Droit d’accès du salarié à ses données RH : Répondre à une demande de droit d’accès RH n’est pas une formalité administrative. C’est un acte de conformité engageant la responsabilité de l’organisme sous deux angles : normatif devant la CNIL, et civil devant les juridictions du travail.
La règle de principe est simple : on communique le contenu des données personnelles concernant le demandeur, sous f orme de copie des documents les contenant ou d’extraction structurée, après avoir caviardé les informations relatives aux tiers. La liste seule, des documents, n’est pas une réponse.
Les motifs légitimes de refus existent, mais chacun doit être documenté, motivé par écrit et notifié au demandeur avec le rappel de ses voies de recours.
La méthode en entonnoir pour les messageries volumineuses est la seule exception admise à la communication directe du contenu : tableau récapitulatif d’abord, invitation à préciser ensuite, communication du contenu ciblé enfin.
Enfin, le droit dans ce domaine est en construction. La tension entre la Cour de cassation et les juridictions du fond sur la messagerie professionnelle n’est pas encore résolue. Le législateur pourrait être amené à intervenir pour fixer le cadre. En attendant, la méthodologie CNIL du 31 janvier 2025 demeure la référence de conformité la plus robuste face à un contrôle ou une plainte.
Reprenons depuis le debut : Repondre à une demande de droit d’accés
Le droit d’accès constitue l’un des droits fondamentaux reconnus par le RGPD à toute personne. Dans le monde du travail, son exercice prend une dimension particulière et souvent conflictuelle : le salarié, ou l’ancien salarié, peut à tout moment demander à son employeur la communication de l’ensemble des données personnelles le concernant. Ce droit ne souffre d’aucune condition liée à l’intention du demandeur. Peu importe la raison invoquée, peu importe l’existence d’un litige en parallèle : l’employeur doit répondre, et répondre correctement.
Depuis la fiche CNIL du 5 janvier 2022, actualisée au 31 janvier 2025, les attentes de la Commission sont précisées avec une relative clarté. La chambre sociale de la Cour de cassation a pris position en juin 2025. La Cour d’appel de Paris a adopté une approche distincte en décembre 2025. Le droit positif est en mouvement, et naviguer dans ce paysage exige de la méthode.
Cet article réunit l’ensemble des éléments nécessaires à une réponse que nous estimons conforme : le fondement du droit, la liste exhaustive des données à communiquer, les motifs légitimes de refus, les délais impératifs, la méthode opérationnelle étape par étape, et l’état de la jurisprudence au premier trimestre 2026.
Le fondement et les titulaires du droit
Tout salarié, en poste ou ancien, dispose du droit d’accéder directement aux données personnelles détenues sur lui par son employeur. Ce droit découle de l’article 15 du RGPD. Il ne nécessite aucune justification de la part du demandeur et peut être exercé même en présence d’un contentieux prud’homal en cours, même après la rupture du contrat de travail.
L’interlocuteur désigné est, selon les cas, le service des ressources humaines ou le DPO. La CNIL rappelle l’obligation de faciliter l’exercice de ce droit : si la demande est incomplète, l’employeur invite le demandeur à la compléter avant de commencer à traiter le dossier. En cas de doute raisonnable sur l’identité du demandeur, une pièce justificative peut être sollicitée, mais cette exigence doit rester proportionnée. Un salarié envoyant sa demande depuis sa messagerie professionnelle n’a pas, en principe, à produire une pièce d’identité. Un ancien salarié peut prouver son identité grâce à ses anciens identifiants professionnels ou à des renseignements connus de l’employeur.
La demande peut prendre toutes les formes : sur place, par courrier postal, par courriel. La CNIL met à disposition des modèles de courrier sur son site. Le droit d’accès est gratuit par principe. Des frais raisonnables ne peuvent être réclamés au demandeur en cas de demandes répétitives ou manifestement excessives, et encore faut-il pouvoir en démontrer le caractère abusif.
