Les grandes entreprises font face depuis quelque temps à des demandes de droit d’accès au titre du RGPD potentiellement extrêmement chronophages. Exercées par des salariés le plus souvent lors de litiges ou de départs conflictuels, elles visent à obtenir les messages électroniques (y compris les messages instantanés, etc.) envoyés et reçus par eux, voire ceux dans lesquels ils ne sont que simplement cités, ainsi que leurs métadonnées. Est-ce un détournement du droit d’accès ? Comment réagir ?

En matière de protection des données à caractère personnel, un des droits les plus anciens reconnus à la personne concernée est le droit d’accès aux données qui la concernent, et ce, afin qu'elle puisse prendre connaissance du traitement et en vérifier la licéité. Originellement prévu dans la loi de 1978, ce droit, également étendu à l’article 8 de la Charte des droits fondamentaux de l’Union européenne, est aujourd’hui encadré par l’article 15 du Règlement général sur la protection des données (RGPD) du 27 avril 2016. Il permet la confirmation de l’existence d’un traitement sur les données personnelles de la personne concernée, il prévoit également la transmission d’informations décrivant ce traitement et reprenant les principales informations décrivant le traitement prévu aux articles 13 et 14 du RGPD (finalité, catégorie des données concernées, destinataires, durée de conservation, droit de la personne, etc.). Ce droit prévoit surtout la fourniture d’une "copie des données à caractère personnel faisant l'objet d'un traitement". Le considérant 63 du RGPD complète ce texte et précise notamment ses limites (précision du périmètre, intervalle raisonnable, atteinte aux droits ou libertés d'autrui, y compris au secret des affaires ou à la propriété intellectuelle). Le CEPD a eu l’occasion d’indiquer qu’en l’absence de précision dans le texte, la personne concernée n’a pas à motiver sa demande.

Notons, pour être complet, qu’une législation locale est susceptible de limiter cette communication en vertu de l’article 23, mais qu’une telle limitation spécifique ne semble pas pouvoir s’appliquer ici telle que la jurisprudence a eu l’occasion de le préciser.

Le droit d’accès applicable aux messages électroniques et à leurs métadonnées

Compte tenu de la définition de la notion de "données à caractère personnel" largement définie dans le RGPD, ce droit d’accès est susceptible de s’appliquer également aux courriers électroniques largement entendus (y compris les échanges sur Teams, etc.).

Or, même si les demandes de droit d’accès effectuées par un salarié concernant sa messagerie sont encore rares dans les PME, celles visant spécifiquement ces milliers, voire des centaines de milliers de messages électroniques (y compris sur Teams, etc.) se multiplient dans les grands groupes depuis quelques mois, souvent du fait de litiges prud’homaux ou de départs conflictuels. La pratique montre que l’objectif n’est plus du tout dans ce cas celui prévu à l’origine par le droit d’accès, mais bien de dévoyer ce droit pour obtenir, dans le meilleur des cas, des preuves pour consolider le dossier en justice (hypothèses de harcèlement, de discrimination, etc.), indépendamment de ce que la procédure civile peut déjà prévoir en matière de communication de preuves.

Dans le pire des cas, nous constatons que le but peut être de mettre l’entreprise dans l’embarras, la poussant à la faute du fait du volume de données à trier dans un temps contraint (par exemple, retrouver, trier et/ou expurger 200 000 messages pour le respect du droit des tiers peut être très compliqué même dans un délai de trois mois), conduisant in fine systématiquement, même si elle déploie ses meilleurs efforts et réussit ce challenge, à une plainte auprès de la Cnil.

Si les demandes de droit d’accès effectuées par un salarié concernant sa messagerie sont encore rares dans les PME, elles se multiplient dans les grands groupes depuis quelques mois

Si la Cnil a une vision parfois opérationnelle de l’exercice de ce droit en matière de message, en prévoyant la seule communication d’une liste d’un certain nombre de messages ou encore en rappelant que le droit d’accès ne vise pas les copies de tous les documents, tel n’est pas le cas de la CJUE qui vise spécifiquement les extraits contenant les données, sous la seule réserve peu tangible de leur caractère "indispensable" au respect des droits de la personne.

Par ailleurs, la Cnil émet une position singulière concernant tous les messages privés (appelés à tort "personnels" par le régulateur, un message personnel pouvant être un message professionnel sensible adressé à une seule personne, compte tenu de ses habilitations individuelles), indiquant qu’ils doivent être transmis sans contrôle. Or, c’est justement souvent par le biais d’une labellisation destinée à échapper aux contrôles que les personnels de mauvaise foi extraient des informations sensibles. Enfin, elle n’exclut pas la trans- mission de messages ne faisant que citer les personnes concernées sans qu’elles en soient les émetteurs ou destinataires, ce qui complique encore la situation.

