Dans une décision destinée à une large publication, la chambre sociale de la Cour de cassation se prononce, pour la première fois, en faveur d’un droit d’accès étendu du salarié aux messages émis ou reçus par lui sur sa messagerie professionnelle.
Dans cette affaire, un salarié licencié pour faute grave après une mise à pied conservatoire avait demandé – sans succès – à son employeur un accès au contenu de sa messagerie professionnelle au titre de son droit d’accès à ses données personnelles prévu par le règlement européen 2016/679 du 27 avril 2016 dit « règlement général sur la protection des données » (RGPD), et obtenu devant la cour d’appel une condamnation de l’employeur à lui verser des dommages-intérêts pour non-respect de ce droit, lui ayant causé un préjudice (arrêt de la cour d’appel de Paris du 25 mai 2023, en pièce jointe).
L’employeur s’est pourvu en cassation contre cet arrêt, soutenant d’une part que les courriels émis ou reçus par un salarié dans l’exercice de ses fonctions ne peuvent pas constituer une donnée à caractère personnel au sens du RGPD et, d’autre part, que le droit d’accès à ses données personnelles n’emporte pas un droit d’accès aux documents contenant ces données.
Au sens de l’article 4 du RGPD, une donnée à caractère personnel s’entend de toute information se rapportant à une personne physique identifiée ou identifiable.
La chambre sociale de la Cour de cassation en déduit que les courriels émis ou reçus par le salarié grâce à sa messagerie électronique professionnelle sont des données à caractère personnel.
► Dans le même sens, elle a précisé que les adresses IP, lesquelles permettent d’identifier indirectement une personne physique, sont des données à caractère personnel au sens du RGPD (arrêt du 25 novembre 2020 ; arrêt du 9 avril 2025).
La Cour de cassation ajoute que le salarié a donc le droit d’accéder à ces courriels émis ou reçus au moyen de sa messagerie électronique professionnelle et que, dans ce cadre, l’employeur doit lui fournir non seulement les métadonnées (horodatage, destinataires) mais également le contenu de ces courriels. Seule limite : si les éléments dont la communication est demandée sont de nature à porter atteinte aux droits et libertés d’autrui.
La Haute Juridiction fait application l’article 15 du RGPD relatif au droit d’accès de la personne concernée. Ce texte dispose que celle-ci a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel, et que le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement, sous réserve que le droit d’obtenir une copie ne porte pas atteinte aux droits et libertés d’autrui.
► Au cas particulier de l’accès aux messages professionnels, la Cour de cassation reprend presque mot pour mot la formulation adoptée par la Cnil dans une publication relative au droit d’accès des salariés à leurs données et aux courriels professionnels du 5 janvier 2022, où elle indique que lorsqu’une personne concernée souhaite exercer son droit d’accès à des courriels, l’employeur doit fournir tant les métadonnées (horodatage, destinataires…) que les données personnelles contenues dans les courriels.
Dans cette affaire, la cour d’appel avait relevé que le salarié avait demandé la communication des courriels émis ou reçus par lui dans le cadre de l’exécution de son contrat de travail, et que l’employeur s’était borné à lui transmettre divers documents relatifs à sa situation salariée (documents contractuels, bulletins de paie, documents de fin de contrat, avis d’arrêt de travail, etc.), sans justifier avoir communiqué ni les métadonnées ni le contenu de ses courriels, et sans invoquer aucun motif pour expliquer cette abstention.
Sur la base de ces éléments, la Haute Juridiction, exerçant un contrôle léger de la motivation des juges du fond, estime que la cour d’appel a pu en déduire que cette abstention était fautive et qu’elle avait causé un préjudice au salarié, justifiant des dommages-intérêts.
► En l’espèce, la cour d’appel a évalué le préjudice du salarié à 500 euros.
Cette solution inédite soulève de nombreuses interrogations, au premier rang desquelles : le droit d’accès à ses données personnelles prévue par le RGPD peut-il être une voie d’accès de tout salarié – et ancien salarié – à l’obtention d’une copie de l’intégralité du contenu de sa messagerie professionnelle ? L’enjeu est de taille compte tenu de la difficulté, côté salarié, à se constituer des éléments de preuve une fois l’accès à sa messagerie professionnelle coupé lors de la rupture du contrat de travail ou, comme en l’espèce, dès la mise à pied conservatoire.
