Les règles de protection des données évoluent sans cesse et impactent directement la vie en entreprise. Récemment, la Cour de cassation a confirmé que les e-mails professionnels relèvent bien des données personnelles au sens du RGPD.
Chez MDP Data Protection, nous suivons ces évolutions de près afin d’aider les organisations à comprendre leurs obligations et à mettre en place des pratiques conformes et transparentes.
« Les e-mails professionnels sont bel et bien des données personnelles au sens du RGPD ».
Arrêt du 18 juin 2025 (n° 23-19.022), rendu par la Cour de Cassation
Contexte et décision de l’arrêt de la Cour de cassation
Comme toute analyse juridique, reprenons les faits. Un salarié licencié (directeur associé) avait demandé la communication intégrale de ses e-mails professionnels. L’employeur avait refusé de lui transmettre l’ensemble des courriels, c’est-à-dire le contenu et les métadonnées.
Question juridique : les e-mails professionnels sont-ils des données personnelles au sens du RGPD ?
Réponse de la Cour : Oui.
La Cour de cassation juge que les e-mails émis ou reçus via la messagerie professionnelle d’un salarié entrent dans le périmètre des données personnelles défini à l’article 4 du RGPD, même dans un cadre strictement professionnel.
Droit d’accès du salarié
En vertu du RGPD, le salarié dispose d’un droit d’accès à ses données personnelles. Cette interprétation conduit à reconnaître au salarié un droit d’accès à l’intégralité de ses e-mails professionnels, incluant :
- le contenu,
- les métadonnées (horodatage, destinataires, objet, etc.).
Cet accès peut être restreint si la communication porte atteinte aux droits et libertés d’autrui (vie privée, secret des affaires…).
Portée, conséquences concrètes et conformité RGPD
Pour les salariés, cette décision consacre un droit d’accès renforcé et quasi automatique à leurs e-mails professionnels. Elle constitue également un outil précieux pour la défense de leurs droits, notamment dans le cadre de litiges ou de procédures prud’homales. Pour les employeurs, l’arrêt rappelle l’obligation de répondre aux demandes d’accès dans le délai légal d’un mois, prévu par l’article 12 du RGPD.
De plus, une réponse partielle ou insuffisante, lorsqu’elle n’est pas justifiée de manière légitime, peut exposer l’entreprise à des sanctions, qu’il s’agisse de dommages-intérêts ou de mesures prononcées par la CNIL.
Dans ce contexte, il est recommandé de mettre en place de bonnes pratiques :
- identifier et isoler les contenus sensibles,
- revoir les politiques internes de conservation,
- assurer le respect des règles d’archivage,
- former les équipes RH ainsi que les services juridiques.
Conclusion :
L’arrêt du 18 juin 2025 consacre une avancée importante : les e-mails professionnels sont bel et bien des données personnelles. Les salariés bénéficient ainsi d’un droit d’accès renforcé, tandis que les employeurs doivent adapter leurs procédures internes pour garantir conformité et transparence. À noter que cette solution paraît discutable au regard des recommandations de la CNIL (5 janv. 2022) et de l’approche européenne, qui considèrent qu’un tableau synthétique peut suffire.
Cette décision, dont la portée reste discutée, mérite d’être suivie de près : d’autres précisions jurisprudentielles ou prises de position des autorités européennes pourraient bientôt venir enrichir le débat !
Pour aller plus loin
- Logiciel RGPD : comment choisir la solution idéale pour votre entreprise | MDP Data Protection
- Arrêt officiel, Cass. soc., 18 juin 2025, n° 23‑19.022 | Site de la Cour de cassation
- (2022) | CNIL
Solutions MDP Data Protection
- LIVRE BLANC :Notre guide pratique sur la conformité au RGPD.
- MDP CAMPUS :Notre parcours de sensibilisation en vidéos pédagogiques de 3 à 7 minutes.
- MDP Diagnostic :Diagnostic instantané de votre niveau de conformité.
🔒 Besoin d’un logiciel RGPD simple, complet et adapté à votre activité ?
MDP Data Protection vous accompagne à chaque étape, de l’idée à la gouvernance.
Découvrez nos solutions intelligentes : audit, automatisation, agents IA, conformité multi-règlementaire (RGPD, NIS2, IA Act)… tout est pensé pour les PME françaises.
Contactez nos experts pour structurer vos pratiques, anticiper les évolutions réglementaires et bâtir une confiance durable.
Prêt à transformer votre conformité RGPD en levier stratégique ?
✍️À propos de l’auteur
Rim ROUDIES est Déléguée à la Protection des Données (DPO) et Chargée de stratégie chez MDP Data Protection.
Elle joue un rôle clé en contribuant à la mise en place des stratégies internes et accompagne les clients dans leur conformité réglementaire. Polyvalente et rigoureuse, elle participe à la structuration des processus, pilote la communication de l’entreprise et soutient son développement international.Son sens de l’organisation, sa capacité d’analyse et sa pédagogie renforcent l’efficacité des opérations, sécurisent les pratiques numériques et garantissent une gouvernance solide et durable.
Dernière mise à jour : Septembre 2025