[Chronique] Chronique de droit du travail et RGPD (janvier 2025 - mars 2026)

Mots clés : RGPD • données personnelles • droit d’accès • RGPD, art. 15 • contentieux prud’homal • mesures d’instruction in futurum • CPC, art. 145 • détournement de finalité

Ce nouveau numéro de notre chronique de droit du travail et de droit des données à caractère personnel nous offre l’occasion de faire le point sur la position de la jurisprudence relative aux demandes d’exercice du droit d’accès formulées, sur le fondement de l’article 15 du RGPD, par un salarié en matière prud’homale. Cette interrogation soulève un enjeu contentieux majeur : le droit d’accès peut-il être transformé en véritable instrument probatoire, au risque de contourner les règles classiques de l’administration de la preuve ? Alors que la Cour de cassation à l’instar de la CNIL et du CEPD retient une conception large du droit d’accès et des données personnelles, les juridictions du fond, en particulier la cour d’appel de Paris, défendent une lecture plus restrictive. Si la jurisprudence n’est pas encore stabilisée, elle interroge la finalité du droit d’accès, notamment quant à la possibilité pour les personnes concernées de l’exercer à d’autres fins que le seul contrôle du traitement de leurs données personnelles et de sa licéité, en particulier à des fins probatoires, sans pour autant que cet usage ne soit qualifié d’abusif.

Du droit à l’information au droit à la preuve : les mutations du droit d’accès en matière prud’homale

Lorsque le législateur européen a entrepris de refondre la protection des données à caractère personnel au sein de l’Union européenne, il poursuivait un double objectif : assurer un haut niveau de protection des droits fondamentaux des individus face au développement du numérique et renforcer la confiance de ces mêmes individus dans l’économie numérique afin d’en soutenir l’essor. Dans ce cadre, la transparence des traitements a été érigée en l’un des piliers fondamentaux du régime de protection instauré par le Règlement sur la protection des données (RGPD) N° Lexbase : L0189K8I [1].

Ce principe implique bien évidemment que la personne concernée soit informée des traitements qui sont réalisés sur ses données personnelles. La transparence resterait cependant théorique, si l’information n’était pas assortie d’un droit de contrôle au bénéfice de la personne concernée, lui permettant de vérifier la véracité de l’information délivrée et la licéité des traitements réalisés. C’est en ce sens que l’article 15 du RGPD consacre le droit pour la personne concernée « d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel », ainsi que toutes les informations relatives aux conditions de leur traitement.

Le droit d’accès de l’article 15 constitue ainsi un outil essentiel, qui conditionne l’effectivité du dispositif de protection instauré par le RGPD. Il en est l’élément pivot, autour duquel s’articulent les obligations de transparence, de minimisation et de responsabilité du responsable du traitement.

Et ce droit est de plus en plus souvent exercé par les personnes concernées, dans tous les secteurs économiques. Les entreprises reçoivent un nombre croissant de demandes d’accès à leurs données personnelles émanant de clients, d’utilisateurs de plateformes en ligne et, de plus en plus, de leurs propres salariés.

En effet, avec la digitalisation de notre société, les nouvelles technologies se sont subrepticement introduites dans le quotidien des salariés, donnant à l’employeur des outils de plus en plus nombreux pour surveiller l’activité de ses équipes, en contrôler la qualité et l’effectivité, augmentant de fait, le risque de violation de la vie privée des salariés par une surveillance disproportionnée et illégitime au regard des objectifs poursuivis [2].

Or depuis quelques années, le droit d’accès n’est plus seulement un outil de contrôle pour les salariés. Il est en effet de plus en plus mobilisé comme un levier probatoire dans les contentieux prud’homaux. Il est désormais courant qu’un salarié, en conflit avec son employeur, formule une demande d’accès à l’ensemble des données et documents le concernant détenus par ce dernier, dont l’intégralité de sa messagerie professionnelle, l’accès à son agenda et la totalité de son dossier personnel établi par les ressources humaines au fil des années. Le caractère étendu de la demande et sa temporalité peuvent quelquefois faire douter de l’intention du salarié et faire suspecter que le salarié n’entend pas particulièrement, ou en tout cas principalement, contrôler la conformité des traitements réalisés par son employeur, mais cherche à se constituer la preuve de manquements de ce dernier à la législation du travail.

