Les e-mails du salarié : une bombe à retardement pour les employeurs ?
L'utilisation du droit d'accès aux données personnelles comme outil probatoire dans les contentieux prud'homaux oblige les employeurs à anticiper les risques juridiques et organisationnels liés aux demandes d'accès aux e-mails professionnels.
Un salarié quitte l'entreprise et demande la communication de l'ensemble des e-mails le concernant. L'ancien employeur est-il tenu d'accéder à sa demande ? La réponse n'est pas si simple. Derrière cette question en apparence technique se cache un enjeu stratégique pour les entreprises.
Â
Le droit d'accès prévu par la réglementation sur la protection des données à caractère personnelle (règlement général sur la protection des données - RGPD, et loi informatique et libertés) s'invite désormais au cœur des contentieux du travail.
Plusieurs décisions récentes illustrent une évolution notable. Le RGPD, et plus particulièrement le droit d'accès, est désormais mobilisé par les salariés comme un outil de recherche de preuve, notamment dans le contexte prud'homal.
Â
Les débats se concentrent autour des demandes d'accès aux courriels professionnels échangés ou reçus par les salariés, pendant la relation de travail.
Les courriels professionnels sont des données personnelles
La notion de « donnée personnelle » est définie très largement à l'article 4 du RGPD comme toute information se rapportant à une personne physique identifiée ou identifiable, que ce soit directement ou indirectement.
Dans un arrêt du 18 juin 2025, la Cour de cassation s'est fondée sur cette définition extensive pour juger que les courriels échangés ou reçus par le salarié pendant sa relation de travail sont des données à caractère personnel (Cass. Soc. 18 juin 2025, n° 23-19.022).
Â
En conséquence, l'employeur a, en principe, l'obligation d'en fournir une copie intégrale (métadonnées et contenu) lorsqu'un salarié exerce son droit d'accès, sauf atteinte disproportionnée aux droits des tiers.
La portée pratique est considérable. Dans certains métiers, ce sont plusieurs dizaines voire centaines de courriels qui sont échangés chaque jour. Or, dans la mesure où un e-mail contient des éléments se rapportant au salarié (nom ou prénom dans son adresse e-mail ou sa signature), il est susceptible d'entrer dans le champ du droit d'accès.
Une tension sur l'usage du droit d'accès à des fins probatoires
Prenant le contre-pied de la position de la Cour de cassation, dans deux affaires, la cour d'appel de Paris a considéré que les courriels échangés et reçus par le salarié ne pouvaient pas être considérés comme des données personnelles, (CA Paris, 13 novembre 2025, n° 25/03115 ; 18 décembre 2025, n° 04270).
Â
Dans ces affaires, les salariés avaient saisi le conseil de prud'hommes en urgence, pour tenter d'obtenir l'ensemble des courriels échangés ou reçus durant la relation contractuelle. Cette voie semble être refusée par la cour d'appel.
Â
La juridiction précise que l'objet du droit d'accès n'est pas d'obtenir en justice la communication de la correspondance électronique du salarié dont il a nécessairement eu connaissance pendant sa relation de travail.
Autrement dit, utiliser le droit d'accès dans un but probatoire reviendrait à le dévoyer de son sens. La cour d'appel de Paris fait néanmoins preuve de nuance, puisque dans l'une des deux affaires, elle admet partiellement les demandes du salarié, considérant que sa demande de communication est justifiée pour faire la preuve des heures supplémentaires ou du non-respect des durées maximales de travail.
Â
La cour d'appel de Paris a également retenu l'attitude des employeurs dans ces deux contentieux qui avaient communiqué spontanément tout ou partie des éléments demandés par le salarié. Cette attitude positive des employeurs a été prise en considération pour rejeter les demandes des salariés.
Ces deux décisions montrent une tension jurisprudentielle entre une conception extensive de la notion de « données personnelle » et une interprétation plus restrictive qui interroge les limites du droit d'accès lorsqu'il est instrumentalisé dans un contentieux.
Â
Toute la difficulté réside donc dans l'articulation entre le droit fondamental à la protection des données, d'une part, et les règles gouvernant la preuve en matière prud'homale, d'autre part.
Â
Il est d'ailleurs peu probable qu'en cas de pourvoi, l'appréciation de la cour d'appel soit validée par la Haute juridiction tant elle est contradictoire avec sa décision de juin 2025.
Des implications opérationnelles majeures pour les employeurs
Le champ d'application du droit d'accès reste donc à définir, mais ses implications soulèvent d'ores et déjà des difficultés concrètes pour les employeurs.
Â
En effet, répondre à de telles demandes peut s'avérer complexe en pratique : retrouver tous les courriels concernés, éventuellement les retraiter pour les expurger de données sensibles ou d'éléments pouvant porter atteinte aux droits des tiers, respecter les délais impartis fixés à un mois pour répondre à une demande d'accès, ne pas rejeter les demandes de manière automatique.
Â
Le refus d'une demande d'accès ne peut être fondé que sur des motifs strictement encadrés : demande manifestement infondée ou excessive, ou atteinte disproportionnée aux droits des tiers.
Â
Une réponse inadaptée expose l'employeur à des risques de plusieurs ordres.
Â
Tout d'abord, l'ancien salarié peut saisir la Commission nationale de l'informatique et des libertés (Cnil) qui après avoir mené une enquête, peut sanctionner l'employeur par une amende pouvant atteindre jusqu'à 2 % du chiffre d'affaires annuel mondial ou 10 millions d'euros (si la sanction est uniquement fondée sur le non-respect du droit d'accès).
Ensuite, du point de vue du droit du travail, l'employeur s'expose à une procédure de référé ou éventuellement une procédure non contradictoire prévue par le Code de procédure civile. Même si ces actions ont des chances de succès incertaines, au moins jusqu'à ce que la Cour de cassation se prononce, dans cette attente les employeurs peuvent y être confrontés et doivent y être préparés.
La surprise peut être totale puisque par principe l'employeur n'est pas informé de cette procédure et voit arriver dans son entreprise un huissier de justice et un expert informatique chargés de collecter toutes les pièces visées par la décision du conseil de prud'hommes.
Ce n'est que postérieurement que l'employeur peut contester cette mesure, ce qui nécessite des frais d'avocats et des délais de procédure parfois longs.
Â
La sanction la plus certaine aujourd'hui en matière de droit du travail est celle des dommages-intérêts qui se cumule avec celle de la sanction financière pouvant être prononcée par la Cnil.
Dans l'affaire ayant donné lieu à l'arrêt du 18 juin 2025, la cour d'appel avait accordé 500 euros de dommages-intérêts au salarié pour le préjudice lié au refus opposé par l'employeur d'accéder à ses données personnelles.
Comment anticiper plutôt que subir ?
Ces contentieux nouveaux laissent donc encore place à beaucoup de zones d'ombre qui seront levées progressivement. Ils ne doivent néanmoins pas être ignorés par les employeurs qui doivent s'en emparer pour éviter d'avoir à en subir les conséquences qui sont difficiles à estimer.
Â
Il semble donc impératif de revoir les protocoles de sortie du salarié, de cartographier les données liées aux outils de messagerie, définir une politique de conservation cohérente et documentée et de former les équipes RH et de direction à l'articulation du droit du travail et de la réglementation sur la protection des données.
Â
Le droit d'accès devient un levier contentieux à part entière. Même si le cadre jurisprudentiel reste en construction, les employeurs qui les sous-estiment s'exposent à des risques juridiques, financiers et organisationnels bien réels.
