search Rechercher
Ulys logo
menu MENU

Cabinet d’avocats à Bruxelles et Paris
Leader en droit de l’innovation depuis 30 ans

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

Accueil keyboard_arrow_right Actualités keyboard_arrow_right Detail

Non, la Cour de cassation n’a pas autorisé les salariés à repartir avec toute leur boîte mail

Publié le par 13 vues

Un arrêt récent a été largement commenté comme s’il consacrait un “droit au pillage” des messageries professionnelles au moment du départ d’un salarié. C’est faux. La Cour de cassation rappelle l’existence d’un droit d’accès fondé sur le RGPD, mais il y a des limites : protection des droits d’autrui, refus des demandes abusives et exigence…

Un arrêt récent a été largement commenté comme s’il consacrait un “droit au pillage” des messageries professionnelles au moment du départ d’un salarié. C’est faux. La Cour de cassation rappelle l’existence d’un droit d’accès fondé sur le RGPD, mais il y a des limites : protection des droits d’autrui, refus des demandes abusives et exigence de proportionnalité. Autrement dit, un droit encadré, pas un blanc-seing pour emporter tous les échanges sous le bras.

La logique de l’article 15 RGPD

Sous l’appellation « droit d’accès », l’article 15 contient plusieurs éléments qui ont des portées bien précises.

Le § 1 pose le principe et se subdivise en réalité en trois composantes :

  1. Le droit, pour une personne, d’avoir confirmation que des données qui la concernent sont, ou non, traitées (« obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées ») ;
  2. Le droit d’accéder à ces données (« lorsqu’elle lorsqu’elles le sont, l’accès auxdites données à caractère personnel ») ;
  3. Le droit de recevoir des informations sur les modalités du traitement (« ainsi que les informations suivantes : (…) »).

Le § 2 ajoute des informations à celles qui doivent être fournies en vertu du point c) ci-dessus, dans l’hypothèse où les données sont transférées vers un pays tiers ou à une organisation internationale.

Le § 3 quant à lui s’intéresse à l’accès aux données consacré par le point b) ci-dessus, et pose pour principe la remise d’une copie, tandis que le § 4 emporte une restriction à cette copie lorsqu’elle « porte atteinte aux droits et libertés d’autrui ».

L’arrêt de la Cour de cassation du 18 juin 2025

La motivation de l’arrêt tient en trois attendus :

« 14. Aux termes du point (1) de l’article 4 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), on entend par « données à caractère personnel » toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée »), est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

15. Selon l’article 15, §§ 3 et 4, du RGPD relatif au « Droit d’accès de la personne concernée », la personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel. Le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement, sous réserve que le droit d’obtenir une copie ne porte pas atteinte aux droits et libertés d’autrui.

16. Il en résulte, d’une part, que les courriels émis ou reçus par le salarié grâce à sa messagerie électronique professionnelle sont des données à caractère personnel au sens de l’article 4 du RGPD et, d’autre part, que le salarié a le droit d’accéder à ces courriels, l’employeur devant lui fournir tant les métadonnées (horodatage, destinataires) que leur contenu, sauf si les éléments dont la communication est demandée sont de nature à porter atteinte aux droits et libertés d’autrui. »

Contrairement à ce qu’on lit parfois, cet arrêt n’a pas pour portée de créer un droit systématique au profit des ex-employés, leur permettant d’obtenir tous les emails qu’ils ont envoyés ou reçus pendant la durée du contrat de travail.

En effet, il faut encore tenir compte de trois limites importantes :

  1. Le droit d’obtenir une copie des données ne doit pas « porter atteinte aux droits et libertés d’autrui » ;
  2. Le refus de donner suite à une demande manifestement infondée ou excessive ;
  3. Le principe général de proportionnalité.

La copie ne peut pas porter atteinte aux droits d’autrui (art. 15 §§ 3 et 4)

Le RGPD est explicite : le droit d’obtenir une copie des données ne « porte pas atteinte aux droits et libertés d’autrui ».

L’arrêt de la Cour de cassation française ci-dessus le souligne expressément : « Le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement, sous réserve que le droit d’obtenir une copie ne porte pas atteinte aux droits et libertés d’autrui. » (nous mettons en gras).

