Droit des données
le 13/03/2026
Emma DELESTRADEEmma DELESTRADE

Un arrêt de l’instrumentalisation du droit d’accès à des fins probatoires ? La Cour d’appel de Paris se prononce

Le droit d’accès, consacré à l’article 15 du Règlement (UE) 2016/679 général sur la protection des données (dit « RGPD ») et pensé à l’origine comme un instrument de transparence permettant aux personnes concernées de contrôler l’usage de leurs données personnelles, est aujourd’hui de plus en plus mobilisé à des fins probatoires dans le cadre de contentieux prud’homaux.

Il permet notamment aux salariés de se substituer aux mécanismes d’obtention d’éléments de preuve traditionnels, notamment à la mesure d’instruction in futurum prévue à l’article 145 du Code de procédure civile.

Pour mémoire, le droit d’accès, qui constitue l’un des droits fondamentaux d’une personne concernée au sens du RGPD, permet à toute personne d’obtenir du responsable de traitement :

  • Une copie de l’ensemble des données à caractère personnel la concernant ;
  • Des informations sur les finalités du traitement, les catégories de données traitées, les destinataires ou catégories de destinataires auxquels les données ont été communiquées, la durée de conservation des données ainsi que l’existence de ses droits (rectification, effacement, limitation, opposition, portabilité).

Le contournement stratégique de ce droit complexifie sensiblement la position du responsable de traitement en cas de conflit avec un salarié, contraint de répondre à des demandes d’accès parfois volumineuses, tout en veillant à la protection des droits des tiers et au respect de ses obligations légales, sous peine d’engager sa responsabilité et de s’exposer à des sanctions.

Il peut être notamment cité un arrêt de la Cour de cassation qui a validé la condamnation par la Cour d’appel d’un employeur au paiement de 500 euros de dommages-intérêts pour avoir refusé, sans justification valable, de répondre à une demande d’accès aux données personnelles formulée par un salarié (Cour de cassation, 18 juin 2025, n° 23-19.022).

Pour autant, il ressort des lignes directrices du Comité européen de la protection des données (dit « CEPD ») que le simple fait qu’une demande d’accès soit formulée dans un contexte contentieux ou dans le but de constituer des preuves ne suffit pas à la qualifier d’abusive :

« le responsable du traitement ne devrait pas refuser l’accès au motif ou au soupçon que les données demandées pourraient être utilisées par la personne concernée pour se défendre en justice en cas de licenciement ou de litige commercial avec le responsable du traitement » (CEPD, lignes directrices 01/2022 sur le droit d’accès – version 2.1 du 28 mai 2023, point 3.1.2, § 13).

Toutefois, cette position du CEPD paraît désormais se confronter à une évolution récente de la jurisprudence, qui tend à adopter une approche plus nuancée.

La Cour d’appel de Paris, dans un arrêt du 18 décembre 2025 (n° 25/04270), a en effet jugé que le droit d’accès ne peut pas être utilisé pour procéder à une consultation générale et exhaustive de la messagerie professionnelle ou des dossiers informatiques d’un salarié lorsque la demande a pour seul objectif de constituer des preuves.

Dans cette affaire, la messagerie professionnelle du salarié, dont il est par définition destinataire ou expéditeur, ne contenait pas en soi de « données personnelles » au sens du RGPD, hormis l’adresse électronique et le nom du salarié concerné. Il en aurait été différemment si des éléments relevant de sa sphère privée avaient été présents, ce qui n’était pas le cas. De même, les autres documents sollicités, stockés dans des dossiers intitulés « privé et personnel » ou « espace privé et personnel », ne constituaient pas non plus des données personnelles. Le salarié ne pouvait donc pas fonder sa demande sur le RGPD.

Cette décision de la Cour d’appel entre en contradiction avec la position de la Cour de cassation qui avait précisé que les courriels professionnels constituaient des données personnelles au sens du RGPD, ouvrant droit aux prérogatives qui y sont attachées, notamment le droit d’accès :

« Il en résulte, d’une part, que les courriels émis ou reçus par le salarié grâce à sa messagerie électronique professionnelle sont des données à caractère personnel au sens de l’article 4 du RGPD et, d’autre part, que le salarié a le droit d’accéder à ces courriels, l’employeur devant lui fournir tant les métadonnées (horodatage, destinataires…) que leur contenu, sauf si les éléments dont la communication est demandée sont de nature à porter atteinte aux droits et libertés d’autrui. » (Cour de cassation, 18 juin 2025, n° 23-19.022)

L’arrêt de la Cour d’appel de Paris marque un tournant et semble vouloir recentrer l’usage du droit d’accès sur sa finalité initiale.

Il reste désormais à savoir si cette position sera généralisée et confirmée par la Cour de cassation. Une telle confirmation permettrait de clarifier durablement l’articulation entre le droit d’accès et le droit à la preuve, tout en rétablissant un équilibre du droit de la preuve entre les employeurs et leurs salariés.