Dès lors, le développement de cet usage, s’il est abusif, interroge la portée réelle de ce droit et oblige à repenser ses implications pratiques. À l’origine, le législateur européen a inscrit le droit d’accès à l’article 15 pour permettre aux personnes concernées de vérifier la conformité des traitements au regard des dispositions du RGPD. Aussi peut-on légitimement se demander si l’utilisation du droit d’accès pour se constituer une preuve dans un litige purement prud’homal ne constituerait pas un détournement du droit d’accès pour contourner des règles probatoires plus strictes.

C’est à cette épineuse question que plusieurs juridictions ont tenté de répondre en 2025, donnant naissance à une première tendance jurisprudentielle pour le moins discordante. À la lumière de ces décisions récentes, il convient de s’interroger sur la finalité du droit d’accès prévu par l’article 15 et son utilisation comme outil probatoire (II.). Mais pour bien comprendre le débat porté devant les juridictions, il est nécessaire de revenir, à titre préalable, sur l’origine de cette pratique et s’interroger sur ses enjeux et les raisons de son développement particulier dans le contentieux prud’homal (I.).

I. Quand le droit d’accès devient un levier stratégique

A. Un cadre probatoire exigeant

Toute partie qui souhaite porter une réclamation devant une juridiction doit présenter les faits précis sur lesquels elle fonde ses prétentions [3]. L’article 9 du Code de procédure civile N° Lexbase : L1123H4D, en application du principe de l’égalité des armes [4], prévoit en outre qu’« il appartient à chaque partie de prouver conformément à la loi les faits nécessaires au succès de sa prétention ». Saisir le juge prud’homal implique donc de se confronter à la délicate question de l’administration de la preuve.

Dans la pratique, il apparaît que, pour le salarié, la constitution de la preuve peut devenir un véritable casse-tête. En effet, la démonstration de son préjudice peut reposer sur des documents ou des échanges, tels que des emails, des comptes rendus d’entretien, des entrées d’agenda, qui sont enfermés dans les systèmes de l’employeur et lui sont, dans bien des cas, inaccessibles, notamment lorsqu’il a quitté l’entreprise.

Pour pallier cette difficulté, le salarié n’a d’autre solution que de saisir le juge des référés afin qu’il ordonne, sur le fondement de l’article 145 du Code de procédure civile N° Lexbase : L3150NAW, des mesures d’instruction in futurum, pour obtenir communication des éléments détenus par l’employeur nécessaires à la manifestation de la vérité.

Or non seulement une procédure 145 peut être longue et coûteuse, mais en outre, elle ne constitue pas pour le salarié une garantie d’obtenir les documents dont il estime, à tort ou à raison, avoir besoin. En effet, le juge dispose d’un pouvoir souverain d’appréciation du bien-fondé de la demande, portant d’une part, sur la vérification de l’existence d’un motif légitime, et d’autre part, sur la nécessité de la mesure pour l’exercice du droit à la preuve du salarié et de sa proportionnalité au regard du but poursuivi, notamment en vérifiant l’absence d’atteinte aux droits de tiers.

Ainsi, face à un salarié licencié pour faute grave ayant introduit une action relative uniquement à la durée de son temps de travail, qui demandait la communication de l’intégralité de sa messagerie professionnelle, les comptes rendus de ses compétences et charges de travail, les documents relatifs à sa gestion en qualité de manager, ses relevés de connexions, d’utilisation des outils informatiques et téléphoniques, ainsi que les historiques d’appels et les relevés d’accès aux sites professionnels, la cour d’appel de Paris, faisant application de l’article 145, a pu estimer que les documents relatifs à sa gestion en qualité de manager ou les historiques d’appel n’étaient pas pertinents au regard de l’action introduite au fond et en conséquence, rejeter la demande de communication pour ces éléments [5].

