Violation du RGPD : pas de dommages-intérêts sans preuve d’un préjudice concret
Publié le 06/07/2026 par
Etienne Wery
18 vues
La Cour de cassation rappelle un principe essentiel issu de la jurisprudence de la CJUE : la seule violation du RGPD n’ouvre pas automatiquement un droit à réparation. Pour obtenir des dommages-intérêts sur la base de l’article 82 du règlement, la personne concernée doit établir l’existence d’un dommage matériel ou moral concret. L’arrêt apporte également…
La Cour de cassation rappelle un principe essentiel issu de la jurisprudence de la CJUE : la seule violation du RGPD n’ouvre pas automatiquement un droit à réparation. Pour obtenir des dommages-intérêts sur la base de l’article 82 du règlement, la personne concernée doit établir l’existence d’un dommage matériel ou moral concret. L’arrêt apporte également une confirmation utile en matière de recevabilité des preuves obtenues en violation du RGPD.
Un salarié de Natixis a été licencié pour faute grave en raison de plusieurs comportements considérés comme contraires aux règles de sécurité informatique de l’entreprise.
D’une part, il avait, à six reprises, volontairement cliqué sur les faux courriels de phishing envoyés dans le cadre des campagnes internes de sensibilisation à la cybersécurité et avait, en guise d’identifiants, saisi des expressions insultantes visant notamment les outils et prestataires de sécurité informatique.
D’autre part, il lui était reproché d’avoir faussé un concours interne en créant plus de 1.000 faux comptes afin de générer artificiellement des votes en faveur d’une proposition.
Il lui est aussi reproché d’avoir installé sur son poste de travail une vingtaine de logiciels non autorisés présentant, selon l’employeur, un risque pour la sécurité du système d’information.
Une preuve illicite, certes, mais néanmoins recevable
Le salarié contestait principalement la recevabilité des preuves relatives aux tests de phishing, soutenant que son employeur avait eu recours à un procédé déloyal destiné à le piéger, que le comité social et économique n’avait pas été consulté sur ce dispositif de contrôle et que le traitement de ses données personnelles méconnaissait les exigences du RGPD.
Pour la Cour d’appel, le salarié ne peut valablement soutenir que son employeur a cherché à le piéger puisque l’employeur a informé le personnel de la campagne de sensibilisation au phishing.
La Cour admet toutefois que la preuve a été recueillie en violation du RGPD.
Elle rappelle alors la jurisprudence en la matière (voir nos actualités précédentes) : « l’illicéité ou la déloyauté dans l’obtention ou la production d’un moyen de preuve ne conduit pas nécessairement à l’écarter des débats. Le juge doit, lorsque cela lui est demandé, apprécier si une telle preuve porte une atteinte au caractère équitable de la procédure dans son ensemble, en mettant en balance le droit à la preuve et les droits antinomiques en présence, le droit à la preuve pouvant justifier la production d’éléments portant atteinte à d’autres droits à condition que cette production soit indispensable à son exercice et que l’atteinte soit strictement proportionnée au but poursuivi. »
Considérant que l’identification de l’auteur des ‘clics’ sur les liens suspects et des identifiants farfelus/insultants ne pouvant se faire autrement, la Cour d’appel conclut donc à la recevabilité de la preuve en dépit de l’illicéité.
La Cour d’appel considère que violation du RGPD crée « nécessairement » un préjudice indemnisable
Consolation pour le salarié : la Cour d’appel considère que la violation du RGPD « a nécessairement causé un préjudice [au salarié], lequel sera réparé par l’allocation de la somme de 5000 euros. »
C’est sur ce point que la Cour de cassation censure.
La Cour de cassation exige au contraire la démonstration d’un dommage matériel ou moral concret.
L’article 82 RGPD ouvre à toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement, le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.
La Cour de cassation commence par rappeler la jurisprudence de la CJUE sur cette question, et en particulier Österreichische Post (CJUE, 4 mai 2023, n° C/300-21) dont on retient que :
- la simple violation des dispositions de ce règlement ne suffit pas pour conférer un droit à réparation ;
- l’article 82 s’oppose à une règle ou une pratique nationale subordonnant la réparation d’un dommage moral, au sens de cette disposition, à la condition que le préjudice subi par la personne concernée ait atteint un certain degré de gravité ;
- aux fins de la fixation du montant des dommages-intérêts dus au titre du droit à réparation consacré à cet article, les juges nationaux doivent appliquer les règles internes de chaque État membre relatives à l’étendue de la réparation pécuniaire, pour autant que les principes d’équivalence et d’effectivité du droit de l’Union soient respectés.
Elle convoque aussi l’arrêt MediaMarktSaturn (CJUE, 25 janvier 2024, n° C-687/21) dont on retient que :
- le droit à réparation prévu à cette disposition, notamment en cas de dommage moral, remplit une fonction compensatoire, en ce qu’une réparation pécuniaire fondée sur ladite disposition doit permettre de compenser intégralement le préjudice concrètement subi du fait de la violation de ce règlement, et non une fonction punitive ;
- la personne demandant réparation au titre de cette disposition est tenue d’établir non seulement la violation de dispositions de ce règlement, mais également que cette violation lui a causé un dommage matériel ou moral.
Ceci fait, la Cour de cassation casse l’arrêt d’appel :
« L’arrêt, après avoir jugé que les preuves fournies par l’employeur ayant permis l’identification du salarié étaient certes illicites, s’agissant d’un traitement de données à caractère personnel contraire aux dispositions du RGPD, mais recevables dès lors que leur obtention et leur production étaient indispensables et proportionnés à l’objectif poursuivi, retient que le non-respect des dispositions dudit règlement est caractérisé et a nécessairement causé un préjudice au salarié.
En statuant ainsi, alors que la simple violation du règlement général sur la protection des données n’ouvre pas, à elle seule, droit à réparation et qu’il lui appartenait d’apprécier si le salarié établissait que la violation de ce règlement qu’elle avait constatée avait causé au salarié un dommage matériel ou moral, la cour d’appel a violé [l’article 82RGPD]. »