La digitalisation croissante des entreprises a fait des outils de communication numériques, et notamment de la messagerie électronique, des éléments centraux de l’activité professionnelle. Cependant, cette omniprésence soulève des questions délicates quant à la frontière entre vie professionnelle et vie privée du salarié, et surtout, quant aux droits de l’employeur sur le contenu des boîtes mails professionnelles. La Cour de cassation, notamment par l’arrêt rendu le 18 juin 2025 (n°23-19.022) et particulièrement son quatrième moyen, a apporté des éclaircissements majeurs qui impactent significativement la gestion des mails professionnels par les employeurs, potentiellement au détriment de leurs prérogatives.
Cette qualification, qui aligne la France sur une position déjà admise dans d’autres pays européens, soulève des questions fondamentales quant à la gestion des messageries d’entreprise, aux droits d’accès de l’employeur et à la protection de la vie privée des salariés. Il s’agit ici d’analyser et de soumettre des pistes de réflexion sur les implications concrètes de cette décision qui redéfinit les frontières numériques en milieu professionnel et ses hypothétiques conséquences.
Ce positionnement des juges du Quai de l’Horloge, bien que retentissant en droit interne, semble in fine raisonner comme un positionnement cohérent vis-à-vis du droit communautaire. En effet bien avant l’arrêt de la Cour de cassation susmentionné, la Cour Européenne des Droits de l’Homme (CEDH), avaient déjà rendu des décisions allant dans ce sens, soulignant la nécessité de respecter le droit à la vie privée des employés, même dans le cadre professionnel. Par exemple, l’arrêt Barbulescu c. Roumanie de la CEDH en 2017 a été un jalon important, même s’il portait sur la surveillance et non directement sur la qualification des mails. Les juges de la Cour de cassation vont cependant plus loin dans ce raisonnement en considérant la communication non pas des simples données personnelles, mais bien des documents entiers contenant ces données.
Ainsi, il est intéressant de s’interroger et de se demander dans quelle mesure la requalification des mails professionnels en données personnelles, impulsée par l’évolution récente, redéfinit-elle les équilibres entre le pouvoir de contrôle de l’employeur et le droit à la vie privée des salariés ?
En effet, si la requalification des mails professionnels en données personnelles vient étendre la portée du RGPD, elle tend également à potentiellement faire naître une atteinte à la preuve pour l’employeur, une exposition accrue aux litiges et des impacts économiques différenciés.
I) Une décision faisant naître un levier d’action au bénéfice du salarié.
La décision du 18 juin 2025 s’inscrit dans une logique de renforcement de la protection des données individuelles, en redéfinissant le statut juridique des communications professionnelles et mettant en exergue une nouvelle obligation relativement lourde pour l’employeur.
A) La requalification des mails professionnels en données personnelles.
Historiquement, la jurisprudence de la Cour de cassation distinguait les mails "professionnels", présumés consultables par l’employeur, et les mails "personnels", même échangés via la messagerie professionnelle, qui étaient couverts par le secret des correspondances et ne pouvaient être ouverts qu’en présence du salarié ou dûment appelé. Cette distinction offrait une certaine latitude à l’employeur pour contrôler les communications liées à l’activité de l’entreprise, et d’éventuel usage abusif ou contraire à l’usage normal de cet outil professionnel.
L’arrêt du 18 juin 2025 opère une évolution fondamentale. Il qualifie désormais tous les courriels émis ou reçus par un salarié via sa messagerie électronique professionnelle de données à caractère personnel. Cette qualification découle directement de la définition du RGPD, qui considère comme donnée personnelle "toute information se rapportant à une personne physique identifiée ou identifiable".
Les courriels professionnels contiennent inévitablement des éléments identifiables du salarié, tels que son nom, son prénom ou son adresse électronique, ce qui les rend intrinsèquement liés à sa personne.
Cette requalification a alors des conséquences majeures. L’employeur, en tant que responsable de traitement de ces données, est désormais soumis à l’ensemble des obligations imposées par le RGPD dans ce cadre. Cela inclut les principes de licéité, de loyauté, de transparence, de limitation des finalités, de minimisation des données, d’exactitude, de limitation de la conservation, d’intégrité et de confidentialité. Une simple présomption de caractère professionnel ne suffit plus à justifier un accès ou un traitement libre.
