Le RGPD impose à l'employeur de communiquer au salarié les données personnelles contenues dans ses e-mails professionnels

Introduction : l'employeur face au droit d'accès RGPD dans la messagerie professionnelle

La messagerie électronique professionnelle constitue un terrain de collision entre trois impératifs : le pouvoir de contrôle de l'employeur, la protection de la vie privée du salarié et l'obligation de transparence imposée par le Règlement général sur la protection des données (RGPD). Lorsqu'un salarié – actif, suspendu ou ayant quitté l'entreprise – exerce son droit d'accès aux données personnelles le concernant au titre de l'article 15 du RGPD, l'employeur-responsable de traitement ne peut refuser la communication au motif que ces données figurent dans des e-mails professionnels.

Cette obligation soulève des questions procédurales et juridiques majeures : quelles données communiquer ? sous quel format ? dans quel délai ? comment articuler cette obligation avec le secret des affaires, la protection des données de tiers ou les impératifs de sécurité informatique ?

La jurisprudence récente, notamment l'arrêt de la Cour de cassation du 19 juin 2024 (Cass. soc., 19 juin 2024, n° 22-13.903), clarifie ces obligations et sanctionne les manquements. Pour les DRH et dirigeants d'ETI, la maîtrise de ce cadre légal devient un enjeu de conformité prioritaire, tant en matière de gestion des ressources humaines que de gouvernance des données.

Le fondement juridique : le droit d'accès RGPD s'applique pleinement à la messagerie professionnelle

L'article 15 du RGPD : un droit opposable à l'employeur-responsable de traitement

L'article 15 du RGPD confère à toute personne physique le droit d'obtenir du responsable de traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès à ces données ainsi qu'à une série d'informations complémentaires (finalités du traitement, catégories de données, destinataires, durées de conservation, existence de décisions automatisées).

L'employeur, en sa qualité de responsable de traitement au sens de l'article 4, point 7, du RGPD, traite nécessairement des données personnelles relatives à ses salariés : identité, coordonnées, situation professionnelle, rémunération, mais aussi données contenues dans les échanges électroniques professionnels. Le fait que ces données figurent dans une messagerie professionnelle ne les soustrait pas au champ d'application du droit d'accès.

La jurisprudence de la Cour de cassation du 19 juin 2024

Dans son arrêt du 19 juin 2024 (Cass. soc., 19 juin 2024, n° 22-13.903), la Chambre sociale a censuré un arrêt de cour d'appel qui avait refusé d'ordonner à l'employeur la communication d'e-mails professionnels demandés par un ancien salarié dans le cadre de l'exercice de son droit d'accès RGPD.

La Cour de cassation rappelle que l'article 15 du RGPD impose au responsable de traitement de fournir une copie des données à caractère personnel faisant l'objet d'un traitement. Elle juge que la cour d'appel aurait dû rechercher si les e-mails réclamés contenaient ou non des données personnelles relatives au demandeur et, dans l'affirmative, ordonner leur communication, sauf à ce que l'employeur démontre l'existence d'un motif légitime justifiant un refus ou une restriction au sens de l'article 23 du RGPD ou de l'article 15, paragraphe 4, du RGPD (protection des droits et libertés de tiers).

Le périmètre des données concernées

Sont visées par le droit d'accès toutes les données à caractère personnel traitées par l'employeur et relatives au salarié demandeur :

• Données d'identité et de contact : nom, prénom, adresse électronique, numéro de téléphone professionnel.
• Données relatives à la relation de travail : fonction, historique de carrière, évaluations, correspondances, avertissements, échanges avec la hiérarchie ou les ressources humaines.
• Données contenues dans les e-mails professionnels : dès lors qu'un message électronique contient des informations relatives au demandeur (évaluation, critique, instruction, mention de sa situation personnelle ou professionnelle), il entre dans le champ du droit d'accès.
• Métadonnées : logs de connexion, historique d'accès, traces d'ouverture de messages, si ces données permettent d'identifier le salarié.

En revanche, l'employeur n'est pas tenu de communiquer les données relatives à des tiers (autres salariés, clients, partenaires) sauf si leur divulgation est indissociable de la donnée personnelle du demandeur et ne porte pas atteinte aux droits et libertés de ces tiers (article 15, paragraphe 4, du RGPD).