La situation envisagée est donc la suivante : il est fait suite au droit d’accès et la personne concernée reçoit les informations prévues aux §§ 1 et 2 de l’article 15, mais la copie prévue au § 3 est refusée en tout ou en partie au motif de la protection des droits et libertés d’autrui.

Si l’on veut bien admettre, comme nous le pensons, que l’employeur figure parmi « autrui » dont les droits et libertés doivent être protégés, celui-ci peut refuser en tout ou en partie la copie au nom de la protection des secrets d’affaire, la propriété intellectuelle ou industrielle, la sécurité des systèmes d’information, etc.

Le refus de donner suite à une demande manifestement infondée ou excessive (art. 12)

L’article 12 RGPD traite, de façon générale, des modalités de l’exercice des droits de la personne concernée. On y lit que :

« Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut : (…)

b) refuser de donner suite à ces demandes.

Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande. »

On ne confondra pas l’article 12 avec l’article 15 §§ 3 et 4 : dans le cadre de l’article 12, il s’agit de refuser purement et simplement de donner suite au droit d’accès, ce qui est bien plus radical que l’article 15 §§ 3 et 4 qui ne restreint que la remise d’une copie des données.

Tout est dans la démonstration (qui incombe au responsable de traitement) du caractère manifestement infondé ou excessif de la demande, ce qui est compliqué en raison de la jurisprudence de la CJUE selon laquelle :

  • D’une part, l’obligation de fournir une copie s’impose « même lorsque cette demande est motivée dans un but étranger à ceux visés au considérant 63, première phrase » du règlement ;
  • D’autre part, le responsable de traitement ne peut pas conditionner l’exercice du droit d’accès à une motivation ou une explication quant à son exercice.

Qu’est-ce qui pourrait bien être excessif ou infondé, au-delà du caractère répétitif du droit exercé ?

Nous pensons qu’il y a point d’ancrage au niveau de l’abus de droit, à savoir, selon la Cour de cassation, « l’exercice d’un droit d’une manière qui excède manifestement les limites de l’exercice normal de ce droit par une personne prudente et diligente ». Si un droit d’accès est qualifié d’abusif à l’aune de la théorie de l’abus de droit, il devrait en toute logique être excessif au sens du RGPD.

La matière pourrait aussi évoluer prochainement, précisément pour mettre un terme à ce qui est devenu une nouvelle discipline sportive : la pêche à l’info (le droit d’accès exercé à l’encontre d’un responsable avec lequel un litige existe sans aucun rapport avec le traitement des données, où le droit d’accès a pour but d’obtenir de l’information qui sera utilisée dans le cadre de ce litige).

Consciente des abus manifestes, la proposition de la Commission européenne dans le cadre du processus de simplification du RGPD (projet « Omnibus ») intègre explicitement la notion d’abus de droit dans le contexte spécifique du droit d’accès.

La Commission propose en effet que l’article 12 soit modifié comme suit :

« Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, ou également, lorsqu’il s’agit de demandes au titre de l’article 15, parce que la personne concernée abuse des droits conférés par le présent règlement à des fins autres que la protection de ses données, le responsable du traitement peut : (…)

b) refuser de donner suite à ces demandes.

Il incombe au responsable du traitement de démontrer que la demande est manifestement infondée ou qu’il existe des motifs raisonnables de croire qu’elle est excessive.». (nous mettons en gras)

L’équilibre

Enfin, une troisième piste se doit d’être explorée : la théorie générale des ingérences. L’exercice du droit d’accès par un ex-salarié porte atteinte à d’autres droits et libertés de son ex-employeur (liberté d’entreprendre, droit de propriété, protection du patrimoine, etc.).

Les situations de conflit entre droits égaux mais opposés, se résout toujours de la même manière : aucun droit ne prime par principe sur l’autre et il convient de rechercher un équilibre qui assure la préservation du contenu essentiel de chacun d’eux.

Droit & Technologies

Annexes

arret cour de cassation

file_download Télécharger l'annexe

Publié dans

Thèmes
Tags ####

Auteurs

Etienne Wery

 Suivez-moi sur LinkedIn

Lui écrire Ses 1359 contributions

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK