Droit d’accès aux emails professionnels – interprétation inédite de la Cour de cassation

Cass. Soc.18 juin 2025, n°23-19.022

Le droit de demander l’accès à ses données personnelles est un principe fondateur du droit de la protection des données dont les contours demeurent mouvants.

La Cour de cassation s’est, pour la première fois, prononcée sur l’application de ce principe aux courriels de la messagerie professionnelle des salariés et a retenu, dans une décision inédite, le droit des salariés et anciens salariés à se voir communiquer le contenu de leurs emails professionnels.

Tout employeur collecte et utilise des données personnelles de ses salariés. Est considérée comme une donnée personnelle toute donnée permettant d’identifier directement ou indirectement le salarié. Ainsi toute correspondance issue de la boîte email professionnelle du salarié contient des données personnelles, en premier chef son nom et son prénom.

Une position de principe semblait fixée, selon laquelle le droit d’accès aux données porte sur les données personnelles elles-mêmes et pas le contenu entier des emails, documents ou fichiers contenant ces données. Cette position est partagée tant au niveau européen par la CJUE (arrêt du 4 mars 2023, C-487/21) qu’au niveau de l’autorité de protection des données française (Fiche pratique CNIL « le droit d’accès des salariés à leurs données et aux courriels professionnels »).

Faisant fi de la relative sécurité juridique qui s’était installée sur le sujet, la Cour de cassation retient dans son arrêt du 18 juin dernier une appréciation toute personnelle : « les courriels émis ou reçus par le salarié grâce à sa messagerie électronique professionnelle sont des données à caractère personnel » et que « le salarié a le droit d'accéder à ces courriels, l'employeur devant lui fournir tant les métadonnées (horodatage, destinataires...) que leur contenu ». La seule limite finalement indiquée par la Cour, et qui n’est pas nouvelle, est si la communication des éléments demandés serait de nature à porter atteinte aux droits et libertés d’autrui.

Sous couvert de permettre au salarié de voir respecter son droit d’accès à ses données personnelles, la Cour de cassation donne un champ excessivement large à ce droit, au risque de voir son efficacité diminuer (le salarié se verrait potentiellement adresser un nombre massif d’emails diluant au final l’information attendue sur les données personnelles contenues) et au risque de laisser une large place à un détournement à d’autres fins (probatoires notamment).

Bien que ce dernier risque soit identifié depuis longtemps, la Cour n’a pas saisi l’occasion de le neutraliser. Cet ancien salarié, qui contestait le bien-fondé de son licenciement pour faute grave et demandait des heures supplémentaires, ne sollicitait manifestement pas d’accéder à une copie de ses emails professionnels pour vérifier que le traitement de ses données par son employeur était en conformité avec le droit de la protection des données.

Toutefois, l’employeur n’avait pas répondu à la demande du salarié et n’avait donné aucune justification à son refus. Cette situation le plaçait nécessairement en violation du droit d’accès du salarié à ses données personnelles et a conduit à sa condamnation à des dommages et intérêts. Le montant modique de 500 euros retenu à ce titre par la Cour d’appel de Paris permet tout de même de relativiser la portée de ce constat et révèle l’absence de volonté de sanctionner lourdement l’employeur.

Au final, au-delà du principe qu’elle énonce, l’arrêt de la Cour de cassation rappelle surtout que l’appréciation du degré de granularité des réponses aux demandes de droit d’accès des salariés demeure, plus que jamais, une étape cruciale dans la prévention et à la maîtrise des risques.