Contexte de l'affaire
Suite à son licenciement, un salarié saisit la juridiction prud'homale. Dans le cadre du contentieux, l'employeur avait produit des éléments de preuve impliquant le traitement de données personnelles du salarié, collectées auprès d'une société tierce sans le consentement du salarié, en méconnaissance des dispositions du RGPD.
Saisie, la Cour d'appel a admis la recevabilité des preuves et fait application de la jurisprudence établie en la matière : une preuve illicite peut être admise dans les débats dès lors que sa production est indispensable à l'exercice du droit à la preuve et proportionnée au but poursuivi.
En revanche, concernant la demande indemnitaire, la Cour d'appel a condamné l'employeur à verser au salarié 5 000 euros de dommages-intérêts pour exécution déloyale du contrat de travail, au motif que la violation du RGPD a « nécessairement » causé un préjudice au salarié.
Saisie du pourvoi, la Cour de cassation casse l’arrêt d’appel. Elle rappelle qu’aux termes de l’article 82 du RGPD, le droit à réparation est réservé à « toute personne ayant subi un dommage matériel ou moral du fait d'une violation » du règlement et impose la preuve d'un dommage effectivement subi.
La Cour de cassation affirme donc clairement le principe selon lequel la simple violation du règlement général sur la protection des données n’ouvre pas, à elle seule, droit à réparation. Le juge du fond aurait dû apprécier si le salarié établissait que la violation du règlement lui avait causé un dommage matériel ou moral.
Question posée par l’arrêt
En matière de violation de la protection des données, quelles sont les conditions pour obtenir une indemnisation ?
Les points clé de la Cour de cassation
Depuis l’entrée en application du RGPD en 2018, la jurisprudence admettait, selon une logique de préjudice automatique, que tout manquement de l’employeur à ce RGPD causait nécessairement un préjudice au salarié, lui ouvrant un droit à réparation quasi systématique.
Depuis l’arrêt de la chambre sociale du 24 juin 2026, la simple violation des dispositions de ce règlement, en l'espèce, la production d'éléments de preuve impliquant le traitement des données personnelles du salarié, ne suffit plus à conférer à ce dernier un droit à réparation.
En d'autres termes, nn salarié ne peut plus obtenir de dommages-intérêts en se contentant d’invoquer une irrégularité de l’employeur dans le traitement de ses données personnelles. Pour engager la responsabilité civile de l’employeur, le salarié doit prouver un préjudice effectif et concret.
Dans cette décision, la Cour de cassation aligne sa jurisprudence sur celle de la Cour de justice de l’Union européenne qui, depuis 2023, pose 3 conditions cumulatives pour obtenir réparation : une violation du RGPD, un dommage matériel ou moral réel (anxiété due à une surveillance, atteinte à la vie privée, fuite de données…), et un lien de causalité entre les deux.
Il n’est pas exigé que le dommage soit important ou grave, il suffit qu’il soit établi et prouvé par le salarié sur qui repose la charge de la preuve.
A défaut, la demande d’indemnisation est rejetée.
En revanche, cet arrêt n’empêche pas la CNIL de sanctionner tout manquement de l’employeur au RGPD, d’engager à son encontre des procédures de mise en demeure et de le condamner à des sanctions administratives, même en l’absence de préjudice subi par le salarié.
Impact sur l’employeur
Bien que l’employeur ne soit plus systématiquement exposé à une condamnation en cas de manquement au RGPD , cela reste une faute qui l’expose à une sanction de la CNIL, à l’indemnisation du salarié si ce dernier prouve un dommage , même minime, ou encore à la nullité des preuves obtenues par moyen illicite en cas de contentieux. L’employeur doit donc rester prudent et respecter son obligation de conformité au RGPD.