Prévu par l’article 15 du Règlement Général sur la protection des données (RGPD), le droit d’accès permet à toute personne d’obtenir les données personnelles la concernant, détenues par le responsable d’un traitement de données.
Dans le cadre de la relation de travail, ce droit est de plus en plus fréquemment mobilisé par les salariés, notamment à l’occasion de contentieux avec leur employeur. L’employeur doit-il communiquer la boîte mail professionnelle ? Comment traiter une demande portant sur un grand volume de documents ? Dans quels délais faut-il répondre ?
Le droit d’accès en 8 questions
Cet article vous concerne :
Si vous êtes employeur, vous découvrirez les obligations qui vous incombent lorsqu’un salarié exerce son droit d’accès, ainsi que les bonnes pratiques pour traiter ces demandes, notamment lorsqu’elles portent sur des volumes importants de données.
Si vous êtes salarié(e), vous comprendrez l’étendue de votre droit d’accès aux données personnelles détenues par votre employeur et les modalités pour exercer ce droit.
Le contexte :
Le droit d’accès prévu par l’article 15 du RGPD permet de garantir la transparence des traitements de données et de vérifier que les informations détenues par les organismes sont exactes et utilisées conformément à la réglementation.
Notamment, dans un arrêt remarqué du 18 juin 2025 [1], la Cour de cassation a jugé que les courriels envoyés ou reçus par un salarié via sa messagerie professionnelle constituent des données à caractère personnel au sens du RGPD.
Cette décision ouvre la voie à de nouvelles demandes d’accès portant sur les mails professionnels et impose aux employeurs de répondre à ces sollicitations dans le respect de la réglementation.
Dans un tel contexte, l’exercice du droit d’accès du salarié fait l’objet d’un essor croissant.
Qu’est-ce que le droit d’accès prévu par l’article 15 du RGPD ?
Conformément à l’article 4.1 du RGPD, constitue une donnée à caractère personnel, toute information se rapportant à une personne physique identifiée ou identifiable.
Le droit d’accès à ces données personnelles est prévu par l’article 15 du RGPD. Il permet à toute personne de solliciter auprès d’un organisme, la communication des données qu’il détient la concernant.
Cette démarche permet notamment de contrôler l’exactitude des données traitées et, au besoin, de les faire rectifier ou de les effacer.
Qui peut exercer ce droit d’accès auprès de l’employeur ?
Dans le cadre professionnel, le droit d’accès peut être exercé par toute personne dont les données sont traitées par l’employeur.
Il peut donc être exercé notamment par :
-
- Un salarié ;
- Un ancien salarié ;
- Un candidat à un emploi.
Cette personne peut également donner mandat à une personne de son choix pour exercer son droit d’accès. Dans une telle hypothèse, le mandataire doit présenter un courrier précisant :
-
- L’objet du mandat ;
- L’identité du mandant ;
- L’identité du mandataire.
Quelles sont les données pouvant faire l’objet d’une demande d’accès RGPD ?
Le droit d’accès porte sur toutes les données personnelles concernant la personne qui formule la demande.
La jurisprudence européenne retient une définition large de la notion de « donnée personnelle » [2].
Ainsi, dans le cadre de la relation de travail, le droit d’accès peut inclure un panel assez large de données, telles que :
-
- Les données contenues dans le dossier RH ;
- Les évaluations professionnelles ;
- Certaines données issues des outils informatiques de l’entreprise ;
- Les données figurant dans des documents internes.
Focus sur les courriers professionnels :
En outre, dans une décision récente du 18 juin 2025, la Cour de cassation a jugé que les courriels envoyés ou reçus par un salarié via sa messagerie professionnelle constituent des données à caractère personnel.
Par conséquent, ces courriels peuvent faire l’objet d’une demande d’accès formulée au titre de l’article 15 du RGPD.
Dans quelle limite l’employeur est-il tenu de communiquer les données sollicitées ?
Le droit d’accès du salarié n’est pas illimité.
Protection du droit des tiers
La CNIL rappelle régulièrement que l’employeur doit permettre un accès aux seules données dont la communication ne porte pas une atteinte disproportionnée aux droits d’autrui [3].
Cette conception a été confirmée par la Cour de cassation dans sa décision du 18 juin 2025 :
« Le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement, sous réserve que le droit d’obtenir une copie ne porte pas atteinte aux droits et libertés d’autrui. »
Dès lors, la communication d’une copie de la boîte mail du salarié ne saurait notamment porter atteinte [4] :
-
- Au secret des affaires ;
- Au droit d’auteur ;
- A la vie privée des tiers ;
- A tout autre droit ou liberté fondamental.
