29.06.2026

Violation du RGPD au travail : preuve illicite, dommages et intérêts et fin du préjudice automatique

Vous pensiez qu’un manquement de l’employeur au RGPD valait, à coup sûr, condamnation à des dommages et intérêts ? Cette idée vient d’être écartée. Par un arrêt du 24 juin 2026 promis à la plus large publicité, la chambre sociale de la Cour de cassation affirme que la simple violation du règlement général sur la protection des données ne suffit pas à ouvrir un droit à réparation. Le salarié qui réclame une indemnisation doit prouver que ce manquement lui a causé un dommage.La portée de cette décision dépasse le seul cas jugé. Le RGPD s’est invité dans presque tous les contentieux prud’homaux : surveillance des salariés, preuve illicite en droit du travail, droit d’accès aux données, discrimination salariale, durée de conservation. À chaque fois revient la même question : que vaut, devant le juge, un manquement aux règles de protection des données ? L’arrêt du 24 juin 2026 apporte une réponse claire sur le terrain de la réparation, sans rien retirer à la jurisprudence sur la recevabilité de la preuve. Cet article décrypte la décision, la replace dans son contexte et en tire les conséquences pratiques pour les salariés et pour les entreprises.

Prendre rendez-vous

Par Maître Arnaud Sirven, Avocat en droit social Mis à jour le 29 juin 2026

À retenir La violation du RGPD n’ouvre pas, à elle seule, droit à réparation. Un salarié qui invoque un manquement de son employeur aux règles sur les données personnelles ne peut plus obtenir de dommages et intérêts du seul fait de ce manquement : il doit démontrer un préjudice matériel ou moral concret et en établir l’étendue. C’est ce que juge la Cour de cassation dans un arrêt publié au bulletin du 24 juin 2026 (n° 24-22.792), dans le prolongement de la Cour de justice de l’Union européenne. La décision distingue deux questions souvent confondues : la recevabilité d’une preuve illicite, qui reste possible après un contrôle de proportionnalité, et la réparation du manquement au RGPD, qui suppose désormais la preuve d’un dommage. Pour les salariés comme pour les employeurs, l’enjeu se déplace vers la démonstration et le chiffrage du préjudice.

Vous pensiez qu’un manquement de l’employeur au RGPD valait, à coup sûr, condamnation à des dommages et intérêts ? Cette idée vient d’être écartée. Par un arrêt du 24 juin 2026 promis à la plus large publicité, la chambre sociale de la Cour de cassation affirme que la simple violation du règlement général sur la protection des données ne suffit pas à ouvrir un droit à réparation. Le salarié qui réclame une indemnisation doit prouver que ce manquement lui a causé un dommage.

La portée de cette décision dépasse le seul cas jugé. Le RGPD s’est invité dans presque tous les contentieux prud’homaux : surveillance des salariés, preuve illicite en droit du travail, droit d’accès aux données, discrimination salariale, durée de conservation. À chaque fois revient la même question : que vaut, devant le juge, un manquement aux règles de protection des données ? L’arrêt du 24 juin 2026 apporte une réponse claire sur le terrain de la réparation, sans rien retirer à la jurisprudence sur la recevabilité de la preuve. Cet article décrypte la décision, la replace dans son contexte et en tire les conséquences pratiques pour les salariés et pour les entreprises.

L’affaire : un licenciement, une preuve illicite et 5 000 euros en jeu

L’affaire oppose un salarié à son employeur et illustre parfaitement la confusion que l’arrêt vient dissiper. Engagé en 2010 comme analyste quantitatif, puis affecté à des fonctions d’analyse en stratégies algorithmiques, le salarié est licencié le 29 mars 2019. Il conteste son licenciement et saisit le conseil de prud’hommes le 20 septembre 2019.

Pour établir les faits reprochés, l’employeur avait produit des éléments permettant d’identifier le salarié. Ces éléments procédaient d’un traitement de données à caractère personnel contraire aux dispositions du RGPD. La cour d’appel de Paris, dans son arrêt du 30 octobre 2024, en tire deux conséquences qu’il faut bien distinguer. D’une part, elle juge ces preuves illicites mais recevables, parce que leur obtention et leur production étaient indispensables et proportionnées à l’objectif poursuivi. D’autre part, elle condamne l’employeur à payer 5 000 euros de dommages et intérêts pour exécution déloyale du contrat, en retenant que le non-respect du RGPD avait « nécessairement causé un préjudice » au salarié.

C’est ce raisonnement automatique qui est censuré. La cour d’appel avait déduit un préjudice de la seule existence du manquement, sans vérifier que le salarié démontrait un dommage réel. L’employeur, par un pourvoi incident, soutenait au contraire qu’il incombait au salarié de justifier d’un préjudice particulier et que, faute d’élément de preuve en ce sens, il devait être débouté.

En clair : trois juridictions se sont succédé. Le conseil de prud’hommes de Paris (6 septembre 2021), puis la cour d’appel de Paris (30 octobre 2024), enfin la Cour de cassation (24 juin 2026). Le débat ne portait pas sur le licenciement lui-même, déjà tranché, mais sur une somme de 5 000 euros accordée au salarié au motif que l’employeur avait méconnu le RGPD. La question était simple : ce manquement suffit-il, à lui seul, à justifier une indemnisation ?

