Le droit d’accès du salarié à ses emails professionnels
Dans un arrêt rendu le 18 juin 2025 (n° 23 19.022), la Cour de cassation affirme que les courriels envoyés ou reçus par un salarié via sa messagerie professionnelle constituent des données à caractère personnel au sens du RGPD. Analyse par Thomas Sely, expert eDiscovery chez FTI consulting et Éric Le Quellenec, associé chez Flichy Grangé Avocats.
Pourquoi cette décision était-elle attendue ?
Éric Le Quellenec : Le RGPD est en application depuis le 25 mai 2018, donc il fallait le temps pour que les litiges devant la CNIL soient portés jusqu’à la chambre sociale de la Cour de cassation. Cet arrêt est dans la droite ligne de l’article 15 du RGPD, mais également d’un arrêt de 2001 qui se fondait sur la loi de 1978 et dans lequel le refus de faire droit à une demande d’accès était considérée comme une forme de discrimination de la part de l’employeur. Cet arrêt de 2025 amplifie, en revanche, les conséquences du mauvais traitement de cette demande d’accès en considérant qu’il peut entraîner la remise en cause de la décision de licenciement et donner lieu à dommages et intérêts. La détermination du montant de la réparation ne revient pas à la chambre sociale, mais il est intéressant de noter que le principe d’un dommage est reconnu au profit des salariés.
Que recouvre cette décision ?
E.Q. : Un salarié était soupçonné d’avoir harcelé moralement et sexuellement l’une de ses collègues. Pour caractériser ces faits, l’entreprise a alors diligenté une enquête qui a été menée en plusieurs fois. Lorsque l’employeur a eu suffisamment d’éléments pour caractériser les faits et mettre à pied le collaborateur de manière conservatoire, il a communiqué à ce dernier des passages tronqués des diverses enquêtes pour ne faire état que des données à caractère personnel du salarié. Celui-ci a alors demandé l’intégralité des rapports d’enquête et des emails envoyés et reçus de sa boite mail personnelle. L’employeur n’a jamais répondu à ses demandes sur la messagerie, ce qui a eu pour conséquence une contestation du licenciement pour défaut de preuve.
Se fondant sur l’article 15 du RGPD, la Cour de cassation pose le principe que les emails émis ou reçus par le salarié grâce à sa messagerie électronique professionnelle constituent des données à caractère personnel. Le salarié doit pouvoir accéder au contenu de ses courriels mais aussi à ses métadonnées (horodatage et destinataire) sauf si les éléments sont de nature à porter atteinte aux droits et libertés d’autrui. En l’espèce, elle a néanmoins estimé que les éléments versés au débat n’étaient pas exploitables car trop caviardés par l’employeur. La Cour de cassation établit un lien direct entre le RGPD et le plein exercice du droit d’accès, tout en y ajoutant une réserve.
Quelle est désormais l’étendue du droit d’accès ?
E.Q. : Si l’on suit la Cour, le salarié aurait donc désormais accès aux informations inscrites dans les métadonnées et au contenu des emails, là où l’article 15 du RGPD ne parle que « d’accès auxdites données à caractère personnel ». Or, tout le contenu d’un email n’est pas nécessairement de la donnée concernant le salarié. Rappelons à ce propos que le 31 janvier 2025 la CNIL a précisé que face à la volumétrie à traiter par l’employeur, il doit exister des tempéraments à ce droit du salarié. Elle propose un tableau qui fournirait les métadonnées et les informations personnelles, sans ajouter le contenu des emails et les documents annexés. À la lecture de l’arrêt de la chambre sociale, la position de la CNIL peut paraître fragilisée dès lors que la Cour parle bien du contenu de l’email (ce qui pose des questions quant aux pièces jointes annexées aux mails et sur les messageries instantanées en entreprise). Pour autant, la position de la CNIL demeure fondée au regard des dispositions de l’article 15 du RGPD.
Thomas Sely : Je rajouterais également une zone grise sur les liens insérés dans les emails et renvoyant vers les sharepoint ou onedrive. Les documents en lien peuvent-ils être considérés comme des pièces-jointes ? Pour illustrer ce débat, certaines autorités comme la Commission européenne considèrent qu’ils constituent des pièces jointes et doivent donc être communiqués avec les emails en réponse à une demande d’information.
La Cour de cassation ne se prononce pas non plus sur les emails qui citent ou mentionnent le demandeur. Selon la CNIL, ces informations demeurent dans le giron des données personnelles communicables. Dans les faits, il est rare de voir de telles demandes qui pourraient être considérées comme trop larges.
Du point de vue de la mise en œuvre technique, force était de constater, avant cet arrêt du 18 juin, une grande variété dans les approches des entreprises et de leurs conseils. Certaines transféraient un simple tableau, d’autres des éléments plus fournis avec les données personnelles contenues dans les emails. Certains groupes caviardaient les secrets d’affaires, les éléments de propriété intellectuelle et les données personnelles de tiers, alors que d’autres fournissaient l’intégralité des contenus aux salariés demandeurs. La chambre sociale vient enfin préciser les modalités pratiques, allant plus loin que les recommandations de la CNIL s’agissant du contenu des emails.
Quelles conséquences pour les entreprises ?
T.S. : les entreprises vont devoir faire l’effort de regarder le contenu des emails, en distinguant les informations à transmettre ou pas, et justifier le caviardage de certaines informations. Mais je ne serais pas surpris que certaines entreprises continuent de privilégier des productions intermédiaires, au moins dans un premier temps, se référant au tableau suggéré par la CNIL tout en y ajoutant quelques éléments de contexte pour que le demandeur puisse comprendre un peu mieux l’information contenue. On peut également s’attendre à un recours plus systématique aux technologies issues de l’eDiscovery pour trier et caviarder les emails comme c’est le cas dans d’autres juridictions de common law. Le recours à l’IA permettra sans aucun doute de gagner en efficacité dans cet exercice très chronophage.
E.Q. : Cet arrêt ne s’oppose pas à ce que préconisait la CNIL, à savoir des échanges entre les personnes concernées sur le niveau d’informations recherchées. Le principe du tableau permet de mieux dimensionner la demande du salarié.
Vous attendez-vous à une hausse des contentieux sur le fondement de cette jurisprudence ?
T.S. : On peut s’attendre à une augmentation des contentieux mais surtout à des transactions autour de ces litiges du fait de la charge de travail accrue pour les entreprises. Et nous le constatons d’ailleurs déjà aujourd’hui. T