LA PREUVE DES HEURES SUPPLEMENTAIRES. Episode 2. Droit d’accès du salarié aux métadonnées et à sa messagerie professionnelle

Précédemment: Conformément à l’article L. 3171-4 du Code du Travail, et contrairement à la règle traditionnelle qui fait peser la charge de la preuve sur le demandeur, la preuve des heures de travail effectuées, en particulier, supplémentaires n'incombe spécialement à aucune des parties. A l’examen des éléments de preuve apportés tant par l’employeur que le salarié, le juge « forme sa conviction après avoir ordonné, en cas de besoin, toutes les mesures d'instruction qu'il estime utiles »[1]. Il était donc opportun de recenser les différents moyens de preuve à la disposition des parties (voir notre article précédent : La preuve des heures supplémentaires : techniques éprouvées et nouvelles technologies.) 

Parmi ces éléments de preuve, la messagerie professionnelle constitue bien entendu un outil majeur dans la démonstration des heures supplémentaires réalisées, de l’amplitude journalière, du travail effectif et/ou du non-respect par l’employeur du droit à la déconnexion.

Cependant, le salarié, dès son éventuelle mise à pied conservatoire ou postérieurement à son licenciement se voit le plus souvent interdire tout accès à sa messagerie professionnelle. Comment surmonter cette difficulté ? La chambre sociale de la Cour de Cassation nous a rappelé récemment[2] que le Règlement Général sur la Protection des Données (RGPD) et particulièrement son article 15 permet (en théorie au moins) au salarié d’avoir accès à sa messagerie professionnelle ou aux métadonnées de celle-ci postérieurement à la rupture de son contrat de travail

1.     L’accès aux données personnelles et aux courriels professionnels du salarié.

Dans une note du 5 janvier 2022 (mise à jour au 31 janvier 2025), la CNIL rappelle les principes régissant aux termes du RGPD, le droit d’accès du salarié à ses données personnelles et à sa messagerie professionnelle.

L'exercice du droit d’accès permet à une personne, ou pour ce qui nous intéresse, à un salarié, de savoir si des données qui le concernent sont traitées, puis d’en obtenir, s’il le souhaite, la communication dans un format compréhensible dans le but notamment d’en contrôler l'exactitude, voire de les faire rectifier ou effacer.

Ce droit, initialement fondé sur l’article 39 de la loi Informatique et Libertés du 6 janvier 1978, puis sur l’article 15 du RGPD du 14 avril 2016, oblige l’organisme, en l’espèce, l’employeur à fournir au salarié une copie des données personnelles qu’il détient ainsi que les informations suivantes :

• Les objectifs d’utilisation de vos données ;
• Les catégories de données collectées (par ex. : nom, prénom, adresse, etc.) ;
• L’identité des destinataires auprès desquels les données sont communiquées ;
• La durée de conservation des données ou les critères qui déterminent cette durée ;
• L’existence des autres droits (droit de rectification, d’effacement, de limitation, d’opposition) ;
• Toute information relative à la source spécifique des données collectées si celles-ci n’ont pas été récoltées directement auprès du salarié ;
• L’existence d'une prise de décision automatisée (y compris en cas de profilage), le fonctionnement de celle-ci, son importance et ses conséquences ;
• L’éventuel transfert des données vers un pays en dehors de l’Union européenne ou vers une organisation internationale;
• La possibilité d’adresser une plainte à la CNIL ;

La CNIL comme la jurisprudence rappellent que les courriels professionnels constituent des données à caractère personnel puisqu’ils permettent l’identification de la personne qui les envoie ou qui les reçoit.

Ainsi, la Cour de justice de l’UE a précisé que « si la fourniture d’une copie d’extraits de documents, voire de documents entiers est indispensable pour permettre à la personne concernée d’exercer effectivement ses droits, alors le droit d’obtenir la copie implique qu’il soit remis à la personne concernée une reproduction fidèle et intelligible de l’ensemble de ces données étant souligné qu’il doit être tenu compte, à cet égard, des droits et libertés d’autrui »[3].

Ce principe implique que, lorsqu’un salarié souhaite exercer son droit d’accès à sa messagerie professionnelle, l’employeur doit fournir tant les métadonnées (horodatage, destinataires…) que les données personnelles qu’elle contient.

Les personnes concernées doivent pouvoir exercer le droit d’accès gratuitement, bien que, certaines situations exceptionnelles, notamment en cas de demande d’une copie supplémentaire, puissent engendrer des demandes de paiement de frais liés au traitement du dossier.