Exemple : Imaginez Camille, salariée d’une entreprise de services. Son employeur produit, dans un litige, des données issues d’un outil informatique mis en place sans respecter toutes les obligations du RGPD. Avant l’arrêt du 24 juin 2026, Camille pouvait espérer obtenir des dommages et intérêts en se contentant d’invoquer ce manquement. Désormais, elle devra expliquer et prouver en quoi ce manquement lui a concrètement nui, par exemple une atteinte à sa vie privée ou un préjudice moral caractérisé.

La violation du RGPD n’ouvre pas, à elle seule, droit à réparation

Le principe posé par la Cour de cassation tient en une phrase : la simple violation du RGPD ne confère pas, en elle-même, un droit à réparation. La chambre sociale casse l’arrêt d’appel au visa de l’article 82, paragraphe 1, du règlement (UE) 2016/679. Ce texte prévoit que toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement a le droit d’obtenir réparation du préjudice subi. La Cour en déduit que le droit à réparation suppose un dommage, et non la seule constatation d’un manquement.

La cour d’appel avait donc commis une erreur de méthode. Elle aurait dû apprécier si le salarié établissait que la violation du règlement, qu’elle avait constatée, lui avait causé un dommage matériel ou moral. En se bornant à affirmer que le non-respect du RGPD avait « nécessairement » causé un préjudice, elle a violé le texte. La cassation est prononcée sur ce seul point, l’arrêt étant maintenu pour le surplus.

Un principe directement issu de la Cour de justice de l’Union européenne

La solution française prolonge fidèlement la jurisprudence européenne, ce qui en renforce la solidité. La Cour de justice de l’Union européenne a interprété l’article 82, paragraphe 1, du RGPD dans deux décisions que la chambre sociale vise expressément.

Dans un premier arrêt, la Cour de justice a jugé que la simple violation des dispositions du règlement ne suffit pas à conférer un droit à réparation. Elle a ajouté deux précisions importantes : le droit de l’Union s’oppose à une règle nationale qui subordonnerait la réparation d’un dommage moral à l’atteinte d’un certain degré de gravité ; et il revient aux juges nationaux d’appliquer leurs propres règles internes pour fixer le montant de la réparation, dans le respect des principes d’équivalence et d’effectivité (CJUE, 4 mai 2023, C-300/21, Österreichische Post).

Dans un second arrêt, la Cour de justice a apporté deux enseignements complémentaires. Le droit à réparation remplit une fonction compensatoire, et non punitive : la réparation pécuniaire doit compenser intégralement le préjudice concrètement subi, sans aller au-delà. Surtout, la personne qui demande réparation doit établir non seulement la violation du règlement, mais également que cette violation lui a causé un dommage matériel ou moral (CJUE, 25 janvier 2024, C-687/21, MediaMarktSaturn).

En clair : le droit européen tient un raisonnement en équilibre. D’un côté, il n’exige pas que le préjudice atteigne un seuil de gravité minimal : un dommage moral, même limité, peut être réparé. De l’autre, il refuse l’indemnisation automatique : encore faut-il qu’un dommage existe et soit prouvé. La Cour de cassation transpose exactement cet équilibre en droit du travail.

À qui incombe la preuve du préjudice ?

La charge de la preuve du préjudice pèse sur celui qui réclame réparation, c’est-à-dire en pratique sur le salarié. C’est le cœur de la censure. L’employeur soutenait qu’il appartient au salarié de justifier d’un préjudice particulier et que, à défaut, il doit être débouté. La Cour de cassation lui donne raison sur le principe en exigeant que le juge apprécie si le salarié « établit » que la violation lui a causé un dommage.

Cette exigence n’a rien d’insurmontable, mais elle impose une démonstration. Le salarié ne peut plus se contenter d’invoquer le manquement. Il doit articuler, dans ses écritures, en quoi consiste son préjudice, qu’il soit matériel (une perte financière, une dépense engagée) ou moral (une atteinte à la vie privée, un sentiment légitime d’intrusion, une perte de maîtrise sur ses données). Il doit aussi en établir l’étendue, puisque la réparation doit être à la mesure du dommage concrètement subi.

Exemple : Reprenons l’exemple de Camille. Pour obtenir réparation, elle ne dira pas seulement « mon employeur a méconnu le RGPD ». Elle expliquera que la collecte irrégulière de ses données a porté atteinte à sa vie personnelle, qu’elle a éprouvé un trouble caractérisé en découvrant l’ampleur du traitement, ou qu’elle a dû engager des démarches pour faire valoir ses droits. Plus sa démonstration est concrète et documentée, plus elle a de chances d’être indemnisée, et à la hauteur de ce qu’elle prouve.

Preuve illicite ne veut pas dire preuve écartée

L’arrêt du 24 juin 2026 ne remet pas en cause une règle essentielle : une preuve illicite n’est pas nécessairement irrecevable. La cour d’appel avait d’ailleurs jugé recevables les preuves litigieuses, tout en les qualifiant d’illicites au regard du RGPD, parce que leur obtention et leur production étaient indispensables et proportionnées au but poursuivi. Ce volet de l’arrêt d’appel n’a pas été remis en cause. La cassation porte uniquement sur les dommages et intérêts.

