Litige avec votre employeur ? Vos mails pro sont une arme RGPD à activer

L’arrêt rendu par la chambre sociale de la Cour de cassation le 18 juin 2025 a marqué un tournant. Désormais, tout courriel professionnel comportant des informations identifiant directement ou indirectement une personne physique constitue une donnée personnelle au sens du RGPD. Conséquence juridique majeure, l’employeur est responsable du traitement de ces données et le salarié dispose d’un droit d’accès sur cet ensemble, qu’il soit toujours en poste ou ait quitté l’entreprise depuis plusieurs mois ou plusieurs années.

Pour Maître Cécile Nause, avocate à la Cour à Agen, le périmètre est large. "Le salarié peut demander à l’employeur, sur le fondement de l’article 15 du RGPD, les courriels émis et reçus par lui via sa messagerie professionnelle." L’avocate ajoute une précision importante. "Le salarié peut également, en principe, demander l’accès aux données personnelles le concernant contenues dans des courriels de tiers, y compris lorsqu’il n’est ni émetteur ni destinataire direct." Une portée qui change la donne dans les contentieux suite à un licenciement et les ruptures conventionnelles contestées.

Quelles données sont concernées ?

La demande peut porter sur trois catégories distinctes. Mails reçus et émis depuis votre adresse professionnelle, métadonnées associées (horodatage, destinataires, copies, objet), et courriels de tiers qui vous mentionnent même si vous n’y figurez pas comme destinataire. La CNIL admet toutefois une souplesse pour les volumes importants. "Pour assurer cette communication, l’employeur peut fournir un tableau récapitulatif contenant les métadonnées et les données personnelles présentes dans les courriels, plutôt qu’une copie intégrale", explique Maître Cécile Nause.

Une divergence d’interprétation subsiste entre la CNIL et la Cour de cassation. "La CNIL, en visant les seules données personnelles contenues dans les courriels, adopte une analyse plus restrictive que la chambre sociale de la Cour de cassation, pour laquelle le droit d’accès couvre aussi le contenu des courriels", précise l’avocate. En pratique, l’employeur qui s’en tient au tableau de métadonnées et de données personnelles respecte ses obligations CNIL, mais s’expose à un contentieux devant les prud’hommes si le salarié estime que le contenu lui est dû.

Quel délais pour demander mes données ?

Côté délais, le cadre est strict. À compter de la demande, l’employeur dispose d’un mois pour répondre, positivement ou négativement, mais en motivant son refus. Une prolongation de deux mois supplémentaires est possible en cas de complexité ou de volume élevé, à condition d’en informer le salarié dans le délai initial avec les motifs du report.

Le refus n’est admis que dans deux cas étroitement encadrés. Demande manifestement infondée ou excessive (notamment répétitive) au titre de l’article 12 du RGPD, ou atteinte disproportionnée aux droits et libertés d’autrui au titre de l’article 15.

Limites et recours

L’employeur peut légitimement restreindre la communication lorsque les courriels contiennent des informations stratégiques, financières ou techniques sensibles, reflètent des analyses juridiques protégées par le secret professionnel, ou comportent des données personnelles d’autres personnes (collègues, clients, témoins).

Ces considérations peuvent justifier des occultations, des anonymisations, ou la fourniture d’un tableau partiel. Elles n’autorisent pas un refus global. La CNIL est claire sur ce point, le droit d’accès reste un principe et seules les communications spécifiques peuvent être restreintes au cas par cas.

Que faire en cas de refus de mon employeur ?

En cas de refus persistant, trois voies de recours existent. La saisine de la CNIL reste l’option la plus dissuasive pour l’employeur, en raison des amendes encourues. "Les sanctions CNIL sont les plus dissuasives pour les structures au vu des enjeux des amendes", confirme Maître Cécile Nause.

Le contentieux prud’homal permet d’obtenir une condamnation à transmettre, mais sous condition de proportionnalité, le juge devant mettre en balance le droit à la preuve et la protection des données. Enfin, l’action en dommages et intérêts devient souvent la voie résiduelle lorsque les autres démarches échouent.

Quels dommages et intérêts ?

Les montants à attendre restent modestes en l’état de la jurisprudence. Dans l’affaire ayant donné lieu à l’arrêt de référence du 18 juin 2025, la Cour de cassation avait validé une condamnation à seulement 500 euros de dommages-intérêts. "il faudra encore que le préjudice du salarié soit caractérisé, ce qui risque d’en limiter le montant pour de nombreux collaborateurs", tempère l’avocate.

La portée pratique du droit d’accès reste donc avant tout probatoire. Le contenu récupéré, lorsqu’il est obtenu, peut servir à étayer un dossier prud’homal de licenciement abusif, de harcèlement ou de discrimination, là où la voie classique n’aurait jamais permis l’accès à ces pièces.

L’article 15 du RGPD ouvre un droit d’accès aux données personnelles, sous réserve des limites d’atteinte aux droits des tiers (article 12 et article 15 du RGPD). L’employeur dispose d’un mois pour répondre, prolongeable de deux mois en cas de complexité. La jurisprudence évolue rapidement sur le sujet et certaines situations peuvent justifier le recours préalable à un avocat en droit social ou à la CNIL. Les montants de dommages-intérêts cités sont indicatifs et dépendent du préjudice effectivement caractérisé devant les juridictions.