En effet, dans un arrêt du 9 avril 2025 (n°23-13.159), la chambre sociale a décidé qu’une adresse IP interne constitue bien une donnée personnelle au sens du RGPD, mais à la condition essentielle que cette qualification s’applique uniquement « lorsqu’elle est utilisée par l’employeur afin d’identifier indirectement un salarié par recoupement avec d’autres informations dont il dispose. »
🔍 Contexte de l’affaire : Un salarié avait été licencié pour faute grave sur la base d’un rapport attestant de connexions à des sites non autorisés. Ce rapport mentionnait uniquement des adresses IP internes, que l’employeur avait utilisées pour l’identifier.
🧩 Contrairement aux adresses IP publiques (attribuées par les Fournisseurs d’Accès Internet (FAI)), les adresses IP internes sont générées par les routeurs au sein d’un réseau local privé (comme 192.168.1.1).
⚖️ Deux erreurs d’appréciation corrigées :
1️⃣ La Cour d’appel avait considéré qu’une adresse IP interne ne permettait aucune identification, même indirecte, d’une personne physique.
2️⃣ La Cour de cassation rectifie ce raisonnement, mais commet elle-même une interprétation discutable en ajoutant une condition non prévue par le RGPD : l’intention d’identifier.
En effet, la Cour précise que l’adresse IP devient une donnée personnelle « lorsqu’elle est utilisée PAR l’employeur AFIN d’identifier… » – introduisant ainsi un critère d’intentionnalité absent du règlement européen.
📋 En pratique :
Votre système de journalisation interne collecte des adresses IP ? Ces données doivent être considérées comme des données personnelles si elles peuvent être reliées à des personnes identifiables.
Vous devez mettre à jour vos registres de traitement pour inclure ces adresses dans la cartographie des données personnelles traitées.
Les durées de conservation de ces logs doivent être justifiées et limitées conformément au principe de minimisation.
Dans le cadre du contrôle des activités des salariés, assurez-vous que votre charte informatique mentionne explicitement le traitement des adresses IP internes.
Révisez vos procédures d’anonymisation si vous transmettez ces données à des tiers.
💡 À noter : cette décision s’inscrit dans la lignée de l’arrêt « Breyer » de la CJUE (2016) qui avait déjà qualifié les adresses IP dynamiques de données personnelles lorsqu’un FAI dispose de moyens légaux pour identifier la personne.
En tout état de cause, cette décision renforce l’interprétation extensive de la notion de donnée personnelle portée par les autorités de contrôle, tout en y ajoutant un critère intentionnel qui fera (certainement) l’objet de débats futurs.
Qu’en pensez-vous : révolution ou simple ajustement jurisprudentiel ? Votre entreprise traite-t-elle les adresses IP internes comme des données personnelles ?
Source : https://www.legifrance.gouv.fr/juri/id/JURITEXT000051464959
