03.04.2026

Droit d'accès RGPD : le guide que chaque salarié et chaque employeur devrait lire

Vous êtes salarié et vous souhaitez obtenir une copie de vos données personnelles détenues par votre employeur ? Vous êtes en conflit avec votre entreprise et votre avocat vous conseille d’exercer votre droit d’accès RGPD pour constituer votre dossier ? Ou, à l’inverse, vous êtes employeur et vous recevez une demande de droit d’accès d’un salarié ou d’un ancien salarié, sans savoir exactement ce que vous devez (et ne devez pas) communiquer ?

Prendre rendez-vous

Le droit d’accès prévu par l’article 15 du RGPD est devenu l’un des outils les plus utilisés par les salariés et ex-salariés dans le cadre de litiges avec leur employeur. Mais ce droit, souvent mal compris, reste une source de confusion considérable, notamment sur la distinction fondamentale entre l’accès aux données personnelles et l’accès aux documents de l’entreprise.

Ce guide complet vous permettra de comprendre l’étendue exacte du droit d’accès RGPD des salariés, de savoir quelles données l’employeur est tenu de communiquer (et lesquelles il peut refuser), de maîtriser les délais et les procédures, et d’anticiper les risques juridiques et financiers liés à un refus ou à une mauvaise gestion de ce droit.

Qu’est-ce que le droit d’accès RGPD ? Les fondamentaux à connaître

L’article 15 du RGPD : le texte de référence

Le droit d’accès est prévu par l’article 15 du Règlement général sur la protection des données (RGPD). Ce texte confère à toute “personne concernée” le droit d’obtenir du “responsable du traitement” la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données.

Avant d’aller plus loin, clarifions ces deux notions essentielles. Une “personne concernée” est un individu dont une autre personne physique ou morale détient des données personnelles. Un salarié, un agent public, un candidat à un emploi sont donc des personnes concernées. Un “responsable de traitement” est une personne qui collecte et traite des données. Une entreprise qui traite les données de ses salariés, agents ou candidats est donc un responsable de traitement.

Pour le dire simplement : tout salarié, tout ancien salarié et tout candidat est en droit d’exercer son droit d’accès auprès de son employeur (ou ancien employeur).

En clair : le droit d’accès RGPD permet à un salarié de demander à son employeur : “Quelles données personnelles détenez-vous sur moi ? Donnez-moi une copie.” L’employeur est tenu de répondre. Ce droit est garanti par la législation européenne et s’applique à toutes les entreprises, quelle que soit leur taille.

Les conséquences d’un non-respect du droit d’accès

Le non-respect du droit d’accès peut entraîner des conséquences très lourdes pour l’employeur. On distingue trois types de risques.

Premièrement, une action de la Cnil (Commission nationale de l’informatique et des libertés). L’autorité de contrôle dispose d’un éventail de sanctions allant de la simple injonction à l’amende administrative. Les montants peuvent être considérables puisque le RGPD prévoit des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (RGPD, art. 83).

Deuxièmement, une décision judiciaire en réparation du préjudice subi par le salarié (RGPD, art. 82). Le salarié peut saisir le juge pour obtenir des dommages et intérêts.

Troisièmement, et c’est souvent le plus redouté par les employeurs, l’utilisation du refus comme argument dans un contentieux prud’homal. Un salarié qui démontre que son employeur a refusé ou tardé à répondre à sa demande de droit d’accès dispose d’un argument supplémentaire devant les juges.

En clair : ne pas répondre à une demande de droit d’accès RGPD, c’est s’exposer à une amende de la Cnil, à une action en justice du salarié, et à un argument défavorable devant les prud’hommes. Les employeurs ont donc tout intérêt à traiter ces demandes avec sérieux et diligence.

Un droit de plus en plus instrumentalisé

Il faut le reconnaître : le droit d’accès RGPD est aujourd’hui fréquemment détourné de son sens premier. Il est massivement instrumentalisé dans le cadre des précontentieux et contentieux RH (licenciement, harcèlement, atteinte à la RGPD en ressources humaines, etc.), voire de certaines négociations collectives.

Ces demandes émanent le plus souvent du salarié lui-même (en tant que “personne concernée”). Elles sont parfois exercées par le conseil du salarié dans le cadre de son mandat de représentation. L’objectif réel n’est pas toujours de vérifier quelles données sont traitées, mais plutôt de constituer un dossier en vue d’une procédure judiciaire.

