Concurrence : la CJUE encadre la saisie d'emails professionnels sans juge préalable
Le 16 juillet 2026, la Cour de justice de l'Union européenne (CJUE) a tranché une question qui préoccupe tout DPO ou juriste confronté à une inspection surprise : une autorité de concurrence peut-elle saisir les emails professionnels stockés sur les serveurs de l'entreprise sans passer par un juge au préalable ? Réponse de la Cour : oui en principe, mais à condition d'un encadrement strict et d'un contrôle judiciaire effectif après coup.
Ce que la CJUE a tranché
L'affaire trouve son origine dans des inspections menées par l'autorité portugaise de la concurrence, sur la base de mandats du parquet autorisant la recherche, la copie et la saisie de tout document lié aux pratiques suspectées — y compris les emails professionnels. Les entreprises visées ont contesté la mesure, invoquant une atteinte au droit au respect des communications protégé par l'article 7 de la Charte des droits fondamentaux de l'UE.
La CJUE confirme d'abord que les emails professionnels constituent bien des « communications » au sens de l'article 7, quand bien même ils sont exclusivement professionnels : la protection ne dépend ni du contenu, ni du support, ni du fait que l'employeur interdise tout usage personnel de la messagerie. Ces emails pouvant contenir des données personnelles, la protection de l'article 8 de la Charte s'applique également.
Mais ces droits ne sont pas absolus : ils peuvent être limités si la limitation est prévue par la loi, respecte l'essence du droit concerné, poursuit un objectif d'intérêt général, et respecte la proportionnalité (article 52 §1 de la Charte). Appliquant cette grille, la CJUE juge les pouvoirs d'enquête conformes : base légale claire, absence d'accès généralisé, finalité limitée à l'enquête, objectif légitime de lutte contre les pratiques anticoncurrentielles, et absence d'alternative moins intrusive. L'autorisation préalable d'un juge n'est donc pas requise — à condition que des garanties solides contre l'arbitraire, et un contrôle juridictionnel effectif a posteriori, existent.
La Cour introduit une distinction importante : les appareils personnels des salariés ou dirigeants relèvent d'un régime plus strict, car ils peuvent révéler des pans entiers de la vie privée bien au-delà du cadre professionnel. Pour ces appareils, l'autorisation préalable d'un juge ou d'une autorité indépendante reste nécessaire.
Pourquoi cette décision compte pour la protection des données
Cette affaire relève du droit de la concurrence, mais son raisonnement s'appuie entièrement sur les articles 7 et 8 de la Charte — le socle même du RGPD. Elle confirme une position déjà connue en France : les emails professionnels des salariés constituent des données personnelles, comme l'a rappelé la Cour de cassation dans sa décision sur les emails des salariés, et cela même si l'employeur a formellement banni tout usage personnel de la messagerie.
La logique de proportionnalité et de contrôle indépendant que déploie la CJUE rejoint celle que le Conseil d'État a récemment appliquée au dispositif de surveillance Hadopi, jugé disproportionné faute de contrôle indépendant suffisant. Dans les deux cas, le juge ne conteste pas la légitimité de l'objectif poursuivi, mais exige que l'accès aux données personnelles soit assorti de garanties procédurales solides.
Pour les DPO, cette convergence entre droit de la concurrence et droit de la protection des données signifie qu'une inspection — qu'elle émane de la CNIL, d'une autorité de concurrence ou d'un autre régulateur — doit être anticipée avec la même rigueur, quel que soit le texte invoqué par l'autorité qui frappe à la porte.
Ce que ça change pour les organisations
Trois chantiers concrets se dégagent pour les équipes juridiques et conformité. D'abord, cartographier où sont stockées les communications professionnelles et qui peut y accéder en cas d'inspection, quel que soit le motif invoqué. Le traitement des données des salariés reste par ailleurs encadré par l'article 88 du RGPD relatif aux relations de travail, qui impose des garanties spécifiques indépendamment du motif de l'accès.
Ensuite, préparer un protocole interne pour les visites et saisies : consigner la chaîne de conservation des preuves, s'assurer que le droit à un recours effectif après la saisie est préservé, et former les équipes à distinguer, pendant une perquisition, les équipements de l'entreprise de ceux appartenant personnellement aux salariés ou dirigeants — ces derniers bénéficiant d'une protection renforcée.
Enfin, revoir les politiques internes d'utilisation de la messagerie à la lumière de cette confirmation : une charte informatique interdisant l'usage personnel ne prive pas les emails de leur statut de communication protégée, ni les données qu'ils contiennent de leur statut de données personnelles.
Ce que Leto pense de cette décision
Cet arrêt ne crée pas de nouvelle obligation RGPD à proprement parler, mais il illustre un mouvement de fond : les principes de protection des données irriguent désormais des pans entiers du droit économique qui, historiquement, s'en tenaient à distance. Pour les DPO, le message n'est pas « moins de protection parce qu'aucun juge n'est requis en amont », mais plutôt « la même protection, déplacée dans le temps » : la garantie se déplace de l'autorisation judiciaire préalable vers un contrôle a posteriori robuste. Une organisation qui ne peut pas démontrer, au moment où elle en a besoin, qu'elle dispose d'un recours effectif contre une saisie abusive aura peu de marge de manœuvre pour contester après coup. C'est un point à intégrer dès maintenant dans le plan de gestion d'une inspection — pas le jour où les enquêteurs sont dans vos locaux.
Sources : Inside Privacy, CJEU Clarifies the Conditions for Seizure of Business Emails During Competition Inspections, Décision de la CJUE, affaire C-258/23

