Un arrêt inédit qui précise le droit d’accès
Dans un arrêt rendu le 18 juin 2025 (n° 23-19.022), la Cour de cassation a statué que les courriels envoyés ou reçus par un salarié via sa messagerie professionnelle sont des données à caractère personnel au sens du RGPD. L’employeur a donc l’obligation de transmettre ces courriels, y compris leurs métadonnées, sauf si leur divulgation porte atteinte aux droits et libertés d’autrui.
Cette décision est intervenue dans le cadre d’un litige opposant un ancien directeur associé licencié pour propos sexistes et comportements inappropriés. L’ex-salarié, contestant son licenciement devant le conseil de prud’hommes, avait demandé l’accès à l’ensemble de ses courriels professionnels afin de préparer sa défense. L’employeur n’avait pas répondu à cette demande.
Une sanction pour refus de communication
La cour d’appel de Paris avait, dès le 25 mai 2023, considéré que le licenciement était dépourvu de cause réelle et sérieuse, les preuves apportées étant jugées insuffisantes et incomplètes. La cour avait également annulé la convention de forfait-jours, faute de suivi rigoureux de la charge de travail.
En outre, l’employeur avait été condamné à verser 500 euros de dommages et intérêts pour avoir refusé de transmettre les courriels professionnels de l’ex-salarié. La Cour de cassation a confirmé cette sanction et a rappelé que le droit d’accès s’applique également aux courriels, y compris après la rupture du contrat.
Les contours juridiques du droit d’accès aux emails
Selon la Cour de cassation, le droit d’accès du salarié couvre l’intégralité des courriels, tant dans leur contenu que dans leurs métadonnées (horodatage, expéditeurs et destinataires). La seule limite à cette communication concerne la protection des droits des tiers, comme le secret des affaires ou la vie privée d’autres salariés.
Cette position rejoint les principes énoncés par la CNIL, qui avait déjà indiqué dans une publication du 5 janvier 2022 que les courriels professionnels peuvent être considérés comme des données personnelles dès lors qu’ils permettent d’identifier une personne. Toutefois, la CNIL précisait également que la communication d’un tableau de synthèse pouvait suffire à satisfaire une demande d’accès.
Des obligations renforcées pour les employeurs
Les employeurs doivent désormais organiser des procédures adaptées pour traiter les demandes d’accès des salariés à leurs courriels professionnels. Le délai de réponse prévu par le RGPD est d’un mois. En cas de demandes volumineuses, la CNIL préconise de fournir un tableau récapitulatif des courriels concernés et d’inviter le salarié à préciser le périmètre de sa demande.
Le refus de communiquer ces données sans justification expose l’employeur à des sanctions. Dans l’affaire jugée, le montant de l’indemnisation s’est élevé à 500 euros. Mais une sanction administrative prononcée par la CNIL en pareil cas pourrait atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel d’une entreprise.
Un enjeu stratégique pour la gestion des données
La mise en conformité avec cette nouvelle jurisprudence suppose de revoir les politiques internes, notamment la durée de conservation des boîtes mail des salariés et les chartes informatiques. Selon Me Stéphanie Poussou, avocate spécialiste en droit du travail, l’absence de toute réponse de l’employeur a pesé lourd dans cette affaire et a sans doute influencé la sévérité de la décision.
Les entreprises doivent donc procéder à un arbitrage rigoureux entre l’exercice du droit d’accès par le salarié et la préservation des droits des tiers. Une analyse minutieuse de chaque demande est nécessaire pour limiter les risques juridiques et assurer le respect des exigences du RGPD.