Loin d’être une simple formalité, le droit d’accès impose de concilier les droits du salarié avec les intérêts de l’entreprise et ses impératifs en termes de confidentialité. La question se pose alors du type de données, d’informations ou de documents que le salarié est en droit de demander, et donc de recevoir, sur le fondement de l’article 15 du RGPD.

Exemple : Sophie est directrice commerciale dans une entreprise de 150 salariés. Après un entretien préalable à un éventuel licenciement, son avocat lui conseille d’exercer immédiatement son droit d’accès RGPD. L’objectif est clair : obtenir des courriels internes, des comptes-rendus d’évaluation et d’éventuels échanges entre la direction et les RH la concernant, afin de préparer sa défense devant les prud’hommes. Cette stratégie est de plus en plus courante.

La confusion fondamentale : “données” n’est pas “documents”

L’article 15 ne parle que de “données”, pas de “documents”

C’est le point central de toute demande de droit d’accès, et c’est aussi celui qui génère le plus de confusion. L’article 15 du RGPD est parfaitement clair : il porte sur les données à caractère personnel, et non sur les documents.

Or, les demandes des salariés (ou de leurs conseils) sont souvent formulées de manière très large : “toutes données ou documents me concernant”, “accès aux données du SIRH, aux courriers électroniques, aux données issues des outils métiers, des outils de communication tels que Teams, etc.”.

Même si la demande n’est pas détaillée, dès lors qu’elle est fondée sur l’article 15 du RGPD ou qu’elle vise une demande d’accès, l’entreprise doit y satisfaire dans un délai de 30 jours (avec possibilité de prolongation de 60 jours si l’entreprise peut justifier d’une difficulté particulière, par exemple en raison du volume, des vacances ou de la complexité technique).

En clair : quand un salarié exerce son droit d’accès RGPD, il a droit à ses données personnelles, pas à tous les documents de l’entreprise qui le mentionnent. C’est une distinction capitale que beaucoup de salariés (et même certains avocats) ignorent ou feignent d’ignorer.

La position claire de la Cnil

La Cnil elle-même insiste sur cette différence fondamentale. Le droit d’accès porte uniquement sur les données personnelles et non pas sur des documents. L’organisme ne doit pas faire preuve de formalisme dans l’expression de la demande.

La Cnil précise que le droit d’accès répond à un besoin particulier : il permet à une personne de savoir si des données qui la concernent sont traitées, puis d’en obtenir, si elle le souhaite, la communication dans un format compréhensible. Cette démarche permet notamment de contrôler l’exactitude des données et, au besoin, de les faire rectifier ou effacer.

La Cnil rappelle aussi que le droit d’accès ne doit pas être confondu avec d’autres procédures qui permettent effectivement au salarié d’accéder à des documents. Le droit d’accès ne doit pas être confondu avec les autres règles de communication de documents ou de pièces dans le cadre d’une procédure judiciaire ou d’une demande de document administratif (CADA).

En clair : la Cnil dit clairement : le droit d’accès RGPD, c’est pour vos données personnelles. Si vous voulez des documents, il existe d’autres voies juridiques (procédure judiciaire, CADA, etc.). Les deux ne doivent pas être confondus.

La confirmation par la Cour d’appel de Paris

La Cour d’appel de Paris, dans un arrêt du 18 décembre 2025, a rappelé cette summa divisio de base.

La Cour a précisé que la finalité de l’article 15 n’est pas d’obtenir la copie de la correspondance électronique professionnelle émise ou reçue par le salarié dans le cadre de son activité dont il a, par définition, eu connaissance en totalité, et qui ne contient, à moins qu’il en fasse la preuve contraire de leur caractère personnel, comme seules données personnelles que son identification (l’adresse mail et son nom), ce qui n’est pas le cas en l’espèce.

Il faut en conclure que le salarié ou le candidat est en droit de demander la communication des données le concernant, mais que l’article 15 n’a pas pour objet, ni pour effet, d’accéder à des documents.

