Un analyste en stratégies algorithmiques a été licencié pour avoir volontairement cliqué sur des liens suspects lors d’une campagne de sensibilisation aux cyberattaques, un cas qui a conduit la Cour de cassation à préciser les conditions d’indemnisation en cas de violation du RGPD. L’arrêt rendu le 24 juin 2026 (n°24-22.792) rappelle qu’un simple manquement ne suffit pas à ouvrir droit à réparation, sauf à prouver un préjudice direct.

Ce qu'il faut retenir

  • Un salarié a été licencié pour avoir cliqué six fois sur des liens suspects lors d’un test d’hameçonnage organisé par son employeur en juin 2026.
  • L’employeur a justifié le licenciement par le risque encouru pour la sécurité des systèmes d’information, estimant que « cette désinvolture » aurait pu compromettre la protection des données.
  • La Cour de cassation a confirmé la validité du licenciement mais a rappelé que la seule violation du RGPD ne permet pas d’obtenir des dommages et intérêts sans preuve d’un préjudice direct.
  • Le salarié avait utilisé des identifiants insultants (« j’enculePhisMe », « spamalerte ça pue »), ce qui a aggravé la gravité perçue de ses actes aux yeux de l’employeur.
  • La Cour a également validé la recevabilité des preuves produites par l’employeur, malgré l’absence de consentement du salarié pour le traitement de ses données personnelles.

Un test d’hameçonnage qui tourne au licenciement

Dans le cadre d’une campagne de sensibilisation aux cyberattaques menée en 2026, un employeur a organisé plusieurs tests d’hameçonnage via la société PishMe. Un salarié, analyste en stratégies algorithmiques, a participé à six simulations successives en cliquant volontairement sur des liens suspects. Pour aggraver son cas, il a créé de faux identifiants à caractère insultant, comme « j’enculePhisMe » ou « spamalerte ça pue ».

L’employeur a considéré que « cette désinvolture » aurait pu mettre en péril la sécurité du système d’information, dès lors que le salarié ne pouvait ignorer le risque potentiel lié à ces clics. Le licenciement a été prononcé au motif d’agissements déloyaux, selon les éléments rapportés du Figaro.

La Cour de cassation valide le licenciement mais durcit les conditions d’indemnisation

La Cour d’appel avait déjà validé le licenciement, estimant que la preuve illicite produite par l’employeur était recevable. Elle avait en effet considéré que cette preuve était « indispensable à l’exercice du droit de défense » et proportionnée au but poursuivi. Cependant, elle avait également conclu que le non-respect des dispositions du RGPD constituait un préjudice pour le salarié, ouvrant droit à des dommages et intérêts.

Cette interprétation a été infirmée par la Cour de cassation, qui rappelle dans son arrêt du 24 juin 2026 que « le seul constat d’une violation du RGPD ne suffit pas à ouvrir droit à des dommages et intérêts ». La juridiction suprême s’aligne ainsi sur la position de la Cour de Justice de l’Union européenne (CJUE), qui, dans un arrêt du 25 janvier 2024 (n° C-687/21, MediaMarktSaturn Hagen-Iserlohn GmbH), avait déjà précisé que le salarié doit prouver un préjudice direct, qu’il soit matériel ou moral.

« Pour rappel, le règlement général sur la protection des données (RGPD) est un texte réglementaire européen qui harmonise les règles de traitement des données à caractère personnel dans toute l’Union européenne et qui comprend un certain nombre de règles qui intéressent aussi les salariés, telles que le droit d’accès aux données personnelles, le droit à l’information ou le droit d’opposition », a expliqué Me Justine Godey, du cabinet La Garanderie Avocats, au Figaro.

Le salarié conteste la recevabilité des preuves

Dans sa défense, le salarié a contesté la recevabilité des preuves produites par son employeur. Il a argué que ces données avaient été obtenues sans son consentement ni information préalable, en violation du RGPD. Cependant, la Cour de cassation a rappelé que, selon la jurisprudence constante, une preuve illicite peut être recevable si elle est « indispensable à l’exercice du droit de défense » et proportionnée au but poursuivi. Les juges ont donc validé la décision de licenciement.

Cette affaire illustre les tensions croissantes entre la protection des données personnelles des salariés et les impératifs de sécurité des entreprises, notamment dans un contexte où les cybermenaces se multiplient. Les employeurs doivent désormais trouver un équilibre entre la sensibilisation aux risques et le respect strict du cadre légal.

Et maintenant ?

Cette décision de la Cour de cassation pourrait inciter les entreprises à renforcer leurs procédures de sensibilisation aux cyberattaques, tout en veillant à respecter scrupuleusement les règles du RGPD. Les salariés, de leur côté, devront être mieux informés sur l’utilisation de leurs données personnelles dans le cadre de tests internes. Une clarification législative ou réglementaire pourrait intervenir dans les mois à venir pour préciser les contours de ces obligations.

Ce que dit la jurisprudence européenne

L’arrêt du 25 janvier 2024 de la CJUE avait déjà posé un cadre strict concernant l’indemnisation en cas de violation du RGPD. La Cour avait alors rappelé que la simple constatation d’un manquement ne suffisait pas à engager la responsabilité de l’employeur. Les salariés doivent désormais démontrer un préjudice concret, ce qui rend les recours plus difficiles. Cette position a été reprise par la Cour de cassation en juin 2026, confirmant une tendance jurisprudentielle claire.

Pour les entreprises, cette jurisprudence souligne l’importance de mettre en place des campagnes de sensibilisation encadrées, avec un consentement explicite des salariés et une information transparente sur l’utilisation de leurs données. À l’inverse, les salariés doivent être conscients des risques liés à des comportements négligents, même dans un cadre professionnel.

Oui, comme l’a confirmé la Cour de cassation le 24 juin 2026, un employeur peut licencier un salarié pour ce motif si le comportement est jugé comme une violation des obligations professionnelles et met en péril la sécurité du système d’information. Cependant, la preuve de ces agissements doit être licite et proportionnée, et le licenciement doit être justifié.

La Cour de cassation rappelle que la simple violation du RGPD ne suffit pas. Le salarié doit prouver un préjudice direct, qu’il soit matériel (perte financière) ou moral (atteinte à la réputation, stress, etc.). Cette position est alignée sur celle de la CJUE, qui exige une preuve concrète de préjudice.