Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
La jurisprudence du 18 juin 2025 rendue par la chambre sociale de la Cour de cassation marque un tournant dans la manière dont les salariés peuvent faire valoir leurs droits dans le cadre d’un contentieux avec leur employeur.
Cette décision consacre, de manière claire et inédite, la messagerie professionnelle comme une source de données personnelles, obligeant l’employeur à en transmettre le contenu et les métadonnées lorsque le salarié en fait la demande, sauf à justifier d’une atteinte aux droits d’autrui.
Au-delà de la reconnaissance d’un droit d’accès élargi, cette décision souligne la tension croissante entre transparence, preuve et confidentialité dans les relations de travail.
Dans le cas jugé, un salarié licencié pour faute grave – en l’occurrence pour des propos sexistes – contestait la rupture de son contrat en invoquant notamment le non-respect de son droit d’accès aux données personnelles que représentait sa messagerie professionnelle. L’enjeu était double :
L’arrêt a confirmé que les courriels émis ou reçus dans le cadre du travail, bien qu’envoyés via un compte professionnel, constituent bien des données à caractère personnel dès lors qu’ils sont liés à une personne identifiée.
La Cour de cassation s’appuie dans son arrêt du 18 juin 2025 sur une disposition clé du Règlement général sur la protection des données (RGPD) : l’article 15, qui consacre le droit d’accès de toute personne concernée à ses données personnelles. Plus précisément, cet article dispose :
« La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées, et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel. »
Il précise également que le responsable doit fournir :
« des informations sur les finalités du traitement, les catégories de données concernées, les destinataires, la durée de conservation, ainsi qu’une copie des données faisant l’objet d’un traitement. »
Dans le contexte professionnel, les emails envoyés ou reçus via la messagerie d’entreprise sont considérés comme des données à caractère personnel dès lors qu’ils identifient directement ou indirectement le salarié. C’est ce qu’a affirmé la chambre sociale de la Cour de cassation, en interprétant l’article 4 du RGPD (définition des données personnelles) à la lumière de l’usage professionnel de la messagerie.
Ainsi, refuser de transmettre la messagerie ou même les métadonnées (dates, horaires, destinataires) sans justification constitue une atteinte au droit d’accès. Ce manquement engage la responsabilité de l’employeur.
La sanction pécuniaire prononcée ici – 500 € de dommages et intérêts – reste modeste car il s’agissait d’une procédure prud’homale, dans laquelle la sanction civile a avant tout une fonction réparatrice. Mais dans un cadre administratif, la CNIL aurait pu prononcer une sanction beaucoup plus lourde. Rappelons en effet que l’article 83 du RGPD prévoit :
« des amendes administratives pouvant aller jusqu’à 20 millions d’euros, ou dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. »
Autrement dit, la décision prud’homale a surtout une portée symbolique mais annonce un durcissement du contrôle de conformité, notamment sur le terrain de l’exercice des droits des salariés.
Il est essentiel de ne pas confondre le droit d’accès aux données personnelles avec un droit à la preuve tel qu’il peut être exercé devant un tribunal.
Le RGPD, et notamment son considérant 63, énonce clairement que :
« Le droit d’accès ne vise pas l’extraction systématique de documents, mais permet à la personne concernée d’obtenir des informations sur le traitement des données la concernant et d’en contrôler la licéité. »
Ce texte est essentiel pour comprendre que l’objectif n’est pas de permettre un usage procédural des courriels (comme moyen de preuve direct), mais bien de garantir la transparence sur les traitements effectués.
C’est pourquoi la CNIL, dans ses lignes directrices actualisées au 31 janvier 2024, précise que :
« La transmission de courriels intégraux n’est pas toujours nécessaire. L’employeur peut répondre à la demande d’accès par la communication d’un tableau synthétique, dès lors que celui-ci contient les éléments pertinents : date, objet, expéditeur, destinataire. »
Autrement dit, la réponse peut être proportionnée à l’objectif de contrôle du traitement, sans imposer un transfert intégral et potentiellement attentatoire à d’autres droits, comme le secret des affaires, la confidentialité des correspondances, ou les droits d’autres salariés.
Ce que l’arrêt du 18 juin montre, c’est qu’un refus de l’employeur, sans justification, peut être sanctionné. Pour les salariés confrontés à un contentieux disciplinaire ou contractuel, il est donc judicieux de :
Enfin, pour les entreprises, cet arrêt impose de revoir leurs pratiques internes : politiques de conservation des données, conformité avec les recommandations de la CNIL (notamment celles du 31 janvier 2024), et anticipation des risques de contentieux.
Il ne s’agit pas d’un arrêt isolé, mais d’une évolution de fond du droit du travail à l’ère de la preuve numérique et du travail dématérialisé. Comprendre et maîtriser l’usage juridique des outils de communication professionnelle devient une compétence essentielle pour tout justiciable.
Oui, sous conditions. Depuis l’arrêt de la Cour de cassation du 18 juin 2025, les emails professionnels sont considérés comme des données à caractère personnel au sens du RGPD. Le salarié peut donc en demander la communication intégrale ou partielle, tant que cela ne porte pas atteinte aux droits d’autrui (secret des affaires, confidentialité…).
L’employeur doit répondre dans un délai d’un mois (renouvelable deux fois en cas de complexité) et fournir au minimum les métadonnées (expéditeur, destinataire, date, objet). S’il refuse sans justification ou ignore la demande, il s’expose à des sanctions, civiles ou administratives (notamment par la CNIL).
Pas directement. Le droit d’accès est un droit à l’information, pas un droit procédural à la preuve. Il permet de contrôler le traitement des données personnelles, mais son usage en justice doit rester proportionné et encadré. Toutefois, les informations obtenues peuvent servir à étayer une défense, sous réserve de leur recevabilité par le juge.
Oui, la CNIL autorise la communication sous forme de tableaux synthétiques, dès lors qu’ils permettent au salarié d’identifier les éléments essentiels : date, objet, émetteur, destinataire. Cette solution est préférable quand l’envoi intégral risquerait de violer des droits tiers ou de divulguer des informations confidentielles.