Ce devant être communiqué : la liste complète
A. Le dossier RH au sens large
La CNIL est explicite sur l’étendue du droit d’accès au dossier professionnel. L’accès porte sur l’ensemble des données concernant le demandeur, sans distinction entre supports informatiques et supports papier. Voici les catégories couvertes :
Les données d’identité et d’embauche Tout ce ayant trait au recrutement : CV, candidature, proposition d’embauche, contrat de travail, avenants, déclaration préalable à l’embauche, fiche de poste au moment de l’entrée dans l’organisme.
L’historique de carrière L’ensemble des éléments retraçant le parcours du salarié au sein de l’organisme : promotions, changements d’affectation, mobilités internes, évolutions de rémunération.
L’évaluation professionnelle Les comptes-rendus d’entretiens annuels d’évaluation, les grilles de notation, les valeurs de classement annuel parfois appelées « ranking », les indicateurs de potentiel de carrière. Tout élément ayant servi à prendre une décision concernant le salarié entre dans ce périmètre.
La formation Les demandes formulées par le salarié, les réponses apportées par l’employeur, les bilans de formation, les évaluations post-formation.
Le dossier disciplinaire L’ensemble des pièces relatives à une procédure disciplinaire : convocations, lettres d’avertissement, mises en demeure, sanctions. Le contenu des enquêtes internes appelle cependant des précautions particulières, développées plus loin.
Les données de contrôle Les logs de badge d’accès aux locaux, les données issues d’un dispositif de géolocalisation d’un véhicule de service, les enregistrements horaires issus d’un système de gestion des temps.
Les données de paie Les bulletins de salaire, les éléments variables de rémunération, les données de cotisations sociales dans la mesure où elles concernent directement le salarié.
Tout élément décisionnel C’est peut-être le point le plus structurant : tout document, note, rapport ou commentaire ayant servi de base à une décision concernant le salarié doit être communiqué. Une décision de mutation, de refus d’augmentation, de rétrogradation, de licenciement : les éléments ayant alimenté cette décision relèvent du droit d’accès.
B. Les informations de traitement obligatoires (article 15 §1 du RGPD)
Au-delà de la copie des données elle-même, l’employeur doit transmettre un ensemble d’informations sur les traitements en cours :
- les finalités poursuivies par le traitement des données du salarié ;
- les catégories de données traitées ;
- les destinataires ou catégories de destinataires ayant accès aux données ;
- la durée de conservation prévue ou, à défaut, les critères permettant de la déterminer ;
- l’existence des droits de rectification, d’effacement, de limitation du traitement et d’opposition ;
- le droit d’introduire une réclamation auprès de la CNIL ;
- toute information disponible sur la source des données, si elles n’ont pas été collectées directement auprès du salarié ;
- l’existence éventuelle d’une décision automatisée ou d’un profilage.
Ces informations complètent la copie des données. Elles ne la remplacent pas.
Un point de forme à ne pas négliger : les codes, sigles et abréviations figurant dans les documents transmis doivent être explicités, si nécessaire à l’aide d’un lexique. Un salarié ne doit pas recevoir un document contenant des codes internes incompréhensibles sans possibilité de les déchiffrer.
C. Les courriels professionnels
C’est le sujet le plus complexe, alimenté par une jurisprudence récente et mouvante.
La position de la CNIL, confirmée par la Cour de cassation dans son arrêt du 18 juin 2025 (n° 23-19.022), est la suivante : les courriels émis ou reçus par un salarié via sa messagerie professionnelle constituent des données à caractère personnel. L’employeur doit donc en permettre l’accès, en fournissant tant les métadonnées (horodatage, identité des expéditeurs et destinataires) le contenu des échanges, sous réserve de la protection des droits des tiers.
La CNIL précise la forme de cette communication : la transmission d’une copie des courriels constitue la solution la plus commode, mais elle n’est pas la seule admise. L’envoi d’un tableau récapitulatif contenant les métadonnées et les données personnelles extraites des courriels représente également une réponse valable.
