Confusion fréquente : Un salarié s'estimant victime d'une discrimination syndicale demande la communication des bulletins de paie de ses collègues pour établir une comparaison. L'employeur oppose un refus global en invoquant le RGPD et la protection des données personnelles des autres salariés. Il considère que le règlement européen interdit par principe toute communication de données de tiers, quel que soit le motif. Le salarié saisit le juge pour obtenir une mesure d'instruction, estimant que son droit à la preuve doit primer.
Règle applicable : Le RGPD ne constitue pas un obstacle absolu à la communication de données personnelles à des fins probatoires. Deux arrêts récents de la Cour de cassation - l'un rendu par la deuxième chambre civile le 3 octobre 2024 (n° 21-20.979) et l'autre par la chambre sociale le 18 juin 2025 (n° 23-19.022) - imposent au juge une méthode d'arbitrage rigoureuse fondée sur la nécessité, la proportionnalité et la minimisation des données. Le droit à la preuve et le droit d'accès RGPD subsistent, mais sous un contrôle étroit visant à limiter la communication aux seules données strictement indispensables au litige.
Ces arrêts consacrent une approche méthodologique exigeante qui redéfinit l'articulation entre protection des données personnelles et droits processuels. Ils ne consacrent ni la primauté automatique du RGPD, ni celle du droit à la preuve, mais imposent un contrôle au cas par cas exercé par le juge.
Le RGPD n'est pas un bouclier absolu contre la production de preuves
L'arrêt de la deuxième chambre civile du 3 octobre 2024 traitait d'une demande de mesure d'instruction in futurum formulée par un salarié s'estimant victime d'une discrimination syndicale. Il sollicitait la communication de bulletins de paie et de parcours professionnels de plusieurs collègues afin de disposer d'éléments de comparaison avant tout procès au fond. L'employeur s'opposait à cette communication en invoquant la protection des données personnelles issue du RGPD.
La Cour de cassation adopte une position d'équilibre. Elle admet que des données personnelles puissent être communiquées à des fins probatoires, mais censure la cour d'appel pour ne pas avoir exercé le contrôle requis. Le droit à la preuve ne prime plus automatiquement sur la protection des données personnelles, mais le RGPD ne constitue pas non plus un refus de plein droit.
La Cour impose au juge une méthode impérative en quatre temps. Première étape : apprécier la nécessité et la proportionnalité de la mesure au regard de l'objectif poursuivi et des moyens alternatifs disponibles. Deuxième étape : vérifier quelles données sont strictement indispensables pour établir les faits allégués, en écartant les données qui n'apportent aucun élément pertinent. Troisième étape : assurer l'occultation des données non nécessaires conformément au principe de minimisation prévu par l'article 5 du RGPD. Quatrième étape : encadrer l'usage des données aux seules fins du litige, en interdisant toute utilisation ultérieure ou détournée.
Cette méthode transforme la pratique contentieuse. Un refus global fondé uniquement sur le RGPD devient juridiquement fragile. En revanche, une réponse argumentée proposant une communication partielle avec occultations devient défendable. L'employeur doit analyser la demande, identifier les données strictement nécessaires et proposer une communication ciblée plutôt qu'opposer un refus de principe.
Les emails professionnels sont des données personnelles soumises au droit d'accès
L'arrêt de la chambre sociale du 18 juin 2025 concernait une situation différente mais complémentaire. À la suite d'un licenciement pour faute, un salarié avait exercé son droit d'accès prévu par l'article 15 du RGPD et sollicité l'ensemble des données personnelles le concernant, y compris les emails professionnels émis ou reçus dans le cadre de l'exécution de son contrat de travail.
L'employeur s'était limité à transmettre des documents RH classiques - contrat de travail, fiches de paie, avenants, comptes-rendus d'entretiens - sans communiquer les courriels professionnels ni leurs métadonnées. Le salarié avait obtenu des dommages-intérêts pour violation de son droit d'accès.
La Cour de cassation juge explicitement que les courriels professionnels constituent des données à caractère personnel au sens de l'article 4 du RGPD. Le droit d'accès porte à la fois sur les métadonnées - horodatage, expéditeur, destinataires, objet du message - et sur le contenu des messages eux-mêmes. Cette qualification s'impose même lorsque les emails sont émis ou reçus dans un cadre strictement professionnel, dès lors qu'ils identifient ou rendent identifiable la personne concernée.
