie privée sur le lieu de travail sans garde-fou de telle sorte que même les mails (qui à l’époque relevaient du secret des correspondances) étaient intouchables. Mais le contexte n’était pas le même : cet arrêt intervenait au sein d’un vide juridique total sur ces questions. Là, les deux arrêts tombent alors qu’une doctrine ainsi qu’une jurisprudence très riches existent, et vont à contre-courant total du sens de l’histoire.

Pour l’arrêt Nikon, les jurisprudences qui ont suivi en ont, dans la plupart des cas, limité les effets. Là, en revanche, pour les deux arrêts susnommés, ce serait bien de pas trop traîner pour corriger/amender, parce que clairement la situation est totalement intenable pour les juristes, les DPO, les DSI. Si j’en crois mes (vieux) cours de droit, pour annuler un arrêt de la Cour de cassation, il faut passer par les instances européennes : autant dire que leur réponse ne sera pas pour tout de suite.

Si quelqu’un a une analyse différente ou complémentaire, je suis preneur. Ou une voie de sortie aussi, parce que là, j’ai un léger coup de mou.