Ce pouvant légitimement ne pas être communiqué
Le droit d’accès n’est pas absolu. Des motifs légitimes permettent à l’employeur de refuser partiellement ou totalement la communication de certaines données. Chaque motif de refus doit être motivé par écrit et notifié au demandeur.
1. Les données personnelles de tiers identifiables
Un salarié ne peut accéder, au titre de son droit propre, aux données personnelles d’autres personnes. Si un document le concernant contient des informations permettant d’identifier d’autres individus (collègues, clients, témoins), l’employeur doit anonymiser ou caviarder ces informations avant transmission. Ce n’est en cas d’impossibilité technique de procéder à cette anonymisation sans vider le document de sa substance, et seulement dans ce cas, un refus partiel est envisageable.
Exemple concret : un rapport d’enquête interne établi à la suite d’un dysfonctionnement mentionne plusieurs collègues. L’employeur transmet le rapport en occultant les noms et éléments d’identification des autres personnes citées, mais communique les passages concernant directement le demandeur.
2. Le secret des affaires
Des données protégées par le secret des affaires peuvent faire l’objet d’un refus de communication. Ce motif ne peut cependant pas être invoqué de façon générale, sans justification étayée. L’employeur doit démontrer en quoi la communication de tel élément précis porterait atteinte à un intérêt commercial ou industriel protégé.
Exemple concret : un courriel contenant des données personnelles du salarié fait également référence à une stratégie commerciale confidentielle. L’employeur peut caviarder les passages relatifs à cette stratégie et transmettre le reste.
3. La propriété intellectuelle
Des algorithmes de scoring RH, des méthodes d’évaluation propriétaires ou des outils couverts par des droits de propriété intellectuelle peuvent être partiellement soustraits à la communication. Là encore, ce motif ne peut pas être invoqué pour bloquer l’accès aux données personnelles elles-mêmes : seuls les éléments relevant véritablement d’une protection par la propriété intellectuelle peuvent être occultés.
4. Le secret des correspondances
Ce motif est particulièrement opérant pour les courriels dans lesquels le salarié est simplement mentionné, sans en être l’expéditeur ni le destinataire. La protection du secret de la correspondance des autres salariés peut alors faire obstacle à la communication.
Attention : pour les courriels dont le salarié est lui-même l’expéditeur ou le destinataire, ce motif ne peut pas être invoqué pour les courriels à caractère professionnel. Pour les courriels identifiés comme personnels, une protection particulière s’applique : l’employeur n’est pas autorisé à en prendre connaissance pour y caviarder des informations, et doit les transmettre tels quels au demandeur, à condition de ce dernier en soit l’expéditeur ou le destinataire.
5. Les enquêtes disciplinaires dont le contenu permettrait d’identifier des témoins
Un employeur peut refuser de transmettre des courriels liés à une enquête disciplinaire, même caviardés, si leur contenu permettrait au demandeur d’identifier des personnes ayant témoigné et dont l’identité doit rester protégée. Ce refus doit être motivé précisément.
6. Les moyens d’extraction disproportionnément intrusifs
Face à une demande massive de courriels ne pouvant être satisfaite sans scanner l’ensemble des messageries de tous les salariés de l’organisme, l’employeur peut demander au demandeur de préciser sa demande. Si le salarié refuse de la préciser, l’employeur peut refuser de répondre sur ce périmètre spécifique, en motivant ce refus par l’atteinte disproportionnée aux droits des autres salariés. Cela n’exonère pas l’employeur de répondre sur les données hors messagerie.
7. Les demandes manifestement abusives ou répétitives
Des demandes multiples et répétées, dans un court laps de temps et portant sur les mêmes données, peuvent être qualifiées d’abusives. L’employeur doit alors être en mesure de démontrer ce caractère abusif. La charge de la preuve lui appartient.
Les délais impératifs
La réponse à une demande de droit d’accès obéit à des délais stricts fixés par l’article 12 du RGPD.