Les obligations procédurales de l'employeur

Délai de réponse : un mois, prorogeable une fois

L'article 12, paragraphe 3, du RGPD impose au responsable de traitement de fournir les informations demandées dans un délai d'un mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois supplémentaires compte tenu de la complexité et du nombre de demandes, à condition d'en informer l'intéressé dans le premier mois en motivant cette prorogation.

Conséquence pratique : toute demande d'accès RGPD formulée par un salarié doit être enregistrée, horodatée et traitée dans un délai maximum de trois mois. L'absence de réponse dans ce délai constitue un manquement susceptible de sanction par la CNIL et d'allocation de dommages-intérêts par le juge civil.

Format de communication : copie intégrale et lisible

L'article 15, paragraphe 3, du RGPD prévoit que le responsable de traitement fournit une copie des données à caractère personnel faisant l'objet d'un traitement. Cette copie doit être fournie gratuitement pour la première demande ; des frais raisonnables peuvent être facturés pour toute copie supplémentaire.

Le format doit être structuré, couramment utilisé et lisible par machine lorsque la demande est formulée par voie électronique (article 20 du RGPD, applicable par analogie). En pratique :

• E-mails : fichiers .eml, .msg ou PDF incluant l'intégralité du contenu (corps du message, pièces jointes, métadonnées d'en-tête).
• Tableaux de données : exports Excel ou CSV pour les données de paie, historique de carrière, logs.
• Documents RH : copies PDF des contrats, avenants, courriers, notes d'entretien.

L'employeur ne peut se contenter de communiquer des extraits partiels ou de donner accès à un portail interne sans possibilité de téléchargement intégral.

Identification préalable du demandeur

L'article 12, paragraphe 6, du RGPD autorise le responsable de traitement à demander des informations supplémentaires pour confirmer l'identité de la personne exerçant son droit d'accès, en cas de doute raisonnable. Cette précaution est particulièrement pertinente lorsque la demande émane d'un ancien salarié ou d'un tiers se prévalant d'un mandat.

Procédure recommandée :

• Demander au salarié de fournir une copie de sa pièce d'identité (à détruire après vérification).
• En cas de doute, adresser une réponse par courrier recommandé à l'adresse personnelle connue.
• Documenter cette vérification pour prouver la diligence en cas de contentieux.

Les exceptions et restrictions au droit d'accès

Protection des droits et libertés de tiers (article 15, paragraphe 4, du RGPD)

L'employeur peut refuser la communication de données lorsque celle-ci porterait atteinte aux droits et libertés d'autrui. Cette exception vise notamment :

• Les données personnelles d'autres salariés : un e-mail mentionnant plusieurs personnes ne peut être communiqué que si les données des tiers sont anonymisées ou si leur divulgation est indispensable à l'exercice du droit du demandeur.
• Les secrets d'affaires : informations stratégiques, financières ou commerciales dont la divulgation nuirait à l'entreprise (mais cette restriction doit être strictement proportionnée).
• Les données relatives à des procédures judiciaires en cours : lorsque la communication risque de compromettre l'efficacité d'une enquête ou d'un contentieux.

Charge de la preuve : il appartient à l'employeur de démontrer que la restriction est nécessaire, proportionnée et qu'il a recherché des moyens de satisfaire partiellement la demande (anonymisation, occultation partielle).

Recours à l'article 23 du RGPD et aux dispositions nationales

L'article 23 du RGPD autorise les États membres à adopter des mesures législatives limitant le droit d'accès lorsque cette restriction respecte l'essence des droits et libertés fondamentaux et constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir, notamment :

• La sécurité nationale, la défense ou la sécurité publique.
• La prévention, la recherche et la poursuite d'infractions pénales.
• La protection du demandeur ou des droits et libertés d'autrui.

En France, aucune disposition législative sectorielle ne limite spécifiquement le droit d'accès en matière de messagerie professionnelle. L'employeur ne peut donc invoquer cet article que dans des hypothèses très exceptionnelles (par exemple, enquête interne pour faits de harcèlement ou détournement, en lien avec une procédure pénale).