Exemple : Antoine est cadre dans une banque. Après sa mise à pied conservatoire, il adresse une demande de droit d’accès RGPD à son employeur en réclamant “l’intégralité de ma correspondance électronique professionnelle, tous les comptes-rendus de réunion me mentionnant, et tous les documents RH me concernant”. L’employeur n’est pas tenu de fournir tous ces documents. Il doit communiquer les données personnelles d’Antoine (nom, prénom, évaluations, données du SIRH, etc.), mais pas l’intégralité de ses courriels professionnels ni les comptes-rendus de réunion.

Et pourtant, l’entreprise peut refuser l’accès aux documents

En conséquence, l’entreprise est parfaitement en droit de refuser l’accès à des documents sur le fondement de l’article 15 du RGPD.

Cela ne lui interdit cependant pas de communiquer des documents dans un autre cadre et sur un autre fondement que le droit d’accès. Elle satisfera également, bien entendu, les demandes qui seraient formulées par les juridictions ou les autorités compétentes (autorité de police ou autorité de contrôle).

En clair : un employeur peut dire “non” à une demande de documents fondée sur le droit d’accès RGPD. En revanche, il ne peut pas dire “non” à une demande de données personnelles. Et si un juge ordonne la communication de documents, c’est un tout autre fondement juridique.

Quelles données le salarié peut-il réellement obtenir ?

Les quatre catégories de données accessibles

En pratique, le droit d’accès se traduit par la communication d’une copie des données suivantes.

Les données RH. Ce sont les données saisies dans les outils informatiques et applications RH ou dans le SIRH par l’entreprise et/ou le salarié directement. Cela inclut les informations d’état civil, les coordonnées, les données contractuelles, les évaluations, les données de paie, etc.

Les données métiers. Ce sont les données liées à l’usage des outils métiers de l’entreprise (essentiellement des logs de connexion ou workflow). Par exemple, les traces de connexion à un logiciel métier, les données de production dans un outil de gestion de projet.

Les données bureautiques. Ce sont les données liées à l’usage des outils bureautiques de type messagerie, agenda, outils de visioconférence (essentiellement des logs et traces d’usages). Il ne s’agit pas du contenu des emails eux-mêmes, mais des métadonnées : horodatage, destinataires, objet.

Les données de suivi et de contrôle. Ce sont les données issues des outils tels que le contrôle d’accès, le badgeage, la géolocalisation, la vidéosurveillance, etc.

En clair : votre employeur détient probablement des données sur vous dans quatre grands “silos” : le SIRH (paie, contrat, évaluations), les outils métiers (logs de connexion), la bureautique (messagerie, agenda) et les outils de surveillance (badge, géolocalisation). Vous avez le droit de savoir ce qui s’y trouve et d’en obtenir une copie.

La limite essentielle : le respect des droits des tiers

Il existe une limite fondamentale à la communication de ces données. L’article 15, point 4, du RGPD le rappelle clairement : le droit d’obtenir une copie “ne porte pas atteinte aux droits et libertés d’autrui”.

En d’autres termes, les données qui seront communiquées devront être purgées de celles concernant des tiers (manager, RRH, autres salariés, etc.). Cette obligation de “caviardage” (masquage des informations de tiers) est essentielle et représente souvent une charge de travail considérable pour l’employeur.

Exemple : Marine exerce son droit d’accès auprès de son employeur. Celui-ci retrouve dans le SIRH son entretien annuel d’évaluation, rédigé par son manager Paul. Le document contient des commentaires de Paul, des objectifs fixés conjointement, et une mention de comparaison avec un autre salarié (“performance inférieure à celle de Julien sur le même poste”). L’employeur doit communiquer l’évaluation à Marine, mais en masquant le nom de Julien et toute information permettant de l’identifier. Le nom du manager Paul, en revanche, peut être conservé car il agit en qualité de représentant de l’employeur.

En clair : les données auxquelles le salarié peut avoir accès sont de différente nature et devront être traitées dans le respect des droits des tiers (occultation partielle, floutage, etc.). C’est ce qu’on appelle le “caviardage”, et c’est souvent la partie la plus chronophage du traitement d’une demande de droit d’accès.

La question épineuse des courriers électroniques

Les courriels sont des “documents”, pas des “données”

C’est l’un des points les plus débattus en pratique, car beaucoup de demandes de droit d’accès visent spécifiquement les courriers électroniques. Or, il faut tordre le cou une bonne fois pour toutes à une idée reçue : les courriers électroniques (et autres échanges numériques) n’appartiennent pas au salarié, mais à l’entité qui l’emploie.

