RGPD et mails professionnels : un droit d'accès renforcé pour les salariés depuis un arrêt de la Cour de cassation

Un arrêt rendu le 18 juin 2025 par la chambre sociale de la Cour de cassation a redéfini le périmètre des données personnelles dans le cadre professionnel. Désormais, tout courriel professionnel contenant des informations identifiant directement ou indirectement une personne physique est considéré comme une donnée personnelle au sens du RGPD. Cette décision, rapportée par Capital, confère aux salariés un droit d’accès étendu, qu’ils soient encore en poste ou aient quitté l’entreprise depuis des mois, voire des années.

Une jurisprudence qui élargit le champ des données personnelles

L’arrêt de la Cour de cassation du 18 juin 2025 marque un tournant dans l’interprétation du RGPD appliqué aux communications professionnelles. Selon Capital, la chambre sociale a estimé que tout courriel contenant des informations identifiant une personne physique – qu’il s’agisse du salarié lui-même ou d’un tiers mentionné – relève du champ des données personnelles. Maître Cécile Nause, avocate à la Cour d’Agen, précise que « le salarié peut demander à l’employeur, sur le fondement de l’article 15 du RGPD, les courriels émis et reçus par lui via sa messagerie professionnelle ». Elle ajoute que « le salarié peut également, en principe, demander l’accès aux données personnelles le concernant contenues dans des courriels de tiers, y compris lorsqu’il n’est ni émetteur ni destinataire direct ».

Trois catégories de mails concernées par le droit d’accès

Le droit d’accès s’exerce sur trois types de documents. D’abord, les mails reçus et émis depuis l’adresse professionnelle du salarié. Ensuite, les métadonnées associées, comme l’horodatage, les destinataires, les copies ou l’objet des messages. Enfin, les courriels de tiers où le salarié est mentionné, même sans y figurer en tant que destinataire direct. La CNIL admet toutefois une certaine flexibilité pour les volumes importants. « Pour assurer cette communication, l’employeur peut fournir un tableau récapitulatif contenant les métadonnées et les données personnelles présentes dans les courriels, plutôt qu’une copie intégrale », explique Maître Cécile Nause. La CNIL et la Cour de cassation divergent cependant sur l’étendue de ce droit. La première se limite aux données personnelles, tandis que la seconde inclut également le contenu des messages.

Délais et modalités de réponse strictement encadrés

Le cadre temporel est strict. Une fois la demande formulée, l’employeur dispose d’un mois pour répondre, qu’il s’agisse d’une acceptation ou d’un refus motivé. Une prolongation de deux mois supplémentaires est envisageable en cas de complexité ou de volume élevé, à condition d’en informer le salarié dans le délai initial, avec les motifs du report. Le refus, quant à lui, n’est admis que dans deux situations précises : une demande manifestement infondée ou excessive, ou une atteinte disproportionnée aux droits et libertés d’autrui. La CNIL insiste sur ce point : le droit d’accès reste un principe, et seules les communications spécifiques peuvent être restreintes au cas par cas.

Les limites et exceptions à connaître

L’employeur peut légitimement restreindre l’accès aux mails dans plusieurs cas. Lorsque les courriels contiennent des informations stratégiques, financières ou techniques sensibles, des analyses juridiques protégées par le secret professionnel, ou des données personnelles d’autres personnes (collègues, clients, témoins). Ces restrictions peuvent prendre la forme d’occultations, d’anonymisations ou de la fourniture d’un tableau partiel. Cependant, elles ne permettent pas un refus global. La CNIL rappelle que « le droit d’accès reste un principe et seules les communications spécifiques peuvent être restreintes au cas par cas ».

En cas de refus persistant, le salarié dispose de trois voies de recours. La première consiste à saisir la CNIL, dont les sanctions sont les plus dissuasives pour l’employeur en raison des amendes encourues. La seconde passe par un contentieux prud’homal, qui permet d’obtenir une condamnation à transmettre les données, sous réserve de proportionnalité. Enfin, une action en dommages et intérêts peut être engagée, bien que les montants restent modestes dans l’état actuel de la jurisprudence. Dans l’affaire de référence ayant donné lieu à l’arrêt du 18 juin 2025, la Cour de cassation a validé une condamnation à seulement 500 euros de dommages-intérêts. « Il faudra encore que le préjudice du salarié soit caractérisé, ce qui risque d’en limiter le montant pour de nombreux collaborateurs », tempère Maître Cécile Nause.

Un outil probatoire pour les salariés en conflit avec leur employeur

La portée pratique de ce droit d’accès réside avant tout dans son utilité probatoire. Le contenu récupéré, lorsqu’il est obtenu, peut servir à étayer un dossier prud’homal pour licenciement abusif, harcèlement ou discrimination. Autant dire que cette jurisprudence change la donne dans les contentieux post-rupture, qu’il s’agisse d’un licenciement contesté ou d’une rupture conventionnelle remise en cause. Maître Cécile Nause souligne que « le contenu récupéré peut servir à étayer un dossier prud’homal de licenciement abusif, de harcèlement ou de discrimination, là où la voie classique n’aurait jamais permis l’accès à ces pièces ».

Reste à voir comment les prud’hommes et les juridictions supérieures interpréteront ces nouvelles règles. Une chose est sûre : l’arrêt du 18 juin 2025 a ouvert une brèche que ni les employeurs ni les salariés ne pourront ignorer.