Résultat : le responsable de traitement peut tenir tête aux demandes démesurées, à condition de motiver et documenter sa position. Un signal fort pour toutes les entreprises sommées de concilier transparence, loyauté procédurale et protection de leurs actifs immatériels.
La tentation de l’exhaustivité
Il y a, dans cette affaire jugée par la Cour d’appel de Paris le 18 décembre 2025, quelque chose qui dépasse le simple contentieux entre un inspecteur comptable licencié et son ancien employeur. Quelque chose qui interroge notre rapport contemporain à la donnée, à la transparence, à cette illusion que tout doit pouvoir être capturé, archivé, récupéré.
Un salarié demande l’intégralité de sa messagerie professionnelle. Tous les courriels reçus et envoyés. Tous les dossiers intitulés « privé et personnel » ou « espace privé et personnel ». L’exhaustivité comme stratégie. Le tout comme droit.
La cour d’appel lui oppose un refus net. Pas de communication. Condamnation aux dépens et à 3 000 euros au titre de l’article 700 du Code de procédure civile.
Derrière ce rejet se dessine une cartographie nouvelle des limites du droit d’accès. Une géographie juridique qui redéfinit les frontières entre ce qui relève de la protection des données personnelles et ce qui excède sa finalité. Entre le contrôle légitime du traitement et la quête probatoire déguisée.
Ce que la donnée personnelle n’est pas
La confusion sémantique
Le RGPD définit la donnée personnelle avec précision : toute information se rapportant à une personne physique identifiée ou identifiable. Mais cette définition, dans sa généralité même, peut nourrir une illusion : celle que tout ce qui transite par la messagerie d’un salarié, tout ce qui porte son nom en émetteur ou destinataire, constituerait, par nature, une donnée personnelle ouvrant droit à copie.
La cour balaie cette interprétation extensive avec une clarté salutaire.
Dans un courriel professionnel, explique-t-elle, les véritables données personnelles se limitent essentiellement au nom du salarié et à son adresse électronique professionnelle. Le contenu des échanges portant sur les dossiers clients, les stratégies commerciales, l’organisation interne de l’entreprise, les relations avec les tiers – tout cela ne relève pas, « en bloc », de la donnée personnelle au sens du RGPD.
L’élégance de la distinction
Cette distinction n’est pas qu’une subtilité technique. Elle dessine une frontière philosophique : être mentionné dans un document ne transforme pas ce document en extension de soi. Participer à un échange ne fait pas de cet échange une parcelle de son identité numérique.
Le droit d’accès de l’article 15 du RGPD n’a jamais été conçu pour permettre à un salarié de récupérer l’intégralité de sa vie professionnelle sous forme d’archive exhaustive. Sa finalité est autre : permettre à la personne concernée de contrôler la conformité du traitement, de vérifier l’exactitude des données qui la concernent directement, d’obtenir, le cas échéant, leur rectification ou leur effacement.
« Cette décision de la Cour d’appel de Paris marque un tournant. Elle met fin à une dérive : celle qui transformait le droit d’accès RGPD en outil de collecte massive de preuves pour des contentieux. Le message est clair : un email professionnel n’est pas, dans son intégralité, une donnée personnelle. » Me Gérard HAAS, Associé Fondateur, HAAS Avocats
La finalité retrouvée
Le droit d’accès n’est pas un aspirateur probatoire
La cour rappelle une évidence trop souvent oubliée : le droit d’accès prévu par le RGPD vise le contrôle du traitement, non la constitution d’un dossier contentieux.
Certes, le salarié est engagé dans un litige avec son employeur – licenciement, heures supplémentaires. Certes, il a besoin d’éléments de preuve. Mais le RGPD ne saurait être détourné en outil général de collecte de pièces lorsque cette collecte outrepasse manifestement ce qui est nécessaire à la vérification du traitement de ses données personnelles.
Il existe d’autres voies procédurales pour établir la preuve. L’article 145 du Code de procédure civile en est une. Mais là encore, le juge doit veiller à l’équilibre : existence d’un motif légitime, nécessité des mesures, proportionnalité de l’atteinte portée aux droits des tiers.
Le test de proportionnalité
La cour procède ici à un examen minutieux. Elle constate que la lettre de licenciement est extrêmement détaillée, renvoyant à des dossiers identifiés et à des erreurs précisément décrites. Le salarié dispose déjà de son dossier personnel complet : entretiens annuels, contrat de travail, bulletins de salaire, courriers.