Ce point a été rappelé maintes et maintes fois par la Cour de cassation et le Conseil d’État. Les courriers électroniques sont même présumés être professionnels. Seuls les courriers électroniques clairement “privés” ou estampillés “personnel” appartiennent au salarié, et encore avec quelques limites qui pourraient faire l’objet d’un article à lui tout seul.

Les courriers électroniques sont donc bien des “documents” et non des “données”. Ce point est rappelé aussi bien par la Cnil que par la Cour d’appel de Paris.

En clair : vos emails professionnels appartiennent à votre employeur, pas à vous. Et comme ce sont des “documents” (pas des “données” au sens du RGPD), votre employeur n’est pas obligé de vous les communiquer dans le cadre d’une demande de droit d’accès. C’est une réalité juridique que beaucoup de salariés ignorent.

La position pragmatique de la Cnil sur les courriels

La Cnil n’a jamais imposé aux employeurs de communiquer les courriers électroniques. Elle a simplement admis que, par “simplicité”, l’entreprise, plutôt que de communiquer les seules données relatives aux courriers électroniques, pouvait communiquer certains courriers électroniques eux-mêmes.

La Cnil précise clairement que “document” et “donnée personnelle” sont deux notions différentes, et qu’il n’est pas interdit à l’organisme de communiquer les documents contenant les données plutôt que les seules données, si rien n’y fait obstacle et si c’est plus pratique.

Prenons un exemple donné par la Cnil elle-même : lorsqu’une personne concernée souhaite exercer son droit d’accès à des courriels, l’employeur doit fournir tant les métadonnées (horodatage, destinataires, etc.) que les données personnelles contenues dans les courriels. Dans cette situation, la communication d’une copie des courriels peut apparaître comme la solution la plus aisée pour que l’organisme puisse satisfaire la demande. Cependant, cette solution ne saurait être obligatoire.

En clair : la Cnil dit en substance : “Communiquer les courriels entiers est une facilité, pas une obligation. L’employeur peut choisir de ne communiquer que les données personnelles extraites des courriels (métadonnées, informations d’identification). C’est plus fastidieux, mais c’est son droit.”

Les conditions strictes si l’employeur choisit de communiquer les courriels

Si l’employeur s’engage dans la voie de la communication des courriels eux-mêmes (par commodité), il devra, en tout état de cause, s’assurer de plusieurs choses.

Premièrement, que seuls les courriers électroniques émis ou reçus par le salarié soient communiqués. Il n’est donc pas possible de lui transmettre des courriers échangés entre d’autres individus, y compris si ces derniers le concernent.

Deuxièmement, que ces courriers électroniques soient traités de manière à masquer, cacher ou occulter d’une manière irréversible les données concernant d’autres personnes.

Troisièmement, que ces courriers électroniques soient traités de manière à masquer, cacher ou occulter d’une manière irréversible les données relatives à la vie des affaires.

Exemple : L’employeur de Lucas décide, par simplicité, de lui communiquer ses courriels plutôt que d’en extraire les seules données personnelles. Avant l’envoi, le service RH doit passer en revue chaque courriel pour masquer les noms des autres salariés mentionnés, les informations commerciales confidentielles, et les données relatives aux clients. Un email où le directeur commercial écrit “Lucas a sous-performé par rapport à Marc sur le compte Dupont SA” devra être caviardé pour masquer “Marc” et “Dupont SA”. C’est un travail considérable qui peut prendre des semaines.

Le résultat paradoxal du caviardage

Ces limites étant posées, le caviardage des courriers électroniques apparaît bien plus complexe, chronophage et risqué que la communication des seules données issues des courriers électroniques.

La mise en oeuvre de ces règles aboutit finalement à communiquer des courriers électroniques totalement inexploitables, ce qui est une charge de travail importante pour l’employeur et une source de frustration pour le salarié.

La Cnil et la Cour d’appel de Paris convergent sur ce point. Dans une décision remarquable de la Cour d’appel de Paris du 18 décembre 2025, la Cour rappelle les règles du jeu et les limites au droit d’accès.

La Cour définit la notion de “données” et en quoi les courriers électroniques en diffèrent. Elle rappelle notamment que l’adresse mail professionnelle de M. [nom] et son nom, les autres documents ou mails émis ou reçus par lui ou les autres pièces dont il sollicite la communication et qui figurent dans les dossiers qu’il a constitués “privé et personnel” et “espace privé et personnel”, ne constituent pas des données personnelles au sens de l’article 15 du RGPD.