Délai de droit commun : un mois. L’employeur doit répondre dans les meilleurs délais, sans dépasser un mois à compter de la réception de la demande complète.
Prolongation possible : deux mois supplémentaires. En cas de complexité avérée ou de volume important, le délai peut être porté à trois mois au total. Mais cette prolongation doit impérativement être notifiée au demandeur dans le délai initial d’un mois, avec une explication des motifs la justifiant.
En cas de refus ou d’impossibilité de répondre : le demandeur doit être informé des motifs justifiant l’absence de réponse, de la possibilité d’introduire une réclamation auprès de la CNIL, et de la possibilité de former un recours contentieux. La CNIL pourra faire une saisine auprès du DPO.
Le non-respect de ces délais expose l’employeur à une double sanction : des dommages-intérêts prononcés par les juridictions prud’homales, et une sanction administrative prononcée par la CNIL pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.
Liste ou contenu d’office ? La réponse selon les cas
C’est la question opérationnelle centrale, et la jurisprudence récente l’a mise en lumière de façon brutale.
La règle de principe : le contenu, pas la liste
L’article 15 du RGPD est sans ambiguïté : la personne concernée a droit à une copie de ses données personnelles. Pas à un inventaire. Pas à un sommaire. À une copie intelligible du contenu.
Communiquer une liste de ce détenait l’employeur sans fournir les données elles-mêmes ne constitue pas une réponse valable. La Cour de cassation l’a rappelé en condamnant un employeur ayant transmis le seul dossier RH en excluant la messagerie : le refus, sans aucune justification, constitue une violation de l’article 15 du RGPD ouvrant droit à des dommages-intérêts.
L’exception admise : la méthode en entonnoir pour les demandes massives de courriels
C’est le seul cas où une liste peut précéder la communication effective. La CNIL a formalisé cette méthode dans sa fiche du 31 janvier 2025 :
L’employeur peut transmettre au demandeur un tableau récapitulatif comprenant la liste des messages conservés dont il est l’expéditeur, la liste de ceux dont il est le destinataire, et la liste de ceux dans lesquels son nom apparaît simplement. Ce tableau constitue une étape intermédiaire permettant au demandeur de préciser sa demande et d’en accélérer le traitement. Il ne constitue pas la réponse définitive.
Si le salarié refuse de préciser sa demande malgré cette invitation, l’employeur ne peut pas pour autant s’abstenir de toute communication. Il doit extraire les données personnelles contenues dans les courriels, même si cela l’amène à ne pas transmettre les courriels bruts mais uniquement les données en découlant.
La méthode opérationnelle complète
Étape 1 : Accuser réception et vérifier l’identité
Dès réception d’une demande, envoyer un accusé de réception daté et signé. Si la demande est présentée sur place et ne peut être satisfaite immédiatement, cet accusé de réception est obligatoire. Vérifier l’identité du demandeur de façon proportionnée. Le délai d’un mois commence à courir à compter de la réception de la demande complète et non à compter de la réception de la pièce d’identité.
Étape 2 : Identifier l’ensemble des traitements contenant des données du demandeur
Recenser systématiquement chaque traitement actif ou archivé susceptible de contenir des données concernant le demandeur :
| Traitement | Données à rechercher |
|---|---|
| SIRH / logiciel de paie | Identité, rémunération, carrière, absences |
| Outil de gestion des temps | Horaires, pointages, heures supplémentaires |
| Système de gestion des formations | Demandes, bilans, évaluations |
| Messagerie professionnelle | Contenu et métadonnées des courriels |
| Système de contrôle d’accès | Logs de badge horodatés |
| Outil de géolocalisation | Données de déplacement si véhicule de service |
| Dossier disciplinaire | Convocations, sanctions, rapports d’enquête |
| Outils d’évaluation | Comptes-rendus d’entretiens, grilles de notation, ranking |
| Archives papier | Tout document non numérisé concernant le salarié |
Étape 3 : Appliquer la grille de tri pour chaque donnée ou document
Pour chaque donnée ou document identifié à l’étape 2, appliquer le raisonnement suivant :
La donnée concerne-t-elle exclusivement le demandeur ?