E-mails personnels du salarié : l'employeur n'en est pas responsable de traitement

Les e-mails identifiés comme personnels (par exemple, marqués "personnel" dans l'objet ou stockés dans un dossier clairement désigné comme tel) relèvent de la vie privée du salarié et ne peuvent être consultés par l'employeur qu'en présence du salarié ou sur autorisation judiciaire (Cass. soc., 2 octobre 2001, n° 99-42.942 ; Cass. soc., 10 mai 2012, n° 11-13.884).

L'employeur n'étant pas responsable de traitement de ces messages, il n'a pas à les communiquer dans le cadre d'une demande d'accès RGPD. En pratique, il doit toutefois être en mesure de justifier qu'il n'a pas accédé à ces e-mails sans autorisation.

Les risques de non-conformité : sanctions et contentieux

Sanctions administratives de la CNIL

En application de l'article 83 du RGPD, l'autorité de contrôle (en France, la CNIL) peut prononcer des amendes administratives pouvant atteindre :

• 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu) pour les manquements aux obligations de l'article 12 (modalités d'exercice des droits) et de l'article 15 (droit d'accès).
• 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial en cas de méconnaissance des principes fondamentaux du traitement (licéité, loyauté, transparence).

La CNIL tient compte de la nature, de la gravité et de la durée de la violation, du caractère intentionnel ou négligent, des mesures techniques et organisationnelles mises en œuvre et du degré de coopération de l'organisme (article 83, paragraphe 2, du RGPD).

Illustration : une entreprise de 500 salariés qui refuse systématiquement de communiquer des e-mails dans le cadre de demandes d'accès, sans justification ni tentative d'anonymisation, s'expose à une sanction de plusieurs centaines de milliers d'euros.

Responsabilité civile et allocation de dommages-intérêts

L'article 82 du RGPD instaure un droit à réparation pour toute personne ayant subi un dommage matériel ou moral du fait d'une violation du règlement. Le salarié peut saisir le conseil de prud'hommes pour obtenir des dommages-intérêts en réparation du préjudice résultant du refus de communication ou de la communication partielle et tardive.

La jurisprudence récente admet que le simple non-respect du droit d'accès, même en l'absence de préjudice matériel chiffrable, peut justifier l'allocation de dommages-intérêts en réparation du trouble et de l'atteinte aux droits fondamentaux (préjudice moral).

Risque contentieux connexe : contentieux prud'homal ou disciplinaire

Le refus de communiquer des e-mails peut également être invoqué par le salarié comme élément de preuve d'une volonté de dissimulation dans le cadre d'un contentieux prud'homal (licenciement, harcèlement, discrimination). Le juge peut en tirer des conséquences défavorables à l'employeur, notamment en renversant la charge de la preuve ou en retenant un comportement déloyal.

Recommandations opérationnelles pour la conformité

Mettre en place une procédure formalisée de traitement des demandes RGPD

L'employeur doit structurer un circuit de traitement des demandes d'accès :

1. Point d'entrée unique : adresse e-mail dédiée (par exemple, [email protected]) ou formulaire en ligne.
2. Enregistrement et horodatage : chaque demande doit être tracée dans un registre (date de réception, identité du demandeur, périmètre de la demande).
3. Accusé de réception : réponse immédiate confirmant la réception et rappelant le délai de traitement.
4. Analyse juridique : examen par le DPO ou le service juridique du périmètre exact de la demande et des éventuelles restrictions applicables.
5. Collecte des données : extraction des e-mails et documents pertinents par le service informatique, en lien avec le service RH.
6. Anonymisation des données de tiers : occultation des noms, adresses e-mail et informations personnelles d'autres salariés ou tiers, sauf lorsque leur divulgation est indispensable.
7. Communication : envoi sécurisé (lien de téléchargement chiffré, clé USB remise en main propre, courrier recommandé) accompagné d'un courrier explicatif rappelant les droits (rectification, effacement, limitation, opposition).
8. Archivage : conservation de la demande, de la réponse et des justificatifs pendant la durée légale de prescription (5 ans en matière civile).

