La chambre sociale de la Cour de cassation juge, dans un arrêt rendu le 18 juin 2025 (n°23-19.022), que les courriels émis ou reçus par le salarié grâce à sa messagerie électronique professionnelle sont des données à caractère personnel au sens de l’article 4 du RGPD, en conséquence de quoi l’intéressé a le droit d’en obtenir la communication par l’employeur.

Ce dernier doit lui fournir – ajoute l’arrêt – aussi bien les métadonnées (horodatage, destinataires) que le contenu des courriels, à moins que des éléments dont la fourniture est demandée soient de nature à porter atteinte aux droits et libertés d’autrui.

Première décision sur le droit d’accès

C’est la première fois que la chambre sociale prend position à propos du droit d’accès, qui est le premier des droits subjectifs reconnus aux personnes concernées par un traitement de données personnelles et qui conditionne d’ailleurs l’exercice d’une grande partie des autres.

Prévu à l’article 15 du RGPD, ce droit est celui d’accéder aux données traitées et d’en obtenir une copie.

La Cour de justice de l’Union européenne le décrit plus finement par sa finalité, qui est de « permettre à la personne concernée d’exercer, le cas échéant, son droit à la rectification, son droit à l’effacement (« droit à l’oubli ») et son droit à la limitation du traitement […], son droit d’opposition au traitement de ses données à caractère personnel […], ainsi que son droit au recours en cas de dommages subis […] » (CJUE, 4 mai 2023, affaire C-487/21, F.F. c/ Österreichische Datenschutzbehörde).

On sait pourtant que, dans les relations de travail – contractuelles ou post-contractuelles –, le droit d’accès sert à tout autre chose que le contrôle de la licéité du traitement ou de l’exactitude des données. Il est, dans les faits, le moyen d’obtenir de l’employeur la copie de documents dans la perspective d’un éventuel contentieux.

Généralement, c’est à l’occasion de la rupture du contrat qu’il est exercé ainsi en opportunité par des salariés qui veulent mettre la main sur des documents comportant leurs données personnelles – courriels, entretiens d’évaluation, rapports d’enquête disciplinaire, etc. – pour en extraire des éléments de contenu.

Dans cet exercice, le droit d’accès est détourné de la finalité pour laquelle il a été institué et instrumentalisé à des fins probatoires dans le but d’étayer des prétentions sans rapport avec la protection des données à caractère personnel.

Une décision prévisible

Sans ignorer cette pratique – le salarié avait demandé en l’espèce, après avoir été licencié pour faute, une copie de l’ensemble de ses données, et notamment des mails le concernant, sachant qu’il avait fait une copie de certains des courriels dont il s’est servi pour faire la preuve de la réalisation d’heures supplémentaires – l’arrêt du 18 juin 2025 ouvre largement la possibilité de se faire communiquer l’ensemble des courriels que l’intéressé a émis ou reçus au moyen de sa messagerie professionnelle.

Suivant les règles du RGPD, l’employeur doit adresser les éléments demandés dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande.

Mais ce délai peut être prolongé de deux mois si la complexité et le nombre de demandes le justifient, ce qui peut être le cas lorsque le salarié réclame tous les documents comportant des données personnelles. L’employeur doit alors informer l’intéressé de cette prolongation et des motifs du report dans un délai d’un mois à compter de la réception de la demande.

Si l’employeur ne satisfait pas à son obligation, le salarié – ou l’ex-salarié – peut saisir la CNIL pour qu’elle fasse respecter son droit.

Il peut aussi demander des dommages et intérêts à la juridiction prud’homale, à titre principal ou, plus probablement comme en l’espèce, à l’occasion d’un contentieux portant plus généralement sur le bien-fondé de la rupture. C’est un chef d’indemnité qui n’appelle pas en soi d’observation, les juges du fond étant souverains pour évaluer le préjudice, ici fixé à 500 euros.

L’arrêt prête davantage à discussion en ce qui concerne les contenus à communiquer au salarié ou à l’ex-salarié.

Sur le principe, il est exact que ce dernier peut demander une copie des courriels dont il a été l’expéditeur ou le destinataire sur sa messagerie professionnelle, sous réserve évidemment que l’employeur n’ait pas détruit sa boîte mail après son départ de l’entreprise, ce qu’il peut toujours faire.