B) La naissance d’une nouvelle obligation pour l’employeur vis-à-vis du salarié.
Le statut de données à caractère personnel conféré aux mails professionnels entraîne l’application du droit d’accès prévu par le RGPD. L’arrêt du 18 juin 2025 établit clairement que le salarié dispose d’un droit d’accès à l’ensemble de ses courriels professionnels, y compris les métadonnées (destinataires, heure d’envoi et de réception). Ce droit est particulièrement étendu puisqu’il s’applique même après la rupture de son contrat de travail.
La seule limite à ce droit d’accès est la protection des droits et libertés d’autrui. Si la communication de certains mails portait atteinte à la vie privée de tiers ou à des secrets d’affaires protégés, l’employeur pourrait légitimement restreindre l’accès à ces informations spécifiques. Cependant, cette restriction doit être justifiée et proportionnée. En pareil cas d’espèce, la prérogative de l’employeur est fortement restreinte.
Pour l’employeur, cela représente une nouvelle obligation contraignante. Il doit être en mesure de permettre au salarié d’accéder à l’intégralité de sa boîte mail professionnelle sur demande. Cela implique de mettre en place des procédures claires et efficaces pour gérer ces requêtes, d’assurer la traçabilité des données et de garantir leur intégrité. Le non-respect de cette obligation peut entraîner des sanctions, comme l’a illustré la condamnation de l’employeur dans l’affaire du 18 juin 2025 pour ce seul motif. Le salarié dispose ainsi d’un levier puissant pour obtenir des informations, potentiellement utiles à sa défense, et pour s’assurer du respect de ses droits en matière de protection des données.
II) Une décision faisant naitre de multiples contraintes pour l’employeur.
La requalification des mails professionnels en données personnelles bouleverse les pratiques des employeurs en matière de gestion des ressources humaines et les expose à de nouveaux risques juridiques et économiques.
A) Une entrave à la gestion et à la preuve pour l’employeur.
La nouvelle jurisprudence modifie considérablement la capacité des employeurs à prouver une faute du salarié et à exercer leur pouvoir de direction.
Traditionnellement, les employeurs pouvaient se prévaloir du contenu des mails professionnels pour justifier une sanction disciplinaire ou un licenciement. Ceux-ci partant du principe que ces communications, étant professionnelles, pouvaient être librement consultées et utilisées comme preuve, en considération du principe de preuve libre.
Désormais, cette approche est caduque. Si un employeur refuse de communiquer les mails professionnels sollicités par un salarié, même licencié, il s’expose à des sanctions pour manquement à une obligation légale au titre du RGPD. Cela signifie que même si les mails contenaient des preuves irréfutables d’une faute grave, l’employeur pourrait ne pas pouvoir les utiliser s’il n’a pas respecté le droit d’accès du salarié. La preuve serait alors considérée comme obtenue de manière illicite et donc irrecevable devant les prud’hommes.
Cette situation place l’employeur dans une position délicate. Il doit concilier son droit de gérer son personnel et de sanctionner les fautes avec les droits fondamentaux du salarié sur ses données personnelles. La simple condamnation à des dommages et intérêts pour non-communication, comme dans l’affaire précitée, illustre que le manquement au RGPD peut être sanctionné indépendamment du bien-fondé du licenciement. Cela affaiblit la position de l’employeur dans le litige principal, car les éléments de preuve qu’il pourrait vouloir utiliser doivent d’abord être mis à la disposition du salarié selon des règles strictes.
Cette décision de la Cour de cassation est susceptible d’entraîner une augmentation significative des demandes d’accès aux boîtes mails des salariés, en particulier dans des contextes de contentieux. Un salarié contestant un licenciement, demandant un rappel d’heures supplémentaires, ou alléguant un non-respect de son droit à la déconnexion, pourrait systématiquement solliciter l’accès à sa messagerie professionnelle.
Le RGPD confère aux personnes concernées des droits étendus (accès, rectification, effacement, portabilité, etc.). En qualifiant les mails professionnels de données personnelles, le salarié peut exercer l’ensemble de ces droits sur l’intégralité de sa boîte mail professionnelle. Cela offre aux salariés un nouveau levier puissant pour préparer leur défense ou contester des décisions patronales. Ils pourront chercher dans leurs échanges des éléments de preuve de faits liés à leur contrat de travail mais aussi dénoncer une collecte ou une utilisation de leurs données jugée abusive par l’employeur, indépendamment du motif initial de leur litige.