Cette admissibilité de la preuve illicite repose sur une jurisprudence désormais bien installée. La Cour de cassation a jugé que l’illicéité d’un moyen de preuve n’entraîne pas nécessairement son rejet des débats. Le juge doit apprécier si l’utilisation de cette preuve a porté atteinte au caractère équitable de la procédure dans son ensemble, en mettant en balance le droit au respect de la vie personnelle du salarié et le droit à la preuve. Le droit à la preuve peut justifier la production d’éléments portant atteinte à la vie personnelle, à la double condition que cette production soit indispensable à l’exercice de ce droit et que l’atteinte soit strictement proportionnée au but poursuivi (Cass. soc., 25 novembre 2020, n° 17-19.523).

Cet arrêt de 2020 avait précisément jugé que l’exploitation de fichiers de journalisation, permettant d’identifier indirectement une personne physique au moyen d’adresses IP, constitue un traitement de données à caractère personnel. La preuve en était illicite, faute de respect des formalités applicables, mais elle pouvait néanmoins être discutée selon le test de proportionnalité. La logique est constante : l’illicéité n’emporte pas l’exclusion automatique, elle ouvre un contrôle.

Deux questions distinctes qu’il ne faut pas confondre

La grande leçon de l’arrêt du 24 juin 2026 est méthodologique : il faut séparer la recevabilité de la preuve et la réparation du manquement. Ce sont deux questions juridiques différentes, qui obéissent à deux raisonnements différents et n’aboutissent pas nécessairement au même résultat.

La première question est celle de la recevabilité. Une preuve obtenue en méconnaissance du RGPD peut-elle être produite et examinée par le juge ? Réponse : oui, si elle est indispensable à l’exercice du droit à la preuve et si l’atteinte aux droits du salarié est proportionnée. C’est un contrôle de mise en balance.

La seconde question est celle de la réparation. Le manquement au RGPD, une fois constaté, donne-t-il droit à des dommages et intérêts ? Réponse : seulement si le salarié prouve un préjudice. C’est l’apport de l’arrêt du 24 juin 2026.

En clair : une même affaire peut donc voir la preuve illicite admise au débat, parce qu’elle était indispensable et proportionnée, et la demande d’indemnisation rejetée, faute de préjudice démontré. C’est exactement ce qui se profile dans cette affaire, où la preuve avait été jugée recevable et où la condamnation à 5 000 euros est censurée. Confondre ces deux plans conduit à des erreurs de stratégie contentieuse, côté salarié comme côté employeur.

Le préjudice automatique en net recul

L’arrêt s’inscrit dans un mouvement plus large de remise en cause du « préjudice nécessaire ». Pendant longtemps, certains manquements de l’employeur étaient réputés causer, par eux-mêmes, un préjudice au salarié, ouvrant droit à réparation sans démonstration particulière. La chambre sociale a progressivement abandonné cette logique pour exiger, en principe, la preuve d’un dommage. La solution retenue en matière de RGPD prolonge cette évolution.

Cette exigence se double, en droit des données personnelles, d’une particularité. En l’absence d’atteinte caractérisée à la vie privée, et compte tenu de la jurisprudence sur le préjudice nécessaire, la démonstration d’un préjudice s’impose. La doctrine relève d’ailleurs que, lorsque le salarié exerce ses droits issus du RGPD à des fins purement probatoires, il n’est privé d’aucun droit qu’il pouvait légitimement obtenir, de sorte que le montant des dommages et intérêts alloués risque souvent d’être très faible. Cette analyse rejoint des décisions de juges du fond ayant alloué des sommes modestes, voire ayant subordonné toute indemnisation à la preuve d’un préjudice.

En clair : la tendance de fond est nette. Le juge n’indemnise plus un manquement « en soi ». Il indemnise un dommage. Pour le RGPD, cela signifie que les condamnations symboliques fondées sur le seul non-respect du règlement n’ont plus d’avenir. Le contentieux se déplace vers la réalité et l’ampleur du préjudice.

Cette exigence se vérifie déjà dans le contentieux du droit d’accès. Lorsqu’un employeur refuse, sans justification, de répondre à une demande d’accès, il peut être condamné à des dommages et intérêts, mais pour des montants généralement modestes. Le raisonnement est cohérent avec l’arrêt du 24 juin 2026 : il faut un préjudice, et ce préjudice est souvent limité lorsque le droit a été exercé à des fins probatoires plutôt que pour vérifier réellement la licéité d’un traitement. Plusieurs juridictions du fond subordonnent d’ailleurs expressément l’indemnisation à la démonstration d’un préjudice, dans la ligne tracée par la Cour de justice de l’Union européenne.

Données personnelles des salariés : le RGPD irrigue tout le contentieux prud’homal

L’arrêt du 24 juin 2026 ne se comprend bien que replacé dans un contexte plus vaste : le RGPD est devenu omniprésent dans les litiges entre salariés et employeurs. La relation de travail n’échappe pas au règlement, qui s’applique à tout traitement de données à caractère personnel, automatisé ou non. Or les données personnelles des salariés sont au cœur d’innombrables situations : badges, géolocalisation, vidéosurveillance, messagerie professionnelle, fichiers de journalisation, adresses IP, bulletins de paie. La jurisprudence récente s’est emparée de ces sujets sous deux angles opposés.

