Confier au salarié un ordinateur professionnel dans le cadre de ses fonctions n’autorise pas l’employeur à contrôler l’activité du salarié comme il l’entend. La réglementation applicable aux dispositifs de surveillance mais surtout le RGPD limitent la marge de manœuvre de l’employeur, y compris dans l’hypothèse d’un vol de données.
C’est ce que rappelle un arrêt rendu le 9 avril dernier par la Cour de cassation (Cass. soc., 9 avr. 2025 : n°23-13.159). Dans cette affaire, l’employeur découvre que le salarié avait effacé plus de 4.000 documents professionnels et transféré une centaine de mails comprenant des pièces jointes vers sa boîte mail personnelle.
Après avoir fait constater ces agissements par huissier, l’employeur licencie le salarié pour faute grave. Le salarié conteste son licenciement en soutenant que le dispositif de traçabilité informatique utilisé par l’employeur avait été mis en place de manière irrégulière.
La Cour de cassation lui a donné raison, estimant que la collecte d’une adresse IP via des logs de connexion était un traitement de données personnelles. Or, un tel traitement, effectué sans le consentement du salarié et à une autre fin que celle initialement prévue est illicite.
Vigilance donc, l’utilisation des logs de connexion ne peut en principe servir à contrôler individuellement un salarié, ni constituer une preuve recevable à l’appui d’une sanction disciplinaire.
Anna JACQUET, Avocate | Pôle Social