- Oui → transmettre tel quel.
La donnée contient-elle des informations sur des tiers identifiables ?
- Oui → anonymiser ou caviarder les éléments relatifs aux tiers, puis transmettre.
L’anonymisation est-elle impossible sans vider le document de sa substance ?
- Oui → appliquer l’un des motifs de refus légitimes listés ci-dessus, notifier le refus par écrit avec justification précise.
Le document concerne-t-il une enquête disciplinaire dont le caviardage révèlerait l’identité de témoins ?
- Oui → refus partiel possible, à motiver.
La donnée est-elle protégée par le secret des affaires ou la propriété intellectuelle ?
- Oui → caviarder les passages relevant de cette protection, transmettre le reste.
Étape 4 : Cas particulier de la messagerie professionnelle
Si le salarié est expéditeur ou destinataire des courriels :
En principe, la communication est présumée ne pas porter atteinte aux droits des tiers, car le salarié a déjà eu connaissance du contenu. L’employeur transmet le courriel, en anonymisant si possible les données des autres personnes mentionnées. Si l’anonymisation est impossible et si la communication ferait courir un risque réel aux droits des tiers, l’employeur peut refuser de communiquer en justifiant précisément ce refus.
Si la demande porte sur un volume massif de courriels :
- Transmettre le tableau récapitulatif CNIL (liste par catégorie : expéditeur / destinataire / simple mention).
- Notifier au salarié la charge importante représentée par l’extraction complémentaire et l’inviter à préciser sa demande.
- Selon la réponse du salarié, traiter les courriels ciblés, caviarder les données des tiers, transmettre.
Si le salarié refuse de préciser :
Ne pas bloquer. Extraire les données personnelles issues des courriels accessibles sans moyen intrusif, et justifier par écrit le périmètre de la réponse.
Si le courriel est identifié comme personnel :
L’employeur ne peut pas en prendre connaissance, même pour y caviarder des informations. Il doit le transmettre au salarié en l’état, à la seule condition de ce dernier en soit l’expéditeur ou le destinataire.
Étape 5 : Constituer et transmettre le paquet de réponse
Le paquet transmis au demandeur comporte trois volets :
Volet A — La copie des données personnelles Sous forme de documents caviardés, d’extraits ou de tableau synthétique selon les cas. Avec un lexique explicatif si les documents contiennent des codes, sigles ou abréviations internes.
Volet B — La notice d’accompagnement Précisant toutes les informations requises par l’article 15 §1 du RGPD : finalités, catégories de données, destinataires, durées de conservation, droits disponibles, droit de saisir la CNIL, existence éventuelle d’une décision automatisée.
Volet C — Les refus partiels motivés Pour chaque donnée ou document non communiqué : la justification précise du motif de refus, et le rappel du droit du salarié d’introduire une réclamation auprès de la CNIL ou un recours contentieux.
L’état de la jurisprudence au premier trimestre 2026
Le droit d’accès à la messagerie professionnelle a cristallisé en 2025 un débat profond entre la Cour de cassation et les juridictions du fond.
La Cour de cassation, 18 juin 2025 (n° 23-19.022)
La chambre sociale a affirmé sans ambiguïté : les courriels émis ou reçus par un salarié via sa messagerie professionnelle constituent des données à caractère personnel au sens de l’article 4 du RGPD. En conséquence, l’employeur est tenu de fournir tant les métadonnées (horodatage, identité des destinataires) le contenu des échanges, sauf si les éléments demandés sont de nature à porter atteinte aux droits et libertés d’autrui.