La Cnil s’était saisie du sujet, il y a trois ans, dans un avis publié sur son site le 5 janvier 2022 consacré au « droit d’accès des salariés à leurs données et aux courriels professionnels ».

Elle écrivait à l’époque que, lorsqu’un salarié souhaite exercer son droit d’accès à des courriels, l’employeur doit fournir tant les métadonnées (horodatage, destinataires etc.) que le contenu des courriels, fixant pour seule limite les données dont la communication porterait une atteinte disproportionnée aux droits d’autrui.

C’est visiblement ce point de vue, dont la normativité est celle du droit souple, que la chambre sociale a repris à son compte pour affirmer sans nuance que l’employeur doit fournir au salarié exerçant son droit d’accès « tant les métadonnées (horodatage, destinataires) que leur contenu, sauf si les éléments dont la communication est demandée sont de nature à porter atteinte aux droits et libertés d’autrui ».

Cette conception très large de l’objet du droit d’accès ne paraît pas toutefois, à bien y regarder, conforme à la jurisprudence de la CJUE.

Une décision excessive

D’une part, en jugeant que « les courriels émis ou reçus par le salarié grâce à sa messagerie électronique professionnelle sont des données à caractère personnel au sens de l’article 4 du RGPD », la chambre sociale fait une application extensive de la notion de donnée à caractère personnel en assimilant le document qui la contient – le courriel – à une information se rapportant à la personne.

La Cnil mettait pourtant en garde contre la confusion dans son avis publié en 2022, soulignant que « le droit d’accès porte uniquement sur les données personnelles et non pas sur des documents ». Avec plus d’autorité, la CJUE pose en règle que « le terme « copie » ne se rapporte pas à un document en tant que tel, mais aux données à caractère personnel qu’il contient » (CJUE, 4 mai 2023, préc., § 32).

La Cour de justice précise, il est vrai, que la copie doit contenir toutes les données à caractère personnel faisant l’objet d’un traitement et que ces données doivent être rendues accessibles de façon compréhensible, ce qui peut nécessiter de communiquer des informations autres que les données personnelles brutes.

Pour assurer leur intelligibilité, la copie transmise au demandeur doit, au besoin, comporter des éléments de contexte figurant dans le document les contenant. Mais cela n’implique nullement qu’une copie de chaque courriel envoyé ou reçu par le salarié soit communiqué au salarié dans son intégralité, même si l’employeur a, par commodité, la faculté d’adresser une copie des courriels tels quels. Un courriel n’est pas en soi une donnée à caractère personnel comme le laisse entendre l’arrêt.

D’autre part, la qualification des métadonnées comme des données à caractère personnel, qui s’induit de l’obligation faite par la Cour de cassation de les fournir au demandeur, n’est pas non plus en phase avec l’analyse de la Cour de justice.

A la question de savoir si l’article 15 du RGPD doit être interprété en ce sens que la notion d’informations se rapporte exclusivement aux données à caractère personnel dont le responsable du traitement doit fournir une copie en application du paragraphe 3 du texte ou si elle renvoie également à l’ensemble des informations mentionnées au paragraphe 1, « voire englobe des éléments allant au-delà, telles des métadonnées », la CJUE a dit pour droit que « la notion d’« informations » […] se rapporte exclusivement aux données à caractère personnel dont le responsable du traitement doit fournir une copie en application de la première phrase » du paragraphe 3 (CJUE, 4 mai 2023, préc., § 46 et 53).

En clair, les métadonnées, qui sont des données qui fournissent de l’information sur des données ne constituent pas des informations protégées qui doivent être communiquées à la personne exerçant le droit d’accès, à moins qu’elles n’aient elles-mêmes la nature de données personnelles comme l’adresse IP de l’expéditeur d’un courriel.

C’est dire que, dans sa première décision relative au droit d’accès, la chambre sociale de la Cour de cassation se montre d’emblée très favorable au droit d’accès qu’elle porte au-delà de l’objet qui, d’après la CJUE, est légalement le sien.

Son interprétation détachée de la jurisprudence européenne étonne d’ailleurs alors que, d’ordinaire, cette formation puise volontiers dans les arrêts de la Cour de justice pour éclairer ou pour fonder ses propres positions.

Professeur Grégoire Loiseau, responsable de la Doctrine sociale, CMS Francis Lefebvre Avocats