La cour d’appel rappelle ici de manière classique que le droit à la preuve n’est pas absolu et doit se concilier avec le respect des droits des tiers. Dans cette perspective, si l’article 145 garantit le droit au procès équitable en facilitant l’accès à la preuve, le contrôle de proportionnalité en constitue le nécessaire garde-fou, en évitant que la recherche de la vérité ne se fasse au détriment des droits fondamentaux.

C’est précisément dans cette tension que s’inscrit l’enjeu du recours au droit d’accès consacré par l’article 15 du RGPD.

B. Le droit d’accès comme raccourci probatoire

En effet, le droit d’accès permet au salarié d’accéder à ses données personnelles traitées par l’employeur et à en obtenir une copie. Il pourrait donc apparaître comme un moyen beaucoup plus rapide et efficace pour le salarié d’obtenir la communication automatique de tout document contenant des données personnelles le concernant, sans passer par le contrôle de légitimité et de proportionnalité de l’article 145.

Il est plus rapide car l’article 15 impose à l’employeur d’y répondre dans un délai de trente jours, sans qu’aucune démarche judiciaire préalable ne soit nécessaire, sur simple demande du salarié [6].

Il est plus efficace car la demande de droit d’accès n’a pas à être motivée. Le RGPD consacre un droit quasi absolu pour la personne concernée d’accéder à ses données. Comme l’a rappelé la Cour de justice de l’Union européenne (CJUE), « force est de constater que ni le libellé de l’article 12, paragraphe 5, du RGPD, ni celui de l’article 15, paragraphes 1 et 3, de ce règlement ne conditionnent la fourniture, à titre gratuit, d’une première copie des données à caractère personnel à l’invocation, par ces personnes, d’un motif visant à justifier leurs demandes. Ces dispositions ne donnent donc pas au responsable du traitement la possibilité d’exiger de motifs de la demande d’accès présentée par la personne concernée » [7].

Le recours au droit d’accès permet ainsi de soustraire l’administration de la preuve au contrôle habituel du juge, lequel assure normalement le respect des principes directeurs du procès. En pratique, cela signifie que l’employeur peut être tenu de produire certains documents sans que le juge ait l’opportunité de vérifier si leur production est justifiée, pertinente ou proportionnée au litige, ce qui change radicalement la dynamique classique de l’instruction et le rôle de l’autorité judiciaire dans la régulation de l’équilibre probatoire.

Or la Cour de cassation, dans un arrêt du 18 juin 2025 relatif à la contestation d’un licenciement [8], a reconnu que la demande de communication de l’intégralité de sa messagerie électronique professionnelle formée par le salarié sur le fondement de l’article 15 du RGPD, relevait de l’exercice légitime de son droit d’accès. L’abstention de l’employeur d’y répondre sans motif légitime constituait une faute.

Dans cet arrêt, la Cour de cassation ne questionne pas le fait que la demande ait manifestement pour finalité de se constituer une preuve et non de contrôler la conformité des traitements de l’employeur. Elle se limite à examiner la question du contenu communicable. Indirectement, elle se déclare incompétente pour juger de l’usage, pour ne pas dire du bon usage, fait des documents obtenus sur le fondement de l’article 15, reconnaissant de facto que le droit d’accès peut être utilisé à des fins probatoires.

De surcroît, c’est là tout l’intérêt de cet arrêt, la Cour de cassation adopte une vision très large des données personnelles communicables au titre du droit d’accès, ouvrant au salarié l’accès à des documents ne contenant en eux-mêmes aucune donnée personnelle, comme les pièces jointes d’un courriel professionnel ou le contenu dudit courriel. Elle juge en effet que « les courriels émis ou reçus par le salarié grâce à sa messagerie électronique professionnelle sont des données à caractère personnel au sens de l’article 4 du RGPD et, d’autre part, que le salarié a le droit d’accéder à ses courriels, l’employeur devant lui fournir tant les métadonnées (horodatage, destinataires) que leur contenu, sauf si les éléments dont la communication est demandée sont de nature à porter atteinte aux droits et libertés d’autrui ».

