Courriels professionnels et demandes d'accès aux données personnelles

L'article 15 du règlement de l’Union Européenne sur la protection des données (RGPD) accorde aux utilisateurs le droit d'accéder à leurs données : cela implique globalement que la personne concernée a le droit de savoir si ses données à caractère personnel sont traitées et si ce traitement est licite. Ce droit est souvent utilisé à des fins abusives, ce qui pose régulièrement des problématiques en matière de conformité aux entreprises qui peuvent être confrontées à des demandes d'accès aux données abusives. Dans une décision récente^[1], la Cour de justice de l’Union européenne a estimé qu’une demande d’accès peut, dans certaines circonstances, être considérée comme excessive (et donc ne pas nécessiter de réponse de la part du responsable du traitement) si ce dernier peut démontrer que la demande n’est pas formulée dans le but de vérifier la licéité du traitement des données, mais dans l’intention de créer artificiellement les conditions requises pour obtenir réparation en vertu du RGPD. La récente proposition de règlement « Omnibus» de l’Union Européenne aborde spécifiquement la question des demandes d’accès abusives, précisant qu’une demande d’accès peut être considérée comme abusive lorsque ce droit est exercé « dans le seul but de causer un préjudice ou un dommage au responsable du traitement »^[2], plutôt que pour vérifier si les données à caractère personnel sont traitées conformément au RGPD.

Une autre difficulté découle de l’interprétation de l’article 4 du RGPD, qui donne une définition large des « données à caractère personnel » pouvant englober les e-mails professionnels de la personne concernée (c’est-à-dire ceux envoyés ou reçus depuis le compte de messagerie professionnel d’un employé). Le débat actuel en France souligne l’importance d’une interprétation claire et sans ambiguïté de cette disposition, car elle peut avoir une influence considérable sur le type et le volume des documents qui devront être fournis en réponse à une demande d’accès aux données (DSAR).

Un débat en cours dans la jurisprudence française

Un débat de longue date a lieu en France concernant l’interprétation de l’article 4 du RGPD, notamment en ce qui concerne les e-mails professionnels ou ceux des employés.

Dans un arrêt rendu en 2025^[3] par la Cour de cassation, la Cour a jugé que «les courriels envoyés ou reçus par le salarié via son compte de messagerie professionnel constituent des données à caractère personnel au sens de l’article 4 du RGPD ; (…) le salarié a le droit d’accéder à ces courriels, l’employeur étant tenu de lui fournir à la fois les métadonnées (horodatages, destinataires, etc.) et leur contenu, sauf si les informations demandées sont susceptibles de porter atteinte aux droits et libertés de tiers. »

Cette interprétation de l’article 4 du RGPD a des conséquences importantes pour les employeurs, car elle implique la fourniture d’une copie de l’intégralité de la boîte mail du salarié en réponse à une demande d’accès aux données personnelles de ce dernier.

Néanmoins, cette interprétation large semble contredire l’article 4 du RGPD, qui définit les données à caractère personnel comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Une personne physique identifiable est une personne « qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

Au regard de cette définition, un e-mail ne peut contenir aucune information d'identification autre que l'adresse e-mail de l'expéditeur, son prénom et son nom.

De plus, tant la CNIL française que l’EDPB fournissent des directives claires sur la manière de traiter les demandes d’accès aux données : le droit d’accès permet à la personne concernée d’obtenir une copie des données à caractère personnel faisant l’objet d’un traitement, mais pas nécessairement une reproduction des documents originaux contenant ces données. Même si le responsable du traitement peut fournir une copie des documents contenant des données à caractère personnel relatives aux personnes concernées par souci de commodité, cela reste une option plutôt qu’une obligation.

L'interprétation extensive de la Cour de cassation crée ainsi une divergence d'opinion avec la position adoptée par la CNIL et l'EDPB sur cette question, en considérant les données à caractère personnel et les e-mails comme équivalents. Il est toutefois important de noter que cette décision a été rendue dans un contexte particulier, dans lequel l'employeur avait refusé de fournir tout type de document à la personne concernée et ce sans aucune explication. Ce contexte pourrait expliquer la formulation simple, mais trompeuse, utilisée par la Cour de cassation.

Toutefois, dans une décision récente rendue par la Cour d'appel de Paris^[4], la Cour semble corriger ce malentendu. 

Elle rappelle que l’article 15 du RGPD a pour objectif de permettre aux personnes concernées d’apprécier la licéité du traitement de leurs données à caractère personnel. La Cour d’appel de Paris estime que, sauf preuve contraire apportée par le requérant, les seules données à caractère personnel contenues dans un courriel sont l’adresse électronique et le nom de la personne concernée. Par conséquent, il n’est pas nécessaire de fournir au requérant une copie de son compte de messagerie ; seules les données à caractère personnel qu’il est susceptible de contenir doivent être communiquées. Par ailleurs, elle a également noté que les autres documents ou courriels stockés dans des dossiers intitulés « privés et personnels » ne constituent pas des données à caractère personnel au sens du RGPD et ne doivent donc pas être fournis en réponse à une demande d'accès aux données.

Cette décision semble contredire la position stricte de la Cour de cassation et revenir à une conception plus traditionnelle de ce qui peut constituer des données à caractère personnel. Il convient de noter qu’en droit français, la jurisprudence de la Cour de cassation lie généralement les Cours d’appel, et les praticiens du droit attendent donc désormais une nouvelle décision de la Cour de cassation.

La décision de la Cour d’appel fournirait désormais un fondement pour rejeter une demande de communication « en bloc » de la messagerie professionnelle, mais elle ne permettrait pas à un responsable du traitement de refuser l’accès aux données à caractère personnel contenues dans ladite messagerie professionnelle. Une analyse approfondie des données à caractère personnel qu’une boîte de réception peut contenir demeure nécessaire, notamment pour garantir la protection de la vie privée de tiers, du secret des affaires et du secret professionnel.

L'équipe IP-IT-Data de BCLP utilise des outils technologiques (Legaltech) propriétaires pour aider ses clients à répondre à des demandes d'accès complexes tout en respectant les droits de la personne concernée et des tiers.

Si vous souhaitez obtenir plus d'informations sur ce sujet ou de l'aide pour répondre à toute demande d'accès aux données que vous pourriez recevoir, veuillez contacter Pierre-Emmanuel Frogé ou votre interlocuteur habituel chez BCLP.

[1] Cour de cassation, Chambre sociale, 18 juin 2025, n° 23-19.022

[2] Considérant 35 de la proposition de règlement omnibus numérique

[3] Cour de cassation, Chambre sociale, 18 juin 2025, n° 23-19.022

[4] Cour d'appel de Paris, Pôle 6, chambre 2, 18 décembre 2025, n° 25/04270