A lire aussi sur DPO PARTAGE

Recrutement et réseaux sociaux : un recruteur ne peut pas consulter librement vos profils personnels

Bulletins de paie : durées de conservation et migration d’outil – ce que vous devez vraiment faire

Trivy empoisonné : quand l’outil de sécurité devient lui-même la menace

Sommaire

L’exercice du droit d’accès prévu à l’article 15 du RGPD s’est progressivement imposé comme un levier contentieux dans les litiges prud’homaux. De plus en plus d’anciens salariés, souvent conseillés par des avocats, utilisent ce droit pour obtenir la communication de volumes considérables de données (messageries professionnelles, agendas, espaces de travail partagés, données RH) dans le but réel de se constituer un dossier de preuves.

Pour le DPO externe, ce type de demande représente un défi majeur : il doit concilier le respect du droit d’accès du demandeur avec la protection des droits des tiers, le secret des affaires et le secret professionnel, tout en gérant la pression exercée par le demandeur et la menace d’une saisine de la CNIL.

Le cadre juridique : entre droit d’accès et instrumentalisation

L’arrêt fondateur de la Cour de cassation du 18 juin 2025

Dans un arrêt du 18 juin 2025 (n° 23-19.022), la chambre sociale de la Cour de cassation a reconnu pour la première fois la qualification de données à caractère personnel aux courriels échangés par un salarié sur sa messagerie d’entreprise, au sens de l’article 4 du RGPD. En conséquence, l’employeur est tenu de communiquer non seulement les métadonnées associées (dates, heures, destinataires) mais également le contenu des messages, sous réserve que cette transmission ne compromette pas les droits et libertés de tiers.

Cet arrêt, publié au bulletin, a provoqué un débat doctrinal nourri. Nombre de commentateurs ont relevé un écart notable avec la jurisprudence de la Cour de justice de l’Union européenne et les lignes directrices du Comité européen de la protection des données, qui opèrent une distinction nette entre l’accès aux données personnelles et l’accès aux documents dans lesquels elles figurent.

Rappelons en effet que le considérant 63 du RGPD précise que la personne concernée peut exercer son droit d’accès « afin de prendre connaissance du traitement et d’en vérifier la licéité ». La finalité du droit d’accès n’est donc pas de permettre la constitution de preuves, mais de garantir la transparence du traitement.

La réaction des juridictions du fond : un rééquilibrage pragmatique

Depuis cet arrêt de la Cour de cassation, plusieurs juridictions du fond ont adopté une posture bien plus restrictive, refusant de transformer le droit d’accès en outil probatoire.

Trois décisions de conseils de prud’hommes illustrent cette résistance des juges du fond. À Lille, en juin 2025, les juges ont considéré que le droit d’accès ne saurait pallier l’absence de diligence d’un plaideur dans la constitution de son dossier, et que la finalité de l’article 15 se limite au contrôle du traitement des données. À Cambrai, un mois plus tard, c’est la demande de transmission en bloc de toute la correspondance électronique qui a été écartée. À Villefranche-sur-Saône, en décembre 2025, la juridiction a qualifié de disproportionnée une demande couvrant messagerie, calendrier et journaux d’accès informatiques, rappelant que chaque partie doit rapporter la preuve des faits qu’elle allègue.

L’orientation est nette : le droit d’accès n’a pas vocation à devenir un outil de constitution anticipée de preuves dans le cadre d’un contentieux.

L’arrêt décisif de la Cour d’appel de Paris du 18 décembre 2025

La Cour d’appel de Paris a rendu le 18 décembre 2025 (n° 25/04270) un arrêt particulièrement significatif. Un salarié, licencié pour insuffisance professionnelle, avait demandé la communication intégrale de sa messagerie professionnelle et de dossiers personnels enregistrés sur son poste, afin de se préconstituer un dossier en vue d’une action prud’homale.

La Cour a confirmé le rejet de cette demande. Sa motivation est particulièrement limpide : le mécanisme du RGPD vise à permettre à la personne concernée de vérifier quelles données sont traitées et si ce traitement est conforme. Il ne constitue pas un canal alternatif pour récupérer des échanges professionnels dont le salarié, par nature, avait déjà connaissance au moment où il les a émis ou reçus.

Cet arrêt marque un tournant important dans la jurisprudence française et constitue un signal clair pour les DPO : le RGPD ne peut être détourné de sa finalité originelle.

