Un arrêt qui fait débat dans le paysage du RGPD
Le 18 juin 2025, la Cour de cassation a rendu un arrêt marquant concernant le droit d’accès d’un salarié à ses données personnelles.
Selon la chambre sociale, un employé peut demander l’accès à l’intégralité du contenu des courriels qu’il a émis ou reçus, y compris ceux professionnels, dès lors qu’ils contiennent des données personnelles.
Cette interprétation étend la portée du droit d’accès prévu par l’article 15 du RGPD, et soulève de nombreuses questions.
L’e-mail : un contenant, mais aussi une donnée personnelle ?
La position de la Cour de cassation
Dans cette affaire, un salarié avait réclamé l’accès à l’ensemble de ses courriels professionnels.
La Cour de cassation a estimé que les courriels contiennent bien des données personnelles, car ils révèlent des informations sur l’activité, les opinions ou la situation d’un individu.
Elle juge donc que le droit d’accès peut porter sur le contenu complet des messages, et pas seulement sur un extrait ou une synthèse.
Seule limite à ce droit ; le respect des droits des tiers. Si la communication d’un email contrevient au respect des droits d’un tiers, celle-ci peut être refusée.
Une divergence avec la CJUE et la CNIL
- La CJUE et la CNIL distinguent généralement la donnée personnelle (nom, fonction, adresse mail…) du document (email, rapport, courrier) qui les contient.
- Cette approche vise à protéger aussi les droits d’autres personnes mentionnées dans les courriels.
Quelles implications pour les employeurs ?
1. Traiter les demandes d’accès avec rigueur
Les entreprises doivent être capables de :
- Identifier tous les courriels contenant des données personnelles,
- Extraire et transmettre leur contenu dans le respect du droit des tiers,
- Réagir dans un délai d’un mois conformément au RGPD.
2. Préserver les droits des autres personnes concernées
Avant toute transmission, il est crucial de :
- Anonymiser ou occulter les données concernant d’autres individus (collègues, partenaires…),
- Évaluer si la communication intégrale porte atteinte à des secrets légitimes (secret des affaires, confidentialité professionnelle…).
3. Mettre à jour les procédures internes
Face à cette décision :
- Les politiques de gestion des mails doivent être mises en place ou mises à jour,
- Les politiques internes de gestion des demandes RGPD doivent être actualisées,
- Les équipes RH et les DPO doivent être formées à ces nouvelles exigences,
- Des solutions techniques doivent être mises en place pour faciliter l’extraction des données.
Conclusion
💬 Cet arrêt de la Cour de cassation ouvre une interprétation large du droit d’accès.
Il impose aux employeurs de revoir leur stratégie de traitement des courriels en tant que données personnelles.
Entre transparence, protection des tiers et respect des délais, la marge de manœuvre se réduit pour les organisations.