Focus sur l’usage du droit d’accès à des fins probatoires :
Dans une décision récente, la Cour d’appel de Paris a jugé que l’usage du droit d’accès du salarié à ses mails professionnels ne peut avoir pour finalité de se constituer des preuves dans le cadre d’un contentieux devant les juridictions [5].
Dans cette affaire, la Cour a estimé que la messagerie professionnelle du salarié ne contenait pas de « données personnelles » au sens du RGPD, hormis l’adresse électronique et le nom du salarié concerné.
Les mails présents sur la boîte mail relevaient uniquement de la sphère professionnelle et non de la sphère privée, dès lors, il a été jugé que le salarié ne pouvait fonder sa demande sur l’article 15 du RGPD.
Toutefois, cette décision n’a pas encore fait l’objet d’une confirmation par la Cour de cassation, elle doit donc être relativisée.
Comment traiter une demande portant sur un très grand volume de données ?
D’une part, la demande d’accès formulée par un salarié ne saurait porter sur un volume trop important de données. Dans une décision du 31 décembre 2024 [6], le Conseil d’Etat a estimé :
« Que des restrictions à l’accès peuvent être prononcées lorsqu’en particulier, les demandes sont présentées de manière non précise compte tenu de la quantité de données personnelles traitées par un fichier ».
D’autre part, lorsqu’un employeur est destinataire d’une demande d’accès portant sur un volume important de données, la CNIL recommande [7] :
-
- De communiquer au demandeur un tableau récapitulatif comprenant la liste des messages conservés dont le demandeur est expéditeur, celle dont il est destinataire, et celle où son nom est mentionné ;
- Ou d’indiquer à l’intéressé que l’extraction des données représente une charge de travail importante et l’inviter à préciser sa demande.
Ainsi, le bon réflexe en tant qu’employeur lorsque vous êtes destinataire d’une demande d’accès portant sur un volume important de mail est d’immédiatement répondre à votre salarié en lui indiquant que sa demande est imprécise et l’inviter à la préciser.
Dans quel délai l’employeur doit-il répondre à une demande d’accès ?
-
Une première réponse dans un délai d’un mois maximum
L’article 12 § 3 du RGPD impose au responsable du traitement de fournir des informations sur les suites données à une demande d’accès dans les meilleurs délais et, en tout état de cause, dans un délai d’un mois maximum à compter de la réception de la demande.
-
Une prolongation de deux mois du délai possible dans certains cas
Ce délai d’un mois peut être prolongé de deux mois au maximum compte tenu de la complexité et du nombre de demandes, à condition que la personne concernée ait été informée des raisons de ce retard dans un délai d’un mois à compter de la réception de la demande [8].
Le CEPD [9] apporte des réponses concernant les facteurs qui pourraient être considérés comme pertinents, tels que :
-
- La quantité de données traitées par le responsable du traitement ;
- La manière dont les informations sont stockées, notamment lorsqu’il est difficile de les récupérer et de les rassembler ;
- La nécessité d’occulter des informations lorsqu’une dérogation s’applique, par exemple des informations concernant d’autres personnes concernées ou qui constituent des secrets d’affaires, et lorsque les informations nécessitent des travaux supplémentaires pour être intelligibles.
Attention toutefois : l’obligation d’informer la personne concernée de la prolongation ne doit pas être assimilée à celle consistant à fournir, sans délai et au plus tard dans un délai d’un mois, les informations concernant les suites qui seront données à sa demande. En revanche, ces deux informations peuvent faire l’objet d’un même courrier de réponse.
Comment l’employeur doit-il procéder lorsqu’un salarié formule une demande d’accès ?
Lorsqu’un employeur répond à la demande d’accès à des courriels professionnels formulée par l’un de ses salariés, la CNIL recommande d’abord de rappeler que le droit d’accès ne porte que sur les données à caractère personnel contenues dans les courriels [10].
L’employeur doit ensuite apprécier l’atteinte au droit des tiers que représenterait cette communication et ainsi effectuer un tri parmi les mails à communiquer.
Cette analyse doit être effectuée message par message.
La CNIL recommande également de distinguer selon que le demandeur est :
-
- L’expéditeur ou le destinataire des courriels ;
- Ou seulement mentionné dans le contenu des courriels.
→ Le demandeur est l’expéditeur ou le destinataire des courriels :
Dans cette hypothèse, le salarié est supposé avoir eu connaissance des informations contenues dans les messages visés par la demande.
Ainsi, la communication des données personnelles contenues dans les courriels, apparaît pouvoir être présumée respectueuse des droits des tiers.
Toutefois, l’anonymisation des données sensibles est recommandée pour éviter toute fuite.
Si l’employeur estime que la communication de courriels, même anonymisés, peut représenter un risque pour les droits des tiers il peut refuser de faire droit à la demande d’accès, en motivant et justifiant sa décision auprès de la personne concernée.