En clair : communiquer des courriels caviardés revient souvent à envoyer des pages presque entièrement noircies, inexploitables pour le salarié. C’est pourquoi il est généralement préférable de ne communiquer que les données liées aux courriers électroniques (date, statut, existence de PJ et autres métadonnées), plutôt que les courriels eux-mêmes.

La jurisprudence récente : entre Cnil et juridictions, un cadre encore instable

La position du Conseil d’État du 1er décembre 2025

Le Conseil d’État, dans une décision du 1er décembre 2025, estime que l’article 15 du RGPD doit être interprété en ce sens que l’obligation de fournir à la personne concernée qui en fait la demande une copie des données à caractère personnel la concernant et faisant l’objet d’un traitement s’impose au responsable du traitement, même lorsque cette demande est motivée par un autre but que celui de prendre connaissance du traitement et d’en vérifier la licéité.

Cette décision est importante car elle signifie que l’employeur ne peut pas refuser une demande de droit d’accès au motif que le salarié l’utilise pour préparer un contentieux. Même si l’objectif réel du salarié est de constituer un dossier prud’homal, l’employeur doit répondre à la demande de droit d’accès portant sur les données personnelles.

En clair : même si tout le monde sait que le salarié exerce son droit d’accès uniquement pour préparer son procès aux prud’hommes, l’employeur ne peut pas refuser. Le Conseil d’État a tranché : les motivations du salarié sont indifférentes. Le droit d’accès s’applique quelle que soit la raison de la demande.

La Cour de cassation : un refus total sanctionné, mais dans un contexte particulier

Il faut également tenir compte de décisions moins favorables à l’employeur, comme l’arrêt de la Cour de cassation du 18 juin 2025. Cette décision sanctionne un refus total de l’employeur de répondre à une demande de droit d’accès.

Cet arrêt reste toutefois peu transposable dans sa portée générale, car la Cour avait alors dû concilier le droit d’accès avec un autre impératif juridique majeur, celui du débat contradictoire, une configuration bien distincte de celle, plus générale, qui nous préoccupe ici.

En clair : si un employeur refuse totalement de répondre à une demande de droit d’accès, il prend un risque juridique réel. La Cour de cassation a sanctionné un tel refus. Mieux vaut répondre partiellement (en communiquant les données personnelles tout en refusant les documents) que de ne pas répondre du tout.

L’instabilité entre les juridictions

C’est ici que l’on peut regretter une nécessaire stabilité juridique entre les juridictions et la Cnil, et entre les juridictions elles-mêmes.

La Cour d’appel de Bruxelles, dans un arrêt du 3 septembre 2025, conteste la décision de l’autorité belge d’avoir ordonné la communication de l’ensemble des courriers électroniques d’un salarié dans le contexte d’un contentieux. La décision de la Cour d’appel de Paris, aussi détaillée soit-elle, ne fait pas à elle seule une jurisprudence établie.

Certaines décisions proposent des solutions mixtes, en écartant par principe la communication de tous les courriers électroniques, mais en imposant une transmission partielle en fonction de la problématique, ce qui n’est pas illogique au regard d’un débat contradictoire.

En clair : le cadre juridique du droit d’accès RGPD appliqué aux relations de travail n’est pas encore totalement stabilisé. Les positions de la Cnil, du Conseil d’État, de la Cour de cassation et des cours d’appel ne sont pas toujours alignées. Les employeurs doivent naviguer avec prudence dans cet environnement juridique mouvant.

Le cas particulier des courriers électroniques “privés”

Le principe : les courriels sont présumés professionnels

La logique juridique est la même pour tous les courriers électroniques, qu’ils soient “professionnels” ou “privés” (personnels). Rappelons tout d’abord que les courriers électroniques sont présumés être professionnels.

Ils sont personnels par leur objet “privé” ou “personnel” ou par un contenu qui ne laisse planer aucun doute. Généralement, les courriers électroniques “privés” font l’objet d’un traitement spécifique dans les chartes informatiques et sont supposés être gérés par le salarié lui-même. Ils sont aussi supposés être supprimés au départ de l’intéressé.