Quand l’employeur produit les données du salarié contre lui

L’employeur peut se prévaloir des données personnelles du salarié pour établir une faute, sous réserve du respect des principes de licéité et de finalité. Le RGPD impose que les données soient traitées de manière licite, loyale et transparente, collectées pour des finalités déterminées et légitimes, et non utilisées ultérieurement d’une manière incompatible avec ces finalités. La jurisprudence applique ces principes avec exigence.

Ainsi, l’exploitation par l’employeur d’un fichier de journalisation et d’adresses IP a pu être jugée illicite lorsque les données avaient été traitées, sans le consentement de l’intéressé, à une autre fin que celle pour laquelle elles avaient été collectées, à savoir le contrôle individuel de l’activité du salarié. À l’inverse, l’utilisation d’un dispositif de vidéosurveillance installé pour assurer la sécurité des personnes et des biens a pu être admise lorsque le traitement ultérieur des images restait compatible avec cette finalité et que le salarié avait été informé. La finalité de la collecte apparaît déterminante.

En clair : un employeur ne peut pas détourner un outil de son objectif initial pour surveiller ses salariés à leur insu. Une caméra posée pour la sécurité ne se transforme pas librement en outil de contrôle disciplinaire. Tout dépend de la finalité déclarée du traitement et de l’information donnée aux salariés.

Quand le salarié réclame les données détenues par l’employeur

Le RGPD est aussi invoqué par les salariés eux-mêmes, pour accéder à des données utiles à un procès. Deux voies coexistent et nourrissent un contentieux abondant.

La première voie est l’article 145 du Code de procédure civile, qui permet d’obtenir, avant tout procès, des mesures d’instruction lorsqu’il existe un motif légitime de conserver ou d’établir la preuve de faits. Cette voie est très utilisée pour les contentieux de discrimination salariale, où le salarié demande la communication des bulletins de paie de collègues de comparaison. La Cour de cassation a rappelé que le droit à la protection des données n’est pas absolu et doit être mis en balance avec le droit à la preuve, conformément au principe de proportionnalité (Cass. soc., 1er juin 2023, n° 22-13.238). Le juge doit vérifier que la communication est nécessaire et proportionnée, au besoin en restreignant le périmètre des pièces et en ordonnant l’occultation des données des tiers non indispensables, au nom du principe de minimisation.

La seconde voie est le droit d’accès prévu par l’article 15 du RGPD. Conçu pour permettre à toute personne de vérifier la licéité d’un traitement et l’exactitude de ses données, ce droit est aujourd’hui utilisé à des fins probatoires, par exemple pour obtenir le contenu et les métadonnées de courriels professionnels. Cet usage est discuté : il détourne le droit d’accès de sa finalité d’origine et fait parfois doublon avec l’article 145. Certaines juridictions du fond y résistent, en relevant l’absence de motif légitime ou en refusant de qualifier des courriels professionnels de données personnelles.

En clair : un salarié dispose de deux clés pour accéder à des informations détenues par l’employeur. L’article 145 du Code de procédure civile, sous le contrôle d’un juge, et le droit d’accès du RGPD, plus large mais contesté lorsqu’il sert surtout à préparer un procès. Dans tous les cas, la mise en balance avec les droits des tiers et le secret des affaires reste exigée.

Le principe de minimisation : une protection renforcée des données des tiers

La protection des données des tiers s’est renforcée avec l’intégration du principe de minimisation dans le contrôle du juge. Lorsqu’un salarié demande la communication de documents contenant des données personnelles d’autres salariés, par exemple dans un contentieux de discrimination, le juge ne se contente plus d’apprécier la nécessité et la proportionnalité de la mesure. Il doit aussi veiller à ce que seules soient communiquées les données strictement indispensables à la comparaison, en ordonnant, au besoin d’office, l’occultation des autres données personnelles.

Le juge doit donc s’assurer que les mentions laissées apparentes sont adéquates, pertinentes et limitées à ce qui est indispensable. Il peut également enjoindre aux parties de n’utiliser les données des salariés de comparaison qu’aux seules fins de l’action engagée. Cette grille d’analyse a vocation à s’appliquer à toute demande de communication de documents concernant des tiers à l’instance, en référé comme au fond.

Cette avancée suscite toutefois des réserves. L’occultation des données suppose un retraitement qui peut s’avérer long et coûteux pour les entreprises, d’autant que le contentieux de la discrimination porte souvent sur une période étendue. La détermination de l’étendue de l’occultation est délicate et peut donner lieu à des appréciations divergentes selon les juridictions. La possibilité d’ordonner l’occultation ne doit pas non plus servir de prétexte à un élargissement du périmètre de la communication : le contrôle de proportionnalité subsiste, et le juge demeure tenu de cantonner la production de pièces lorsque c’est nécessaire.

En clair : quand vous obtenez des documents concernant vos collègues, vous n’avez pas accès à tout. Le juge fait masquer ce qui n’est pas utile à la comparaison, par exemple les coordonnées bancaires ou le numéro de sécurité sociale. C’est le principe de minimisation : on ne communique que ce qui est strictement nécessaire.

Le droit d’accès du RGPD : un outil de preuve sous surveillance

Le droit d’accès de l’article 15 du RGPD est de plus en plus mobilisé à des fins probatoires, mais cet usage est juridiquement fragile. Conçu pour permettre à la personne concernée de vérifier la licéité d’un traitement et l’exactitude de ses données, ce droit est aujourd’hui invoqué pour obtenir des éléments destinés à un procès, par exemple le contenu et les métadonnées de courriels professionnels, dont l’horodatage et les destinataires peuvent servir à établir des heures supplémentaires.

