Publicité en cours de chargement...
Cour de cassation versus RGPD : 2-0. Et ce n’est pas une bonne nouvelle !
Écouter l'article
La première[1] dans la procédure RH de départ d’un agent, un dysfonctionnement est constaté (l’ex-agent a semble-t-il conservé, voire supprimé des données) et, pour justifier une procédure juridique, l’employeur s’appuie sur les traces techniques d’accès au SI, qui sont liées à l’IP du salarié. Au terme d’un marathon juridique, la Cour de cassation a jugé que l’IP était une donnée à caractère personnel (DCP) et que sa collecte ne pouvait être réalisée qu’avec l’accord du salarié. Je passe sur le fait que l’accord de la personne n’est qu’un des fondements juridiques possibles pour un traitement de DCP, que le RGPD est un texte européen, que cet arrêt vient percuter une tonne d’obligations réglementaires annexes (je vous laisse imaginer la suite en matière de traces techniques en tout genre) : manifestement les juges n’avaient pas dû digérer leur repas de la veille.
La seconde, dans l’arrêt du 18 juin 2025[2] de la Cour de cassation (pourvoi n° 23-19.022), la haute juridiction vient de poser un principe qui pourrait transformer la gestion des départs conflictuels – notamment pour les cadres dirigeants. Les mails professionnels sont jugés comme étant des « données personnelles ». À ce titre, l’ex-salarié (quelle que soit la cause de son départ) peut en demander communication, voire effacement.
Dit autrement, et à ce stade de l’évolution de la jurisprudence (qui bouge tout le temps, et heureusement) :
– dès lors que le nom du salarié ou tout ce qui peut permettre la réidentification est présent, c’est une DCP ;
– les règles habituelles pour les DCP s’appliquent : consentement obligatoire au recueil, accès, rectification, communication, effacement et tout le tralala.
Même en considérant que ces deux arrêts ne sont valables que dans le champ professionnel (ce qui va nécessiter tout de même une légère adaptation du RGPD), même en considérant que seul le consentement s’applique (en tant que base légale du traitement) et que les autres aspects du RGPD (rectification, effacement) ne s’appliquent pas (et il va falloir me montrer comment on s’y prend avec le RGPD en l’état), une seule conclusion s’impose : en 5 mots comme en 100, on est dans la mouise.
Tiens, juste pour rire, je retire mon consentement de :
– mes traces d’accès Internet ;
– mon badgeage à l’entrée et à la sortie de tous les locaux ;
– la vidéosurveillance, et je ne demande pas à flouter – ho ho ho ! ce serait trop facile –, je demande que quand ma tronche passe devant une caméra, l’image qui permet de me réidentifier ne soit même pas captée ;
– ma fiche de notation ;
– tous les documents que je produis (et pour lesquels accessoirement mon employeur me paye, au même titre d’ailleurs que les mails que j’envoie – hors vie privée résiduelle s’entend) ;
– et, juste parce que je suis taquin, concernant la vidéosurveillance, en fait je suis d’accord pour être filmé les jours pairs, mais pas les jours impairs ;
– pour les traces d’accès Internet, finalement je viens de changer d’avis. Je suis d’accord pour que l’on trace uniquement pendant ma journée de travail et quand je suis appelé en astreinte, sauf entre midi et deux, sauf quand je suis en télétravail en accès VPN, sauf les jours fériés et sauf pour les sites commençant par la lettre A hébergés en Europe de l’Ouest et non soumis au Cloud Act.
Et bien entendu (je garde le meilleur pour la fin) : plus question de tracer les accès au DPI de sorte qu’il devient totalement impossible de s’assurer que seuls les praticiens en charge d’un patient ouvrent le DP de ce dernier ;
On pourrait continuer longtemps de cette façon ; il m’est impossible de lister la quantité de réglementations qui imposent de tracer des accès, ne serait-ce que dans la vie professionnelle (les accès Internet sont le cas le plus connu, mais il y en a des tonnes), et de collecter d’une manière ou d’une autre des DCP sur les fondements de l’obligation légale, de l’intérêt légitime ou tout simplement parce que l’on paye les gens pour le faire, et j’en passe.
Pour ceux qui s’en souviennent, l’arrêt Nikon (2001) avait sanctuarisé le droit à la vie privée sur le lieu de travail sans garde-fou de telle sorte que même les mails (qui à l’époque relevaient du secret des correspondances) étaient intouchables. Mais le contexte n’était pas le même : cet arrêt intervenait au sein d’un vide juridique total sur ces questions. Là, les deux arrêts tombent alors qu’une doctrine ainsi qu’une jurisprudence très riches existent, et vont à contre-courant total du sens de l’histoire.
Pour l’arrêt Nikon, les jurisprudences qui ont suivi en ont, dans la plupart des cas, limité les effets. Là, en revanche, pour les deux arrêts susnommés, ce serait bien de pas trop traîner pour corriger/amender, parce que clairement la situation est totalement intenable pour les juristes, les DPO, les DSI. Si j’en crois mes (vieux) cours de droit, pour annuler un arrêt de la Cour de cassation, il faut passer par les instances européennes : autant dire que leur réponse ne sera pas pour tout de suite.
Si quelqu’un a une analyse différente ou complémentaire, je suis preneur. Ou une voie de sortie aussi, parce que là, j’ai un léger coup de mou.

Cédric Cartau
Avez-vous apprécié ce contenu ?
A lire également.

Des lignes directrices sur la portée des obligations applicables aux modèles d'IA à usage général (1)
29 juil. 2025 - 11:09,
Actualité
-Le règlement (UE) 2024/1689 (AI Act), entré en vigueur le 1er août 2024, vise à encadrer le développement et l’utilisation de l’intelligence artificielle dans l’Union européenne, en conciliant innovation technologique et protection des droits fondamentaux.

Le consortium AGORiA Santé en partenariat avec BIOGROUP obtient la 1ère autorisation de la CNIL permettant d’associer des données de biologie et du SNDS (système national des données de santé)
22 juil. 2025 - 10:23,
Communiqué
- Biogroup & Agoria Santéle 21 juillet 2025 – Le consortium AGORiA Santé est autorisé par la CNIL (Commission nationale de l'informatique et des libertés) à enrichir sa plateforme, entrepôt de données de santé système fils SNDS, avec des données d’analyses de biologie médicales issues du réseau BIOGROUP. Créé en 2021, le co...

Marc Bertrand-Mapataud nommé directeur des ressources humaines de l’AP-HP
17 juin 2025 - 11:59,
Communiqué
- l’AP-HPNicolas Revel, directeur général de l’AP-HP, a nommé Marc Bertrand-Mapataud, directeur des ressources humaines de l’AP-HP, à compter du 16 juin 2025. Il succède ainsi à Vannessa Fage-Moreel, actuellement adjointe au directeur du groupe hospitalo-universitaire (GHU) AP-HP. Nord - Université Paris Cit...

Interopérabilité en santé : FHIR on fire
23 juin 2025 - 21:47,
Actualité
- DSIH, Guilhem De ClerckHLTH 2025 – Amsterdam, 17 juin 2025 – Sur la scène du congrès HLTH, l’interopérabilité des données de santé s’est imposée comme un enjeu central, illustrant les limites persistantes des systèmes actuels et les espoirs placés dans la norme FHIR (Fast Healthcare Interoperability Resources). Au cœur de...