Ce que l’employeur doit (et ne doit pas) faire

En cas de demande d’un salarié d’avoir accès à ces courriers électroniques “privés”, le raisonnement sera le même à une exception près.

Les courriers électroniques sont des documents et non des données, et en cela l’entreprise peut les communiquer, mais hors application de l’article 15 du RGPD.

Si elle communique ces courriers électroniques, comme elle n’est pas supposée en prendre connaissance, elle devra les communiquer en l’état, sans modification ni caviardage.

Il est donc plus prudent de permettre au salarié de pouvoir lui-même récupérer ce type de courrier électronique et de traiter ces demandes de manière exceptionnelle (cas d’une mise à pied immédiate avec coupure d’accès au SI).

Exemple : Karim est licencié et son accès informatique a été coupé immédiatement. Il demande à récupérer ses courriels marqués “personnel” dans sa boîte de messagerie professionnelle. L’employeur a deux options : soit il permet à Karim d’accéder temporairement à sa boîte pour récupérer lui-même ses courriels personnels (solution recommandée), soit il les extrait et les lui transmet en l’état, sans les lire ni les modifier (puisqu’il n’est pas censé en avoir pris connaissance). Ce qu’il ne doit surtout pas faire : refuser catégoriquement, ou lire les courriels personnels avant de les transmettre.

Les conditions matérielles du droit d’accès : information et copie

Deux droits en un : le droit à l’information et le droit de copie

Le titre de l’article 15 qui parle de “droit d’accès” de la personne concernée est en réalité assez trompeur. En effet, le droit d’accès se subdivise en deux droits distincts.

Le droit à l’information. Le salarié ou le candidat a le droit de savoir quelles sont les données dont dispose l’employeur le concernant. Ce dernier devant lui délivrer un certain nombre d’informations : les finalités du traitement, les catégories de données à caractère personnel concernées, les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées (en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales), lorsque cela est possible la durée de conservation des données à caractère personnel envisagée ou les critères utilisés pour déterminer cette durée, l’existence du droit de demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel, ou une limitation du traitement des données relatives à la personne concernée ou un droit de s’opposer à ce traitement, le droit d’introduire une réclamation auprès d’une autorité de contrôle, lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée toute information disponible quant à leur source, et l’existence d’une prise de décision automatisée y compris d’un profilage.

Le droit de copie. Le droit de copie consiste à communiquer les données en question. Cette communication n’obéit à aucun formalisme précis (capture d’écran, tableau, registre, etc.), mais les données devront en tout état de cause être transmises de manière sécurisée, ce qui exclut les courriers électroniques simples.

L’article 15, point 3, précise : “Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement.”

En clair : quand un salarié exerce son droit d’accès, l’employeur doit faire deux choses. D’abord, l’informer sur ce qu’il fait de ses données (pourquoi il les collecte, combien de temps il les garde, à qui il les transmet, etc.). Ensuite, lui fournir une copie des données elles-mêmes. La copie doit être transmise de manière sécurisée (pas par simple email non chiffré).

Les délais de réponse

L’employeur dispose de 30 jours pour répondre à une demande de droit d’accès. Ce délai peut être prolongé de 60 jours supplémentaires si la complexité de la demande le justifie (volume important, difficulté technique, période de vacances, etc.).

En cas de prolongation, l’employeur doit informer le salarié de cette prolongation et de ses motifs dans le délai initial de 30 jours. Ne pas répondre dans les délais expose l’employeur aux mêmes risques que le refus de répondre.

Exemple : Émilie, licenciée après 12 ans dans une grande entreprise, adresse une demande de droit d’accès le 1er mars. L’entreprise doit répondre au plus tard le 31 mars. Compte tenu du volume de données accumulées sur 12 ans (paie, évaluations, formations, etc.), le service RH informe Émilie le 20 mars qu’un délai supplémentaire de 60 jours est nécessaire. L’entreprise dispose alors jusqu’au 30 mai pour fournir l’intégralité des données. Si elle n’informe pas Émilie avant le 31 mars de cette prolongation, elle est en infraction.

La politique de confidentialité : un outil préventif

L’employeur peut communiquer sa politique de confidentialité au salarié. Ce document, qui décrit l’ensemble des traitements de données personnelles réalisés dans l’entreprise, répond en grande partie au “droit à l’information” du salarié.

Avoir une politique de confidentialité à jour et accessible est donc un atout considérable pour l’employeur : en cas de demande de droit d’accès, une partie de la réponse est déjà prête.