Plusieurs cours d’appel ont adopté une position similaire. Ainsi, la cour d’appel de Paris, dans un arrêt du 2 octobre 2025, a retenu qu’un salarié avait le droit d’obtenir, sur le fondement combiné de l’article 15 et de l’article 4 du RGPD, la communication des courriels émis ou reçus par le salarié grâce à sa messagerie professionnelle [9]. De même, la cour d’appel de Rennes a jugé que « lorsqu’une personne concernée souhaite exercer son droit d’accès à des courriels, l’employeur doit fournir tant les métadonnées (horodatage, destinataires) que les données personnelles contenues dans les courriels » [10].

En pratique, sur la base de cette jurisprudence, le salarié peut donc obtenir des documents essentiels pour défendre sa cause, même lorsqu’ils ne sont pas directement personnels, dépassant ainsi les limites et la complexité habituelles des règles d’administration de la preuve.

Une telle approche laisse entrevoir les dérives potentielles qu’un tel usage est susceptible d’engendrer. L’enjeu n’est pas tant le détournement du droit d’accès que le contournement des règles probatoires garantes d’un procès équitable.

C. La résistance des juridictions du fond

Certains commentateurs de l’arrêt précité de la Cour de cassation ont estimé que cette position consacrait un véritable « droit au pillage » au bénéfice du salarié. Sensibles à ce risque de dérive, certaines juridictions du fond ont dès lors rapidement cherché à poser des limites et des garde-fous.

Ainsi la cour d’appel de Paris, dans sa décision précitée du 13 novembre 2025, saisie d’une demande de communication très large de documents sur le double fondement de l’article 15 RGPD et de l’article 145 du Code de procédure civile, a cru bon de rappeler que, « la finalité du RGPD n’est pas d’obtenir la copie de la correspondance électronique professionnelle émise ou reçue par le salarié dans le cadre de son activité, ou d’autres documents ou éléments se rapportant à son activité professionnelle tels que les comptes rendus d’évaluation, les entretiens annuels, les relevés de connexion ainsi que les documents relatifs aux formations, dont le salarié a, par définition, eu connaissance en totalité ». Elle ajoute, « en effet, le droit d’accès prévu par l’article 15 du RGPD a pour finalité de permettre à la personne qui l’exerce de contrôler la conformité du traitement de ses données à caractère personnel avec les prescriptions du règlement, de contrôler l’exactitude des données et, au besoin, de les faire rectifier ou effacer ».

En énonçant expressément que la finalité du droit d’accès n’est pas de se constituer une preuve en vue d’un procès, la cour d’appel souligne qu’un tel usage relève d’une instrumentalisation du droit d’accès pour contourner les règles probatoires plus strictes. De ce fait, elle ouvre la voie à un contrôle du juge, qui pourrait dès lors sanctionner un usage abusif du droit d’accès et, par voie de conséquence, refuser de donner droit à une demande sur ce seul fondement.

Poursuivant sa logique, la cour d’appel prend également le contrepied de la Cour de cassation sur la question du périmètre des éléments communicables sur le fondement de l’article 15. Elle estime ainsi que, hormis son adresse email, son nom et son prénom, les autres documents émis ou reçus par le salarié, comme les courriels, ne constituent pas des données personnelles au sens de l’article 4 RGPD. En conséquence, le refus de l’employeur de les lui communiquer ne constitue pas un trouble manifestement illicite.

La cour d’appel rappelle ici que l’article 15 du RGPD garantit l’accès aux données personnelles et non aux documents dans lesquels elles figurent. Elle en déduit qu’il n’est pas possible, sauf à détourner le droit d’accès de sa finalité, d’ordonner la communication de la totalité de la messagerie électronique du salarié. Toute demande de communication de la messagerie complète doit être fondée sur les règles probatoires classiques et notamment l’article 145 du Code de procédure civile N° Lexbase : L3150NAW.

