Précisons dès à présent que l’employeur avait communiqué l’ensemble de son dossier au salarié mais qu’il s’était abstenu de lui répondre sur sa demande d’obtenir une copie de sa boite e-mails (et pas uniquement ses e-mails identifiés comme « personnel et confidentiel »).
La cour d’appel lui donne raison sur le principe et lui alloue 500 € de compensation. Un pourvoi est formé par l’employeur.
Dans un arrêt du 18 juin 2025, la chambre sociale de la Cour de cassation décide que :
« les courriels émis ou reçus par le salarié grâce à sa messagerie électronique professionnelle sont des données à caractère personnel au sens de l’article 4 du RGPD et, d’autre part, que le salarié a le droit d’accéder à ces courriels, l’employeur devant lui fournir tant les métadonnées (horodatage, destinataires) que leur contenu, sauf si les éléments dont la communication est demandée sont de nature à porter atteinte aux droits et libertés d’autrui ».
Dès lors, l’employeur qui ne transmet pas les e-mails s’expose à une condamnation à des dommages intérêts au profit du salarié (certes modeste) en l’espèce mais qui laisse interroge quant à sa portée.
Si la solution n’est pas dénuée de fondement juridique (1), elle appelle de vives critiques (2) et une réaction immédiate (3) pour endiguer ses effets néfastes pour l’entreprise.
1- Raisonnement.
RGPD. L’article 15 qui prévoit que la personne physique a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel.
De même, l’article 4 du RGPD définit une donnée à caractère personnel, toute information se rapportant à une personne physique identifiée ou identifiable (…) notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Le raisonnement est donc le suivant : l’e-mail est une donnée personnelle ; la personne physique a un droit d’accès à ses données personnelles ; la personne physique doit donc avoir accès à l’ensemble de ses e-mails.
Raisonnement extensif. L’arrêt considère que l’e-mail constitue une donnée personnelle. Par cette affirmation, la Cour de cassation procède à une vision très (trop) large de ce que peut être une donnée personnelle. Autant les métadonnées de l’e-mail pourraient constituer des données personnelles, autant le contenu de l’e-mail pourrait prêter à débat. Le raisonnement doit être différent de l’image sur des bandes de vidéoprotection où la personne a un droit d’accès à ses images puisqu’elle y figure. En effet, il ne contient pas de données personnelles du salarié mais des éléments en lien avec l’activité de l’entreprise. En procédant à une analyse aussi large, la solution confond données personnelles et activité professionnelle.
2- Critiques.
Toi et moi. Par définition, un e-mail est un échange. Il suppose donc un expéditeur et un destinataire. Dans tous les cas, l’e-mail contient donc des données personnelles de celui qui lui adresse ou qui reçoit l’e-mail. Sans égard pour sa qualité, il s’agit aussi le plus souvent d’une personne physique (salariés, clients, fournisseurs, partenaires…). Or, le droit d’accès aux données personnelles d’une personne ne donne pas droit à un accès à celles d’autres personnes. Chacun a droit à la protection de ses données personnelles : celui qui envoie, celui qui reçoit ou celui qui est en copie.
Aparté cci. Si l’on en vient à appliquer le RGDP à chaque e-mail, il est alors possible de s’interroger sur la conformité de la pratique de la « copie cachée » avec le RGPD. Une telle pratique s’oppose indiscutablement au principe de transparence portée par le Règlement européen. Faut-il pour autant interdire cette pratique ? La Cour de cassation n’a pas répondu à la question.
Chalut ou pêche sélective. Le chalut consiste à ramasser indistinctement les poissons sans égard pour l’intérêt de leur consommation. La Cour de cassation a appliqué la méthode du chalut à la communication des e-mails du salarié. Or, comme le chalut porte atteinte à l’océan, la solution retenue porte une très grave atteinte au secret des affaires : on ramasse tout, on détruit, on pille et après on réfléchit. Cette méthode n’est absolument pas justifiée, y compris par le droit à la preuve. A ce titre, le salarié aurait pu exiger que l’employeur lui communique tel ou tel e-mail nécessaire à sa défense mais pas la copie de l’intégralité de sa boite e-mail. Cela est d’autant plus vrai en l’espèce que le salarié produisait déjà certains de ses e-mails. Si d’autres lui manquaient il aurait pu limiter l’atteinte en demandant les e-mails échangés avec un correspondant ou sur une période donnée.
