Emails professionnels et RGPD : la Cour de cassation tranche — ce que les employeurs doivent changer
La Cour de cassation française vient de confirmer ce que beaucoup d'employeurs redoutaient : les courriels professionnels de leurs salariés constituent des données personnelles au sens du RGPD. Conséquence directe — tout salarié, y compris un ancien employé, peut exercer son droit d'accès sur ces emails et sur ceux de collègues qui l'identifient. Pour les DRH et les DPO, cette décision redessine les obligations de conformité.
Ce qui s'est passé
Dans un arrêt rendu le 15 avril 2026, la Cour de cassation a confirmé que les emails échangés dans un cadre professionnel — qu'ils soient envoyés ou reçus par un salarié — constituent des données personnelles dès lors qu'ils permettent d'identifier directement ou indirectement une personne physique. Cette qualification entraîne l'application pleine et entière du RGPD : base légale de traitement, durée de conservation justifiée, et surtout, droits des personnes concernées pleinement opposables.
Plus important encore : la décision étend ce droit aux anciens salariés, qui peuvent demander à accéder non seulement à leurs propres courriels, mais aussi à ceux de collègues dans lesquels ils sont mentionnés ou identifiables. Une décision aux implications pratiques considérables pour les services RH et juridiques.
Pourquoi c'est important
Cette jurisprudence vient consolider une tendance de fond observée depuis plusieurs années en Europe. L'article 15 du RGPD consacre le droit d'accès des personnes concernées, et les juridictions françaises — suivant la ligne de la CNIL et de l'EDPB — interprètent ce droit de façon de plus en plus extensive dans le contexte professionnel.
Pour les employeurs, le risque est double. D'un côté, une demande d'accès légitime portant sur des années d'emails peut représenter un travail colossal d'extraction, de tri et d'anonymisation des données de tiers. De l'autre, refuser ou négliger ces demandes expose l'entreprise à des plaintes auprès de la CNIL et potentiellement à des sanctions significatives — comme le rappelle le bilan des enjeux RGPD sur les données RH.
La question de la durée de conservation des emails devient également centrale : conserver des emails indéfiniment « au cas où » n'est plus tenable. Une politique de rétention documentée et proportionnée est désormais indispensable.
Ce que ça change pour les organisations
Face à cette décision, plusieurs actions concrètes s'imposent :
Revoir la politique de conservation des emails. Les messageries d'entreprise doivent être intégrées au registre des traitements avec une durée de conservation justifiée. Archiver indéfiniment n'est pas conforme. La CNIL recommande généralement une durée d'un an après le départ du salarié pour les messageries actives, et cinq ans maximum pour les archives légales.
Mettre en place un processus de traitement des droits d'accès. Une demande d'accès portant sur des emails peut concerner des milliers de messages. Les DPO doivent anticiper ce scénario : qui répond ? Dans quel délai ? Comment identifier et extraire les données pertinentes sans violer la vie privée de tiers ? Notre guide sur le sort des données personnelles du salarié détaille les obligations applicables à chaque étape du cycle de vie contractuel.
Former les équipes RH et juridiques. Cette décision n'est pas qu'une question technique : elle modifie les rapports de force dans les conflits prud'homaux. Un ex-salarié peut potentiellement accéder, via une demande RGPD, à des preuves documentaires que la voie judiciaire classique lui aurait dificilement permis d'obtenir.
Auditer les outils de messagerie. Les entreprises utilisant des outils de surveillance des emails (analyse automatisée du contenu, archivage légal, outils de productivité basés sur l'IA) doivent s'assurer que ces traitements disposent d'une base légale adéquate et que les salariés en sont correctement informés.
Ce que Leto pense de cette décision
Cette jurisprudence était attendue. La qualification des emails professionnels comme données personnelles ne fait aucun doute depuis l'entrée en vigueur du RGPD — mais sa pleine opposabilité aux employeurs dans le cadre du droit d'accès était moins évidente. La Cour de cassation clarifie un point crucial : le RGPD n'est pas seulement un outil de protection des consommateurs, c'est aussi un outil de rééquilibrage dans la relation de travail.
Pour les entreprises, l'enjeu n'est pas de subir cette décision mais de s'y préparer. Mettre en place dès maintenant des politiques de rétention claires, des procédures de réponse aux droits d'accès et une information transparente des salariés, c'est à la fois une obligation légale et une démonstration de maturité en matière de conformité.