En d’autres termes, le droit d’accès ne peut être instrumentalisé pour obtenir une preuve qu’une mesure d’instruction classique ne permettrait pas d’obtenir. C’est d’ailleurs ce que rappelait également l’Avocat général dans l’arrêt précité de la Cour de cassation du 18 juin 2025.

Elle le rappellera de nouveau quelques semaines plus tard dans un arrêt du 18 décembre 2025 [11]. La ligne directrice adoptée par la cour d’appel de Paris a été reprise par de nombreux Conseils de prud’hommes et cour d’appel [12] qui retiennent massivement que l’article 15 RGPD n’a pas vocation à se substituer aux règles probatoires classiques et ne permet pas à un salarié de se préconstituer des preuves contre son employeur.

La messe est dite… ou pas.

En effet, si la nécessité de venir encadrer l’usage du droit d’accès comme outil probatoire paraît légitime, la position retenue par les juridictions du fond n’en demeure pas moins discutable, tant du point de vue de sa justification que de sa portée.

II. Vers une redéfinition de l’équilibre entre droit d’accès et règles probatoires ?

A. La finalité du droit d’accès en question

La position des juridictions du fond repose sur le risque du détournement de la finalité du droit d’accès. Elle revient à considérer que ce droit aurait une finalité non seulement clairement définie, mais en outre exclusive de toute autre.

Mais une telle lecture peut-elle véritablement être retenue ? Peut-on réellement affirmer, comme la cour d’appel de Paris, que le droit d’accès poursuit une finalité exclusivement orientée vers le contrôle ?

À première vue, poser cette question pourrait sembler incongru.

L’article 15 du RGPD, inséré dans une section portant sur la transparence et l’information des personnes concernées, prévoit en effet de manière on ne peut plus claire que cette dernière a le droit d’obtenir du responsable du traitement la confirmation que des données personnelles la concernant sont ou ne sont pas traitées. Le considérant 63 du préambule du RGPD précise que le droit d’accès vise à « prendre connaissance du traitement et en vérifier la licéité ».

En outre, le droit d’accès a été instauré par le législateur européen pour restaurer la confiance des personnes concernées dans l’économie numérique. Il a été conçu comme un outil de transparence. Et de ce fait, il est incontestable qu’il est un outil de contrôle propre au dispositif de protection des données personnelles mis en place par le RGPD.

La CJUE rappelle d’ailleurs régulièrement que « le droit d’accès prévu à l’article 15 du RGPD doit permettre à la personne concernée de s’assurer que les données à caractère personnel la concernant sont exactes et qu’elles sont traitées de manière licite » [13]. Le Comité européen de la protection des données (CEPD) précise également dans ses lignes directrices que la finalité du droit d’accès est de « fournir aux personnes physiques des informations suffisantes, transparentes et facilement accessibles sur le traitement des données, quelles que soient les technologies utilisées, et de permettre de vérifier différents aspects d’une activité de traitement particulière au titre du RGPD » [14].

Est-ce suffisant pour en déduire qu’il ne saurait servir aucune autre finalité, notamment une finalité purement probatoire totalement étrangère à la vérification de la conformité des traitements ? Il ne semble pas.

En effet, la lecture de l’article 15 révèle qu’il consacre un droit pour la personne concernée d’accéder à ses données personnelles, sans pour autant en circonscrire expressément la finalité à un objectif de contrôle de conformité. Autrement dit, ce texte n’assigne pas au droit d’accès une finalité déterminée. Seul le considérant 63 du préambule le prévoit.

Or il ressort d’une jurisprudence fournie de la CJUE que d’une part, « le préambule d’un acte de droit de l’Union n’a pas de valeur juridique contraignante et ne saurait être invoqué ni pour déroger aux dispositions même de l’acte concerné ni pour interpréter ces dispositions dans un sens manifestement contraire à leur libellé » [15], et d’autre part, concernant plus spécifiquement l’article 15 du RGPD, que l'obligation de fournir à la personne concernée qui en fait la demande une copie des données à caractère personnel la concernant et faisant l'objet d'un traitement s'impose au responsable du traitement, même lorsque cette demande est motivée par un autre but que celui de prendre connaissance du traitement et d'en vérifier la licéité [16].

