Mails professionnels et RGPD : quelles leçons tirer de l’arrêt de la Cour de cassation du 18 juin ?

Dans un arrêt rendu le 18 juin dernier, la chambre sociale de la Cour de cassation a jugé que « les courriels émis ou reçus par le salarié grâce à sa messagerie électronique professionnelle sont des données à caractère personnel au sens de l’article 4 du RGPD » et en a déduit que  « l’employeur (devait)  lui fournir tant les métadonnées (horodatage, destinataires) que leur contenu, sauf si les éléments dont la communication est demandée sont de nature à porter atteinte aux droits et libertés d’autrui ». En clair, le salarié licencié aurait le droit de réclamer l’intégralité de sa boite mail pour développer sa défense dans le cadre d’un contentieux. Quelle est la portée de cet arrêt ? On fait le point avec Me Stéphanie Poussou, Spécialiste en droit du travail et Avocat of Counsel au sein du cabinet Capstan.

Actu-Juridique : En quoi cet arrêt apporte-t-il une solution nouvelle ?

Stéphanie Poussou : Classiquement, le droit d’accès du salarié en matière de données personnelles s’exerce auprès de l’employeur qui dispose d’un délai de un à trois mois pour satisfaire à la demande, selon le niveau de complexité. En l’absence de réponse, le salarié peut saisir la CNIL. Mais cette procédure est longue car la CNIL est submergée de demandes. L’habitude a donc été prise de solliciter cette communication devant les conseils de prud’hommes, souvent dès le stade de la conciliation. Cela se produit principalement dans deux types de situation.  En cas de licenciement pour faute grave, lorsque le salarié est mis à pied à titre conservatoire le temps de la procédure et donc dans l’impossibilité de récupérer les éléments nécessaires à sa défense. Et dans le cas d’un salarié bénéficiaire d’une convention de forfait-jour qui souhaite démontrer, à l’aide de ses mails, que son emploi du temps ne lui permettait pas de respecter les temps de repos (quotidien et/ou hebdomadaire). Dans cette affaire, il s’agissait d’un directeur associé licencié pour avoir tenu des propos sexistes, après réalisation d’une enquête interne. Il avait saisi le conseil de prud’hommes pour notamment contester son licenciement, obtenir la nullité de la convention forfait-jour et des dommages et intérêts pour violation de son droit d’accès à ses données personnelles, l’employeur n’ayant pas répondu à sa demande de communication. La cour d’appel accueille les demandes et :

-juge le licenciement dénué de cause réelle et sérieuse, les éléments de l’enquête interne produit aux débats étant incomplets, partiellement tronqués et insuffisamment probants ;

-accorde des dommages-intérêts en raison des circonstances vexatoires de la rupture ;

-prononce la nullité de la convention de forfait annuel en jours, faute de suivi effectif et régulier de la charge de travail, ouvrant droit à un rappel d’heures supplémentaires et à des dommages intérêts en raison du non-respect du repos quotidien et hebdomadaire ;

-condamne l’employeur pour avoir refusé de transmettre au salarié postérieurement à son licenciement ses courriels professionnels, sans justification, en violation de l’article 15 du RGPD.

La Cour de cassation a rejeté le pourvoi de l’employeur et notamment considéré, au titre du 4^e moyen, que l’employeur aurait dû communiquer les métadonnées et le contenu des documents. Jusqu’ici, la jurisprudence des juges du fond était divisée, c’est le premier arrêt de cassation sur cette question. Précisons que la chambre sociale sur ce point est allée contre l’avis de l’avocat général et du rapporteur.

Actu-Juridique : Quelle est sa portée, selon vous ?

SP : Certains considèrent sur les réseaux sociaux, tout particulièrement du côté des avocats de salariés, que tout le monde va pouvoir demander désormais devant les conseils de prud’hommes la communication de sa boite mail. Ce n’est pas notre avis. Le droit d’accès, c’est un mode d’information : le salarié peut avoir confirmation qu’on traite des données personnelles le concernant et accéder à celles-ci pour contrôler la validité du traitement réalisé, mais il ne peut pas, par principe, accéder à des documents. C’est le sens du considérant 63 du RGPD sur le droit d’accès, qui permet d’éclairer le sens qui doit être donné à l’article 15. La CNIL a établi des recommandations, (notamment la publication du 5 janvier 2022) dans lesquelles elle dit que la transmission de courriels peut satisfaire la demande, mais qu’elle n’est pas obligatoire et que la communication de tableaux synthétiques suffit à remplir l’obligation. On retrouve cette même approche au niveau européen. C’est donc une solution discutable qu’a retenue la cour. Il est vrai qu’elle prend soin de préciser dans son arrêt que l’employeur a refusé sans motif légitime de répondre à la demande du salarié. Il n’a rien communiqué du tout, pas même les métadonnées, et n’a pas motivé cette abstention. La décision aurait pu être différente si l’employeur avait réagi conformément aux recommandations de la CNIL.

Actu-Juridique : Comment les entreprises doivent-elles réagir ?

SP : Les RH et l’IT ont déjà beaucoup de travail. S’il faut sortir 15 ans de mails lors du licenciement d’un salarié en plus, c’est un vrai problème. Car il faut pour chaque mail vérifier qu’on ne porte pas atteinte au secret des affaires et aux droits des autres salariés (par exemple le secret des correspondances) ! On peut donner deux conseils. D’abord, il faut retravailler les politiques de durée de conservation des données personnelles. Ensuite, il faut respecter scrupuleusement les recommandations de la CNIL qui ont été mises à jour le 31 janvier dernier. Certains soutiennent qu’elles seraient rendues caduques par la décision du 18 juin. Je ne le pense pas, la CNIL est une autorité indépendante. Et puis, comme cela a déjà été souligné, la solution aurait sans doute été différente si l’entreprise n’avait pas refusé toute communication et sans fournir de motif. Je souligne enfin la modicité des dommages intérêts alloués au titre de ce refus de communication : 500 euros. Cette somme modeste est à rapprocher de la sanction prévue par la CNIL en cas de non-respect de ses prescriptions sur le même sujet : jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial. Il s’agit, en effet, d’une violation de l’un des principes essentiels du RGPD.