Plus révélateur encore : le salarié n’a formulé aucune doléance sur sa charge de travail lors de ses entretiens annuels. Il ne fournit aucun élément concret venant étayer un motif légitime de communication forcée de l’ensemble des fichiers et messages électroniques.
La demande massive de données – toute la messagerie, tous les dossiers dits « personnels » – n’apparaît dès lors ni nécessaire ni proportionnée.
Les droits des tiers comme garde-fou
L’entreprise comme écosystème
Ce qui frappe dans cette décision, c’est l’attention portée par la cour aux droits des autres. Les autres salariés. Les clients. Les partenaires. L’entreprise elle-même.
Car ces dossiers « privé et personnel », malgré leur intitulé trompeur, contiennent en réalité des données sensibles sur la structure, les associés, d’autres salariés, les clients, la trésorerie, les arrêtés comptables.
Leur communication intégrale serait disproportionnée. Elle porterait gravement atteinte aux droits et à la vie privée de tiers, au secret des affaires, à la confidentialité des données des études notariales et de leurs clients.
L’article 15, paragraphe 4 : le verrou protecteur
L’article 15, paragraphe 4 du RGPD prévoit précisément cette limite : le droit d’obtenir une copie des données ne peut porter atteinte aux droits et libertés d’autrui.
Cette disposition, souvent négligée, trouve ici toute sa portée. Elle légitime le refus d’une communication large. Elle impose au responsable de traitement de proposer des modalités alternatives : occultation des éléments concernant des tiers, sélection ciblée des seules données pertinentes, consultation sur place plutôt que remise de copie intégrale.
La coopération comme stratégie
Le dispositif de l’employeur
L’un des aspects les plus instructifs de cette affaire réside dans l’attitude adoptée par l’employeur. Face à la demande du salarié, il ne s’est pas retranché derrière un refus sec. Il a proposé une voie médiane, intelligente, documentée.
Convocation du salarié. Tri conjoint des fichiers professionnels et personnels. Intervention d’un commissaire de justice pour sécuriser l’opération. Traçabilité par constat.
Un rendez-vous est fixé. Un numéro de téléphone fourni pour le cas où un décalage serait nécessaire.
L’inertie révélatrice
Le salarié indique ne pas pouvoir se libérer. Il demande un report après l’audience prud’homale. Mais il n’utilise jamais le numéro de téléphone mis à sa disposition pour convenir d’un autre créneau. Le constat est finalement réalisé en son absence.
La cour en tire une conclusion implacable : le salarié n’a pas fait usage des voies raisonnables qui lui étaient offertes pour récupérer ses éventuels fichiers vraiment personnels.
Cette séquence est décisive. Elle permet à l’employeur de démontrer qu’il n’a pas refusé le droit d’accès, mais qu’il a cherché à le concilier avec la protection des tiers et du secret des affaires. Elle met en lumière le caractère excessif, voire procédurier, de la demande initiale.
« Les employeurs peuvent opposer des limites claires aux demandes excessives, à condition de documenter une attitude coopérative. La clé est dans la proportionnalité et la protection des droits des tiers. » Me Gérard HAAS
Stratégies pour le responsable de traitement
Qualifier précisément la demande
Cette décision ouvre un arsenal stratégique pour les responsables de traitement confrontés à des demandes très larges ou manifestement excessives.
Première étape : qualifier précisément la demande. Si un salarié demande « toute ma messagerie » ou « tout ce qui est dans mon espace privé et personnel », il convient de répondre que ces supports contiennent certes des données personnelles, mais aussi des informations sur des tiers et des éléments relevant du secret des affaires. Le droit d’accès ne porte pas sur l’intégralité de ces supports, mais sur les seules données personnelles le concernant.
Limiter le périmètre de la copie
Deuxième temps : proposer une communication ciblée. Les données strictement personnelles : identité, coordonnées, éléments relatifs aux ressources humaines. Éventuellement, si nécessaire, des extraits de documents où le salarié est directement en cause, après occultation des éléments concernant des tiers.
Refuser les remises brutes
Troisième principe : refuser la remise brute de masses de données professionnelles. S’appuyer sur la motivation de la cour : la simple qualité d’émetteur ou de destinataire de courriels ne suffit pas à transformer l’ensemble des contenus en données personnelles. La finalité du RGPD n’est pas d’ouvrir un droit général à la copie de tous les échanges professionnels.
Organiser un dispositif de tri conjoint
Quatrième volet : mettre en place un processus coopératif et documenté.
Cela implique :
- De prévoir, dans la politique interne, une procédure de traitement des demandes d’accès : analyse du périmètre, recherche de solutions de tri en présence du salarié, intervention éventuelle d’un tiers (DPO, huissier, expert) pour sécuriser la démarche).