Le Conseil d’État reprend d’ailleurs en l’état ces jurisprudences dans une décision du 1^er décembre 2025, saisi d’un recours contre une décision de la Commission Nationale Informatique et Libertés (CNIL), pour juger que le refus de l’employeur de répondre à une demande de droit d’accès était fautif [17].

Le CEPD lui-même, après avoir affirmé que le droit d’accès poursuivait une finalité de contrôle, précise que pour autant, « le responsable du traitement ne devrait pas refuser l’accès au motif ou au soupçon que les données demandées pourraient être utilisées par la personne concernée pour se défendre en justice en cas de licenciement ou de litige commercial avec le responsable du traitement » [18].

En consacrant un droit d’accès sans en définir strictement la finalité, le législateur européen a fait le choix d’un droit ouvert, centré sur la personne concernée et non sur un usage déterminé. Certes, le considérant 63 du RGPD souligne que ce droit permet de « prendre connaissance du traitement et en vérifier la licéité », mais cette indication relève davantage de la fonction principale du mécanisme que d’une limitation juridique de son exercice, comme l’a jugé très clairement la CJUE. L’article 15, en lui-même, se borne à reconnaître un droit d’accès aux données personnelles, sans conditionner son exercice à une finalité spécifique. En l’absence de restriction explicite, rien ne permet donc d’affirmer que ce droit ne pourrait être mobilisé à d’autres fins, notamment dans une perspective probatoire.

En retenant l’inverse, les juridictions du fond procèdent à une lecture téléologique restrictive du texte, en érigeant la finalité de contrôle en condition d’exercice du droit d’accès. Une telle interprétation revient à ajouter au texte une limite qu’il ne prévoit pas, au risque de restreindre l’effectivité d’un droit pourtant conçu comme un outil d’autonomie informationnelle. Surtout, elle conduit à méconnaître la logique du RGPD, qui confère à la personne concernée la maîtrise de ses données, y compris quant à leur utilisation ultérieure. Dès lors, limiter l’usage du droit d’accès à un simple contrôle serait contradictoire avec cette ambition, et reviendrait à en restreindre la portée.

L’usage probatoire du droit d’accès ne saurait, en soi, caractériser un détournement abusif de finalité. En ce sens, la position adoptée par la cour d’appel de Paris et certaines juridictions du fond est très critiquable. Si le risque d’instrumentalisation à des fins probatoires est réel, il ne saurait justifier, à lui seul, une limitation de principe d’un droit que le législateur a précisément voulu large et effectif. Le véritable enjeu du droit d’accès ne réside pas dans sa finalité, mais dans les conditions de son exercice. Il est possible de reconnaître que le droit d’accès peut être mobilisé dans une stratégie contentieuse, tout en veillant à ce que son exercice respecte les équilibres fondamentaux du procès. C’est à ce niveau que doit s’opérer le contrôle du juge. À cet égard, il apparaît que le droit d’accès comporte en lui-même les moyens de son propre contrôle.

B. Vers un équilibre entre droit d’accès et administration de la preuve

La Cour de cassation, dans son arrêt précité du 18 juin 2025 [19], a très justement rappelé que le droit d’accès n’est pas un droit absolu. Il est précisé aux articles 12 et 15 que celui-ci comporte trois limites.

En premier lieu, l’exercice du droit d’accès ne peut se faire au détriment des droits et libertés d’autrui [20]. À cet égard, par « autrui » il faut entendre toute personne autre que l’auteur de la demande, y compris l’employeur lui-même. Ainsi, face à une demande de droit d’accès, les droits des tiers, tels que le secret des affaires, la propriété intellectuelle, la sécurité des systèmes d’information, le droit à la vie privée ou le secret des correspondances peuvent notamment venir restreindre l’éventail des données communicables.

