Le droit d’accès du salarié à ses mails face à la notion d’abus de droit
Le Règlement Général sur la Protection des Données n'est plus seulement une contrainte administrative, mais est devenu un enjeu majeur du droit du travail.
Deux décisions récentes viennent d'en tracer les limites : l'une, française (Cass. Soc., 18 juin 2025, n° 23-19.022), renforce les pouvoirs du salarié, tandis que l'autre, européenne (CJUE, 19 mars 2026, aff. C-526/24, Brillen Rottler), semble offrir une limite aux employeurs contre les abus constitués par certaines demandes en leur direction.
Cette évolution s'inscrit dans le prolongement du guide de la CNIL du 5 janvier 2022 portant sur le droit d’accès des salariés à leurs données et aux courriels professionnels. Ce guide rappelle que toute personne peut demander à un organisme la communication des données qu’il détient sur elle et en obtenir une copie. Un salarié peut ainsi demander à son employeur l’accès et la communication des données personnelles en sa possession, y compris celles contenues dans les courriels.
Si la Cour de cassation a récemment confirmé ce cadre très large en ouvrant l'accès au contenu même des emails, la CJUE vient tempérer cette approche en introduisant la notion d'abus de droit face à des demandes détournées de leur finalité.
L’accès à ses emails : un droit pour le salarié
La première étape de cette évolution vient de la Cour de cassation, qui consacre une vision protectrice du salarié.
Dans son arrêt du 18 juin 2025, la Cour de cassation affirme que les courriels émis ou reçus par un salarié, ainsi que leurs métadonnées (horodatage, destinataires), sont des données à caractère personnel.
Dans le cas d’espèce, l’employeur soutenait que les courriels émis dans l'exercice des fonctions ne constituaient pas des « données à caractère personnel » et que le droit d'accès du RGPD ne visait que les données extraites et non les documents entiers (les mails eux-mêmes).
L'employeur soutenait que les messages professionnels appartiennent à l'entreprise et ne sont pas des données personnelles. Il estimait que le droit d'accès prévu par le RGPD est limité aux informations d'identité et ne permet pas d'exiger la production de l'intégralité d'une correspondance professionnelle.
Pour la Cour, peu importe que ces échanges aient lieu dans l'exercice des fonctions : s'ils permettent d'identifier le salarié, ils lui appartiennent au sens du RGPD. L'employeur est donc tenu de lui transmettre l'intégralité du contenu des messages s'il le demande.
Cette décision transforme, de fait, le droit d'accès en un moyen légal de collecter des preuves. Avant même un procès aux Prud'hommes, un salarié peut donc exiger ses emails pour tenter de prouver des heures supplémentaires ou un harcèlement par exemple.
Une pratique commune à beaucoup d’entreprises consiste, en effet, à supprimer les accès du salarié à ses mails dans une période contemporaine à son licenciement, ce qui rend par nature difficile pour lui de reconstituer ses diligences dans le temps ainsi que son agenda.
Si la Cour de cassation reconnaît que ce droit peut être limité pour protéger le secret des affaires ou la vie privée de tiers, elle rappelle que c’est à l’employeur de justifier précisément chaque refus. En l'absence de réponse sérieuse, l'entreprise s'expose à des dommages-intérêts, même si le montant reste pour l'instant modéré (500 € dans l'affaire en question).
Malgré la position de la Chambre Sociale, la Cour d’appel de Paris a pris le soin de rappeler que « la finalité du [droit d’accès] n'est pas d'obtenir la copie de la correspondance électronique professionnelle émise ou reçue par le salarié dans le cadre de son activité » (CA Paris, 18 dec. 2025, n°25/04270 et CA Paris, 13 nov. 2025, n°25/03115).
Le droit d’accès ne saurait donc justifier un accès généralisé et complet aux emails professionnels et aux fichiers du salarié.
Sur ce point, il est rappelé que l’employeur dispose toujours de la possibilité de ne transmettre qu’une copie des données personnelles dans un format intelligible, sans obligation de communiquer l’intégralité de la messagerie (CJUE, 4 mai 2023, aff. C-487/21).
Toutefois, en pratique les demandes fondées sur le droit d’accès peuvent s’avérer volumineuses et concerner des milliers de documents – de sorte que les employeurs ont tendance à ne pas effectuer de sélection.
Dans ce contexte qui facilite grandement les demandes du salarié en direction de son employeur, un arrêt récent de la Cour de Justice de l'Union Européenne (CJUE) peut apparaître comme étant un nouveau motif de modération.
