Demande d'accès aux données personnelles par un salarié licencié

Les entreprises sont aujourd’hui fréquemment confrontées aux demandes de salariés en situation de contentieux ou de précontentieux tendant à la communication de l’ensemble des données les concernant (et notamment les courriels), sur le fondement de l’article 15 du RGPD. Dans un arrêt du 18 juin 2025¹, la Cour de cassation répond pour la première fois à cette problématique. Elle pose le principe d’un droit du salarié à la communication des courriels émis ou reçus grâce à sa messagerie professionnelle et juge que commet une faute l’employeur qui s’abstient de répondre à une demande de communication et qui ne justifie pas de cette abstention. Cette importante décision doit conduire les entreprises à prendre au sérieux les demandes de communication qui leur sont faites en traitant ces demandes et en y répondant de manière motivée.

L’affaire concernait un directeur du développement d’une société qui, à la suite de son licenciement pour faute grave, avait demandé la communication de toutes les données le concernant, notamment l’intégralité des messages figurant sur sa messagerie professionnelle.

Si l’employeur avait accepté de communiquer certaines données, il s’était abstenu de répondre aux demandes portant sur le contenu de la messagerie professionnelle.

A l’occasion de la contestation de son licenciement, le salarié avait sollicité la condamnation de l’employeur à lui verser des dommages-intérêts pour non-respect du droit d’accès aux données personnelles. La cour d’appel avait fait droit à cette demande et l’employeur avait formé un pourvoi en cassation.

Devant la Chambre sociale, l’avocate générale préconisait la cassation de l’arrêt d’appel en soulignant qu’on ne saurait admettre qu’un salarié puisse, sous couvert du RGPD, prétendre exiger d’emporter l’intégralité de sa messagerie professionnelle portant sur plusieurs années d’emploi et susceptible de comporter un certain nombre d’informations sensibles².

Le pourvoi de l’employeur est néanmoins rejeté par la Cour de cassation qui énonce que :

« Aux termes du point (1) de l'article 4 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), on entend par « données à caractère personnel » toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée »), est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Selon l'article 15, §§ 3 et 4, du RGPD relatif au « Droit d'accès de la personne concernée », la personne concernée a le droit d'obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données à caractère personnel. Le responsable du traitement fournit une copie des données à caractère personnel faisant l'objet d'un traitement, sous réserve que le droit d'obtenir une copie ne porte pas atteinte aux droits et libertés d'autrui.

Il en résulte, d'une part, que les courriels émis ou reçus par le salarié grâce à sa messagerie électronique professionnelle sont des données à caractère personnel au sens de l'article 4 du RGPD et, d'autre part, que le salarié a le droit d'accéder à ces courriels, l'employeur devant lui fournir tant les métadonnées (horodatage, destinataires) que leur contenu, sauf si les éléments dont la communication est demandée sont de nature à porter atteinte aux droits et libertés d'autrui.

La cour d'appel, après avoir relevé que le salarié avait demandé la communication des courriels émis ou reçus par lui dans le cadre de l'exécution de son contrat de travail, a constaté, procédant à la recherche prétendument omise, que la société s'était bornée à lui transmettre divers documents (de fin de contrat, bulletins de paie, prévoyance, documents relatifs à une place de parking, une voiture, documents contractuels, avis d'arrêt de travail, suivi individuel de santé, R.I.B, documents relatifs au licenciement) mais ne justifiait pas avoir communiqué ni les métadonnées ni le contenu des courriels émis ou reçus par lui, et n'invoquait aucun motif pour expliquer cette abstention.

La cour d'appel a pu en déduire que cette abstention était fautive et a constaté qu'elle avait causé à l'intéressé un préjudice dont elle a souverainement apprécié le montant ».

Cet arrêt – rendu en formation solennelle et auquel la Chambre sociale donne une large publication – met à la charge de l’employeur une obligation de communication très large et difficile, voire impossible, à respecter en pratique.

On observera qu’en jugeant les courriels émis ou reçus par le salarié constituent des données personnelles et en conférant au salarié un droit d’accès général sous la seule réserve des droits et libertés d’autrui, la Cour de cassation dégage une solution peu nuancée au regard des positions arrêtées par la CNIL³ et par la CJUE⁴ en matière de droit d’accès.

Il nous semble surtout que le principe posé est que ce n’est pas au salarié de justifier sa demande d’accès mais c’est à l’employeur de justifier son refus et ce, même lorsque la demande du salarié constitue manifestement un détournement de la finalité du RGPD⁵. Un des éléments déterminant le rejet du pourvoi dans l’affaire soumise à la Cour de cassation tient au fait que l’employeur n’avait pas donné le moindre motif au refus de communication des courriels émis ou reçus par le salarié.

La décision doit constituer une alerte pour les employeurs qui peuvent avoir tendance à laisser sans réponse les demandes des salariés licenciés relatives à l’accès à leurs données personnelles, qu’ils considèrent dilatoires. Ces demandes doivent, pourtant, être prises en considération et le refus de communication de l’ensemble du contenu de la messagerie professionnelle doit être motivé.

Il faut signaler que, si dans l’arrêt rendu, la sanction s’est limitée à une condamnation à des dommages-intérêts d’un montant minime (500 €), on ne peut exclure, dans d’autres contentieux, des situations beaucoup plus contraignantes avec notamment des injonctions de communiquer sous astreinte. Par ailleurs, le salarié dont le droit d’accès n’est pas ou mal satisfait peut saisir la CNIL, qui dispose de pouvoirs d’injonction et de sanction.  

Le traitement des demandes implique :

• d’être diligent : il s’agit d’une tâche particulièrement chronophage à réaliser dans des délais courts (un mois, avec possibilité d’allongement de ce délai de deux mois maximum en motivant les raisons de ce report, sur lesquelles la CNIL exerce un contrôle),
• d’être particulièrement attentif au contenu communiqué au regard des autres exigences du RGPD et des recommandations de la CNIL (par ex. : les durées de conservation - il ne faut pas communiquer de données censées avoir été supprimées – ou encore, les informations sur d’autres personnes, etc.),
• enfin et surtout, de motiver les refus de communication au regard des autres principes du RGPD pour éviter les recours ; lorsqu’ils font l’objet d’une réponse motivée, les refus de communication sont assez largement admis.

Les équipes de KPMG Avocats sont à la disposition des entreprises pour les accompagner dans le traitement des demandes de communication.