Cet usage soulève deux séries de difficultés. D’abord, il repose sur une lecture extensive de la notion de donnée personnelle. Le droit d’accès porte sur les données personnelles, non sur les documents qui les contiennent. La Cour de justice de l’Union européenne retient que le terme de copie ne se rapporte pas à un document en tant que tel, mais aux données personnelles qu’il contient. La communication de documents entiers ne s’impose que lorsqu’elle est indispensable à l’intelligibilité des données. Ensuite, l’usage probatoire détourne le droit d’accès de sa finalité d’origine. Lorsqu’un salarié demande l’accès à ses données dans le seul but de préparer un litige, son intention n’est pas de vérifier la licéité du traitement mais de se constituer une preuve.

La résistance de certaines juridictions du fond illustre ce malaise. Des décisions ont refusé de faire droit à des demandes de communication de courriels fondées sur l’article 15, en relevant un détournement de finalité ou en refusant de qualifier des courriels professionnels de données personnelles. L’argument de l’abus de droit est parfois retenu : exercer le droit d’accès à des fins purement probatoires, déconnectées de la protection des données, peut caractériser un abus, surtout lorsque la demande s’inscrit dans l’imminence de la fin du contrat ou vise à contourner les garanties de l’article 145 du Code de procédure civile.

En clair : le droit d’accès n’est pas une voie détournée pour fouiller dans les dossiers de l’entreprise avant un procès. Il sert à vérifier que vos données sont correctes et licitement traitées. Lorsqu’il est utilisé uniquement pour préparer un contentieux, les juges peuvent y voir un détournement, voire un abus de droit.

Les limites opposables à une demande d’accès

Plusieurs limites permettent de circonscrire la portée du droit d’accès, et leur interprétation stricte est souhaitable. La fourniture des données ne doit pas porter atteinte aux droits et libertés d’autrui, ce qui inclut le secret des affaires et la propriété intellectuelle. Lorsque le salarié est l’expéditeur ou le destinataire des courriels, la communication peut être présumée respectueuse des droits des tiers ; lorsqu’il ne l’est pas, l’atteinte au secret des correspondances est patente et la communication ne devrait s’imposer que si elle est indispensable et strictement proportionnée.

L’article 12, paragraphe 5, du RGPD permet en outre au responsable de traitement d’exiger le paiement de frais, ou de refuser de donner suite, lorsque les demandes sont manifestement infondées ou excessives, notamment par leur caractère répétitif. La demande doit être suffisamment précise quant à la nature des documents et comporter, le cas échéant, des limites temporelles. Enfin, une demande ne peut porter sur des données déjà supprimées ou dont la durée de conservation est expirée, ce qui souligne l’importance de fixer en amont des durées de conservation.

En clair : un employeur n’est pas démuni face à une demande d’accès trop large ou répétitive. Il peut demander au salarié de préciser sa demande, refuser de communiquer ce qui porte atteinte aux droits des tiers, et opposer le fait que certaines données n’existent plus. Mais il ne peut jamais se contenter d’un refus non motivé.

Ce que la décision change pour les salariés

Pour les salariés, le message est clair : invoquer un manquement au RGPD ne suffit plus, il faut prouver un préjudice. La réclamation de dommages et intérêts fondée sur la seule irrégularité d’un traitement est vouée à l’échec si elle n’est pas accompagnée d’une démonstration concrète du dommage subi et de son étendue.

Cela ne signifie pas que la protection disparaît. Le salarié conserve plusieurs leviers. Il peut toujours contester la recevabilité d’une preuve obtenue de façon illicite et demander au juge de procéder au contrôle de proportionnalité, qui peut conduire à écarter la preuve si l’atteinte à ses droits est disproportionnée. Il peut caractériser un préjudice moral réel, par exemple une atteinte à sa vie privée ou un trouble lié à une surveillance excessive. Il peut aussi mobiliser le droit à la preuve et l’article 145 du Code de procédure civile pour accéder aux éléments nécessaires à la défense de ses droits, notamment en matière de discrimination.

Exemple : Julien estime avoir été surveillé de manière disproportionnée par un dispositif non conforme. Plutôt que de réclamer mécaniquement des dommages et intérêts pour violation du RGPD, il aura intérêt à documenter son préjudice : le sentiment d’intrusion, les conséquences sur ses conditions de travail, les démarches entreprises. Et, si l’employeur s’appuie sur les données issues de ce dispositif, à demander au juge d’en apprécier la recevabilité au regard du test de proportionnalité.

Ce que la décision change pour les employeurs

Pour les employeurs, l’arrêt réduit le risque d’une condamnation automatique, mais n’autorise aucun relâchement. Le manquement au RGPD ne déclenche plus, à lui seul, une indemnisation. Pour autant, un traitement irrégulier reste un manquement, susceptible d’exposer l’entreprise à d’autres conséquences : irrecevabilité possible d’une preuve mal obtenue, contentieux de communication de pièces, et bien sûr risques propres au droit des données personnelles en dehors du prétoire prud’homal.

