L’arrêt de la chambre sociale de la Cour de cassation du 18 juin 2025 ouvre un chantier opérationnel pour les directions juridiques et les responsables de la conformité. Les courriels professionnels d’un salarié sont des données à caractère personnel le concernant. L’employeur doit fournir les métadonnées et le contenu lorsque le salarié exerce son droit d’accès au titre du RGPD. La réserve tient aux seuls droits et libertés d’autrui. La décision, publiée FS-B, ne laisse pas de doute sur sa portée normative.
Pour l’entreprise, l’enjeu dépasse la dimension prud’homale. Il engage la gouvernance des données, la responsabilité civile du dirigeant et la coordination entre la direction juridique, la direction des ressources humaines, le délégué à la protection des données et les prestataires informatiques. Cet article analyse les implications opérationnelles pour les structures de taille intermédiaire et les groupes, avec une attention particulière aux responsabilités individuelles et aux obligations de conformité.
I. Le principe et son cadre normatif
L’article 15, paragraphe 3, du règlement (UE) 2016/679 dispose que le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement. Le paragraphe 4 limite cette obligation lorsqu’elle porte atteinte aux droits et libertés d’autrui. L’article 4, point 1, définit la donnée personnelle de façon large.
La chambre sociale, au paragraphe 16 de sa motivation, pose la règle : « les courriels émis ou reçus par le salarié grâce à sa messagerie électronique professionnelle sont des données à caractère personnel au sens de l’article 4 du RGPD » et « le salarié a le droit d’accéder à ces courriels, l’employeur devant lui fournir tant les métadonnées (horodatage, destinataires) que leur contenu, sauf si les éléments dont la communication est demandée sont de nature à porter atteinte aux droits et libertés d’autrui » (Cass. soc., 18 juin 2025, n° 23-19.022, FS-B).
La formulation est directe. Les courriels professionnels entrent dans le champ du droit d’accès. L’employeur livre les données structurées et le contenu. Il ne peut se retrancher derrière la nature professionnelle de l’échange pour en refuser la communication.
La solution s’inscrit dans la ligne européenne. La Cour de justice de l’Union européenne exige une reproduction fidèle et intelligible des données. Les chartes internes des entreprises, souvent rédigées pour assurer le contrôle de l’usage de la messagerie, doivent être relues à l’aune de cette nouvelle grille.
II. Les conséquences pour l’entreprise responsable de traitement
La qualification des courriels en données personnelles produit des effets en cascade.
A. La cartographie des traitements et le registre
Le registre des activités de traitement, prévu par l’article 30 du RGPD, doit intégrer la messagerie professionnelle comme un traitement autonome. La pratique courante consistait à la regrouper sous les traitements RH ou IT, sans détailler les flux. La jurisprudence impose désormais un niveau de précision supérieur. Le registre doit identifier les finalités (communication opérationnelle, preuve, archivage), la base légale, la durée de conservation, les catégories de destinataires et les mesures de sécurité.
L’entreprise doit aussi documenter la durée de conservation. Une politique de conservation trop courte expose au risque de perte de preuve pour la défense. Une politique trop longue expose au risque d’atteinte à la minimisation. Le choix doit être justifié par écrit, idéalement dans une politique de gouvernance documentaire signée par la direction.
B. La procédure opérationnelle de réponse aux demandes d’accès
La demande d’accès RGPD devient un processus industriel lorsque les collaborateurs se la réapproprient. L’entreprise doit disposer d’une procédure écrite. Elle prévoit le point d’entrée des demandes (idéalement le DPO), le délai de réponse, les étapes de qualification, le circuit de validation et les modalités de livraison.
Le délai utile est celui de l’article 12, paragraphe 3, du RGPD : un mois à compter de la réception, prolongeable de deux mois en cas de complexité. L’entreprise doit, dans tous les cas, confirmer la réception et, le cas échéant, motiver la prolongation. L’absence de réponse dans les délais expose à l’action du salarié devant le juge prud’homal et, potentiellement, à une plainte devant la CNIL.