Exemple : l’employeur peut refuser de communiquer des données qui porteraient atteinte à la sécurité nationale, au secret des affaires ou au secret industriel.
→ Le demandeur est seulement mentionné dans les mails :
La CNIL recommande à l’employeur de procéder en deux temps :
-
- Il doit d’abord s’assurer que les moyens à mettre en œuvre pour identifier les courriels concernés n’entraînent pas une atteinte disproportionnée aux droits des autres salariés (par ex : le scan de l’ensemble des messageries électroniques des autres salariés). Si tel était le cas, l’employeur doit inviter le demandeur à préciser sa demande. Si ce dernier refuse, l’employeur peut invoquer le respect du droit des tiers.
- Il doit ensuite étudier le contenu des courriels demandés et apprécier le risque d’atteinte aux droits des tiers. L’employeur doit ici particulièrement veiller au respect du secret des correspondances.
Astuce : si vous utilisez une boîte mail Outlook, vous pouvez télécharger les différents mails au format « .pst » qui permet de regrouper tous les courriels, contacts et calendriers d’Outlook dans un seul fichier.
En résumé [11] :
Par ailleurs, il convient de préciser que le droit d’accès du salarié n’implique pas que l’employeur soit tenu de communiquer des données qu’il n’a plus conservées, notamment parce qu’elles ont été supprimées à l’issue d’une période de conservation raisonnable et justifiée [12].
En effet, le RGPD impose, au titre du principe de limitation de la conservation, que les données personnelles ne soient gardées que pendant le temps nécessaire à la finalité du traitement et qu’elles soient effacées ou anonymisées une fois cette finalité atteinte ou expirée, sauf obligations légales contraires [13].
Quels sont les risques pour l’employeur en cas de non-respect du droit d’accès ?
En cas de non-respect du droit d’accès garanti par l’article 15 du RGPD, l’employeur s’expose aux risques suivants :
→ Le salarié peut saisir la CNIL et obtenir notamment :
-
-
- Le prononcé de sanctions pécuniaires pouvant atteindre jusqu’à 4 % du chiffre d’affaires annuel de l’entreprise ;
- Un rappel à l’ordre ;
- Une injonction de mise en conformité du traitement, le cas échéant sous astreinte ;
- La limitation temporaire ou définitive du traitement ;
- Une injonction de satisfaire aux demandes d’exercice des droits des personnes, éventuellement sous astreinte ;
-
→ Le salarié peut également solliciter l’octroi de dommages et intérêts sur le fondement de l’article 82 du RGPD ;
→ Enfin, il peut demander qu’il soit enjoint au responsable du traitement de faire droit à sa demande d’accès sous astreinte financière.
En résumé :
Si vous êtes employeur, la bonne marche à suivre si vous recevez une demande d’accès de l’un de vos salariés est la suivante :
-
- Répondre impérativement dans un délai d’un mois pour indiquer les suites données et, au besoin, inviter le salarié à préciser sa demande ;
- Le cas échéant, indiquer qu’il existe un élément de complexité justifiant que le délai de réponse soit prolongé de 2 mois ;
- Anonymiser et caviarder les données sensibles de façon à ne pas porter atteinte aux droits et libertés d’autrui ;
- Communiquer les données personnelles sollicitées par l’intéressé.
Maître Marylaure MEOLANS, Avocate Associée et Maître Margaux COLLERY, Avocate collaboratrice
Besoin d’aide ?
Victoire Avocats vous accompagne
Nous accompagnons régulièrement des entreprises et des salariés sur ces sujets, aussi bien en conseil qu’en contentieux, devant les tribunaux.
Contactez-nous pour toute question. Le premier rendez-vous est sans engagement.
[1] Cass. soc., 18 juin 2025, n°23‑19.022
[2] V. par ex. CJUE, n° C-434/16, Nowak c/ Data Protection Commissioner, 20 déc. 2017
[3] CNIL, Recommandation du 5 janvier 2022
[4] CEPD, Lignes directrices 01/2022 sur les droits des personnes concernées – Droit d’accès, version 2.1, 28 mars 2023, point 168
[5] CA de Paris, 18 décembre 2025, n° 25/04270
[6] CE, 31 décembre 2024, n° 488201
[7] CNIL, Recommandation du 5 janvier 2022
[8] Art. 12 § 3 du RGPD
[9] CEPD, Lignes directrices 01/2022 sur les droits des personnes concernées – Droit d’accès, version 2.1, 28 mars 2023, Point n° 163
[10] CNIL, Recommandation du 5 janvier 2022
[11] Schéma mis à disposition par la CNIL dans sa recommandation du 5 janvier 2022
[12] CNIL, Guide pratique, les durées de conservation, juillet 2020
[13] Art. 5 § 1, e) du RGPD