La maîtrise du risque passe par l’anticipation. La tenue effective du registre des activités de traitement, prévu par l’article 30 du RGPD, est essentielle : il consigne les finalités des traitements et les durées de conservation, deux informations déterminantes en cas de litige probatoire. Ce registre répond au principe de responsabilité, qui impose à l’entreprise de pouvoir démontrer à tout moment le respect des règles de protection des données. La rédaction d’une charte informatique permet de rappeler aux salariés les finalités des traitements et les durées de conservation, et participe au respect du droit à l’information. La définition rigoureuse des finalités de chaque traitement conditionne la possibilité, pour l’employeur, d’utiliser ultérieurement les données. Enfin, des durées de conservation maîtrisées réduisent le volume des données susceptibles d’être réclamées, étant précisé que des durées trop courtes priveraient aussi l’employeur de moyens de preuve.

La gestion des demandes d’accès appelle une méthode. Saisi d’une demande, l’employeur ne peut jamais opposer un refus sans justification. Si la demande est trop large, il invite le salarié à la préciser en lui rappelant la finalité du droit d’accès. Il transmet ensuite les seules informations qui ne portent pas atteinte aux droits d’autrui, au secret des affaires ou à la propriété intellectuelle, et justifie de manière précise tout refus partiel. Cette rigueur procédurale réduit le risque de condamnation et protège l’entreprise contre les demandes manifestement infondées ou excessives.

L’environnement normatif évolue par ailleurs. La directive européenne sur la transparence salariale du 10 mai 2023 prévoit que les travailleurs pourront demander des informations sur leur niveau de rémunération individuel et sur les niveaux moyens, ventilés par sexe, pour les catégories accomplissant un même travail ou un travail de même valeur. Si ces informations sont effectivement transmises, le périmètre des pièces réclamées au juge dans les contentieux de discrimination pourrait s’en trouver restreint. Les entreprises ont intérêt à intégrer cette perspective dans leur politique de conformité.

En clair : se conformer au RGPD reste un investissement utile, même après cet arrêt. Un traitement bien encadré, dont la finalité est claire et l’information donnée, sécurise l’usage des données en cas de litige. À l’inverse, une collecte hors finalité fragilise la preuve et expose l’entreprise, même si la condamnation automatique à des dommages et intérêts n’est plus de mise.

Exemple : Une PME met en place un outil de traçabilité informatique. Si sa finalité est définie comme la seule sécurité du système, l’employeur ne pourra pas, sans risque, s’en servir pour sanctionner un salarié. S’il anticipe en précisant, dans son registre et sa charte, une finalité incluant le contrôle de la bonne utilisation des moyens informatiques, et s’il en informe les salariés, il sécurise considérablement l’usage probatoire ultérieur de ces données.

Comment chiffrer et prouver le préjudice lié au RGPD

La nouvelle exigence probatoire impose de raisonner en termes de dommage matériel et de dommage moral. L’article 82 du RGPD vise les deux. Le préjudice matériel correspond à une perte financière mesurable, par exemple des frais engagés pour faire valoir ses droits ou réparer les conséquences d’une fuite de données. Le préjudice moral correspond à une atteinte non financière, par exemple une atteinte à la vie privée, un sentiment légitime de perte de contrôle sur ses données, ou un trouble caractérisé.

Le droit européen interdit de subordonner la réparation d’un dommage moral à un seuil de gravité. Un préjudice moral limité peut donc être indemnisé, à condition d’exister et d’être démontré. À l’inverse, la réparation a une fonction compensatoire et non punitive : elle ne peut pas excéder le préjudice réellement subi. La conséquence pratique est double. Il faut prouver le dommage, par tout moyen, et il faut en justifier l’étendue pour en obtenir une réparation à la juste mesure.

En clair : la question n’est plus « y a-t-il eu manquement ? » mais « quel dommage ce manquement a-t-il causé, et combien vaut-il ? ». Une réclamation chiffrée et étayée, qui relie précisément le manquement à un préjudice identifié, a bien plus de poids qu’une demande de principe.

Récapitulatif

Les points essentiels à retenir de l’arrêt du 24 juin 2026 et de son contexte :

  • La violation du RGPD n’ouvre pas, à elle seule, droit à réparation (Cass. soc., 24 juin 2026, n° 24-22.792, visa de l’article 82, paragraphe 1, du RGPD).
  • Le salarié qui réclame des dommages et intérêts doit prouver un préjudice matériel ou moral et en établir l’étendue.
  • La solution prolonge la Cour de justice de l’Union européenne (CJUE, 4 mai 2023, C-300/21, Österreichische Post ; CJUE, 25 janvier 2024, C-687/21, MediaMarktSaturn).
  • Une preuve illicite reste recevable si elle est indispensable et proportionnée (Cass. soc., 25 novembre 2020, n° 17-19.523).
  • Recevabilité de la preuve et réparation du manquement sont deux questions distinctes.
  • La logique du préjudice automatique recule, y compris en matière de données personnelles.
  • Pour les employeurs, l’anticipation passe par le registre des traitements, la charte informatique, la définition des finalités et la maîtrise des durées de conservation.

FAQ : vos questions sur le RGPD, la preuve illicite et le préjudice

La violation du RGPD ouvre-t-elle droit à des dommages et intérêts ?

