RGPD : la Cour de cassation fait cavalier seul sur la communication des courriels professionnels

Le 30 mars 2018, un directeur associé d’un cabinet de conseil est licencié pour faute à la suite d’une enquête interne menée après des signalements de propos et comportements à connotation sexiste et sexuelle.

Contestant son licenciement, il saisit le conseil de prud’hommes, invoquant entre autres choses la violation de son droit d’accès à ses données personnelles.

Dans un arrêt du 25 mai 2023, la cour d’appel de Paris accueille cette demande et condamne l’employeur pour avoir refusé de transmettre au salarié, postérieurement à son licenciement, ses courriels professionnels, sans justification, en violation de l’article 15 du RGPD.

L’employeur forme un pourvoi en cassation. Dans un arrêt du 18 juin, la chambre sociale le rejette, confirmant l’analyse de la cour d’appel de Paris (Cass. soc., 18 juin 2025, n°23-19.022).

Une position contestable sur le droit d’accès :

S’agissant des courriels professionnels émis et reçus par un salarié dans le cadre de l’exécution de son contrat de travail, la chambre sociale considère, dans cet arrêt du 18 juin, qu’ils constituent des données à caractère personnel au sens du RGPD et que leur communication à un ancien salarié ne peut donc être refusée sans motif légitime.
Elle reconnait ainsi, de manière péremptoire qu’une telle demande générale ne constitue pas d’un abus, mais l’exercice légitime du droit d’accès.
Or, cette interprétation se heurte à l’objet et à finalité même du droit d’accès telle qu’elle résulte du RGPD.

Le cadre juridique du droit d’accès : une finalité d’information, non de preuve

L’article 15 du RGPD prévoit que « La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel (…) ».

Ce texte doit être lu à la lumière du considérant 63 du RGPD, qui précise la raison d’être du droit d’accès : « la personne concernée devrait avoir le droit d’accéder aux données à caractère personnel qui ont été collectées à son sujet (…) afin de prendre connaissance du traitement et d’en vérifier la licéité ».

Il en résulte clairement que le RGPD garantit non pas l’accès à des documents, mais uniquement l’accès à l’information sur l’existence ou non d’un traitement de données à caractère personnel et, le cas échéant, l’accès aux données personnelles faisant l’objet d’un traitement dans le but de s’assurer de la licéité de ce traitement.

Le droit d’accès n’a donc aucunement vocation à être utilisé dans le cadre d’une stratégie probatoire ! C’est d’ailleurs ce que rappelaient les rapports du Conseiller et de l’Avocat général dans cette affaire.

Une interprétation contraire aux positions européennes et à celle de la CNIL

La Cour de Justice de l’Union Européenne (CJUE) a récemment jugé que « le droit d’accès prévu à l’article 15 du RGPD doit permettre à la personne concernée de s‘assurer que les données à caractère personnel le concernant sont exactes et qu’elles sont traitées de manière licite » (CJUE, 12 janv. 2023, n°C-154/21).

Le Comité Européen à la Protection des Données (CEPD – successeur du « G29 ») a également pris position dans ses lignes directrices adoptées le 28 mars 2023 (lignes directrices 01/2022 relatives aux droits des personnes concernées – Droit d’accès Version 2.1) : il rappelle la finalité du droit d’accès et précise que son objectif « est de fournir aux personnes physiques des informations suffisantes, transparentes et facilement accessibles sur le traitement des données, quelles que soient les technologies utilisées, et de permettre de vérifier différents aspects d’une activité de traitement particulière au titre du RGPD ».

Au niveau national, dès 2022, la CNIL précisait dans sa fiche « Le droit d’accès des salariés à leurs données et aux courriels professionnels » (version du 5 janvier 2022) que le droit d’accès porte uniquement « sur des données personnelles et non pas sur des documents ». Elle ajoutait ensuite que si la transmission de courriels peut être un moyen de satisfaire à la demande, elle n’est en aucun cas obligatoire, des tableaux synthétiques pouvant suffire : « […] Cependant, cette solution ne saurait être obligatoire. Ainsi l’envoi d’un tableau contenant les métadonnées et les données personnelles contenues dans les différents courriels est également une solution ».

À la suite de la publication du bilan des contrôles menés dans le cadre de l’action coordonnée européenne du CEPD le 20 janvier 2025, la CNIL a mis à jour sa fiche (version du 31 janvier 2025. Voir « RGPD : quel droit d’accès du salarié aux courriers professionnels ? ».

L’actualisation de la fiche se concentre principalement sur les demandes d’accès des salariés et anciens salariés à leurs courriels professionnels. Constatant que ces demandes, souvent relatives à un volume très important de courriels, s’avèrent particulièrement lourdes et coûteuses à traiter pour les employeurs (et vont bien au-delà de l’objectif initial du droit d’accès) la CNIL délivre une méthode pratique pour les traiter, dans une approche cherchant à concilier droit d’accès du salarié et droits des tiers.

Cette méthode préconisée par la CNIL est pourtant ignorée par la Cour de cassation dans son arrêt du 18 juin.

Et après ?

Cette décision peut marquer un tournant car la chambre sociale de la Cour de cassation y adopte une lecture extensive du droit d’accès des salariés à leurs données personnelles, en contradiction avec les finalités découlant du RGPD et les orientations formulées par la CNIL.

Or, à l’heure où la protection des données personnelles s’impose comme un enjeu de plus en plus important dans les relations de travail, cette évolution invite à réfléchir sur l’équilibre entre libertés individuelles, obligations de l’employeur et exigences procédurales.

Il convient par ailleurs de rappeler que le droit d’accès, tel qu’il résulte du RGPD, comporte des limites. L’article 15 et le considérant 63 précisent que ce droit « ne devrait pas porter atteinte aux droits ou libertés d’autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d’auteur protégeant le logiciel ».

La Cour de cassation, dans sa décision, confirme d’ailleurs ces limites car elle relève, à propos des éléments non communiqués au salarié, que l’entreprise « n’invoquait aucun motif pour expliquer cette abstention. »

Chaque demande d’accès aux courriels professionnels doit donc toujours faire l’objet d’un examen très attentif de l’employeur, qui doit vérifier qu’elle ne porte pas atteinte à l’un de ces principes. Le cas échéant, il doit être en mesure d’apporter une réponse adaptée et motivée sur le respect des droits des tiers et les restrictions apportées à la réponse.

Il faut souligner enfin que la Cour de cassation s’est prononcée dans sa décision uniquement sur les courriels reçus et envoyés par le salarié, et non, de façon générale, sur l’ensemble des courriels le concernant, comme il l’avait demandé.

Au regard de l’ensemble de ces éléments, il apparaît essentiel, pour les employeurs, de réinterroger leur politique de conservation des boîtes mails… et, éventuellement, d’envisager la suppression des courriels lors du départ d’un collaborateur.

Articles similaires

Index 2027 et transparence salariale

Index 2027 et transparence salariale

28 Nov, 2025

Index 2027 : quand la transparence salariale s’invite dans l’égalité F/H Bon, on le sait : l’égalité salariale entre les femmes et les hommes, ce n’est pas encore pour demain. Et pourtant, cela fait...

lire plus

Restez informé des dernières actualités RH

inscription newsletter rh quickms
Suivez-nous