La Cour de cassation a rendu un arrêt le 18 juin 2025, qualifiant les courriels émis ou reçus par un salarié via sa messagerie professionnelle de données à caractère personnel au sens de l’article 4 du RGPD.
Cette décision confirme que les « courriels émis ou reçus par le salarié grâce à sa messagerie électronique professionnelle » sont des données à caractère personnel au sens de l’article 4 du RGPD et confère au salarié un droit d’accès étendu, sous réserve du respect des droits d’autrui.
🟠 I. Faits et procédure
Un salarié a fait l’objet d’une procédure de licenciement pour faute (sexisme et harcèlement sexuel). Dans le cadre de son action devant le conseil de prud’hommes, ce salarié avait demandé la communication de l’ensemble de ses courriels professionnels que l’employeur avait transmis de façon partielle, sans métadonnées ni contenu intégral. L’employeur a été condamné et a décidé de faire appel de la décision puis de se pourvoir en cassation.
🟠 II. Des protections octroyées par le RGPD venant justifier la décision de la Cour de cassation
- Selon l’article 4.1 du RGPD qui définit ce qu’est une donnée à caractère personnel : « Aux fins du présent règlement, on entend par : « données à caractère personnel », toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale; »
- Selon l’article 15 du RGPD relatif au droit d’accès de la personne concernée, la personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées.
🟠 Confirmation par la CNIL
La position de la Cour de cassation s’aligne sur les recommandations de la CNIL. Cette dernière a déjà indiqué que les courriels professionnels, en tant qu’ils identifient l’émetteur ou le destinataire, entrent dans le champ d’application du RGPD et a recommandé de fournir aux salariés, en priorité, un exemplaire intégral des messages plutôt qu’un tableau de données extraites, pour faciliter leur droit d’accès.
🟠 Les obligations à respecter des employeurs
Ces données étant considérées comme des données personnelles auxquelles le salarié doit avoir accès, Il est fortement recommandé aux entreprises de mettre en place des systèmes de conservations de ces courriels. (Espace de stockage, cloud etc)
🟠 Conclusion :
- Les « courriels émis ou reçus par le salarié grâce à sa messagerie électronique professionnelle » sont des données à caractère personnel au sens de l’article 4 du RGPD ;
- Le salarié bénéficie d’un droit d’accès à ces données, l’employeur devant lui fournir les métadonnées (horodatage, destinataires…) et le contenu des messages, sauf si la communication porterait atteinte aux droits et libertés d’autrui.
Pour en savoir plus / sources : https://www.legifrance.gouv.fr/juri/id/JURITEXT000051823269?init=true&page=1&query=23-19022+&searchField=ALL&tab_selection=all |
Un an après avoir lancé une ambitieuse stratégie de démocratisation de l’intelligence artificielle (IA), le Barreau de Paris franchit une nouvelle étape décisive avec la publication de son premier Livre blanc dédié à cette technologie. Ce document, pensé comme un outil d’accompagnement pour les avocats, marque une volonté claire : intégrer l’IA dans la pratique juridique tout en respectant les exigences déontologiques et réglementaires.
Dans un contexte européen marqué par l’évolution constante des réglementations numériques, le Comité européen de la protection des données (CEPD) poursuit ses efforts pour garantir une meilleure transparence dans le traitement des données personnelles. Deux initiatives récentes illustrent cette dynamique : la publication de lignes directrices sur l’interaction entre le RGPD et le Digital Markets Act (DMA), et le lancement d’une action coordonnée sur la transparence en 2026.
Le 10 juillet 2025, la Commission européenne a publié la version finale du Code de bonnes pratiques pour l’intelligence artificielle à usage général (GPAI), marquant une nouvelle étape dans la régulation de l’intelligence artificielle en Europe. Ce Code, bien que volontaire, s’inscrit dans un contexte de montée en puissance du Règlement sur l’IA (AI Act), dont certaines dispositions, notamment celles concernant les GPAI, sont applicables depuis le 2 août 2025.
Le 3 septembre 2025, le Tribunal de l'Union Européenne a rejeté le recours d’un citoyen français (M. Philippe Latombe, député français et membre de la CNIL) visant à annuler la décision de la Commission européenne du 10 juillet 2023, établissant l’adéquation du nouveau cadre de transfert de données personnelles entre l’Union européenne et les États-Unis. Ce cadre, connu sous le nom de Data Privacy Framework (DPF), succède au Privacy Shield, invalidé en 2020 par la CJUE dans l’affaire Schrems II. Le DPF repose sur des engagements renforcés pris par les États-Unis en matière de protection des données, notamment via le décret présidentiel 14086, encadrant les activités de renseignement.