Pour les lecteurs de Solutions Numériques, Florence Chafiol (Associée) et Roxane Blanc-Dubois (Collaboratrice senior) du Cabinet d’avocats August Debouzy reviennent sur la décision de la chambre sociale de la Cour de cassation en date du 25 novembre 2020.
- Le statut de l’adresse IP confirmé par la chambre sociale de la Cour de cassation
Rappelons qu’une donnée personnelle est une donnée se rapportant à une personne physique identifiée ou identifiable (directement ou indirectement, notamment par référence à un numéro d’identification).
La chambre sociale de la Cour de cassation vient de juger, par un arrêt en date du 25 novembre 2020, que « les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, au sens de loi (Informatique et Libertés) ».
La question de savoir si une adresse IP est une donnée personnelle semble ainsi refaire surface alors pourtant que cette solution avait, par le passé, déjà été adoptée en 2016 par la chambre civile de la Cour de cassation[1]. A l’époque, la chambre civile mettait fin à un long débat portant sur la question de savoir si l’adresse IP était ou non une donnée à caractère personnel. Elle suivait ainsi la position de la CNIL qui avait depuis longtemps tranché la question en décrétant, au mépris des nombreuses critiques de l’époque, qu’une adresse IP devait être considérée comme une donnée personnelle.
La CNIL avait depuis longtemps tranché la question en décrétant qu’une adresse IP devait être considérée comme une donnée personnelle.
Cet arrêt de la chambre civile de 2016 s’inscrivait également dans la lignée d’un arrêt rendu la même année, quelques jours auparavant[2], par la Cour de justice de l’Union Européenne (« CJUE »). L’arrêt de la CJUE avait toutefois le mérite de (i) distinguer entre les adresses IP « fixes » (invariables et qui permettent l’identification permanente du dispositif connecté au réseau) et « dynamiques » (une adresse qui change à l’occasion de chaque nouvelle connexion à Internet) et de (ii) préciser en quoi une adresse IP dynamique était une donnée personnelle au sens de la réglementation alors applicable.
Dans le cas d’espèce soumis à la CJUE, l’adresse IP dynamique d’un utilisateur consultant un site Internet était conservée par l’exploitant dudit site lequel n’avait pas les informations complémentaires nécessaires pour identifier lui-même l’utilisateur (en cas de cyberattaque par exemple) : ces informations étaient entre les mains du fournisseur d’accès à Internet (« FAI ») de cet utilisateur (le FAI ayant la capacité de faire le lien entre l’abonné et l’adresse IP). La CJUE rappelle que pour savoir s’il s’agit, en l’espèce, d’une donnée personnelle, il convient de se demander si la personne est identifiable en considérant l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre soit par le responsable de traitement soit par une autre personne[3]. La CJUE considère que la possibilité pour l’exploitant de combiner l’adresse IP avec l’information détenue par le FAI (l’exploitant ayant la possibilité d’utiliser des moyens légaux, tels que la saisine d’un juge, pour obtenir de la part du FAI les données permettant l’identification de la personne) constitue un moyen susceptible d’être raisonnablement mis en œuvre par l’exploitant pour identifier la personne concernée.
La possibilité pour l’exploitant de combiner l’adresse IP avec l’information détenue par le FAI constitue un moyen susceptible d’être raisonnablement mis en œuvre par l’exploitant pour identifier la personne concernée.
A noter que l’ensemble des décisions précitées ont été rendues sous le visa de la réglementation applicable avant le Règlement général sur la protection des données (« RGPD ») puisque les faits concernés étaient antérieurs à celui-ci. Néanmoins, la même solution s’applique sous le RGPD, celui-ci faisant spécifiquement référence, en son considérant 30, aux adresses IP comme identifiants en ligne pouvant servir à identifier une personne.[4]
- L’évolution de la position de la chambre sociale de la Cour de cassation concernant les preuves reposant sur un traitement de données non préalablement déclaré à la CNIL (et donc non-conforme à la réglementation sur les données personnelles)
La conséquence logique de qualifier l’adresse IP de donnée personnelle et de constater son traitement via l’exploitation des fichiers de journalisation, comme c’était le cas d’espèce dans la décision rendue par la chambre sociale de la Cour de cassation le 25 novembre dernier, est que la réglementation applicable aux données personnelles s’applique effectivement. A ce titre et jusqu’à l’entrée en application du RGPD, les traitements de données personnelles devaient, entre autres, faire l’objet de déclarations préalables auprès de la CNIL.