Guide pratique pour l’employeur : comment répondre à une demande de droit d’accès

Étape 1 : Vérifier l’identité du demandeur

Avant toute chose, l’employeur doit s’assurer que la personne qui exerce le droit d’accès est bien la personne concernée (ou son mandataire dûment habilité). En cas de doute raisonnable, il peut demander des informations supplémentaires pour confirmer l’identité.

Étape 2 : Analyser le périmètre de la demande

La demande porte-t-elle sur des données personnelles (légitime au titre de l’article 15) ou sur des documents (hors champ du droit d’accès RGPD) ? Cette distinction conditionne toute la suite du traitement.

Si la demande est formulée en termes très larges (“toutes données et documents me concernant”), l’employeur peut répondre sur les données personnelles et préciser que les documents ne relèvent pas de l’article 15 du RGPD.

Étape 3 : Recenser les données

Identifier toutes les données personnelles du salarié dans les quatre catégories : données RH, données métiers, données bureautiques, données de suivi/contrôle.

Étape 4 : Procéder au caviardage

Masquer, de manière irréversible, toutes les données concernant des tiers (autres salariés, clients, partenaires) et les informations relevant du secret des affaires.

Étape 5 : Communiquer de manière sécurisée

Transmettre les données sous une forme sécurisée (espace de partage chiffré, clé USB remise en main propre, etc.). Proscrire l’envoi par email non chiffré.

Étape 6 : Documenter le traitement

Conserver une trace de la demande, de la réponse et des données communiquées. Ce dossier sera précieux en cas de contentieux ultérieur.

En clair : traiter une demande de droit d’accès, c’est un processus en six étapes : vérifier l’identité, analyser le périmètre, recenser les données, caviardage, transmission sécurisée, et documentation. Chaque étape a son importance. Bâcler l’une d’entre elles expose l’employeur à un risque juridique.

Les erreurs à éviter pour l’employeur

Erreur n° 1 : Ne pas répondre du tout

C’est l’erreur la plus grave et la plus fréquente. Le silence est interprété comme un refus, qui expose à une plainte auprès de la Cnil et à une action judiciaire.

Erreur n° 2 : Communiquer des documents au lieu de données

Fournir l’intégralité des courriels, des comptes-rendus de réunion ou des notes internes va bien au-delà de ce qu’exige l’article 15. Cela crée un précédent fâcheux et expose des informations confidentielles.

Erreur n° 3 : Oublier le caviardage

Communiquer des données contenant des informations sur des tiers (noms d’autres salariés, données clients, etc.) constitue en soi une violation du RGPD, cette fois au détriment des tiers dont les données sont révélées.

Erreur n° 4 : Dépasser les délais sans prévenir

Dépasser le délai de 30 jours sans avoir notifié la prolongation dans les temps est une faute. L’information du salarié dans le délai initial est impérative.

Erreur n° 5 : Refuser au motif que la demande est “abusive”

Le Conseil d’État a clairement indiqué que les motivations du salarié sont indifférentes. Refuser parce que la demande est “manifestement contentieuse” est juridiquement risqué.

Exemple : L’entreprise de Thomas reçoit simultanément cinq demandes de droit d’accès de cinq salariés différents, tous représentés par le même avocat, dans un contexte de plan social. Le DRH est tenté de ne pas répondre, estimant ces demandes “abusives et coordonnées”. C’est une erreur. Chaque demande doit être traitée individuellement, dans les délais, quelle que soit la motivation sous-jacente. Le DRH peut en revanche invoquer la complexité pour bénéficier du délai supplémentaire de 60 jours.

Ce que le droit d’accès RGPD ne permet pas d’obtenir : les limites claires

Les documents de l’entreprise

Comme nous l’avons vu, l’article 15 ne donne pas accès aux documents. Un salarié ne peut pas réclamer, sur ce fondement, les procès-verbaux du comité de direction, les notes stratégiques, les rapports d’audit interne ou les courriels échangés entre d’autres personnes à son sujet.

Les données couvertes par le secret des affaires

L’employeur peut refuser de communiquer des données dont la divulgation porterait atteinte au secret des affaires, à la propriété intellectuelle ou au secret de la correspondance privée d’autres personnes.

