Le RGPD (règlement général sur la protection des données) du 27 avril 2016 garantie à toute personne physique un droit d’accès aux données à caractère personnel qui la concernent. Ce droit implique que la personne peut obtenir du responsable du traitement la confirmation que ses données sont ou non traitées et, le cas échéant, en obtenir la communication.
L’article 4 de ce règlement entend par « données à caractère personnel » toute information permettant d’identifier la personne, notamment un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou des éléments propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Ainsi, ces informations sont la propriété de la personne concernée qui en tant que salarié peut exercer ce droit d’accès en réclamant à l’employeur une copie des données personnelles qu’il détient à son sujet. Cette démarche permet notamment de contrôler l’exactitude des données et, si nécessaire, d’en obtenir la rectification ou la suppression.
Dans une récente affaire, après avoir été licencié pour faute grave, un salarié avait demandé à son employeur de lui donner accès au contenu de sa messagerie professionnelle en application de son droit d’accès à ses données personnelles. Cet accès lui avait été refusé au motif que les courriels émis ou reçus par un salarié dans l’exercice de ses fonctions professionnelles ne pouvaient constituer des données à caractère personnelles.
La Cour de cassation rejette ce raisonnement dans une décision du 18 juin 2025 et vient admettre que les courriels émis ou reçus par le salarié par l’intermédiaire de sa messagerie électronique professionnelle font partie des données à caractère personnel.
En conséquence elle vient donner la possibilité aux salariés d’accéder au contenu de ces courriels même lorsque leur contrat de travail est rompu. Le salarié peut donc désormais accéder aux courriels de sa messagerie électronique, ce qui comprend leur contenu et leurs métadonnées, soit l’horodatage et l’identité des destinataires.
Toutefois, cet accès peut être limité si les éléments dont la communication est demandée sont de nature à porter atteinte aux droits et libertés d’autrui, notamment en matière de secret des affaires, de propriété intellectuelle ou de droit à la vie privé. Dans une telle situation l’employeur doit justifier le motif de son refus de communication.
A cet égard, la CNIL précise que l’organisme concerné doit permettre un accès aux seules données dont la communication ne porte pas une atteinte disproportionnée aux droits d’autrui, sans toutefois refuser de satisfaire à la demande de manière générale.
Dès lors, si un salarié sollicite la communication de ses données personnelles issues de sa messagerie professionnelle et que l’employeur n’y donne pas de réponse, ce dernier encourt jusqu’à 1 500 euros d’amende et l’obligation de payer au salarié les dommages et intérêts en réparation du préjudice subi.
Chambre sociale, Cour de cassation, 18 juin 2025, pourvoi n° 23-19.022