Selon l’arrêt précité, la preuve rapportée par un employeur contre un salarié (pour prouver une faute grave et justifier son licenciement), relative à des faits antérieurs à l’entrée en application du RGPD et reposant sur un traitement de données personnelles est illicite du fait de son absence de déclaration préalable auprès de la CNIL.
Jusqu’à présent, la chambre sociale de la Cour de cassation tendait à écarter purement et simplement cette preuve, de sorte que si la faute à l’origine d’un licenciement n’était établie qu’au moyen de cette preuve illicite, le licenciement était sans cause réelle et sérieuse et le salarié pouvait prétendre à dédommagement.
Or, par son arrêt, la chambre sociale de la Cour de cassation vient d’indiquer explicitement qu’un moyen de preuve qui serait considéré comme illicite au regard de la loi Informatique et Libertés (dans sa version pré-RGPD), n’entraine pas nécessairement son rejet des débats.
La chambre sociale de la Cour de cassation considère en effet désormais que le juge du fond doit « apprécier si l’utilisation de la preuve en cause a porté atteinte au caractère équitable de la procédure dans son ensemble, en mettant en balance
- le droit au respect de la vie personnelle du salarié et
- le droit à la preuve lequel peut justifier la production d’éléments portant atteinte à la vie personnelle d’un salarié à la condition que cette production soit indispensable à l’exercice de ce droit et que l’atteinte soit strictement proportionnée au but poursuivi ».
Il reviendra donc à la cour d’appel de renvoi d’apprécier si, après contrôle de proportionnalité, la preuve litigieuse peut, ou non, être retenue. Dans le cas d’espèce, le traitement des adresses IP par l’exploitation du fichier de journalisation avait permis de remonter jusqu’au salarié coupable d’usurpation d’identité, licencié à ce titre, alors que ce traitement de données personnelles n’avait pas fait l’objet d’une déclaration préalable auprès de la CNIL par l’employeur.
Si l’intérêt de l’arrêt précité peut, de prime abord, paraitre limité dès lors que les formalités préalables auprès de la CNIL ont pour l’essentiel disparu[5] depuis l’entrée en application du RGPD, il en est en réalité potentiellement tout autre si les juridictions françaises décident d’appliquer, de manière générale, le même raisonnement à l’égard de toute preuve illicite au regard du RGPD (et non seulement celle illicite du fait de l’absence de déclaration préalable). En effet, en ce cas, toute preuve qui serait illicite au regard du RGPD (non-respect de l’information préalable des personnes concernées, non-respect du principe de minimisation, durée de conservation trop longue etc.) pourrait alors être potentiellement déclarée valable et recevable au titre du droit à la preuve.
Si l’intérêt de l’arrêt précité peut paraitre limité dès lors que les formalités préalables auprès de la CNIL ont pour l’essentiel disparu depuis l’entrée en application du RGPD, il en est en réalité potentiellement tout autre si les juridictions françaises décident d’appliquer le même raisonnement à l’égard de toute preuve illicite au regard du RGPD.
[1] Cour de cassation, 1ière chambre civile, 3 novembre 2016, n°15-22.595
[2] Cour de justice de l’Union européenne, 19 octobre 2016, affaire C-582/14
[3] Considérant 26 de la Directive 95/46
[4] De surcroît, le RGPD, en son considérant 26, indique, comme la Directive, que pour déterminer si une personne physique est identifiable, il convient de prendre en considération l’ensemble des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique
[5] Il subsiste quelques obligations déclaratives dans le secteur de la santé