► L’avocat général considère dans son avis rendu dans cette affaire que la finalité du RGPD n’est pas d’obtenir la copie de la correspondance électronique professionnelle émise ou reçue par le salarié dans le cadre de son activité dont il a, par définition, eu connaissance en totalité, et qui ne contient, à moins qu’il fasse la preuve contraire de leur caractère personnel, comme seules données personnelles que son identification. Elle ajoute qu’on ne saurait permettre, sous couvert du droit d’information posé par le RGPD, qu’un salarié, notamment lorsqu’il occupe un poste important dans une entreprise comme c’est le cas en l’espèce, puisse, en partant, exiger d’emporter l’ensemble de sa messagerie professionnelle sur toutes les années de son emploi.
Dans cette affaire, comme l’avait relevé la cour d’appel, l’employeur s’était abstenu de toute communication de données relatives à la messagerie, sans invoquer de justification à cette abstention.
Or, si la communication des éléments demandés est de nature à porter atteinte aux droits et libertés d’autrui, il peut être fait obstacle à cette communication. Il ne fait guère de doute que cette question sera soulevée à l’avenir dans ce type de contentieux. Mais quelle justification l’employeur pourra-t-il invoquer pour refuser la demande de communication fondée sur le droit d’accès du salarié à ses données personnelles ? La nécessité d’assurer la sécurité des données de l’entreprise, ou de protéger la confidentialité ou le secret des affaires seront-il jugés suffisants ?
Sur ce point, la Cnil fournit quelques pistes et indique que l’organisme doit permettre un accès aux seules données dont la communication ne porte pas une atteinte disproportionnée aux droits d’autrui, sans toutefois refuser de satisfaire à la demande de manière générale. Elle ajoute que les droits des tiers (secret des affaires et propriété intellectuelle, droit à la vie privée, secret des correspondances, etc.) peuvent donc restreindre l’éventail des données accessibles ou communicables, et fournit un exemple : en matière de droit d’accès à des données contenues dans des courriels professionnels, le respect du droit à la vie privée, le secret des affaires et le secret des correspondances peuvent parfois faire obstacle à la communication de certaines données personnelles au demandeur.
Ni les juges du fond ni la Cour de cassation ne permettent de répondre à cette question, l’employeur n’ayant ici communiqué aucune donnée.
On peut là aussi utilement s’aider des préconisations de la Cnil, qui indique que si « document » et « donnée personnelle » sont deux notions différentes, il n’est pas interdit à l’organisme de communiquer les documents contenant les données plutôt que les seules données, si rien n’y fait obstacle et si c’est plus pratique. La communication d’une copie des courriels peut apparaître comme la solution la plus aisée pour que l’organisme puisse satisfaire la demande. Cependant, nuance-t-elle, cette solution ne saurait être obligatoire. Ainsi, l’envoi d’un tableau contenant les métadonnées et les données personnelles contenues dans les différents courriels est également une solution.
Cependant, le tri des données contenues dans les courriels de l’intégralité d’une messagerie, ou la reconstitution sous forme de tableau des métadonnées et données personnelles peuvent s’avérer fastidieux pour les services en charge de traiter de telles demandes.
Et ce d’autant que le responsable de traitement doit répondre à une demande d’accès dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande, ce délai pouvant être prolongé de deux mois compte tenu de la complexité et du nombre de demandes.
Le fait pour un responsable de traitement de ne pas répondre à la demande d’une personne physique ayant pour objet notamment la communication des données personnelles qui la concernent est puni de l’amende prévue pour les contraventions de 5e classe (1 500 euros).
Par ailleurs, toute personne ayant subi un dommage du fait d’une violation du RGPD a le droit d’obtenir du responsable de traitement réparation du préjudice subi. C’est d’ailleurs la sanction prononcée dans la présente affaire.
En revanche, les textes ne semblent pas prévoir une possibilité d’injonction du responsable de traitement de communiquer les données personnelles à la personne concernée.
En ce sens, le conseil de prud’hommes de Paris a refusé de faire droit à une demande de communication d’une salariée de tous ses échanges de courriels fondée sur l’article 15 du RGPD, en indiquant que le droit d’accès prévu par ce texte a pour finalité de permettre à la personne qui l’exerce de contrôler la conformité du traitement de ses données à caractère personnel avec les prescriptions du règlement, mais n’a pas pour finalité de permettre l’accès à des informations dans un but probatoire et ne constitue pas une mesure probatoire (décision du Conseil des prud’hommes de Paris 23 avril 2024, n° 21-10466).
► A notre avis il est très probable que ce sujet fasse à l’avenir l’objet d’un contentieux nourri, il sera intéressant de suivre avec attention de futures décisions des juges du fond et de la Cour de cassation.
Commentaires récents