Le salarié n’a pas non plus besoin de justifier d’un motif nous rappelle la Cour de justice de l’UE : « Force est de constater que ni le libellé de l’article 12, paragraphe 5, du RGPD ni celui de l’article 15, paragraphes 1 et 3, de ce règlement ne conditionnent la fourniture, à titre gratuit, d’une première copie des données à caractère personnel à l’invocation, par ces personnes, d’un motif visant à justifier leurs demandes. Ces dispositions ne donnent donc pas au responsable du traitement la possibilité d’exiger de motifs de la demande d’accès présentée par la personne concernée »[4].

La Cour confirme dans sa décision du 18 juin 2025 le principe aux termes duquel le salarié a la possibilité de solliciter les métadonnées, voire le contenu de sa messagerie professionnelle lui permettant ainsi de conforter ses demandes issues du non-respect des dispositions légales ou conventionnelles en matière de durée de travail : « une cour d'appel, après avoir relevé que le salarié avait demandé la communication des courriels émis ou reçu par lui dans le cadre de l'exécution de son contrat de travail, a constaté, procédant à la recherche prétendument omise, que la société … ne justifiait pas avoir communiqué ni les métadonnées ni le contenu des courriels émis ou reçus par lui, et n'invoquait aucun motif pour expliquer cette abstention.

La cour d'appel a pu en déduire que cette abstention était fautive et a constaté qu'elle avait causé à l'intéressé un préjudice dont elle a souverainement apprécié le montant. »

[5]

2.     Les éventuels obstacles à cette communication et leurs sanctions en cas de refus.

a.      Restrictions et/ou obstacles.

Le droit d’accès ne peut porter que sur les données personnelles et non sur des documents. Ainsi la CNIL précise que « lorsqu’une personne concernée souhaite exercer son droit d’accès à des courriels, l’employeur doit fournir tant les métadonnées (horodatage, destinataires…) que les données personnelles contenues dans les courriels. Dans cette situation, la communication d’une copie des courriels peut apparaître comme la solution la plus aisée pour que l’organisme puisse satisfaire la demande. Cependant, cette solution ne saurait être obligatoire.  Ainsi l’envoi d’un tableau contenant les métadonnées et les données personnelles contenues dans les différents courriels est également une solution »[6].

L’employeur peut refuser en justifiant le fait que l’exercice du droit d’accès du salarié est susceptible de porter atteinte :

• Au droit des tiers : seules les données du salarié peuvent être communiquées au titre du droit d’accès;
• A la propriété intellectuelle ou industrielle;
• Au secret des affaires;
• Au secret défense, etc.

b.      Sanctions en cas de refus.

Dans l’arrêt précité, la Cour de cassation rappelle que le refus injustifié de faire droit à la demande d’accès du salarié est sanctionnable par l’allocation de dommages et intérêts. Le montant de la condamnation (500 €) est loin d’être dissuasif pour la plupart des employeurs confrontés à de telles demandes, en particulier si l’on prend en considération les contraintes logistiques qui l'accompagnent.

La CNIL a la possibilité de mettre en demeure les employeurs qui ne respectent pas les dispositions du RGPD de se mettre en conformité dans un délai imparti. Elle peut également prononcer des sanctions/amendes administratives jusqu’à 4 % du chiffre d’affaires annuel mondial (en 2024, des amendes administratives de 5 000 € à 18 000 € ont été notifiées pour non-respect du droit d’accès).

Ces sanctions suffisent-elles à convaincre les employeurs de respecter le droit d’accès de leurs ex-salariés ? Rien n’est moins sûr, sauf demande du salarié d’une communication sous astreinte sur le fondement de l’article 145 du CPC. Notons cependant qu'un refus injustifié peut induire une présomption favorable aux calculs présentés par le salarié et une potentielle perte de crédit accordé aux arguments responsifs de l’employeur.

[1] Article L. 3171-4 du Code du Travail.
[2] Cass. Soc. 18 juin 2025, n° 23-19.022.
[3] CJUE, 4 mai 2023, Österreichische Datenschutzbehörde et CRIF, C‑487/21, EU:C:2023:369, point 45.
[4] CJUE 26 octobre 2023, demande de décision préjudicielle du Bundesgerichtshof — Allemagne, C-307/22.
[5] Infographie CNIL Droit d’accès des salariés à leurs données et aux courriels professionnels.
[6] CNIL Droit d’accès des salariés à leurs données et aux courriels professionnels.