S’agissant plus particulièrement de la messagerie électronique, la CNIL estime que, lorsque le salarié a déjà eu connaissance des informations contenues dans les messages visés par sa demande, la communication des données personnelles de ces messages peut a priori se faire dans le respect des droits des tiers. Toutefois, l’employeur conserve la possibilité d’évaluer le risque d’atteinte aux droits d’autrui et de refuser la demande d’accès en motivant sa décision. Concrètement, cela signifie que le salarié ne peut pas invoquer le droit d’accès pour obtenir des informations confidentielles ou sensibles dont la communication porterait atteinte notamment à son propre droit au secret.

En second lieu, l’article 15 pose comme principe que la copie concerne les seules données personnelles et non les documents dans lesquels elles figurent.

Dans son arrêt du 18 juin 2025, la Cour de cassation a considéré de manière très large que le salarié pouvait obtenir communication de tout document contenant des données personnelles le concernant, incluant les métadonnées, mais également l’intégralité des messages et leurs pièces jointes. À l’inverse, la cour d’appel de Paris, dans ses deux arrêts précités de 2025, a considéré que, dans un message électronique, seuls constituaient des données personnelles, le nom, prénom et adresse du salarié, ce qui justifiait selon elle le refus de la communication de la messagerie électronique au salarié.

Sur ce point, une position plus nuancée semble nécessaire. Le principe demeure la communication des seules données personnelles. Une demande de droit d’accès ne saurait justifier la transmission de l’intégralité des fichiers, courriels ou dossiers dans lesquels ces données figurent. L’employeur ne peut être contraint de remettre l’ensemble de la messagerie électronique simplement sur la base d’une demande fondée sur l’article 15.

Pour autant, le refus automatique d’une telle communication n’est pas plus justifié. La CJUE, dans un arrêt du 4 mai 2023 [21], a rappelé que « le droit d’obtenir de la part du responsable du traitement une copie des données à caractère personnel faisant l’objet d’un traitement implique qu’il soit remis à la personne concernée une reproduction fidèle et intelligible de l’ensemble de ces données. Ce droit suppose celui d’obtenir des extraits de documents voire des documents en entier ou encore d’extraits de bases de données qui contiennent, entre autres, lesdites données, si la fourniture d’une telle copie est indispensable pour permettre à la personne concernée d’exercer effectivement des droits qui lui sont conférés par ce règlement ».

Il en découle que l’article 15 n’organise pas un droit général à obtenir une copie de l’intégralité des documents contenant des données personnelles, mais permet leur communication lorsque cela est nécessaire pour garantir l’intelligibilité des données et l’effectivité des droits du salarié. En d’autres termes, la contextualisation des données, la manière dont elles sont mises en perspectives dans les documents, doivent être prises en compte pour répondre de manière proportionnée à une demande de droit d’accès.

Toutefois, ce droit ne se transforme pas en un droit général d’accès aux documents à des fins probatoires. Le salarié ne peut pas invoquer l’article 15 pour obtenir des pièces uniquement dans le but de se constituer une preuve contre son employeur. Le droit d’accès doit rester circonscrit aux documents ou extraits nécessaires à la compréhension et à l’intelligibilité des données personnelles le concernant. Si la demande dépasse ce cadre et tend à obtenir des informations sur d’autres personnes ou des documents complets non indispensables à cette compréhension, il s’agit d’un usage disproportionné et donc abusif du droit d’accès. Ce qui nous amène à la troisième limite.

En troisième et dernier lieu, l’article 12 du RGPD prévoit que le responsable du traitement peut refuser de donner suite à une demande de droit d’accès lorsqu’elle est manifestement excessive ou infondée. Toutefois, comme indiqué précédemment, le simple fait d’exercer ce droit à des fins probatoires ne suffit pas à qualifier la demande d’excessive ou d’infondée. Dès lors, comment interpréter cette faculté de refus ?

