Depuis plusieurs mois, sur le front discret mais stratégique du RGPD, les employeurs tenaient leurs positions tant bien que mal face à une nouvelle offensive : les demandes d’accès aux courriels professionnels formulées par d’anciens salariés.
Au sein des directions RH et juridiques, on espérait un renfort décisif de la Cour de cassation, un arrêt salvateur qui viendrait rappeler que la messagerie professionnelle est d’abord un outil de travail, propriété de l’employeur.
Mais le 18 juin 2025 — date symbolique, s’il en est — la Haute juridiction a pris position : le salarié peut, au titre du RGPD, obtenir l’accès à l’intégralité de ses données personnelles, y compris celles contenues dans sa boîte mail professionnelle. Une décision qui, sans renverser le droit existant en apparence, vient bouleverser les équilibres pratiques, et impose aux entreprises de se préparer à ce nouveau front contentieux.
Pour autant, tout n’est pas perdu. L’enjeu, désormais, n’est pas tant de se défendre a posteriori que de rendre ces demandes inutiles en amont.
Autrement dit : la stratégie de défense la plus efficace est d’enlever tout intérêt à l’offensive. À condition, bien sûr, que l’entreprise ait su verrouiller ses éventuels points faibles avant que le contentieux ne commence.
I. Ce que la Cour de cassation a jugé le 18 juin
- Les courriels professionnels sont des données à caractère personnel
En application de l’article 4 du RGPD, la Haute juridiction considère que tout message émis ou reçu par un salarié via la messagerie professionnelle, dès lors qu’il permet de l’identifier directement ou indirectement, constitue une donnée à caractère personnel. Cette approche est conforme à la définition large du texte européen et rejoint une jurisprudence antérieure concernant les adresses IP. - Le droit d’accès inclut le contenu et les métadonnées des courriels
En se fondant sur l’article 15 du RGPD, la Cour impose à l’employeur de fournir non seulement les métadonnées des courriels (dates, heures, destinataires) mais également leur contenu. Elle adopte une position plus large que celle exprimée par la CNIL en janvier 2022, qui semblait limiter ce droit au contenu contenant des données personnelles. - Un refus de communication non justifié est fautif et peut ouvrir droit à réparation
En l’espèce, l’employeur s’était contenté de transmettre des documents administratifs (bulletins de paie, attestations, etc.), sans donner suite à la demande du salarié concernant ses courriels. La Cour juge ce comportement fautif, en l’absence de justification valable, et valide l’octroi de dommages-intérêts pour violation du RGPD. - La seule limite admise : la protection des droits et libertés d’autrui
La Cour rappelle que l’article 15 §4 du RGPD autorise à restreindre ce droit si la communication porte atteinte aux droits de tiers (vie privée, secret des affaires, correspondances, etc.). Néanmoins, cette exception suppose une justification précise, circonstanciée et documentée, ce qui faisait défaut en l’espèce.
II. Employeurs, comment se protéger ?
A/ Les solutions classiques issues du droit du RGPD
- Anticiper les demandes d’accès aux courriels
Il est conseillé de mettre en place une procédure claire pour savoir comment retrouver les courriels d’un salarié et comment les lui transmettre en cas de demande. Il faut pouvoir les identifier, les extraire et les transmettre. - Prévoir une solution en cas de courriels sensibles
Si certains messages contiennent des informations confidentielles (concernant d’autres salariés ou des secrets d’affaires), l’employeur peut :- Anonymiser le contenu avant transmission ;
- Ou justifier par écrit son refus de transmettre certains messages.
- Mettre en conformité avec le RGPD les pratiques internes (RH, informatique, juridique)
Concrètement, cela suppose :
- De tenir à jour un registre des traitements incluant ceux relatifs aux emails ;
- De prévoir une durée de conservation limitée des messages (sauf obligation légale ou intérêt légitime) ;
- D’établir une politique claire d’archivage des courriels, en distinguant les règles applicables aux messages liés à l’exécution du contrat de travail, aux échanges commerciaux, aux échanges RH, etc., en définissant pour chacun des durées de conservation compatibles avec le principe de minimisation du RGPD ;
- D’établir une procédure interne de notification des violations (ex. : accès non autorisé à une boîte mail) ;
- D’avoir bien désigné un DPO
B/ Les leviers préventifs issus du droit du travail
La meilleure ligne de défense reste encore celle qui rend l’offensive inutile.
En réalité, dans la grande majorité des cas, ce que cherche le salarié, c’est à démontrer un manquement de l’employeur aux règles relatives à la durée du travail.
L’objectif est souvent :
- Soit de faire tomber un forfait jours, en démontrant un défaut de suivi par l’employeur, avec rappel d’heures ou dommages-intérêts.
- Soit de réclamer des heures supplémentaires non rémunérées, en s’appuyant sur l’envoi de mails à des horaires inhabituels ;
C’est donc là que réside la vraie menace récurrente. Et elle peut être efficacement neutralisée par une action simple mais stratégique : réaliser un audit de conformité sur la durée du travail, en vérifiant notamment :
- La validité des conventions de forfait ;
- La réalité du suivi de la charge de travail et du respect des temps de repos ;
- La traçabilité des échanges hors horaires normaux.
Un employeur en conformité sur la durée du travail sécurise une grande partie de son contentieux relatif à une demande d’accès aux courriels.
Conclusion – La messagerie est ouverte, soyez prêts avant de devoir vous défendre
L’arrêt du 18 juin 2025 ne crée pas un nouveau droit, mais il confirme que les anciens salariés peuvent s’en saisir de manière redoutablement stratégique. Sous couvert de RGPD, la messagerie professionnelle devient un terrain d’enquête indirect pour démontrer des irrégularités bien plus classiques — et potentiellement coûteuses — en droit du travail.
Dans ce nouveau contexte, le réflexe défensif ne suffit plus. Il faut auditer, documenter, anticiper.
Un employeur bien préparé, à jour dans ses pratiques de gestion du temps de travail, avec une politique RGPD rigoureuse, désarme une grande partie du risque contentieux.