Email

Les emails d’un salarié sont des données personnelles protégées par le RGPD

Le 18 juin 2025, la Chambre sociale de la Cour de cassation a rendu une décision majeure en matière de données personnelles au travail (Cass. Soc. 21 mai 2025, n°22-19.925). Pour la première fois avec une telle clarté, elle affirme que les emails émis ou reçus par un salarié via sa messagerie professionnelle constituent des données à caractère personnel.

Conséquence directe : l’employeur doit les communiquer au salarié qui en fait la demande, y compris le contenu des emails et leurs métadonnées (date, heure, destinataires), sauf exception.

1. Les emails professionnels : des données personnelles, sans ambiguïté

La Cour rappelle la définition de l’article 4 du RGPD : « une donnée personnelle est toute information permettant d’identifier une personne, directement ou indirectement » .

À ce titre, les emails professionnels d’un salarié contiennent toujours : • son identifiant professionnel (adresse mail) • des informations liées à son activité (échanges, instructions, décisions) • des éléments permettant de retracer son organisation, sa présence, ses actions

Elle en déduit logiquement que : « Les courriels émis ou reçus par le salarié grâce à sa messagerie électronique professionnelle sont des données à caractère personnel. »

Cette clarification met fin à un doute persistant : le caractère “professionnel” du support n’exclut pas la qualification de donnée personnelle.

2. Le droit d’accès du salarié s’applique pleinement aux emails

Sur le fondement de l’article 15 du RGPD, la personne concernée a droit : • à la confirmation que ses données sont traitées • à l’accès aux données • à une copie des données la concernant

La Cour de cassation précise ici la portée de ce droit dans le contexte professionnel :

1.L’employeur doit fournir :

✔ le contenu des emails ✔ les métadonnées (dates, heures, destinataires, etc.) ✔ en copie, et non sous une forme synthétique

2.Sauf dans un cas :

❗ Lorsque la communication porterait atteinte aux droits et libertés d’autrui (vie privée d’un collègue, secret des affaires, confidentialité d’une alerte, etc.).

Il appartient alors à l’employeur d’expliquer pourquoi une partie des emails ne peut être communiquée.

3. L’employeur ne peut ni refuser ni limiter sans justification

Dans l’affaire jugée, le salarié avait demandé l’accès à : • l’ensemble des emails qu’il avait envoyés ou reçus • ses métadonnées associées

L’employeur ne lui avait remis qu’un dossier administratif (contrat, bulletins de paie, documents liés à la fin du contrat). Aucun email n’avait été communiqué.

La Cour note que : l’employeur « ne justifiait d’aucun motif » expliquant cette absence de transmission.

Le manquement est donc caractérisé, et le salarié obtient des dommages-intérêts pour violation de son droit d’accès.

4. Un rappel important : le droit d’accès porte sur les données, pas forcément sur le document

L’employeur soutenait que le droit d’accès ne donne pas accès aux « documents » en tant que tels. C’est juridiquement exact… mais insuffisant dans ce cas précis.

La Cour rappelle que lorsque les données sont indissociables du document (comme le contenu d’un email), la communication du document est nécessaire pour donner accès à la donnée.

Ainsi : • l’employeur ne peut pas transmettre un simple résumé, • il ne peut pas non plus sélectionner arbitrairement les messages transmis.

5. Ce que les entreprises doivent retenir : 5 obligations clés

1️⃣ Les emails professionnels sont des données personnelles : Pas d’exception liée au contexte professionnel.

2️⃣ Le salarié peut demander tous les emails qu’il a émis ou reçus : Et l’employeur doit être en mesure de satisfaire la demande.

3️⃣ Le responsable de traitement doit fournir les métadonnées : C’est une exigence explicite du RGPD.

4️⃣ Un refus doit être motivé : La seule raison valable : la protection des droits et libertés d’autrui.

5️⃣ Une absence de réponse ou une réponse incomplète ouvre droit à réparation : La Cour confirme l’indemnisation du salarié.

6. Bonnes pratiques RH et RGPD pour éviter les sanctions

Voici ce que doivent mettre en place les entreprises :

✔ Mettre en place une procédure de réponse aux demandes d’accès qui prévoit le tri éventuel et la communication des courriels.

✔ Vérifier que la communication ne porte pas atteinte à autrui. Le cas échéant, anonymiser ou justifier le refus partiel.

Documenter toutes les décisions : Une demande d’accès refusée doit être motivée et traçable.

Conclusion : un arrêt qui impose une transparence renforcée

En affirmant clairement que les emails professionnels sont des données personnelles, la Cour de cassation impose aux employeurs une rigueur accrue dans la gestion des demandes d’accès.

Cet arrêt s’inscrit dans une tendance plus large : la volonté de garantir aux salariés la maîtrise de leurs données, même dans un univers numérique professionnel.

Pour les entreprises, il ne s’agit plus d’une simple conformité administrative :
👉 c’est un sujet RH, IT, juridique et managérial, à traiter de façon coordonnée et peut-être une opportunité de repenser la manière d’utiliser les messageries professionnelles.

Emails et RGPD

Ne ratez aucune actualité RH avec le blog MEMO RH !

Étiquettes de la publication :

Publications similaires