L’éclairage européen : la décision du Tribunal fédéral autrichien

Il est également intéressant de noter que d’autres juridictions européennes adoptent une lecture restrictive. Le Tribunal fédéral administratif autrichien (BVwG, W137 2278780-1) a pris en compte l’article 15.4 du RGPD pour considérer que le droit d’accès ne doit pas porter atteinte aux droits et libertés d’autrui, ni aux intérêts légitimes du responsable de traitement.

Cette approche, plus pragmatique, pose la question de l’harmonisation de l’application du RGPD en Europe et conforte l’idée que le droit d’accès n’est pas un droit absolu.

Anatomie d’une demande contentieuse : le scénario type

Pour illustrer les enjeux concrets, voici le scénario type rencontré par les DPO externes. Un ancien cadre dirigeant, en litige prud’homal avec son ancien employeur, formule une demande d’exercice de droits portant à la fois sur le droit d’accès (article 15 RGPD) et sur la limitation du traitement (article 18). Le périmètre de la demande est volontairement très large : messagerie professionnelle sur plusieurs années, agenda, espaces de travail partagés, outils métiers, données RH. Le demandeur, conseillé par un avocat, exerce une pression forte en menaçant de saisir la CNIL en cas de non-réponse rapide.

La difficulté pour le DPO est triple. Il doit gérer des volumes considérables (parfois plus de 14 000 fichiers dans un répertoire personnel, auxquels s’ajoutent des milliers de mails et messages Teams). Il doit arbitrer entre ce qui est communicable, ce qui doit être occulté et ce qui n’est pas communicable. Enfin, il doit documenter l’ensemble de sa démarche pour la rendre défendable en cas de contrôle.

Méthodologie d’instruction : guide pratique pour le DPO

Phase 1 : Réception et qualification de la demande

La première étape consiste à envoyer un accusé de réception formel dans le délai d’un mois prévu par l’article 12.3 du RGPD. Lorsque la demande est volumétrique et porte sur de multiples sources, il est tout à fait légitime de la qualifier de « complexe » au sens de ce même article, ce qui permet de prolonger le délai de réponse de deux mois supplémentaires (soit trois mois au total).

Les motifs de qualification en demande complexe incluent notamment :

le volume et la multiplicité des sources de données concernées ;
la nécessité d’un tri juridique fin pour chaque catégorie de données ;
la prise en compte des limites liées aux droits des tiers, au secret des affaires et au secret professionnel ;
la présence de données mixtes (personnelles du demandeur mêlées à celles de tiers).

Bonnes pratiques : Il est recommandé de demander au demandeur de préciser sa demande en indiquant une période et les outils concernés. Cette démarche, conforme aux préconisations de la CNIL, permet de rationaliser le traitement et de démontrer la bonne foi du responsable de traitement.

Phase 2 : Cartographie et organisation des recherches

Face à des volumes importants, l’examen fichier par fichier n’est ni réaliste ni exigé par le RGPD. La CNIL elle-même, dans sa fiche actualisée du 31 janvier 2025, propose une méthodologie pragmatique pour les demandes volumineuses.

L’approche recommandée consiste à raisonner par périmètres et typologies de données. Il convient d’abord d’établir un inventaire des sources (messagerie, outils collaboratifs, serveurs de fichiers, dossier RH, outils métiers, etc.), puis de traiter chaque source indépendamment selon une grille d’analyse préétablie.

S’agissant spécifiquement des courriels, la démarche préconisée par la CNIL dans sa fiche de janvier 2025 repose sur un principe de progressivité : commencer par produire un inventaire des messages conservés (où le salarié figure en tant qu’expéditeur, destinataire ou personne mentionnée), puis solliciter du demandeur qu’il cible plus précisément les éléments qui l’intéressent. Cette démarche en entonnoir permet de conjuguer transparence et maîtrise des volumes, tout en démontrant la diligence du responsable de traitement.

Phase 3 : Arbitrage de communicabilité

L’arbitrage se fait au cas par cas, idéalement par lots de données et par source. Pour chaque lot, trois catégories doivent être identifiées.

Données communicables : toutes les données à caractère personnel du demandeur qui ne portent pas atteinte aux droits d’autrui (bulletins de paie, contrat de travail, documents de fin de contrat, évaluations le concernant exclusivement, etc.).

Données à occulter partiellement : documents contenant à la fois des données du demandeur et des données de tiers. Le caviardage des informations relatives aux tiers est nécessaire, même si, comme le soulignent certains praticiens, l’occultation peut parfois ne pas suffire à empêcher l’identification de l’auteur d’un document.

Données non communicables : données couvertes par le secret des affaires, le secret professionnel, ou dont la communication porterait une atteinte disproportionnée aux droits d’autrui.

