🔍 Quand la justice freine la cybersécurité
Dans une société toujours plus numérisée, où la moindre action en ligne laisse une trace, on pourrait croire que la traçabilité est devenue une évidence : une garantie de sécurité, un filet contre la fraude, un outil de responsabilité.
Mais à la faveur d’un arrêt rendu le 9 avril 2025 (n°23-13.159), la chambre sociale de la Cour de cassation vient de semer un doute considérable sur l’un des piliers de cette traçabilité : les fichiers de journalisation, plus connus sous le nom de logs.
⚖️ L’affaire : un licenciement, des logs… et une interprétation choc
Un salarié, soupçonné d’avoir vidé massivement les serveurs de son entreprise et d’avoir transféré des données sensibles vers des boîtes mail personnelles, est licencié pour faute grave.
Pour appuyer sa décision, l’employeur s’appuie sur des éléments techniques : les logs du poste de travail montrent des suppressions massives et des envois suspects, associés à l’adresse IP de l’utilisateur. Un constat d’huissier est même établi.
Mais la Cour tranche autrement. Elle considère que ces logs ne peuvent pas être utilisés dans le cadre d’une procédure disciplinaire… car le salarié n’a pas donné son consentement préalable à ce traitement de données.
📜 La chambre sociale : une juriste… et une créatrice de droit
Cette position, pour surprenante qu’elle soit, n’est pas un accident. Elle est le fruit de la spécificité de la chambre sociale de la Cour de cassation, connue pour être prétorienne de droit.
Autrement dit : elle ne se contente pas d’appliquer la loi, elle interprète, module, parfois crée la norme, en se fondant sur une vision très protectrice des droits des salariés. Cela peut donner lieu à des avancées légitimes en matière de droit du travail… mais aussi à des dérives déconnectées des réalités techniques ou de sécurité.
Et c’est bien ce qui se joue ici.
🔓 Une interprétation risquée du RGPD
Dans sa décision, la Cour s’appuie sur l’article 6.1 du RGPD, affirmant que le traitement de logs à des fins disciplinaires ne peut être licite que sur la base du consentement de la personne concernée.
Mais cette lecture est étriquée, voire juridiquement contestable.
En effet :
Le RGPD prévoit plusieurs bases légales pour traiter des données personnelles (pas seulement le consentement),
L’article 6.1.f mentionne explicitement l’intérêt légitime du responsable du traitement,
L’article 32 impose même à tout responsable de traitement de garantir la sécurité des données par des mesures techniques appropriées, comme la journalisation.
Pire encore : la CNIL recommande elle-même la mise en place de logs pour assurer la sécurité des systèmes d'information, tracer les accès, et détecter les incidents.
🧩 Une jurisprudence qui oublie… la jurisprudence
Ce n’est pas tout. Car en plus d’écarter l’intérêt légitime, la Cour de cassation semble oublier sa propre jurisprudence, en particulier celle de l’Assemblée plénière, censée faire autorité sur les autres chambres.
Dans un arrêt du 25 novembre 2020 (n°17-19.523), l’Assemblée plénière rappelait qu’une preuve obtenue de manière illicite peut néanmoins être recevable, à condition :
qu’elle soit indispensable à l’exercice du droit à la preuve,
et que son usage soit proportionné à l’atteinte aux droits en cause.
Ce principe permettait jusqu’ici d’équilibrer les droits en présence, dans des affaires où la sécurité, la fraude ou la protection des biens et des personnes étaient en jeu.
🚨 Un risque d’insécurité juridique généralisée
Si cette nouvelle lecture devait faire jurisprudence, les conséquences seraient lourdes :
❌ Les employeurs publics comme privés ne pourraient plus exploiter les logs sans un consentement spécifique, difficile à obtenir et à sécuriser juridiquement.
❌ Les directions informatiques seraient confrontées à un dilemme insoluble : se conformer au RGPD ou protéger leurs systèmes.
❌ Les salariés malveillants pourraient invoquer cette jurisprudence pour faire annuler toute procédure, même fondée sur des preuves techniques accablantes.
On entrerait alors dans une ère d’asymétrie délétère, où l’on exige la cybersécurité sans en fournir les moyens juridiques.
🛠️ Ce que dit (vraiment) le RGPD : justifiez, encadrez, informez
Contrairement à ce que certains veulent faire croire, le RGPD n’interdit pas la surveillance informatique, ni l’usage des logs. Il impose :
Une finalité légitime (ex : sécurité des systèmes, prévention des fuites, enquêtes internes),
Une information claire des personnes concernées (ex : via la charte informatique),
Une documentation rigoureuse (registre des traitements, politique de conservation),
Et une proportionnalité constante (ne pas aller au-delà de ce qui est nécessaire).
La jurisprudence européenne (CJUE) a elle-même souligné que le consentement n’était pas une base fiable dans un cadre professionnel où existe une relation de subordination.
💬 Cybersécurité, droit et bon sens
Cette affaire nous montre à quel point la cybersécurité est devenue un sujet de société, qui dépasse les murs des DSI et les consoles des administrateurs.
Elle interroge :
Notre capacité collective à protéger les données dans un monde interconnecté,
La place du droit face à la technique,
Et la manière dont les juridictions doivent intégrer des enjeux nouveaux sans fragiliser les organisations.
🎖️ En guise de rappel : la mémoire, c’est la première ligne de défense
Le numérique est notre nouveau champ de bataille. Mais sans journalisation, c’est comme mener une guerre sans savoir d’où viennent les tirs.
Celui qui détruit les traces efface l’histoire. Celui qui interdit la traçabilité sabote l’avenir.
📚 Références pour aller plus loin :
Cour de cassation, chambre sociale, 9 avril 2025, n°23-13.159, inédit
Cour de cassation, Assemblée plénière, 25 novembre 2020, n°17-19.523
CNIL, Guide sur la sécurité des données personnelles, recommandations sur la journalisation
Règlement (UE) 2016/679, articles 4, 6.1, 32