Axe de contrôle de la CNIL[1]en 2024, l’exercice du droit d’accès constitue désormais un outil bien maitrisé par les personnes concernées qui conduit à l’explosion des demandes.
Des demandes qui, eu égard aux laps de temps pour y répondre, à leur complexité et au caractère chronophage des recherches à entreprendre entre les divers services d’une structure publique, laissent souvent ces dernières particulièrement démunies. Fortes de cette augmentation croissante des demandes d’accès, les juridictions ont fait évoluer leur positionnement quant aux modalités de leur exercice. Tel est notamment le cas lorsqu’il s’agit, pour un salarié ou un agent, de détourner l’exercice de son droit d’accès à des fins probatoires dans le cadre d’un conseil prud’homal et, pourquoi pas, d’un recours indemnitaire devant les juridictions administratives.
I. Rappel – Le droit d’accès qu’est-ce que c’est ?
Le droit d’accès est prévu à l’article 15 du RGPD[2] et permet à la personne concernée d’obtenir du responsable de traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées ainsi que la copie de ses données ainsi que des éléments suivants, notamment :
- les finalités du traitement ;
- les catégories de données concernées ;
- les destinataires des données ;
- leur durée de conservation ;
- l’existence des droits dont elle dispose ; et
- le cas échéant, les informations relatives aux transferts de données hors de l’Union européenne.
Le responsable de traitement est tenu de répondre à la demande dans un délai d’un mois à compter de sa réception. Ce délai peut toutefois être prolongé de deux mois supplémentaires, soit un délai maximal de trois mois, lorsque la demande est particulièrement complexe ou lorsque le responsable de traitement est saisi d’un nombre important de demandes.
La personne concernée doit alors être informée de cette prolongation et des motifs qui la justifient dans le délai initial d’un mois.
L’absence de réponse dans les délais impartis est susceptible de conduire au dépôt d’une plainte auprès de la CNIL qui enjoindra à l’organisme de procéder à l’instruction de la demande dans les meilleurs délais. Il est donc particulièrement important d’être vigilant sur le respect de ces délais.
Le RGPD n’impose aucune exigence formelle quant à la manière dont les personnes concernées doivent soumettre leur demande d’accès aux responsables de traitement. En conséquence, ces dernières peuvent exercer ce droit par tout moyen de communication, qu’il soit électronique ou postal.
II. Les évolutions récentes concernant l’exercice du droit d’accès
L’appréciation de l’accès aux courriels professionnels a fait l’objet d’une jurisprudence abondante en 2025.
En effet, la Cour de cassation, dans un arrêt en date du 18 juin 2025 (n° 23-19.022), a considéré que les courriels échangés depuis une messagerie professionnelle constituent des données à caractère personnel dès lors qu’ils permettent d’identifier leur auteur. Ils entrent donc, par principe, dans le champ du droit d’accès. Ce faisant, la Cour de cassation a validé la condamnation par la Cour d’appel d’un employeur au paiement de 500 euros de dommages-intérêts pour avoir refusé, sans justification valable, de répondre à une demande d’accès aux données personnelles formulée par un salarié.
Cette solution a toutefois été nuancée par la Cour d’appel de Paris, qui, dans un arrêt plus récent du 18 décembre 2025 (n° 25/04270), a rappelé que le droit d’accès ne saurait être détourné de sa finalité afin de permettre une consultation générale et exhaustive de la messagerie professionnelle ou des dossiers informatiques d’un salarié lorsque la demande poursuit en réalité un objectif probatoire, notamment en vue d’un éventuel contentieux prud’homal.
Ainsi, l’arrêt de la Cour d’appel de Paris marque un tournant et semble vouloir recentrer l’usage du droit d’accès sur sa finalité initiale. Le droit d’accès demeure ainsi un droit destiné à permettre à la personne concernée de contrôler le traitement de ses données personnelles, et non un mécanisme de constitution de preuves.
Bien que la position des juridictions ne soit pas encore totalement harmonisée sur ce point, il convient, pour le moment, de se référer aux recommandations de la CNIL concernant la communication des courriels professionnels applicables dans le cadre de l’exercice du droit d’accès[3].
Les administrations ne sont pas davantage épargnées par les nombreuses demandes de droit d’accès, dont le régime se heurte parfois à d’autres dispositifs tels que la communication de documents administratifs. Les refus opposés aux demandes ainsi que l’absence de réponse formulée conduisant à faire naitre une décision implicite de rejet ont entrainé une saisine croissante des juridictions administratives notamment en urgence. A cet égard, dans le cadre de l’introduction d’un référé mesures-utiles, les juges du fond ont considéré à plusieurs reprises qu’on ne peut faire droit à une demande qui ne vise pas à prévenir un péril grave au sens et pour l’application des dispositions de l’article L.521-3 du Code de justice administrative[4]. Dit autrement, sauf à démontrer ledit péril grave constitué par l’absence de réponse à la demande de droit d’accès, l’administration ne peut être enjointe en urgence d’y répondre.
Dans un autre contexte, en décembre dernier, le Conseil d’Etat, saisi d’un refus de demande d’accès par trois salariés de la société Total Energies SE a considéré que « la circonstance que des données personnelles relatives à un salarié fassent l’objet d’un traitement par son employeur dans le cadre d’une enquête interne ne fait pas obstacle, par principe, à l’exercice de son droit d’accès à ces données par le salarié »[5]. Bien que cette affaire ne concerne pas précisément les courriels professionnels des salariés et alors que, faisant l’objet d’une enquête interne, on peut supposer que leur démarche était probatoire, le Conseil d’Etat, contrairement aux juridictions judiciaires, a adopté une approche très rigoureuse tenant à la lecture stricte de la lettre de l’article 15 du RGPD.
***
L’augmentation des demandes d’accès n’a sans doute pas fini de faire évoluer la jurisprudence. Notons enfin que, le 6 juillet 2026, la CNIL a annoncé avoir prononcé 23 nouvelles sanctions depuis janvier 2026 au titre de la procédure simplifiée dont 8 intéressant le droit d’accès. L’absence de réponse à ces demandes couplée au défaut de coopération à la CNIL a ainsi conduit au prononcé de sanctions pécuniaires. La CNIL renforce donc ces contrôles sur ces sujets, réactivité et prudence sont de mise.
_____
[1] Commission nationale informatique et libertés
[2] Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
[3] Recommandation CNIL, le droit d’accès des salariés à leurs données et aux courriels professionnels, 5 janvier 2022
[4] TA Montreuil, 9 février 2026, n°2601644 ; TA Lille, 9 avril 2026, n° 2603630
[5] CE, 1er décembre 2025, n° 498023