Pour certains, on en parlera plus dans les livres d'Histoire que de l’appel du 18 juin… Un arrêt de la Cour de cassation du 18 juin 2025 a établi que les emails adressés et reçus par un salarié durant l’exercice de ses fonctions étaient des données personnelles, ce qui lui permettait d’exercer son droit d’accès à leur propos. Véritable révolution ou simple application des règles ?
L’histoire est simple : un salarié licencié a sollicité auprès de son ancien employeur la communication de ses emails professionnels, et celui-ci a poliment ignoré la demande. Il est vrai que, selon une jurisprudence bien établie de la Cour de cassation, les emails échangés à l’occasion des fonctions sont des documents professionnels, appartenant à l’employeur, sauf s’ils sont indiqués comme étant « privé » (dans ce cas-là, il doit demander à un juge le droit de les consulter, ou demander à son directeur informatique de le faire discrètement et sans laisser de trace).
Depuis, le RGPD s’est invité dans le débat (même si la loi Informatique et Libertés prévoyait tout de même beaucoup de garanties), et la notion de droit d’accès prévu par son article 15 sert de motivation à toutes les demandes de communication d’informations personnelles détenues par une entreprise. Cependant, pour s’appliquer, ce droit d’accès doit concerner des données personnelles.
D’où la questions : les emails professionnels sont-ils des données personnelles ?
La notion de données personnelles Qu’est-ce qu’une donnée personnelle. L’article 4 du RGPD précise que les données à caractère personnel sont constituées par toute information permettant d’identifier une personne physique, notamment par référence à un identifiant, comme un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. |
Selon la Cour, les courriels émis ou reçus par le salarié grâce à sa messagerie électronique professionnelle sont bien des données à caractère personnel au sens de l'article 4 du RGPD.
Un salarié quittant l’entreprise a donc le droit de demander la communication de tous ses échanges intervenus au cours de son contrat de travail. A sa demande, son employeur est tenu de lui fournir à la fois les métadonnées (horodatage, destinataires) et leur contenu.
La Cour expose une limite néanmoins, l’employeur peut refuser la communication de certains emails si cette communication peut porter atteinte aux droits et libertés d'autrui. La CNIL, et les différents travaux préparatoires des juges, évoquent plusieurs hypothèses d’atteinte potentielle aux droits des tiers, en citant notamment le secret des affaires, la protection de la propriété intellectuelle, le droit à la vie privée ou encore le secret des correspondances. Par exemple, une atteinte au très décrié secret des affaires pourra être caractérisée si les emails portent sur des informations commerciales et confidentielles, stratégiques pour l’entreprise, sur lesquelles le salarié a eu à travailler.
Toutefois, l’employeur ne pourra pas se contenter d’ignorer la demande du salarié en lui répliquant un laconique « votre atteinte porte atteinte à mes droits ». Il devra tenter de supprimer, anonymiser ou pseudonymiser (un terme que le traitement de texte ne connait pas) les données sensibles, et, si cela n’est pas possible, refuser le droit d’accès, mais en le justifiant.
A noter, la CNIL propose une autre alternative, à savoir l’envoi d’un tableau contenant les métadonnées et les données personnelles contenues dans les différents courriels. Un pauvre stagiaire des RH sera ainsi chargé de sélectionner dans chaque emails les passages concernant le salariés, et de biffer les autres.
En l’occurrence, dans l’arrêt jugé par la Cour, l’employeur n’a invoqué aucun motif pour expliquer son refus de communiquer. La sanction est donc inévitable.
Sur le plan du droit, les entreprises savent donc qu’elles doivent communiquer les emails professionnels, et que, sauf justification, elles seront condamnées dans le cas contraire.
Sur le plan pratique, l’entreprise récalcitrante a été condamnée à des dommages et intérêts d’un montant exorbitant de 500 euros. De quoi faire réfléchir à l’opportunité de se faire condamner plutôt que de passer en revue tous les emails du salarié. On pourrait cependant imaginer une procédure où le salarié demanderait non pas des dommages et intérêts, mais une demande de remise sous astreintes. Une pression peut-être plus adaptée pour contraindre l’employeur à s’exécuter.
Est-ce qu’on dit email ou courriel ? Le vrai débat ! Nos cousins québécois, très attachés au français, vous diront que courrier est le terme francophone pour évoquer les e-mails anglosaxons. Ce qui explique que les juridictions, très à cheval sur le bon usage de notre langue, utilisent le mot courriel dans leurs décisions. |
Deux cas de figure sont à distinguer : le salarié demandeur est l’expéditeur ou le destinataire des courriels, ou seulement mentionné dans le contenu des courriels. Seul le premier cas est traité par la Cour de cassation. Quid alors des emails où l’employeur parle du salarié, notamment à ses managers et son DRH ? Dans un autre domaine, les clients de compagnies d’assurance ont déjà pu demander la communication des emails internes où leurs dossiers étaient évoqués, notamment pour connaitre les raisons ayant pu conduire à un refus de prise en charge.
Que se passe-t-il donc dans un tel cas ? Selon la CNIL, il s’agit aussi de données personnelles, la demande doit en conséquence être examinée par l’entreprise. Cependant, il faut toujours assurer cet équilibre entre le droit d’accès le respect des droits et libertés des autres salariés et de l’entreprise.
Déjà, rappelle la CNIL, il ne faut pas que la demande de droit d’accès implique une atteinte disproportionnée aux droits de l’ensemble des salariés de l’entreprise, par exemple s’il faudrait scanner l’ensemble des messageries professionnelles de l’entreprise pour trouver les mentions du nom du demandeur. Une telle opération serait assurément trop intrusive pour les salariés concernés, et atteindrait leur droit à la vie privée.
Si la demande impose de traiter un nombre trop important d’emails, l’employeur peut se contenter de transmettre au salarié au demandeur un tableau récapitulatif des emails concernés, charge au salarié de faire son marché.
Ensuite, s’il est possible d’identifier des emails parlant d’un salarié, il faut apprécier le contenu des emails, en vérifiant si leur communication peut porter atteinte à autrui. Notamment, la communication d’emails relatifs à une procédure disciplinaire même caviardés, pouvant permettre au salarié d’identifier ses différents acteurs, peut être refusée selon la CNIL (mais l’employeur risque d’avoir à les produire pour se défendre en cas de contentieux). De même, l’employeur pourra se réfugier derrière son droit à la défense et au procès équitable pour refuser de produire des courriels échangés avec le DRH et le responsable juridique parlant du risque du procès avec le salarié, ou de l’opportunité de le licencier. Ne parlons même pas des courriels échangés avec son avocat sur le dossier prud’homal, qui sont couverts par le secret professionnel.
Enfin, l’employeur n’est pas obligé de produite l’intégralité des emails, mais uniquement les passages où le salarié est évoqué.
La réponse est donc, oui, on peut demander des emails parlant de nous, mais il existe de nombreuses justifications permettant à l’employeur de refuser ou de limiter le droit d’accès !
Vous pouvez nous joindre au 01 87 66 96 92
sur notre adresse email contact@komite-avocats.fr
ou en remplissant le formulaire ci-dessous