C. Le tri et les expurgations
L’entreprise ne peut refuser en bloc. Elle doit trier. Le tri obéit à deux logiques. Première logique, l’extraction technique : récupérer l’ensemble des messages envoyés ou reçus par le salarié sur la période concernée, avec leurs métadonnées. Les outils d’investigation (eDiscovery) utilisés en contentieux complexe peuvent être repositionnés pour ce type de restitution.
Seconde logique, la qualification juridique : identifier les passages qui portent atteinte aux droits et libertés d’autrui. L’analyse se fait sur la base d’une grille. Secret des affaires protégeant un client, donnée personnelle d’un tiers identifié, correspondance couverte par le secret professionnel de l’avocat, informations stratégiques sur une opération confidentielle. Le caviardage ciblé préserve la communication du document tout en protégeant le tiers.
La documentation de ces choix est essentielle. L’entreprise qui restitue un document expurgé doit, à l’appui, conserver un motif par lot. En cas de contestation, elle doit pouvoir démontrer que l’expurgation était proportionnée et nécessaire. Une procédure d’audit interne trimestrielle permet de vérifier la cohérence des décisions.
III. La responsabilité du dirigeant et le risque civil
La question de la responsabilité individuelle du dirigeant est souvent escamotée. Elle mérite pourtant attention.
L’article L. 1121-1 du Code du travail et les principes du RGPD engagent la personne morale. Mais la défaillance d’organisation peut, dans certaines hypothèses, engager la responsabilité personnelle du dirigeant. L’hypothèse la plus évidente est celle de la faute séparable. Lorsque le dirigeant refuse sciemment de mettre en place une procédure d’accès, ou lorsque, informé d’une demande, il donne une instruction contraire à la loi, la faute sort du cadre des fonctions sociales. Le salarié peut alors agir directement contre lui.
L’hypothèse est moins théorique qu’il n’y paraît. Les demandes d’accès formées par d’anciens salariés litigieux sont souvent remontées au niveau de la direction générale. La réponse est parfois impulsive. Un refus émis par écrit, sans motivation, constitue la trace idéale d’une faute volontaire. Le dirigeant qui signe une telle réponse s’expose.
Sur le plan sociétaire, la défaillance peut également nourrir une action en responsabilité civile. Les frais d’un contentieux RGPD, les condamnations à dommages-intérêts et les amendes administratives de la CNIL constituent un préjudice indemnisable. Le contentieux commercial entre associés peut s’ouvrir lorsque ces manquements sont structurels.
IV. L’articulation avec la politique interne et les chartes informatiques
La plupart des entreprises ont adopté des chartes informatiques. Elles encadrent l’usage de la messagerie professionnelle, posent les règles de contrôle par l’employeur et définissent les droits des salariés. La plupart de ces chartes ont été rédigées avant la solution du 18 juin 2025.
Une révision est nécessaire. Elle porte sur trois points. Premièrement, la mention expresse du droit d’accès. La charte doit informer les salariés de la possibilité de solliciter leurs courriels et décrire le point d’entrée de la demande. Deuxièmement, la politique de conservation. Elle doit être cohérente avec les durées affichées dans le registre et justifiée par les finalités. Troisièmement, les cas d’expurgation. La charte peut annoncer les motifs types qui justifieront un caviardage partiel (secret des affaires, donnée d’un tiers, secret professionnel de l’avocat), sans pour autant lier le DPO pour l’appréciation au cas par cas.
La formation des managers complète le dispositif. L’encadrement intermédiaire est souvent en première ligne lorsqu’un salarié sollicite un accès informel. Une consigne claire évite les réponses orales imprudentes.
V. L’articulation avec les enquêtes internes et le contentieux pénal
Un point délicat concerne les enquêtes internes. De plus en plus d’entreprises conduisent des investigations en cas de soupçon de harcèlement, de fraude ou de corruption. Elles collectent des courriels, les analysent, les conservent. Le salarié visé par l’enquête peut, demain, solliciter ses courriels.
