Logo MDP Data Protection avec clé rouge sur fond transparent

Bureaux

425 rue Jean Rostand 31670 Labège

Nous écrire

ask@mdp-data.com

Nous appeler

+33 5 61 60 16 67

Chez MDP Data Protection, nous suivons ces évolutions de près afin d’aider les organisations à comprendre leurs obligations et à mettre en place des pratiques conformes et transparentes.

 

Arrêt de la Cour de cassation confirmant que les e-mails professionnels constituent des données personnelles.

« Les e-mails professionnels sont bel et bien des données personnelles au sens du RGPD ». Arrêt du 18 juin 2025 (n° 23-19.022), rendu par la Cour de Cassation

 

Contexte et décision de l’arrêt de la Cour de cassation

Comme toute analyse juridique, reprenons les faits. Un salarié licencié (directeur associé) avait demandé la communication intégrale de ses e-mails professionnels. L’employeur avait refusé de lui transmettre l’ensemble des courriels, c’est-à-dire le contenu et les métadonnées. Pour approfondir ce sujet, consultez notre article sur impact des données personnelles sur la transformation. Approfondissez avec impact environnemental des données personnelles.

Question juridique : les e-mails professionnels sont-ils des données personnelles au sens du RGPD ? Ce thème est détaillé dans protéger les données personnelles et la sécurité. Plus de détails dans notre guide sur sécuriser les données dans l’économat.

Réponse de la Cour : Oui.

La Cour de cassation juge que les e-mails émis ou reçus via la messagerie professionnelle d’un salarié entrent dans le périmètre des données personnelles défini à l’article 4 du RGPD, même dans un cadre strictement professionnel.

Voir aussi : données pseudonimisées et RGPD et sécuriser les données personnelles dans les échanges.

 

Droit d’accès du salarié

En vertu du RGPD, le salarié dispose d’un droit d’accès à ses données personnelles. Cette interprétation conduit à reconnaître au salarié un droit d’accès à l’intégralité de ses e-mails professionnels, incluant : Retrouvez également notre analyse complète : données personnelles et rapports.

  • le contenu,
  • les métadonnées (horodatage, destinataires, objet, etc.).

Cet accès peut être restreint si la communication porte atteinte aux droits et libertés d’autrui (vie privée, secret des affaires…). Voir aussi : impact de l’IA sur les données professionnelles.

Portée, conséquences concrètes et conformité RGPD

Pour les salariés, cette décision consacre un droit d’accès renforcé et quasi automatique à leurs e-mails professionnels. Elle constitue également un outil précieux pour la défense de leurs droits, notamment dans le cadre de litiges ou de procédures prud’homales. Pour les employeurs, l’arrêt rappelle l’obligation de répondre aux demandes d’accès dans le délai légal d’un mois, prévu par l’article 12 du RGPD. Pour approfondir ce sujet, consultez notre article sur optimiser la communication avec vos clients.

De plus, une réponse partielle ou insuffisante, lorsqu’elle n’est pas justifiée de manière légitime, peut exposer l’entreprise à des sanctions, qu’il s’agisse de dommages-intérêts ou de mesures prononcées par la CNIL. Retrouvez également notre analyse complète : impact de la procrastination sur les données personnelles.

Dans ce contexte, il est recommandé de mettre en place de bonnes pratiques :

  • identifier et isoler les contenus sensibles,
  • revoir les politiques internes de conservation,
  • assurer le respect des règles d’archivage,
  • former les équipes RH ainsi que les services juridiques.

 

En résumé

L’arrêt du 18 juin 2025 consacre une avancée importante : les e-mails professionnels sont bel et bien des données personnelles. Les salariés bénéficient ainsi d’un droit d’accès renforcé, tandis que les employeurs doivent adapter leurs procédures internes pour garantir conformité et transparence. À noter que cette solution paraît discutable au regard des recommandations de la CNIL (5 janv. 2022) et de l’approche européenne, qui considèrent qu’un tableau synthétique peut suffire. Ce thème est détaillé dans données personnelles et recommandations CNIL.

Cette décision, dont la portée reste discutée, mérite d’être suivie de près : d’autres précisions jurisprudentielles ou prises de position des autorités européennes pourraient bientôt venir enrichir le débat ! Pour approfondir ce sujet, consultez notre article sur préparer votre conformité pour 2026.

🔎 Vous avez une question plus générale sur la conformité RGPD ou la cybersécurité ? Consultez notre FAQ générale.

Sources


Pour aller plus loin


Les solutions MDP Data Protection

MDP Data Protection et sa technologie IA accompagne les organisations dans la mise en conformité multi-réglementaire (RGPD, NIS2 et IA Act...), avec une approche opérationnelle et évolutive.

  • SimplyRGPD : Pilotage de votre conformité au quotidien.
  • MDP CAMPUS : Notre parcours de sensibilisation en vidéos pédagogiques de 3 à 7 minutes.
  • MDP Diagnostic : Diagnostic instantané de votre niveau de conformité.

Notre Méthode : le Continuous Compliance Operating System - CCOS

Et si votre conformité vivait en continu, au lieu d'être un livrable de plus ?


À propos de l’auteur

Christophe SAINT-PIERRE  – Fort de plus de 20 ans d’expérience, Christophe accompagne les organisations dans leur mise en conformité réglementaire (RGPD, NIS2, AI Act) en combinant expertise juridique, vision stratégique et approche opérationnelle. Au sein de MDP Data Protection, il pilote une démarche axée sur l’excellence, l’innovation et la valorisation réglementaire. Son objectif : transformer les contraintes légales en opportunités business pour ses clients.