Le poison et l’antidote. Il suffirait de demander pour obtenir ! Quel intérêt pour toutes les politiques de rétention ? Un salarié qui partirait chez un concurrent, un client ou un prestataire pourrait solliciter l’intégralité de sa boite e-mails de sorte à disposer d’informations précises. L’arrêt porte en lui le poison de l’atteinte au secret des affaires. A l’inverse, selon l’arrêt, l’employeur pourrait refuser la communication des e-mails de nature à porter atteinte aux droits et libertés d’autrui. Le risque de violation du secret des affaires étant une atteinte aux droits de l’employeur, ne peut-il pas l’opposer ? Le cas échéant, le poison et l’antidote serait contenus dans la même décision ce qui limite voire annule ses effets.
3- Réaction.
A court terme. Chefs d’entreprise, DRH, RRH, DSI, quelques réflexes à prendre dès maintenant. Tout d’abord, répondez à la demande du salarié en la motivant. L’arrêt emporte condamnation de l’employeur en raison de son abstention fautive puisqu’il n’a ni transmis ni répondu à la demande du salarié. Nul doute qu’une position différente aurait pu être envisagée si l’employeur avait pris le soin de répondre.
Trois arguments peuvent être utilement mobilisés :
- Le risque de violation du secret des affaires
- La violation des données personnelles des tiers
- L’impossibilité matérielle au regard du volume de données : en effet, en raison de plusieurs dizaines ou centaines d’e-mails par jour, la communication des éléments devient difficile (a fortiori si demain les salariés demandent au-delà des e-mails, les Teams, Slack et autres).
Ensuite, revoyez votre politique de rétention. Nulle obligation est faite de communiquer des données qui n’existent plus. Supprimer régulièrement les données inutiles permet d’opposer l’impossibilité.
A moyen terme. L’arrêt impose de déterminer qui est propriétaire des données. Le débat est plus large et profond mais in fine la question sous-jacente est celle de la propriété de l’e-mail. Il est clair que les salariés ne sont pas propriétaires des outils de travail. De même il est clair que les salariés ne sont pas propriétaires de ce qu’ils créent par leur travail ; pourquoi aurait-il un droit de suite sur les e-mails ils sont l’auteur ou les destinataires. Même l’artiste ne peut pas exiger une copie de son œuvre. Le seul fait d’être rattachable à une personne ne justifie pas un droit de propriété. Après « en fait de meubles, possession vaut titre » ; « en fait d’e-mails, envoyer ou recevoir vaut titre » ? Rien ne le justifie. Bref, nous sommes aux balbutiements de la gestion des données et une position acceptable par tous doit encore être élaborée.
A long terme. L’appel du 18 juin aurait été inutile s’il n’avait pas été suivi d’actions, l’arrêt du 18 juin sera également suivi d’autres décisions. En rendant son arrêt un 18 juin la Cour de cassation a évidemment lancé un appel pour faire bouger les lignes. Comme à chaque fois (cf les AR sur le préjudice automatique) la cour prend une position extrême pour inviter chacun à réagir. Une position plus consensuelle en résultera pour se stabiliser et devenir la norme. D’autres arrêts ne manqueront pas d’être rendus sur le sujet. Entre temps, les pots cassés seront le mal nécessaire pour l’émergence de ce nouveau droit de la donnée.
Le RGPD a toujours eu pour vocation à protéger la donnée. A aucun moment, il n’a été question de bouleverser le droit de la preuve. Revenir à l’esprit du texte apparait essentiel tant nous sommes aux prémices du droit de la donnée. Un équilibre doit être trouvé. Il pourrait reposer sur la communication des métadonnées permettant de répondre à la demande d’accès aux seules données personnelles tout en préservant les intérêts de l’entreprise.