L'employeur ne peut refuser la communication que si celle-ci porte atteinte aux droits et libertés d'autrui, conformément à l'article 15 § 4 du RGPD. Ce refus doit être motivé précisément, en identifiant les droits menacés et en démontrant que l'atteinte serait disproportionnée. Un refus global non motivé expose l'employeur à un risque contentieux immédiat et à une condamnation pour violation du droit d'accès.
Une méthode commune : l'arbitrage au cas par cas sous contrôle du juge
Pris isolément, ces deux arrêts traitent de situations procédurales distinctes : l'un concerne une mesure d'instruction probatoire, l'autre un droit d'accès RGPD exercé par le salarié. Pris ensemble, ils dessinent une doctrine cohérente qui s'impose aux employeurs et aux praticiens.
La Cour de cassation refuse toute hiérarchie automatique entre les droits en présence. Le RGPD n'est pas un bouclier absolu contre la production de preuves ou l'exercice du droit d'accès. Inversement, le droit à la preuve comme le droit d'accès n'autorisent pas une communication illimitée de données personnelles sans considération des principes de protection.
Le juge devient l'arbitre central de cet équilibre. Il doit apprécier concrètement la nécessité de la communication demandée, en limiter le périmètre aux données strictement indispensables, imposer les occultations nécessaires pour protéger les données non pertinentes, et encadrer l'usage des données produites aux seules fins légitimes du litige.
Cette méthode impose aux employeurs une approche structurée. Face à une demande probatoire ou à une demande d'accès RGPD, l'employeur doit analyser la pertinence de chaque catégorie de données sollicitée, identifier les données strictement nécessaires et celles qui peuvent être occultées, proposer une communication partielle et ciblée plutôt qu'opposer un refus global, et motiver précisément tout refus en identifiant les droits et libertés menacés.
Conséquences pratiques pour les employeurs
En matière de discrimination et d'inégalités de traitement
Les demandes de production de données de tiers vont se multiplier dans les contentieux portant sur les discriminations, les inégalités de traitement salarial, les différences de parcours professionnel et les écarts de rémunération. Le salarié demandeur cherche à établir une comparaison avec des collègues placés dans une situation similaire.
Un refus global fondé exclusivement sur le RGPD est désormais juridiquement fragile. L'employeur qui oppose un tel refus s'expose à une censure du juge qui ordonnera la production des données en appliquant lui-même le principe de minimisation. En revanche, une réponse structurée constitue une stratégie défensive solide : analyser la demande pour identifier les données pertinentes, proposer une communication partielle avec occultation des données non nécessaires, et motiver le refus pour les données dont la communication porterait atteinte aux droits des tiers.
En matière de droit d'accès RGPD
Le droit d'accès des salariés ne se limite plus au dossier RH traditionnel. Les emails professionnels, leurs métadonnées et potentiellement d'autres communications électroniques constituent des données personnelles soumises au droit d'accès. Cette évolution impose aux entreprises de structurer leur réponse.
Les entreprises doivent être en mesure d'identifier et d'extraire les emails professionnels concernant le salarié demandeur, d'analyser leur contenu pour identifier les données de tiers nécessitant occultation, de procéder à des occultations ciblées préservant les droits des tiers mentionnés, et de motiver toute limitation du droit d'accès en identifiant précisément les droits menacés. L'absence de justification précise est aujourd'hui le principal facteur de risque contentieux.
Conclusion
Les arrêts de la Cour de cassation du 3 octobre 2024 et du 18 juin 2025 consacrent une approche méthodologique exigeante de la communication des données personnelles en contentieux social. Ils refusent toute solution de principe et imposent un arbitrage au cas par cas exercé par le juge.
La communication de données personnelles à des fins probatoires ou dans le cadre du droit d'accès RGPD reste possible, mais elle est strictement encadrée. Le juge vérifie la nécessité de la communication, en limite le périmètre aux données strictement indispensables, impose les occultations requises et encadre l'usage ultérieur des données.
Règle à retenir : Le RGPD ne peut pas être invoqué comme un refus automatique de communiquer des données. L'employeur doit analyser chaque demande, identifier les données strictement nécessaires au litige ou au droit d'accès, proposer une communication ciblée avec occultations, et motiver précisément tout refus. L'absence de justification expose à un risque contentieux direct.