- De toujours conserver la preuve : des propositions faites au salarié, des refus, reports ou absences de ce dernier.
Cette documentation sera décisive pour démontrer, en cas de contentieux, que l’employeur n’a pas refusé le droit d’accès, mais qu’il a cherché à le concilier avec la protection des tiers et du secret des affaires).
Articuler droit d’accès et droit à la preuve
Cinquième axe : reprendre la logique de la cour dans l’argumentation.
Côté RGPD : le droit d’accès vise le contrôle du traitement. Il ne permet pas d’obtenir des ensembles de documents pour des finalités probatoires générales. Son étendue est limitée par les droits et libertés d’autrui.
Côté article 145 CPC : il appartient au juge de vérifier l’existence d’un motif légitime et de mesurer la nécessité et la proportionnalité de la mesure au regard de la vie privée, du secret professionnel et du secret des affaires. Une demande générale visant « tous les mails » ou « tous les fichiers » sans lien suffisamment précis avec les griefs allégués peut être rejetée.
En combinant ces deux approches, le responsable de traitement peut refuser les demandes manifestement excessives tout en proposant une coopération mesurée : communication ciblée, tri, occultations, consultation encadrée.
Conclusion : L’équilibre retrouvé
Cette décision de la Cour d’appel de Paris du 18 décembre 2025 marque un moment de clarification bienvenu.
Elle redéfinit strictement le périmètre du droit d’accès : un salarié n’a pas droit, via l’article 15 du RGPD, à la copie intégrale de sa messagerie professionnelle ni à tous les dossiers de travail qu’il a intitulés « privé/personnel » alors qu’ils portent en réalité sur des données de l’entreprise.
Elle affirme avec force la prise en compte des droits des tiers et du secret des affaires, considérations qui peuvent justifier un refus partiel ou total de communication lorsque la demande est trop générale ou expose des données sensibles sur des tiers.
Elle valorise la nécessité, la proportionnalité et le comportement du salarié : l’existence d’un détail suffisant dans la lettre de licenciement, la mise à disposition du dossier personnel et la proposition de tri conjoint par l’employeur permettent de contester le caractère « nécessaire » d’une communication massive et de renvoyer la charge de la démesure sur le salarié.
En pratique
Un responsable de traitement pourra donc :
- Contester les demandes « fourre-tout » en les qualifiant d’excessives au regard du RGPD.
- Documenter une attitude coopérative mais encadrée : tri, constat, rendez-vous, occultation.
- S’appuyer sur le contrôle de proportionnalité – vie privée des tiers, secret des affaires – pour refuser les extractions massives et non ciblées.
« Je recommande aux entreprises de mettre en place une procédure de tri conjoint, en présence d’un commissaire de justice si nécessaire. C’est la stratégie gagnante, comme le démontre cette affaire. » Me Gérard HAAS.
***
Et maintenant ?
Cette jurisprudence dessine un cadre opérationnel précieux. Mais elle soulève aussi une question plus large : à l’ère de la traçabilité généralisée, où commence et où s’arrête l’identité numérique d’un salarié ? Jusqu’où doit s’étendre le droit de regard sur les traitements dont nous faisons l’objet ?
La cour d’appel répond par l’équilibre. Par le refus de l’exhaustivité comme principe. Par la reconnaissance que la donnée personnelle n’est pas tout ce qui nous traverse, mais ce qui nous définit directement.
Un principe simple, finalement : nous ne sommes pas la somme de nos courriels professionnels.
Si vous le souhaitez, notre cabinet peut vous accompagner dans l’élaboration d’une procédure de traitement des demandes d’accès conforme à cette jurisprudence, intégrant ces arguments de fond et cette approche stratégique documentée.
***
Sources :
- CA Paris, pôle 6 ch. 2, 18 déc. 2025, n° 25/04270. Lire en ligne : https://www.doctrine.fr/d/CA/Paris/2025/CAP1B946488FE5735851A68
- Article 15 du RGPD – Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
- Lire en ligne : https://www.doctrine.fr/l/texts/eu/reglements/EULEGD7BC4209FDE79290932A/articles/EULEGARTIF60429A3BBFE9F013718?versionId=EULEGARTIF60429A3BBFE9F013718&sourcePage=Decision&source=quoting-same-lawsVI
- Haas Avocats : Données personnelles et droit à la preuve : quelle limite en litige social ? https://www.haas-avocats.com/protection-des-donnees/donnees-personnelles/donnees-personnelles-et-droit-a-la-preuve-quelle-limite-en-litige-social/