La CJUE, dans un arrêt très récent du 19 mars 2026 [22], a admis qu’une demande de droit d’accès pouvait être qualifiée d’abusive lorsque le responsable du traitement pouvait démontrer « l’existence d’une intention abusive de la part de la personne concernée, une telle intention pouvant être constatée lorsque cette personne introduit cette demande pour une finalité autre que celle de prendre connaissance du traitement de ces données et d’en vérifier la licéité, afin de pouvoir, par la suite, obtenir une protection des droits qu’elle tire de ce règlement ». Elle souligne que le caractère excessif d’une telle demande peut ainsi être évalué qualitativement. Il s’agit d’examiner si la demande permet à la personne concernée « d’obtenir un avantage résultant de la réglementation de l’Union en créant artificiellement les conditions requises pour son obtention ».

En l’espèce, l’abus tenait à la pratique systématique de l’auteur de la demande, qui consistait à introduire des requêtes d’accès uniquement dans le but d’obtenir des indemnités au titre d’une prétendue violation des droits qu’il tirait du RGPD, violation qu’il provoquait délibérément. Concrètement, il s’inscrivait à un bulletin d’information, puis formulait une demande d’accès et revendiquait une réparation financière, transformant ainsi le droit d’accès en un moyen de gain artificiel plutôt qu’en un outil d’information ou de contrôle légitime.

La CJUE interprète ainsi l’article 12 du RGPD à la lumière de la théorie de l’abus de droit, largement théorisé par la jurisprudence [23], dont l’un des critères essentiels est l’exercice anormal d’un droit dans l’unique but de nuire à autrui. Ainsi, pour qu’un acte soit qualifié d’abus de droit, il ne doit pas être motivé par un intérêt légitime ou des motifs sérieux, mais par des intentions malveillantes ou par la volonté de créer un préjudice à autrui.

Il apparaît ainsi que la clé d’interprétation de la limite au droit d’accès posé par l’article 12 est la proportionnalité de la demande au regard de l’usage légitime que le salarié peut en faire, y compris dans un contentieux. On retrouve ici le principe du contrôle de proportionnalité exercé par le juge dans le cadre d’une mesure d’instruction in futurum.

Dans cette perspective, le droit d’accès peut être mobilisé à des fins probatoires sans pour autant constituer un abus, dès lors que la demande reste proportionnée et nécessaire à la compréhension des traitements ou à la constitution d’une preuve pertinente. L’exercice légitime de ce droit ne vise pas à contourner les règles classiques de preuve, mais à permettre au salarié d’obtenir des informations directement liées à ses données personnelles. Comme pour les mesures d’instruction in futurum prévues à l’article 145 du Code de procédure civile N° Lexbase : L3150NAW, c’est le contrôle de proportionnalité du juge qui garantit l’équilibre. Il protège à la fois les droits du salarié à exercer ses recours et ceux de l’employeur ou de tiers, en évitant que la demande d’accès ne devienne un outil de pression ou d’instrumentalisation du droit.

C’est dans cette optique qu’il faut comprendre la proposition de modification de l’article 12 faite par la Commission européenne dans le cadre du futur règlement Omnibus, qui vise à simplifier le RGPD. Selon cette proposition, l’article 12 serait rédigé comme suit : « lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif ou également lorsqu’il s’agit de demandes au titre de l’article 15, parce que la personne concernée abuse des droits conférés par le présent règlement à des fins autres que la protection de ses données, le responsable du traitement peut […] refuser de donner suite à ces demandes » [24].

En définitive, l’usage probatoire du droit d’accès reste pleinement envisageable. Le seul fait qu’un salarié mobilise ce droit pour constituer des éléments de preuve ne constitue en soi ni un détournement de finalité, ni un abus. Les limites posées par l’article 15 et son encadrement constituent des garde-fous suffisants pour éviter tout usage excessif ou malveillant, sans pour autant interdire l’exercice légitime du droit d’accès. Même la réforme prévue par le règlement Omnibus, qui vise à préciser la possibilité de refuser les demandes manifestement excessives ou abusives, ne semble pas de nature à remettre en cause la possibilité pour le salarié d’utiliser l’article 15 à des fins probatoires, dès lors que sa demande reste proportionnée et justifiée. Juridiquement, rien ne justifie une interdiction générale de cette pratique, qui peut continuer à s’exercer dans un cadre équilibré.

© Reproduction interdite, sauf autorisation écrite préalable