Dans cette affaire, l’employeur avait transmis le dossier RH complet mais avait exclu l’intégralité de la messagerie, sans fournir aucune justification. La Cour a jugé ce refus contraire à l’article 15 du RGPD et a accordé au salarié des dommages-intérêts de 500 euros. Cette somme peut paraître modeste, mais le risque de sanction CNIL pour le même manquement peut atteindre jusqu’à 4 % du chiffre d’affaires annuel mondial.
Un point de contexte essentiel : la solution aurait sans doute été différente si l’employeur avait répondu partiellement en motivant ses refus, au lieu d’opposer un silence total.
La Cour d’appel de Paris, 18 décembre 2025
La Cour d’appel de Paris a adopté une lecture plus restrictive, en estimant notamment : l’article 15 §3 du RGPD n’organise pas un droit général à obtenir la copie d’un document. Une telle copie ne s’impose en droit, conformément à l’objectif de ce texte, si son obtention est nécessaire pour garantir l’intelligibilité des données fournies.
La Cour d’appel a également considéré : la correspondance électronique professionnelle émise ou reçue par un salarié dans le cadre de son activité ne contient, à défaut de preuve contraire de son caractère personnel, comme seules données personnelles, l’identification du salarié lui-même, c’est-à-dire son adresse de messagerie.
Dans ce dossier, l’employeur avait transmis le dossier du personnel complet, comprenant diplôme, contrat de travail, bulletins de salaire, entretiens d’évaluation, lettre de licenciement, attestations et certificat de travail. La Cour a estimé la réponse suffisante.
L’interprétation pratique : résistance ou pragmatisme ?
La Cour d’appel de Paris n’est pas liée par les arrêts de la Cour de cassation sur des faits identiques, hormis en cas de renvoi après cassation. Elle peut donc « résister » ponctuellement à une décision ne lui ayant pas directement renvoyé l’affaire.
Plusieurs conseils de prud’hommes ont adopté la même approche restrictive en 2025, refusant de faire du RGPD un instrument probatoire au service de stratégies contentieuses. Le CPH de Lille en juin, le CPH de Cambrai en juillet, le CPH de Villefranche-sur-Saône en décembre ont tous rejeté des demandes de communication intégrale de messageries.
La position opérationnelle à retenir reste fondée sur la décision de la Cour de cassation, hiérarchiquement supérieure, et sur la méthodologie CNIL du 31 janvier 2025, adoptée par la Commission en sa qualité d’autorité indépendante. Ces deux références restent la boussole en cas de plainte ou de contrôle.
Les points de vigilance pour le DPO
Le risque du refus sans motif
C’est le comportement le plus sanctionné. L’employeur ayant opposé un refus global sans justification s’expose à une condamnation aux dommages-intérêts par les prud’hommes et, surtout, à une sanction CNIL potentiellement très lourde. La bonne pratique est toujours de répondre partiellement plutôt de ne pas répondre du tout.
L’instrumentalisation du droit d’accès
Le droit d’accès est de plus en plus utilisé à des fins probatoires dans les contentieux prud’homaux. Des salariés le mobilisent pour récupérer des éléments de preuve avant ou pendant un litige, parfois sans rapport direct avec la protection de leurs données personnelles. Cette réalité ne dispense pas l’employeur de répondre : le motif de la demande est indifférent au regard du RGPD. Mais elle appelle à une réponse rigoureuse et documentée, capable de résister à une contestation devant la CNIL ou devant les juridictions.
La politique de conservation des messageries
Le meilleur moyen de réduire la charge liée aux demandes massives d’accès aux courriels reste de ne pas conserver des messageries sans limite de durée. Une politique claire de conservation, précisée dans la charte informatique et dans le registre des traitements, réduit le volume à traiter en cas de demande. Elle constitue par ailleurs une bonne pratique de conformité RGPD indépendamment de toute demande d’accès.
La traçabilité de la réponse
Chaque réponse à une demande de droit d’accès doit être tracée : date de réception, date de réponse, contenu transmis, motifs de refus si applicable. Cette traçabilité est indispensable en cas de plainte ultérieure auprès de la CNIL.