Phase 4 : Gestion des données inexistantes

Un cas fréquent en pratique concerne les demandes portant sur des données qui n’existent tout simplement pas sous forme de fichier ou de traitement structuré. Par exemple, lorsqu’un salarié demande « tous les éléments permettant de calculer sa rémunération ou ses primes » alors qu’il n’existait ni outil, ni fichier, ni processus formalisé (attribution discrétionnaire).

Dans ce cas, il est essentiel de documenter précisément les recherches effectuées et de formaliser par écrit le constat d’inexistence. Cette documentation constitue la meilleure protection en cas de contestation ou de contrôle.

Phase 5 : Communication progressive et courrier d’étape

L’envoi d’un courrier d’étape intermédiaire avant l’échéance du premier mois est fortement recommandé. Ce courrier permet de matérialiser l’avancement de l’instruction, de démontrer la bonne foi et le sérieux de la démarche, de commencer à transmettre les premiers éléments disponibles (données RH simples par exemple), et d’inviter le demandeur à préciser ses attentes pour les données restantes.

La réponse progressive, combinée à une traçabilité rigoureuse de chaque étape, constitue la meilleure stratégie pour sécuriser le dossier.

La CNIL face aux demandes contentieuses : ce qu’il faut savoir

Recevabilité des réclamations en cours d’instruction

Lorsqu’un responsable de traitement a notifié une prolongation du délai conformément à l’article 12.3 du RGPD, une réclamation déposée par le demandeur avant l’expiration du délai prolongé ne serait en principe pas recevable. La CNIL ne reviendrait vers le responsable de traitement que si le demandeur dépose une nouvelle réclamation après l’expiration du délai prolongé, il n’y aura pas de nouvelle saisine.

En pratique, tant qu’il n’y a pas de nouvelle réclamation après l’expiration du délai prolongé, le dossier semble généralement considéré comme clos côté CNIL.

Les critères d’appréciation de la CNIL en cas de contrôle

D’après les retours d’expérience de DPO ayant été confrontés à des échanges avec la CNIL sur ce type de dossiers, l’autorité de contrôle se concentre principalement sur la réalité de la méthode mise en œuvre, la traçabilité des décisions prises, la bonne foi et la dynamique de traitement. La CNIL n’exige pas nécessairement une complétude exhaustive du résultat final, mais elle vérifie que le responsable de traitement a instruit sérieusement la demande et qu’il peut justifier de chacune de ses décisions.

La bonne posture pour le DPO : recommandations clés

Les retours d’expérience convergent vers une posture équilibrée, qui peut se résumer en quatre principes directeurs.

Ne jamais opposer de fin de non-recevoir. Même dans un contexte manifestement contentieux, le droit d’accès reste un droit fondamental. Il convient de l’instruire sérieusement, quitte à en encadrer rigoureusement le périmètre.
Distinguer données personnelles et documents. Le droit d’accès porte sur les données à caractère personnel, et non sur la documentation en elle-même. Un document contenant des données personnelles de tiers n’a pas à être communiqué intégralement.
Inviter à la précision. Demander au demandeur de cibler une période et d’identifier les outils concernés est une démarche conforme aux préconisations de la CNIL, surtout lorsque l’ancienneté du salarié rend le périmètre potentiellement immense.
Documenter, documenter, documenter. Chaque décision (communication, occultation, refus) doit être justifiée et tracée. C’est cette documentation qui constituera la meilleure défense en cas de contrôle ou de contentieux.

Un équilibre en construction

L’utilisation du droit d’accès RGPD comme arme procédurale dans les contentieux prud’homaux est une tendance lourde qui se développe rapidement. La jurisprudence récente, en particulier l’arrêt de la Cour d’appel de Paris du 18 décembre 2025, montre toutefois que les juridictions françaises posent des garde-fous clairs : le RGPD ne saurait être détourné de sa finalité originelle pour servir de levier probatoire.

Pour le DPO, la clé réside dans une instruction sérieuse, méthodique et documentée. En combinant une réponse progressive, un arbitrage rigoureux de la communicabilité et une traçabilité sans faille, le DPO protège à la fois les intérêts de son client et les droits du demandeur, tout en se préparant à répondre sereinement à un éventuel contrôle de la CNIL.

L’équilibre entre droit d’accès et protection des intérêts légitimes du responsable de traitement est en construction. Chaque dossier instruit avec rigueur contribue à faire émerger une pratique solide, au bénéfice de l’ensemble de la profession.

Un petit jeu pour voir si tout est compris ?

A lire aussi sur le meme sujet :

Tags: droit d'accès