Une porte ouverte pour l’employeur : le refus de demandes abusives motivées par des fins indemnitaires ?
La CJUE a posé des limites essentielles dans un arrêt du 19 mars 2026 en apportant une précision : une demande d'accès peut être refusée si elle est excessive.
Bien que cette affaire ne concerne pas directement une relation employeur/salarié, ses enseignements sont majeurs :
Un résident autrichien s'inscrit à la newsletter d'un opticien allemand (Brillen Rottler). Seulement treize jours après son inscription, il exerce son droit d'accès au titre du RGPD pour obtenir des informations sur le traitement de ses données. Face au refus de l'entreprise, il réclame 1 000 € de dommages-intérêts pour préjudice moral. L'entreprise soutient que le demandeur est un « chasseur d'indemnités » qui multiplie systématiquement ces démarches auprès de nombreuses entreprises dans le seul but de provoquer un litige et d'obtenir des réparations financières.
Saisi du litige, le tribunal de district d'Arnsberg (Allemagne) décide de surseoir à statuer pour interroger la CJUE : une première demande d'accès peut-elle être jugée « excessive » ? Et peut-on obtenir réparation si l'on a délibérément provoqué la violation du droit d'accès ?
La Cour répond par l'affirmative et fixe un cadre strict. Contrairement aux idées reçues, le caractère excessif d'une demande ne dépend pas uniquement de sa répétition. Une première demande peut être qualifiée d'abusive si le responsable du traitement démontre deux éléments :
- La demande ne vise pas à vérifier la licéité du traitement (but détourné), et ;
- L'intention est de créer artificiellement les conditions d'un litige pour obtenir une indemnité.
La Cour précise que le juge peut prendre en compte le délai très court entre la fourniture des données et la demande, ainsi que le mode opératoire répétitif du demandeur (établi par des informations publiques).
Si le droit à réparation est ouvert en cas de simple violation du droit d'accès, il est exclu lorsque le comportement de la personne est la cause déterminante de son propre préjudice (provocation délibérée).
Le détournement du droit d'accès : l’abus de droit
Le cas d’espèce jugé par la CJUE a beau ne pas concerner une relation de travail, se pose la question de savoir si la prise en compte de l’abus de droit ne permettrait pas à l’employeur de l’utiliser face à un salarié qui ferait des demandes motivées par des fins judiciaires externes à la seule question du bon traitement de ses données à caractère personnel tel qu’imposé par le RGPD.
Si l'employeur parvient à prouver que le salarié ne cherche pas réellement à vérifier la licéité du traitement de ses données, mais vise uniquement l'obtention d'une somme d’indemnité pour servir ses intérêts financiers, la demande pourrait être qualifiée d'abusive.
Il ne s’agirait donc pas pour l’employeur de refuser purement et simplement la communication des emails, mais d’être en mesure d’expliquer, à son ex-salarié par exemple, que sa demande ne s’inscrit pas véritablement dans une démarche visant à s’assurer que ces données situées dans les emails sont parfaitement conservées et collectées par son employeur.
En effet, l'absence d'obligation de justification pour le salarié n'exclut pas pour autant, la prise en compte par l'employeur de l'intention de sa démarche.
De plus, l'arrêt de la CJUE apporte un tempérament essentiel : même si l'abus de droit n'était pas retenu, la non-communication des données n'ouvre pas droit à réparation si le comportement du demandeur est la cause du litige.
Il n'y a donc pas de contradiction entre la jurisprudence française et la jurisprudence européenne. La seule interrogation qui demeure est la suivante : à quel point l'abus de droit pourra-t-il être opposé à un salarié dont le contexte de rupture révèle une intention purement indemnitaire ?
Pour savoir si une telle argumentation pourrait faire mouche alors qu’il n’y a pas identité parfaite entre les deux affaires précitées, il faudra que des avocats ou des entreprises s’emparent du sujet à leurs risques et périls et que de leurs réponses naisse un litige sur lequel un juge sera amené à se prononcer.
Les demandes des salariés sont de plus en plus structurées et les réponses des employeurs devront l'être tout autant, en opposant un refus (ou une réponse parcellaire) dûment justifié par l'absence de finalité RGPD de la demande.
En l’état, rien ne dit que le droit d’accès peut connaître des limites, si ce n’est que le principe de l’abus de droit est considéré dans son sens premier comme « Le fait, pour une personne, de commettre une faute par le dépassement des limites d'exercice d'un droit qui lui est conféré, soit en le détournant de sa finalité, soit dans le but de nuire à autrui ».
Les bases du sujet sont posées…A suivre donc….