Former les équipes RH et informatiques

La conformité RGPD repose sur la sensibilisation des acteurs opérationnels. Il est recommandé de :

• Former annuellement les équipes RH et IT aux obligations de transparence et aux modalités techniques d'extraction des données.
• Diffuser des fiches réflexes rappelant les délais, les formats de communication et les motifs de restriction.
• Organiser des simulations de traitement de demandes d'accès pour tester la procédure interne.

Sécuriser la messagerie et tracer les accès

Pour répondre efficacement aux demandes d'accès et prouver sa conformité, l'employeur doit :

• Mettre en œuvre une politique de sauvegarde des e-mails (archivage automatique, rétention légale).
• Tracer les accès administrateurs aux boîtes e-mail (logs d'accès, justification des consultations).
• Identifier clairement les e-mails personnels : sensibiliser les salariés à l'usage du marqueur "personnel" ou à la création d'un dossier dédié.
• Documenter les traitements de données personnelles dans le registre des activités de traitement (article 30 du RGPD).

Anticiper les demandes d'accès en contexte de rupture

Les demandes d'accès RGPD sont souvent formulées dans un contexte conflictuel (amorce de contentieux, litige sur un licenciement, suspicion de harcèlement). L'employeur doit :

• Traiter ces demandes avec une attention particulière, en associant systématiquement le service juridique.
• Conserver l'intégralité des échanges électroniques pendant la période de préavis, de mise à pied conservatoire ou de suspension du contrat.
• Ne jamais supprimer ou modifier rétroactivement des e-mails après réception d'une demande d'accès (risque de destruction de preuve).

Articuler droit d'accès et procédure de communication de pièces judiciaires

Le droit d'accès RGPD ne se confond pas avec la communication de pièces dans le cadre d'une instance prud'homale (articles 11 et suivants du Code de procédure civile). Toutefois, un salarié peut invoquer son droit d'accès pour obtenir, avant toute saisine, des éléments de preuve utiles à la constitution de son dossier.

Stratégie conseillée : traiter la demande d'accès RGPD de manière exhaustive et rapide, afin de ne pas donner prise à une contestation ultérieure sur la dissimulation de preuve. En cas de contentieux ultérieur, l'employeur pourra justifier qu'il a déjà communiqué l'ensemble des données pertinentes.

Conclusion : la conformité RGPD, impératif de gouvernance RH

L'obligation de communiquer au salarié les données personnelles contenues dans ses e-mails professionnels s'inscrit dans le cadre plus large de la transparence et de la loyauté du traitement des données imposées par le RGPD. La jurisprudence de la Cour de cassation du 19 juin 2024 ne crée pas de droit nouveau, mais elle rappelle avec fermeté que l'employeur-responsable de traitement ne peut refuser de communiquer des e-mails au seul motif qu'ils sont hébergés sur une messagerie professionnelle.

Pour les DRH et dirigeants d'ETI, la maîtrise de cette obligation implique la mise en place de procédures formalisées, la formation des équipes opérationnelles et l'anticipation des demandes d'accès dans les contextes sensibles. Le coût de la non-conformité (sanctions administratives, dommages-intérêts, préjudice réputationnel) dépasse largement l'investissement initial dans la structuration d'un dispositif de traitement des demandes RGPD.

DAIRIA accompagne les entreprises dans l'audit de leurs pratiques RH au regard du RGPD, la rédaction de procédures internes de traitement des demandes d'accès et la défense de leurs intérêts en cas de contentieux devant la CNIL ou les juridictions civiles.

Références juridiques

• RGPD : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

  • Article 4, point 7 (définition du responsable de traitement)
  • Article 12 (modalités d'exercice des droits)
  • Article 15 (droit d'accès de la personne concernée)
  • Article 23 (limitations)
  • Article 82 (droit à réparation)
  • Article 83 (sanctions administratives)

• Jurisprudence Cour de cassation :

  • Cass. soc., 19 juin 2024, n° 22-13.903 (obligation de communication des e-mails professionnels contenant des données personnelles)
  • Cass. soc., 2 octobre 2001, n° 99-42.942 (caractère personnel des e-mails identifiés comme tels)
  • Cass. soc., 10 mai 2012, n° 11-13.884 (impossibilité de consulter les e-mails personnels sans autorisation)

• Code de procédure civile : Articles 11 et suivants (communication de pièces en instance).