Vous avez une question en droit du travail ?
Vous recherchez une information ?
Vous souhaitez travailler avec nous ?
La mise en œuvre du Règlement général sur la protection des données (RGPD) dans les relations de travail soulève régulièrement des questions pratiques délicates. L’une d’entre elles concerne le droit d’accès du salarié à ses emails professionnels, que la Cour de cassation vient de clarifier dans un arrêt publié du 18 juin 2025 (Cass. soc. 18-6-2025, n° 23-19.022).
1. Le cadre juridique du droit d’accès aux données personnelles du salarié
1.1. Les fondements du droit d’accès
Le RGPD confère à toute personne concernée le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel (règlt UE 2016/679 du 27 avril 2016, art. 15, § 1).
Ce droit s’accompagne de l’obligation pour le responsable du traitement de fournir une copie des données à caractère personnel faisant l’objet d’un traitement, sous réserve que cette communication ne porte pas atteinte aux droits et libertés d’autrui (règlt UE 2016/679 du 27 avril 2016, art. 15, §§ 3 et 4).
1.2. L’application aux relations de travail
Dans le contexte des relations de travail, ce droit permet au salarié de demander à son employeur la communication de son dossier professionnel, y compris lors de son départ de l’entreprise.
La question s’est posée de savoir si les emails professionnels émis ou reçus par le salarié entraient dans le champ d’application de ce droit d’accès.
La Commission nationale de l’informatique et des libertés (CNIL) avait déjà précisé dans sa fiche du 5 janvier 2022 que les emails professionnels constituent des données à caractère personnel dès lors qu’ils permettent l’identification de la personne qui les reçoit ou les envoie.
2. L’affaire soumise à la Cour de cassation
2.1. Les faits de l’espèce
Dans cette affaire, un directeur associé d’une société de publicité avait été licencié disciplinairement pour propos et agissements sexistes à l’égard de collaboratrices et comportements familiers déplacés.
Dans le cadre de son action prud’homale contestant son licenciement, le salarié avait demandé à son employeur de lui communiquer l’ensemble des emails échangés à l’occasion de l’exécution de son contrat de travail.
L’employeur s’était contenté de transmettre les documents contractuels et les documents de santé et financiers, sans donner suite à la demande relative aux emails professionnels.
2.2. L’argumentation de l’employeur
L’employeur tentait de justifier son refus par deux arguments principaux.
D’une part, il soutenait que les emails à caractère professionnel n’entraient pas dans le champ d’application du RGPD et échappaient donc au droit d’accès prévu par l’article 15.
D’autre part, il faisait valoir qu’ayant déjà transmis au salarié “un bon nombre d’éléments”, les juges auraient dû vérifier s’il avait par-là communiqué les données personnelles contenues dans ces emails.
3. La solution retenue par la Cour de cassation
3.1. La qualification des emails professionnels comme données personnelles
La Cour de cassation rejette fermement le premier argument de l’employeur.
Elle pose le principe que les emails émis ou reçus par le salarié grâce à sa messagerie électronique professionnelle constituent des données à caractère personnel au sens du RGPD (règlt UE 2016/679 du 27 avril 2016, art. 4).
Cette solution s’explique par le fait que ces emails contiennent nécessairement des éléments d’identification de la personne, tels que son nom, son prénom ou son adresse électronique.
Le caractère professionnel de la messagerie ne fait donc pas obstacle à l’application du RGPD.
3.2. L’étendue du droit d’accès
La Cour précise que le salarié a le droit d’accéder à ces emails, l’employeur devant lui fournir tant les métadonnées que leur contenu.
Cette obligation ne trouve sa limite que dans les cas où les éléments dont la communication est demandée sont de nature à porter atteinte aux droits et libertés d’autrui.
L’employeur peut ainsi invoquer le respect du secret des affaires, de la propriété intellectuelle ou du droit à la vie privée d’autres personnes pour refuser la communication de certains éléments.
3.3. Les modalités pratiques de mise en œuvre
Sur les modalités d’exercice de ce droit, la Cour de cassation s’aligne sur la position adoptée par la CNIL.
Le droit d’accès porte sur les données personnelles contenues dans les emails et les métadonnées, mais non sur les documents eux-mêmes.
Concrètement, l’employeur n’est pas obligé de fournir une copie intégrale des emails.
Il peut satisfaire à son obligation en communiquant, par exemple, un tableau contenant les métadonnées et les données personnelles extraites des différents emails.
La CNIL indique toutefois que la communication d’une copie des emails peut apparaître comme la solution la plus aisée pour répondre à une demande, sans que cela constitue une obligation.
4. Les implications pratiques pour les employeurs
4.1. L’obligation de répondre aux demandes d’accès
Cette décision confirme que les employeurs ne peuvent pas ignorer les demandes d’accès aux emails professionnels sous prétexte de leur caractère professionnel.
Ils doivent mettre en place des procédures permettant de traiter ces demandes dans le délai d’un mois prévu par le RGPD (règlt UE 2016/679 du 27 avril 2016, art. 12, § 3).
4.2. La nécessité d’un arbitrage entre droits concurrents
L’employeur doit procéder à un arbitrage délicat entre le droit d’accès du salarié et la protection des droits des tiers.
Il devra notamment apprécier au cas par cas si la communication de certains emails est susceptible de porter atteinte au secret des affaires, à la propriété intellectuelle de l’entreprise ou au droit à la vie privée d’autres salariés.
Cet exercice d’équilibre nécessite une analyse approfondie du contenu des emails demandés.
4.3. Les risques en cas de refus injustifié
Le refus non motivé de communiquer les données personnelles contenues dans les emails professionnels expose l’employeur au versement de dommages-intérêts.
Dans l’espèce jugée, la cour d’appel avait condamné l’employeur à verser 500 euros au salarié pour non-respect du droit d’accès aux données personnelles.
Au-delà de cet aspect indemnitaire, le refus injustifié peut également nuire à la crédibilité de l’employeur dans d’éventuelles procédures contentieuses.
Xavier Berjot
Avocat associé
xberjot@sancy-avocats.com
Partager ?