Non, pas à elle seule. Depuis l’arrêt du 24 juin 2026 (n° 24-22.792), la chambre sociale juge que la simple violation du RGPD ne suffit pas à ouvrir un droit à réparation. La personne qui réclame une indemnisation doit établir que le manquement lui a causé un dommage matériel ou moral et en justifier l’étendue, sur le fondement de l’article 82, paragraphe 1, du règlement.

Faut-il prouver la gravité du préjudice pour être indemnisé ?

Non. Le droit de l’Union s’oppose à ce que la réparation d’un dommage moral soit subordonnée à un seuil de gravité (CJUE, 4 mai 2023, C-300/21, Österreichische Post). Un préjudice moral même limité peut être réparé. Mais il faut qu’un dommage existe et qu’il soit prouvé : l’absence de seuil de gravité ne dispense pas de démontrer un préjudice réel.

Une preuve illicite est-elle automatiquement écartée du procès prud’homal ?

Non. L’illicéité d’un moyen de preuve n’entraîne pas nécessairement son rejet (Cass. soc., 25 novembre 2020, n° 17-19.523). Le juge met en balance le droit au respect de la vie personnelle du salarié et le droit à la preuve. La preuve illicite peut être admise si sa production est indispensable à l’exercice du droit à la preuve et si l’atteinte aux droits du salarié est strictement proportionnée au but poursuivi.

Quelle est la différence entre preuve illicite et preuve déloyale ?

La preuve illicite est obtenue en violation d’une règle de droit, par exemple les dispositions du RGPD. La preuve déloyale est obtenue par un procédé déloyal, par exemple un stratagème ou un enregistrement clandestin. Dans les deux cas, la jurisprudence applique désormais un raisonnement proche : l’illicéité ou la déloyauté n’emporte pas l’exclusion automatique, le juge procède à un contrôle de proportionnalité au regard du droit à la preuve.

Le manquement au RGPD peut-il quand même jouer un rôle dans mon dossier ?

Oui. Même s’il n’ouvre plus, à lui seul, droit à réparation, le manquement reste pertinent. Il peut servir à contester la recevabilité d’une preuve produite par l’employeur, en demandant au juge d’apprécier la proportionnalité de l’atteinte. Il peut aussi nourrir la caractérisation d’un préjudice moral, si le salarié démontre une atteinte réelle à ses droits.

Les adresses IP et les fichiers de journalisation sont-ils des données personnelles ?

Oui. Les adresses IP permettent d’identifier indirectement une personne physique et constituent des données à caractère personnel. Leur exploitation par l’employeur est un traitement soumis au RGPD (Cass. soc., 25 novembre 2020, n° 17-19.523). Leur utilisation suppose le respect des principes de licéité et de finalité.

Un employeur peut-il utiliser une vidéosurveillance pour sanctionner un salarié ?

Cela dépend de la finalité du dispositif et de l’information donnée. Lorsqu’un système est installé pour assurer la sécurité des personnes et des biens, son utilisation à l’encontre d’un salarié peut être admise si le traitement reste compatible avec cette finalité et si le salarié a été informé. Un détournement de finalité, à l’insu des salariés, fragilise au contraire la licéité du traitement.

Qu’est-ce que le droit d’accès de l’article 15 du RGPD pour un salarié ?

Le droit d’accès permet au salarié d’obtenir de l’employeur la confirmation que ses données sont traitées et d’en obtenir une copie. Il a pour finalité de vérifier la licéité du traitement et l’exactitude des données. Il est parfois utilisé à des fins probatoires, par exemple pour obtenir des courriels, mais cet usage détourné est contesté et certaines juridictions du fond le refusent.

Comment obtenir les bulletins de paie de mes collègues en cas de discrimination ?

La voie habituelle est l’article 145 du Code de procédure civile. Le salarié demande au juge d’ordonner la communication des éléments nécessaires à la preuve d’une discrimination. Le droit à la protection des données n’est pas absolu et se concilie avec le droit à la preuve (Cass. soc., 1er juin 2023, n° 22-13.238). Le juge vérifie que la communication est nécessaire et proportionnée, et fait occulter les données des tiers qui ne sont pas indispensables à la comparaison.

Quelle indemnisation espérer pour une violation du RGPD au travail ?

Une indemnisation à la mesure du préjudice réellement subi, ni plus, ni moins. La réparation a une fonction compensatoire, non punitive (CJUE, 25 janvier 2024, C-687/21, MediaMarktSaturn). Lorsque le manquement n’a causé qu’un trouble limité, les sommes allouées par les juges du fond peuvent être modestes. L’évaluation dépend des éléments concrets versés au débat.

Cet arrêt s’applique-t-il aussi aux employeurs ?

Oui, il les concerne directement. Il réduit le risque d’une condamnation automatique fondée sur le seul non-respect du RGPD. Mais il n’autorise aucun relâchement : un traitement irrégulier reste un manquement, susceptible de fragiliser une preuve ou d’exposer l’entreprise par d’autres voies. La conformité au RGPD demeure un investissement de sécurisation juridique.

Que doit faire une entreprise pour sécuriser l’usage des données de ses salariés ?

Anticiper. Tenir un registre des activités de traitement précisant les finalités et les durées de conservation, rédiger une charte informatique, définir clairement la finalité de chaque traitement et informer les salariés. Ces précautions conditionnent la possibilité d’utiliser ultérieurement les données comme preuve et limitent l’exposition de l’entreprise.