Les employeurs peuvent alors s’attendre à une recrudescence des contentieux liés à la production de ces données, et à une réorientation des stratégies des salariés vers la violation du droit à la protection des données. La question de la conformité de l’employeur au RGPD sera systématiquement mise en question, déplaçant le centre de gravité des débats et déséquilibrant la balance en faveur du salarié.
B) Un impact économique différencié pour les entreprises.
La requalification des mails professionnels en données personnelles n’impacte pas toutes les entreprises de la même manière, créant un déséquilibre économique au sein du tissu économique français.
Les Très Petites Entreprises (TPE) et les Petites et Moyennes Entreprises (PME), par leur structure et leurs ressources limitées, sont particulièrement vulnérables aux conséquences économiques de cette nouvelle jurisprudence. La mise en conformité avec le RGPD et les nouvelles exigences liées aux mails professionnels représente un coût significatif et un défi opérationnel.
Ces entreprises peinent souvent à absorber les frais liés à l’expertise juridique nécessaire pour comprendre les implications de la jurisprudence, à la formation du personnel pour gérer les demandes d’accès aux données, ou à l’acquisition de logiciels permettant une gestion structurée et sécurisée des boîtes mails. Pour une petite structure, l’obligation de conserver les mails d’un salarié sortant pendant une certaine période, et de pouvoir les restituer sur demande, peut devenir un véritable casse-tête technique et organisationnel, détournant des ressources de leur cœur de métier.
De plus, les TPE et PME sont généralement moins bien assurées et ont des fonds propres plus limités pour faire face aux coûts des litiges (frais d’avocat, condamnations). Un contentieux imprévu lié à la gestion des mails, même pour des sommes relativement faibles, peut représenter une charge non négligeable. La multiplication potentielle de ces demandes, même après le départ du salarié, augmente la charge administrative et le risque juridique cumulé, pouvant impacter significativement leur trésorerie et, dans les cas extrêmes, leur pérennité.
Les grandes entreprises, dotées de ressources plus importantes, sont mieux positionnées pour absorber les coûts liés à cette évolution juridique. Elles disposent généralement de départements juridiques, informatiques et de conformité (DPO) structurés, spécifiquement dédiés à la gestion des données et des risques.
Pour ces structures, la qualification des mails professionnels en données personnelles n’est pas tant un problème de capacité à se conformer qu’un enjeu d’optimisation et d’investissement. Elles peuvent se permettre de mettre en place des outils sophistiqués pour l’archivage, la recherche et la restitution sélective des mails. Elles peuvent également se permettre de former un nombre conséquent d’employés et de mettre à jour leurs chartes d’utilisation des systèmes d’information de manière exhaustive. L’impact économique se situe davantage sur l’optimisation des flux de travail existants et la gestion de projets de conformité d’envergure, représentant un coût d’adaptation gérable à l’échelle.
Cependant, si les grandes entreprises peuvent mieux absorber les coûts directs, elles sont davantage exposées aux risques réputationnels et à la gestion de contentieux de masse. Du fait de leur taille et de leur visibilité, elles sont plus exposées à l’attention médiatique (pratique de « Name and Shame ») et aux actions collectives en cas de violation des droits des salariés. Une mauvaise gestion des données personnelles des salariés peut rapidement devenir une affaire publique, ternissant l’image de l’entreprise et impactant sa marque employeur. Cela peut se traduire par des difficultés à attirer de nouveaux talents ou à retenir les employés actuels, des coûts de recrutement accrus, et potentiellement une désaffection des consommateurs sensibles aux pratiques éthiques des entreprises. La complexité de la gestion des demandes d’accès d’un grand nombre d’anciens ou d’actuels salariés ajoute une charge administrative considérable, même pour des entreprises bien structurées.
En définitive, la qualification des mails professionnels en données personnelles et les obligations qui en découlent créent un déséquilibre économique au sein du tissu entrepreneurial. Cette divergence d’impact met en lumière la nécessité pour le législateur et les autorités de régulation (comme la CNIL) de proposer des outils, des guides et peut-être des accompagnements spécifiques pour les TPE et PME, afin d’éviter que cette avancée en matière de protection des données ne devienne un frein économique pour les plus petites structures.