La réserve des droits et libertés d’autrui joue à plein. Les déclarations recueillies, les notes d’audition, les rapports d’audit ne sont pas des courriels du salarié. Ils échappent au droit d’accès. En revanche, les courriels saisis sur sa messagerie, même lorsqu’ils ont été exploités par l’enquêteur, restent des données du salarié. La demande d’accès s’applique. L’entreprise devra livrer une copie tout en préservant les éléments de tiers.
Lorsque l’enquête est coordonnée avec la justice pénale, la situation se complique. La procédure pénale, couverte par le secret de l’instruction, peut prévaloir sur le droit d’accès tant que l’enquête est en cours. Une analyse juridique au cas par cas s’impose, avec appui du conseil extérieur.
VI. La sanction et le chiffrage du risque
Le risque financier se décompose. Sur le versant civil, les dommages-intérêts alloués aux salariés pour abstention fautive ont varié, en pratique, entre quelques centaines et plusieurs milliers d’euros. Le montant dépend de la durée de la résistance, de la nature des preuves perdues pour le salarié, de la proximité avec une procédure prud’homale.
Sur le versant administratif, la CNIL dispose du pouvoir de sanction de l’article 83 du RGPD. Les amendes peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Les sanctions effectivement prononcées dépendent du caractère répété du manquement, de la taille de l’entreprise et de sa coopération. Une procédure d’accès défaillante, révélée par un contrôle de la CNIL à la suite d’une plainte, peut déclencher un contrôle plus large.
Sur le versant réputationnel, la publicité de la sanction pèse. Les amendes CNIL sont publiées. Les contentieux prud’homaux font parfois l’objet de relais de presse. Dans les secteurs réglementés, l’impact sur la relation avec l’autorité de tutelle peut être significatif.
VII. La feuille de route pour la direction juridique
L’arrêt impose une feuille de route en cinq points.
Premier point, l’actualisation du registre des traitements pour inclure la messagerie professionnelle comme traitement autonome, avec finalité et durée de conservation justifiées.
Deuxième point, la rédaction ou la révision d’une procédure interne de réponse aux demandes d’accès, avec flux de travail documenté, délais de traitement et matrice de validation.
Troisième point, la révision des chartes informatiques et des avenants au contrat de travail pour refléter la jurisprudence et l’étendue de l’obligation.
Quatrième point, la formation du management intermédiaire et la sensibilisation du DPO aux nouvelles demandes. Un DPO correctement positionné est la meilleure défense contre les condamnations autonomes.
Cinquième point, la sélection et le paramétrage d’un outil d’eDiscovery capable d’extraire, de qualifier et de caviarder efficacement. Les entreprises de taille moyenne peuvent s’appuyer sur des prestataires spécialisés, contractés avec des accords de sous-traitance conformes à l’article 28 du RGPD.
Conclusion
L’arrêt du 18 juin 2025 ne révolutionne pas le RGPD. Il confirme une lecture déjà dessinée en Europe et l’adapte au contrat de travail. La nouveauté pratique tient à la clarté du signal. Les courriels du salarié sont ses données personnelles. Il peut les obtenir. L’employeur doit les livrer, sous la réserve étroite des droits d’autrui. Les entreprises qui n’anticipent pas découvriront, à l’occasion d’un contentieux, que le coût de l’absence d’organisation est supérieur à celui de la procédure.
La direction juridique et le DPO ont désormais un point d’ancrage. L’arrêt devient un repère pour dialoguer avec la direction générale sur l’investissement nécessaire. Il fournit aussi un argument pour coordonner les équipes RH, IT et juridiques autour d’un processus unifié. La conformité est, dans ce domaine comme dans d’autres, moins une contrainte qu’un outil de maîtrise du risque.
Références
Cour de cassation, chambre sociale, 18 juin 2025, n° 23-19.022, FS-B, Rejet — lien Judilibre.
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD), articles 4, 12, 15, 28, 30, 83 — texte intégral sur Légifrance.
Article L. 1121-1 du Code du travail — texte intégral.
Article L. 1222-4 du Code du travail — texte intégral.