Droit d'accès RGPD et stratégie prud'homale : essor et limites d'un droit au cœur des contentieux entre salariés et employeurs
Le droit d'accès à ses données à caractère personnel, prévu par l'article 15 du Règlement Général sur la Protection des Données (RGPD), est devenu depuis quelques mois une véritable arme procédurale utilisée par les salariés dans les contentieux prud’homaux.
Créé à l’origine comme une garantie de transparence, le droit d’accès s’est au fur et à mesure transformé en un droit à la preuve, revendiqué par les salariés souhaitant se constituer des preuves avant ou pendant une procédure contentieuse contre leur ancien employeur (I).
Les juridictions et autorités de protection des données tendent aujourd’hui à encadrer l’exercice du droit d’accès, permettant ainsi aux employeurs de s'opposer, dans certaines mesures, à la communication des données pour éviter la dérive de l’instrumentalisation de ce droit par les salariés (II).
I. Le droit d'accès, une arme procédurale du salarié
Le droit d’accès porte sur un périmètre de données à caractère personnel particulièrement étendu (A) et peut être exercé sans motivation, l’érigeant en levier pour le salarié dans une procédure prud’homale (B). Toutefois, le droit d’accès ne saurait dispenser le salarié de ses obligations probatoires et suppléer sa carence dans l’administration de la preuve (C).
A. Une définition extensive des données à caractère personnel visées par le droit d’accès
Le droit d'accès porte sur l'ensemble des données à caractère personnel du salarié, c'est-à-dire toute information permettant son identification[1] directe (nom, prénom, adresse électronique…) ou indirecte (poste occupé, rémunération, lieu de travail…), que cette information soit objective ou subjective (avis, appréciations ou opinions portés sur la personne concernée[2]).
En matière sociale, cette définition extensive de la donnée à caractère personnel peut comprendre notamment les évaluations professionnelles, les attestations de salaire, les bulletins de paie, les relevés de pointage et les courriels professionnels.
L’arrêt du 18 juin 2025, par lequel la Cour de cassation a considéré que le droit d’accès portait notamment sur les « courriels émis ou reçus par le salarié grâce à sa messagerie électronique professionnelle »[3] sous réserve des droits et libertés d’autrui, admet donc une conception large de l’objet du droit d’accès.
Précisons ici que dans un arrêt plus récent du 18 décembre 2025[4], la Cour d'appel de Paris a adopté une position plus nuancée en rappelant que la finalité du droit d’accès n’est pas d’obtenir la copie du courriel émis ou reçu par le salarié dans le cadre de son activité. A ce titre, elle considère que seuls les éléments du courriel permettant l’identification du salarié constituent des données à caractère personnel et peuvent faire l’objet d’une demande d’accès, non l’intégralité du courriel.
Cette dernière position s’inscrit dans la lignée des recommandations de la Commission Nationale Informatique et Libertés (CNIL)[5] et de la jurisprudence de la Cour de justice de l’Union Européenne (CJUE)[6], qui précisent que le droit d’accès ne porte que sur les données à caractère personnel et non pas sur les documents (donc, a fortiori, pas non plus sur les courriels).
B. Un droit indépendant de toute motivation
Pour limiter les demandes d’accès, il avait été envisagé d’imposer au salarié de justifier le motif de sa demande.
Toutefois, les juridictions européennes et françaises ont rapidement clos le débat : le libellé de l'article 15 du RGPD ne conditionne pas l’accès aux données à la justification, par la personne concernée, d'un quelconque motif[7].
L'obligation de communiquer les données s'impose donc à l’employeur, que la demande de son ancien salarié ne soit pas du tout motivée ou qu’elle soit motivée par un but étranger au contrôle du respect du RGPD[8], tel qu’un but probatoire en vue d’un contentieux prud’homal[9].
C. La tentation d’instrumentaliser le droit d’accès pour suppléer la carence probatoire du salarié
Le droit d'accès ne saurait toutefois se substituer aux obligations probatoires qui incombent au salarié dans le cadre d'un contentieux prud'homal.
Cette limite trouve son fondement dans l’objectif même de l'article 15 du RGPD, qui est de permettre à la personne concernée de s’assurer que les données à caractère personnel la concernant sont exactes et qu’elles sont traitées de manière licite, pour qu’elle puisse exercer, le cas échéant, ses droits à la rectification, à l'effacement, à la limitation ou encore à l'opposition au traitement de ses données[10].
Le droit d’accès est un instrument de maîtrise par l'individu de ses propres données, et non pas un mécanisme d'investigation probatoire.
Ainsi, en droit du travail, le juge prud'homal ne saurait ordonner à l'employeur de communiquer des données au nom du RGPD pour suppléer la carence probatoire du salarié, dès lors qu’il appartient à celui-ci de prouver les faits nécessaires au succès de ses prétentions.
En effet, la charge de la preuve, bien que parfois aménagée notamment en matière de discrimination ou de harcèlement[11], ne saurait être intégralement transférée à l'employeur par le biais d'une demande d’accès formée tardivement ou de manière opportuniste par un ancien salarié espérant obtenir ainsi les éléments de preuve dont il ne disposait plus à l'issue de son contrat de travail.
II. … dont les abus peuvent être limités par l’employeur
Si le droit d'accès constitue une arme procédurale entre les mains du salarié, il n'est pour autant pas sans limite. L'employeur peut légitimement s'y opposer lorsque sa mise en œuvre est susceptible de porter atteinte aux droits des tiers (A), se heurte à une impossibilité matérielle (B), ou revêt un caractère excessif (C).
A. La protection des droits et libertés des tiers
Le premier et principal tempérament au droit d'accès tient au respect des droits et libertés des tiers[12]. En effet, le droit d’accès ne permet au salarié d'accéder qu'à ses propres données à caractère personnel.