Le consentement du salarié est-il nécessaire pour traiter ses données ?

Pas toujours, et c’est un point souvent mal compris. Le consentement n’est qu’un des fondements de licéité prévus par l’article 6 du RGPD. Dans la relation de travail, le consentement du salarié est généralement considéré comme peu pertinent en raison du lien de subordination. L’employeur s’appuie le plus souvent sur d’autres fondements, comme l’intérêt légitime, à condition d’en respecter les limites et de définir précisément la finalité du traitement.

Combien de temps un employeur peut-il conserver les données de ses salariés ?

Le temps nécessaire à la finalité du traitement, et pas davantage. Le principe de conservation limitée interdit de détenir les données au-delà du temps utile à l’objectif poursuivi. Certaines durées sont imposées par la loi ou recommandées par la CNIL. Des durées trop longues exposent l’entreprise, mais des durées trop courtes la privent de moyens de preuve : la fixation de durées adaptées, consignées dans le registre, est un arbitrage stratégique.

À quoi sert la sensibilisation des salariés au RGPD ?

À assurer le respect du droit à l’information et à sécuriser les traitements. Une charte informatique et des actions de sensibilisation rappellent aux salariés les finalités des traitements, les durées de conservation et les règles d’usage des outils. Elles participent à la transparence exigée par le RGPD et renforcent la position de l’employeur lorsqu’il doit, le cas échéant, se prévaloir de données dans un litige.

Vous êtes confronté à une question de RGPD, de preuve illicite ou de préjudice en droit du travail ?

La frontière entre recevabilité de la preuve et réparation du manquement est désormais nette, mais elle se manie avec rigueur. Une réclamation mal construite côté salarié, ou une collecte de données mal encadrée côté employeur, peuvent faire basculer un dossier.

Auron Avocat accompagne salariés et employeurs sur l’ensemble de ces questions : contestation ou production d’une preuve issue de données personnelles, évaluation et démonstration d’un préjudice, demandes de communication de pièces sur le fondement de l’article 145 du Code de procédure civile ou du droit d’accès, sécurisation des traitements de données dans l’entreprise.

Le délai pour agir devant le conseil de prud’hommes étant strictement encadré, n’attendez pas pour faire analyser votre situation.

Contactez Auron Avocat pour une consultation personnalisée.

Auteur de l'article
Arnaud Sirven
Fondateur d'Auron Avocat
Heading 2
Organiser un rendez-vous

Publications associés

29.06.2026
Heures supplémentaires non payées : un simple décompte suffit-il à les prouver ?
Vous avez travaillé bien au-delà de votre horaire et ces heures n’ont jamais été payées. Vous hésitez à agir parce que vous pensez ne pas pouvoir prouver vos horaires précis. Cette crainte, très répandue, repose sur une idée fausse. En matière d’heures supplémentaires, la preuve ne pèse pas sur le seul salarié. Elle est partagée avec l’employeur, qui a l’obligation de contrôler le temps de travail.L’arrêt rendu par la chambre sociale de la Cour de cassation le 20 mai 2026 (n° 25-11.132) en offre une illustration nette. Il rappelle aux juges du fond qu’ils ne peuvent pas exiger du salarié un décompte parfait tout en fermant les yeux sur le silence de l’employeur. Cet article décrypte cette décision en détail, explique le mécanisme de la preuve des heures supplémentaires et vous donne les réflexes pratiques pour défendre vos droits.
29/6/26
Détournement de clientèle par un ancien salarié : vos recours expliqués simplement.
Un de vos commerciaux quitte l’entreprise. Quelques mois plus tard, vous découvrez qu’il travaillait déjà pour un concurrent avant son départ, qu’il lui a transmis vos prix et qu’il a fait basculer plusieurs clients. Que pouvez-vous faire ? Et si vous êtes salarié, jusqu’où avez-vous le droit d’aller pour préparer votre avenir ?Pendant longtemps, ce genre de bataille se réglait entre entreprises, devant le tribunal de commerce. Les choses changent. Plusieurs décisions récentes montrent que le droit du travail devient une arme à part entière contre la déloyauté. L’employeur peut désormais s’en prendre directement à son ancien collaborateur, devant le juge du contrat de travail.Cet article vous explique simplement comment fonctionne ce mécanisme, ce que vous risquez et ce que vous pouvez obtenir.
27/6/26
Barème Macron : comment les risques psychosociaux permettent d'être indemnisé bien au-delà du plafond
Le barème Macron est présenté comme une protection pour l’employeur : un tableau qui plafonne le coût d’un licenciement injustifié. Sur le papier, tout paraît simple. En pratique, ce plafond laisse passer beaucoup de choses, et les salariés comme leurs avocats l’ont parfaitement compris. La principale brèche porte un nom : les risques psychosociaux. Harcèlement, épuisement professionnel, objectifs impossibles à tenir, réorganisation menée à la hache, chacune de ces situations peut ouvrir la voie à une indemnisation très supérieure à ce que le barème laisse imaginer. Le volume des affaires portées chaque année devant les prud’hommes, de l’ordre de plus de 100 000 nouveaux dossiers, en porte de plus en plus la trace.
Prendre un rendez-vous
OURAMA | Création de site internet pour avocatsMentions légales
Logo Auron Avocat