Actualités juridiques et digitales

Données personnelles et droit à la preuve : quelle limite en litige social ?

Rédigé par Haas Avocats | Jun 20, 2025 9:38:47 AM

Par HAAS Avocats

Le droit des données personnelles prévaut-il sur le droit à la preuve dans les litiges en matière sociale ? Bien que cette question épineuse ne soit pas nouvelle, la chambre sociale de la Cour de cassation a dû s’y pencher à nouveau dans deux décisions rendues le même jour, le 9 avril 2025.

Ces deux affaires, bien qu’ayant en commun la question de la production judiciaire de documents contenant des données personnelles, donnent lieu à deux approches juridiques très différentes, parfois surprenantes, selon que la preuve émane de l’employeur ou des syndicats.

Données personnelles : la preuve de l’employeur jugée illicite

Dans la première affaire[1], un salarié a été licencié pour faute grave après avoir effacé des milliers de fichiers de l’entreprise et transféré des courriels professionnels vers ses boîtes personnelles. L’employeur fonde sa preuve sur un constat d’huissier établi à partir des fichiers de journalisation du réseau informatique de l’entreprise.

La cour d’appel d’Agen avait validé la preuve car elle estimait que l’adresse IP locale utilisée n’était pas considérée comme une donnée personnelle, en raison du fait qu’elle identifiait un terminal et non pas directement une personne physique.

La Cour de cassation casse cette décision et rappelle que même une adresse IP locale constitue une donnée à caractère personnel, car elle permet une identification indirecte du salarié. Cette solution est conforme à la jurisprudence de la Cour de justice de l’Union européenne (arrêt Breyer, 19 octobre 2016) et aux positions des autorités de contrôle, à savoir, la CNIL[2] et le CEPD (ex. G29)[3].

Dans les faits, l’adresse IP avait effectivement permis d’identifier le salarié : la qualification de donnée personnelle ne faisait donc aucun doute.

Cependant, la Cour de cassation prend une orientation plus contestable en jugeant la preuve illicite, au motif notamment que le traitement avait été réalisé sans le consentement du salarié.

Elle estime en effet que les données ont été utilisées à une finalité ultérieure, en l’occurrence le contrôle individuel de l’activité du salarié, distincte de la finalité initiale pour laquelle elles avaient été collectées, à savoir la sécurité ou la surveillance du bon fonctionnement des systèmes informatiques. Or, selon la CNIL[4], les données de connexion peuvent être traitées à des fins de sécurité ou du bon fonctionnement des systèmes, mais pas pour contrôler individuellement les salariés.

La Cour reproche ainsi à l’employeur un détournement de finalité, lorsqu’il a utilisé les journaux de connexion à des fins de contrôle.

Mais cette analyse peut être discutée : l’employeur n’a-t-il pas initialement traité les adresses IP à des fins techniques, et constaté incidemment la faute du salarié ? Le détournement de finalité n’apparaît donc pas manifeste.

En outre, sur la base de ces constatations, la Cour considère que l’employeur aurait dû fonder le traitement secondaire sur la base du consentement du salarié, ce qui est largement contestable, dans la mesure où cette base légale est la plupart du temps, dans ce contexte, considérée comme inopérante.

En effet, les autorités de contrôle[5] estiment que le consentement du salarié ne peut être libre, en raison du déséquilibre inhérent à la relation employeur-salarié. Cette base légale doit donc en principe être écartée au profit de l’intérêt légitime ou d’une obligation légale.

En exigeant un tel consentement, la Cour de cassation introduit une insécurité juridique majeure :

  • Si le salarié refuse le traitement de ses données personnelles, des conséquences à son encontre pourraient avoir lieu ;
  • S’il accepte, le consentement est juridiquement invalide.

Enfin, et plus étonnant encore, la Cour de cassation écarte la preuve sans même procéder à une mise en balance des droits en présence.
Elle ne s’interroge ni sur la proportionnalité du traitement, ni sur sa nécessité pour la défense en justice, ni sur le respect du principe de minimisation.

Or, une telle analyse aurait permis de concilier droit à la preuve et protection des données, comme elle le fera… dans la seconde affaire.

Discrimination et action collective : la Cour valide la preuve issue de données personnelles

Dans la seconde affaire[6], ce sont des syndicats de salariés qui demandaient la communication de données nominatives (date de naissance, sexe, niveau de qualification, classification, rémunération…) afin de démontrer une discrimination systémique fondée sur le sexe dans le cadre d’une action de groupe.

Bien que la cour d’appel ait déclaré l’appel irrecevable pour des raisons procédurales, la Cour de cassation profite de cette décision pour poser une méthode de fond en matière de production de données personnelles à des fins probatoires.

En effet, dans le prolongement de la Cour de justice de l’Union européenne (aff. C-268/21, 2 mars 2023), la Cour de cassation rappelle que la production de documents contenant des données personnelles peut être licite, à condition qu’elle respecte trois exigences cumulatives :

  1. La nécessité et la proportionnalité au regard de la procédure en cause ;
  2. Le respect du principe de minimisation : seules les données strictement nécessaires doivent être communiquées ;
  3. La finalité exclusive de l’action en justice, en l’occurrence la lutte contre la discrimination.

Cette approche assure une mise en balance concrète entre le droit à la preuve des syndicats et la vie privée des salariés tiers.

Deux poids, deux mesures en matière de preuve ?

A la lecture de ces deux décisions, il apparaît que l’analyse de la chambre sociale de la Cour de cassation varie selon l’auteur de la preuve :

  • L’employeur se voit opposer une lecture rigide et dévoyée du RGPD, sans aucune appréciation de la proportionnalité ni des intérêts en présence.
  • Les syndicats, eux, bénéficient d’une approche pragmatique et proportionnée, respectueuse des exigences du procès équitable.

Cette différence de traitement interroge, et pourrait être perçue comme une remise en cause de l’égalité des armes entre les parties au procès.

Vers un meilleur équilibre entre preuve et données personnelles ?

Ces deux décisions illustrent la difficulté persistante à articuler efficacement le droit des données personnelles et le droit de la preuve en matière sociale.

Si la protection des droits fondamentaux des salariés est indispensable, elle ne doit pas entraver l’administration équitable de la preuve, quel que soit l’auteur de la demande.

La Cour devra affiner sa jurisprudence, notamment à la lumière de l’arrêt de l’Assemblée plénière du 22 décembre 2023 (n°20-20.648), qui rappelle l’impératif de mise en balance entre les droits fondamentaux, y compris lorsque la preuve émane de l’employeur.

***

Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.

 

[1] Cour de cassation, ch. Soc., 9 avr. 2025, n°23-13.159

[2] CNIL, 26e rapp. d'activité 2005, p. 84

[3] Article 29 - Data Protection Working Party, Privacy on the Internet - An integrated EU Approach to On-line Data Protection, doc. WP 37, 5063/00, 21 nov. 2000.

[4] CNIL, Référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion du personnel, 21 nov. 2019, p. 9.

[5] CEPD, Lignes directrices 5/2020 sur le consentement au sens du règlement (UE) 2016/679 du 4 mai 2020, §21 et s.

[6] Cour de cassation, ch. Soc., 9 avril 2025, n°22-23.639
Voir l'article complet