Lorsqu'un document contient à la fois des données concernant le salarié requérant et des données relatives à des tiers, l'employeur est tenu d'anonymiser les informations relatives à ces derniers et de s’assurer que seules les données à caractère personnel du requérant restent lisibles, avant de lui communiquer le document[13].
Cette règle revêt une importance pratique dans un contexte d’enquête interne. En effet, lorsque l'employeur diligente une enquête sur des faits de harcèlement moral au sein de son entreprise, les témoignages recueillis contiennent les données à caractère personnel des personnes auditionnées. La communication intégrale de ces témoignages à un salarié porterait nécessairement atteinte à la vie privée des autres témoins et viderait de sa substance la confidentialité garantie par l’employeur pour favoriser leur libre expression dans le cadre d’une enquête[14].
Une telle communication parait également aller à l’encontre de la protection de l’anonymat des lanceurs d’alerte, qui impose à l’employeur, sauf obligation légale contraire ou consentement du lanceur d'alerte lui-même, de s'abstenir de toute tentative de réidentification de ce dernier[15].
B. L'impossibilité matérielle de communiquer les données à caractère personnel
L'exercice du droit d'accès suppose que les données concernées soient encore détenues par l’employeur. Ainsi, l’employeur n’est pas tenu de répondre aux demandes de droit d’accès si les données ne sont plus conservées ou ont été effacées puisque, dans cette hypothèse, l’accès est matériellement impossible[16].
Il appartient alors à l'employeur de documenter précisément les circonstances de la suppression des données, conformément à sa politique de durée de conservation, afin de démontrer qu'il ne s'agit pas d'une manœuvre dilatoire mais d'une situation préexistante à la demande d’accès. L’employeur ne saurait en effet prétendre être dans l’impossibilité matérielle de communiquer les données, alors que leur suppression est intervenue postérieurement à la demande d’accès du salarié[17].
C. La demande d’accès excessive
L’employeur peut légitimement rejeter les demandes d’accès qui sont excessives[18]. Si le caractère excessif de la demande d’accès était jusqu’alors interprété de manière restrictive et limité au caractère répétitif de la demande, la jurisprudence récente semble désormais vouloir l’étendre.
Ainsi, l’employeur peut s'opposer à une demande d’accès abusive, introduite dans le seul but d’obtenir réparation d’une prétendue violation du RGPD que le salarié aurait lui-même délibérément provoquée[19].
L’employeur peut également s’opposer à une demande d’accès imprécise, formulée sans distinction d’objet et de temps et ne portant pas exclusivement sur des données à caractère personnel[20].
En effet et comme précédemment indiqué, le droit d'accès porte uniquement sur les données à caractère personnel et non sur les documents. Le droit d’accès n’a donc pas vocation à permettre au salarié d’obtenir l'ensemble de ses documents, accès informatiques ou agenda professionnels[21], qui sont davantage relatifs à ses fonctions professionnelles qu’à sa vie personnelle[22].
Il appartient à présent aux juridictions nationales et européennes de préserver l'équilibre entre protection des données à caractère personnel et loyauté procédurale, afin d'éviter que le droit d’accès ne devienne un substitut aux règles de l'administration judiciaire de la preuve
[1] Article 4, 1° du RGPD
[2] CJUE, 20 décembre 2017, aff. C-434/16
[3] Cour de cassation, Chambre sociale, 18 juin 2025, n°23-19.022
[4] Cour d’appel de Paris, 18 décembre 2025, n°25/04270
[5] CNIL – Droit d’accès des salariés à leurs données et aux courriels professionnels
[6] CJUE, 4 mai 2023, aff. C-487/21
[7] CJUE, 27 mai 2014, aff. C‑312/23
[8] Conseil d’Etat, 1er décembre 2025, n°498083
[9] CEPD – Lignes directrices n°01/2022 sur le droit d’accès ; Cour d'appel d'Amiens, 8 avril 2021, n°20/05672 ; Cour d'appel de Rennes, 27 février 2025, n°24/02772 ; Cour de cassation, Chambre sociale, 18 juin 2025, n°23-19.022
[10] CJUE, 4 mai 2023, aff. C-487/21 ; Cour d’appel de Paris, 18 décembre 2025, n°25/04270
[11] Articles L. 1134-1 et L. 1154-1 du Code du travail
[12] Considérant n°63 et article 23 du RGPD
[13] CNIL – L’anonymisation de données personnelles ; Avis 05/2014 du G29 sur les Techniques d’anonymisation
[14] Cour d’appel de Paris, 19 décembre 2024, n°24/03373 ; Cour d’appel de Toulouse, 19 janvier 2024, n°23/02401
[15] Référentiel CNIL – Traitements de données à caractère personnel destinés à la mise en œuvre d’un dispositif d’alerte
[16] CNIL – Comment répondre à une demande de droit d’accès ? ; CE, 12 février 2020, n°434473
[17] Autorité belge de protection des données, Chambre contentieuse, 24 février 2026, n°37/2026
[18] Article 12, 5° du RGPD
[19] CJUE, 19 mars 2026, aff. C-526/24
[20] Conseil d’Etat, 5 décembre 2024, n°488201 ; Cour d’appel de Grenoble, 9 mai 2023, n°22/03064
[21] Cour d'appel de Paris, 2 octobre 2025, n°25/02502
[22] Autorité danoise de protection des données, 31 mars 2022, n°2021-32-2438
Un article rédigé par Annaël BASHAN du département Social & Ressources Humaines et Anne-Maud LAGARDE du département Propriété Intellectuelle, Numérique, Conformité & Données