À ce titre, le pire est sans doute venu de l’arrêt du 18 juin 2025 de la chambre sociale de la Cour de cassation. Les magistrats ont affirmé à cette occasion un droit, qui semble général, d’accès à tous les messages électroniques et à leurs méta données (horodatage, destinataires, objet), la seule exception étant l’atteinte aux droits et libertés d’autrui, le tout sans reprendre la limite du caractère "indispensable" posée par la CJUE.

Or, l’avocat général avait pourtant rappelé la position de la Cnil concernant le fait que le droit d’accès concerne les données personnelles et non l’ensemble des documents, et surtout qu’il serait déraisonnable, du fait du dévoiement du droit d’accès dans sa conception initiale, qu’un salarié puisse exiger la copie complète de sa messagerie professionnelle sur plusieurs années.

Les efforts nécessaires pour traiter plusieurs centaines de milliers de messages électroniques peuvent entraîner des questions annexes non négligeables

Position qui n’a, malheureusement, pas été suivie par les magistrats dans leur décision, avec les conséquences que cela peut avoir pour l’entreprise. Celle-ci risque ainsi d’être sanctionnée par les tribunaux, comme c’est le cas actuellement, ou par la Cnil, si elle ne transmet pas les messages et leurs métadonnées qu’elle ne pourrait pas clairement et sans contestation qualifier de contenus portant atteinte au droit des tiers.

Anticiper pour limiter les contraintes

En pratique, répondre à ces demandes de façon complète impose nécessairement une mobilisation significative de multiples ressources, souvent pluridisciplinaires (DPO, DSI, RH, juridique), voire la coopération de plusieurs entités dans le cas d’un groupe mutualisant ses ressources informatiques (GIE, etc.). Les efforts nécessaires pour traiter plusieurs centaines de milliers de mails s’avèrent souvent très importants (désarchivage, filtrage, argumentaire dudit filtrage, obfuscation, classement) et peuvent entraîner des questions annexes non négligeables. À cet égard, la CJUE précise bien dans ses lignes directrices du 28 mars 2023 que "le fait qu’il faudrait beaucoup de temps et d’efforts au responsable du traitement pour fournir les informations ou la copie à la personne concernée ne saurait, à lui seul, rendre une demande excessive" au sens de l’article 12 du RGPD.

Pour y faire face, le recours à l’IA pourrait sembler une bonne idée… si cela ne constituait pas un nouveau traitement qu’il convient d’encadrer en soi (information, vérification des résultats, etc.) et pourrait soulever plus de difficultés en cas de contrôle si cet usage n’a pas été prévu. De façon générale, anticiper est essentiel pour limiter les conséquences pour l’entreprise, et implique aussi bien :

- d’imaginer les processus et stratégies à mettre en œuvre (méthodologie, argumentaire, recours à des outils ou processus spécifiques, traitement des pièces jointes, etc.) pour établir une procédure de gestion des droits d’accès spécifique ;

- que de rédiger de façon adéquate la charte d’utilisation des moyens de communication électronique afin d’éviter, notamment, la communication de messages "personnels" qui sont en réalité professionnels et particulièrement sensibles (cf. la multiplication erratique des mots clés qui les identifient ou – pire encore – l’usage du faux-ami "personnel" pour les désigner).

 

SUR L’AUTEUR
François Coupez est avocat à la cour, fondateur du cabinet Level Up Legal et ancien responsable juridique pendant près de dix ans. Entouré de l’ensemble de l’équipe du cabinet, il met sa double compétence en droit et en cybersécurité au service de nombreuses grandes entreprises, institutionnels et entités du secteur public depuis plus de vingt ans, afin de les conseiller face à leurs contraintes réglementaires en droit du numérique, de la protection des données et de la cybersécurité. Certifié spécialiste en droit des nouvelles technologies (CNB), mais également ISO 27001 Lead implementer (HS2), ou encore NIS 2 Lead implementer (HS2) et DPO (CNIL – Afnor), il enseigne à l’université Paris II à Dauphine et au Cnam. Il est également responsable des formations de droit de la cybersécurité et de protection des données chez HS2 Formation et participe au groupe de travail NIS 2 du Club ISO 27001.