Dans le contentieux prud’homal, le droit d’accès aux données personnelles s’impose désormais comme un levier probatoire majeur pour les salariés.
Prévu par l’article 15 du RGPD et par l’article 49 de la loi Informatique et Libertés, ce droit permet à toute personne d’obtenir l’accès aux données la concernant ainsi qu’aux informations relatives à leur traitement.
Initialement conçu comme un mécanisme de transparence, il est aujourd’hui utilisé comme un outil d’accès à la preuve, notamment lorsque le salarié n’a plus accès à sa messagerie professionnelle.
Cette évolution soulève des enjeux importants pour les employeurs, tant en matière de conformité que de gestion du risque contentieux.
Le droit d’accès : un outil probatoire de plus en plus mobilisé par les salariés
Le droit d’accès est fréquemment utilisé comme un “raccourci probatoire” permettant au salarié d’obtenir, en dehors de toute procédure judiciaire, des éléments susceptibles d’étayer ses prétentions.
Cette pratique s’est développée en parallèle des difficultés rencontrées dans le cadre des demandes fondées sur l’article 145 du CPC, souvent plus longues, coûteuses et soumises à un contrôle strict du juge:
La position extensive de la Cour de cassation (18 juin 2025)
Dans un arrêt remarqué du 18 juin 2025, la Cour de cassation est venue adopter une position particulièrement extensive de la notion de « données à caractère personnel » en considérant notamment que » les courriels émis ou reçus par le salarié grâce à sa messagerie électronique professionnelle sont des données à caractère personnel au sens de l’article 4 du RGPD et, d’autre part, que le salarié a le droit d’accéder à ces courriels, l’employeur devant lui fournir tant les métadonnées (horodatage, destinataires) que leur contenu, sauf si les éléments dont la communication est demandée sont de nature à porter atteinte aux droits et libertés d’autrui. »
Dans cet arrêt, la Cour de cassation ne s’est pas prononcée sur la finalité poursuivie par le salarié mais sur le périmètre des éléments communicables au titre du droit d’accès.
Cette interprétation très large a été perçue comme ouvrant la voie à un quasi‑accès intégral à la messagerie professionnelle, alimentant l’idée d’un « droit au pillage ».
La résistance des juges du fond : un droit limité aux données, pas aux documents
Suivant deux arrêts rendus le 13 novembre et le 18 décembre 2025 la Cour d’appel de Paris adopte une approche plus restrictive en refusant d’ordonner la communication de l’intégralité d’une messagerie sur le seul fondement du RGPD et en rappelant que :
- seules certaines informations contenues dans un courriel (nom, prénom, adresse) constituent des données personnelles ;
- le droit d’accès ne justifie pas la communication de l’intégralité d’une messagerie professionnelle.
Les salariés peuvent donc obtenir la communication de leurs données à caractère personnel au titre du droit d’accès. Mais le droit d’accès ne permet pas aux salariés d’obtenir la communication de l’ensemble de sa messagerie électronique professionnelle.
La reconnaissance de l’abus de droit par la CJUE (19 mars 2026)
La Cour de Justice de l’Union Européenne (CJUE) est venue apporter un éclairage décisif le 19 mars 2026 dans l’arrêt Brillen Rottler.
La Cour admet désormais explicitement qu’une demande d’accès peut être qualifiée d’« excessive » au sens de l’article 12 du RGPD si elle procède d’une intention abusive.
C’est le cas lorsque le responsable du traitement démontre que, malgré un respect formel des conditions du RGPD, la demande a été introduite dans l’intention de créer artificiellement les conditions requises pour obtenir une réparation financière, et non pour vérifier la licéité du traitement.
Cette jurisprudence permet aux employeurs de mieux résister aux demandes dont la finalité est manifestement étrangère à la protection des données personnelles.
Les recommandations de la CNIL
Face à la multiplication des demandes de droit d’accès, la CNIL a actualisé ses recommandations le 31 janvier 2025 :
- Vérification de l’identité : L’identification doit être proportionnée ; un ancien matricule professionnel suffit généralement
- Tri des données : L’employeur peut se limiter à transmettre les données personnelles extraites des documents, plutôt que les documents entiers, sauf si cela est indispensable à l’intelligibilité des informations
- Alternative au volume massif : Si le volume des courriels est trop important, l’employeur peut proposer un tableau récapitulatif des messages ou inviter le salarié à préciser sa demande
- Protection des tiers : La CNIL rappelle que l’accès ne doit pas porter atteinte au secret des affaires, à la vie privée des autres salariés ou au secret des correspondances.
Conclusion
Bien que le droit d’accès demeure un outil probatoire puissant, il n’est pas un droit absolu. Il poursuit une finalité déterminée : permettre à la personne concernée de vérifier la licéité du traitement et, le cas échéant, d’exercer ses autres droits prévus par le RGPD. Le futur règlement Omnibus, actuellement en discussion, devrait préciser les cas de refus pour abus de droit.
Le droit d’accès ne permet pas à un salarié de solliciter la communication de l’ensemble de sa messagerie professionnelle. Lorsque la demande du salarié porte sur la communication de courriels spécifiques, la réponse à cette demande peut être synthétisée comme suit :