Les données de tiers non caviardées

L’employeur ne peut pas, sous couvert du droit d’accès d’un salarié, communiquer les données personnelles d’autres salariés ou de tiers. Le caviardage est une obligation, pas une option.

En clair : le droit d’accès RGPD est un droit puissant, mais il a des limites claires. Il ne permet pas d’obtenir les documents internes de l’entreprise, ni les données protégées par le secret des affaires, ni les données personnelles d’autres personnes. Le salarié qui souhaite obtenir des documents devra utiliser d’autres voies juridiques, notamment la procédure judiciaire.

L’adresse mail professionnelle et le RGPD : questions fréquentes

La boîte mail professionnelle nominative est-elle une donnée personnelle ?

La boîte mail professionnelle nominative (type prenom.nom@entreprise.com) contient effectivement une donnée personnelle : l’adresse mail elle-même, qui identifie directement le salarié. Cependant, le contenu de la boîte (les courriels) relève des documents, non des données au sens strict.

L’employeur peut-il utiliser l’adresse mail personnelle du salarié ?

L’utilisation de l’adresse mail personnelle du salarié par l’employeur soulève des questions RGPD spécifiques. L’employeur ne devrait utiliser l’adresse personnelle du salarié que dans des cas limités et avec le consentement de celui-ci (ou sur un autre fondement légal, comme l’exécution du contrat de travail pour l’envoi du bulletin de paie dématérialisé).

L’envoi du bulletin de paie par mail est-il conforme au RGPD ?

L’envoi du bulletin de paie par voie électronique est autorisé par le Code du travail (art. L. 3243-2), mais il doit respecter les exigences du RGPD en matière de sécurité des données. L’envoi par email simple n’est pas suffisant : il faut utiliser un coffre-fort numérique ou un espace sécurisé.

En clair : votre adresse mail professionnelle est une donnée personnelle, mais le contenu de votre boîte mail ne l’est pas (ce sont des documents). L’envoi de bulletins de paie par mail est légal mais doit être sécurisé, pas par simple email.

La signature mail et le RGPD

La signature mail professionnelle contient généralement des données personnelles (nom, prénom, fonction, numéro de téléphone direct). L’employeur qui impose un format de signature mail traite des données personnelles et doit en informer le salarié.

En pratique, la signature mail fait rarement l’objet de contentieux RGPD. Mais dans le cadre d’une demande de droit d’accès exhaustive, l’employeur devra inclure le modèle de signature imposé dans les informations communiquées.

FAQ : les questions les plus fréquentes sur le droit d’accès RGPD des salariés

Un salarié peut-il exercer son droit d’accès RGPD pendant un contentieux prud’homal ?

Oui. Le Conseil d’État a confirmé que les motivations du demandeur sont indifférentes. L’employeur ne peut pas refuser une demande au motif qu’elle est liée à un litige en cours.

L’employeur doit-il fournir tous les emails du salarié ?

Non. Les courriers électroniques sont des documents, pas des données personnelles. L’employeur doit communiquer les données personnelles (métadonnées, informations d’identification), mais pas les courriels eux-mêmes, sauf s’il choisit de le faire par commodité.

Quel est le délai pour répondre à une demande de droit d’accès ?

30 jours à compter de la réception de la demande, prolongeable de 60 jours en cas de complexité, à condition d’en informer le demandeur dans le délai initial de 30 jours.

L’employeur peut-il facturer la copie des données ?

En principe, la première copie est gratuite. L’employeur peut facturer un montant raisonnable pour les copies supplémentaires, basé sur les coûts administratifs (RGPD, art. 15, point 3).

Un ancien salarié conserve-t-il son droit d’accès ?

Oui. Le droit d’accès s’exerce aussi longtemps que l’employeur conserve des données personnelles de l’ancien salarié. Compte tenu des obligations légales de conservation (bulletins de paie : 5 ans, contrats de travail : 5 ans après la fin du contrat, etc.), ce droit perdure généralement plusieurs années après le départ du salarié.

Le salarié peut-il demander la suppression de ses données ?

Le droit à l’effacement (article 17 du RGPD) existe mais connaît de nombreuses exceptions en matière de droit du travail. L’employeur peut refuser l’effacement si la conservation est nécessaire au respect d’une obligation légale (conservation des bulletins de paie, déclarations sociales, etc.).

L’employeur doit-il caviardager les données avant de les communiquer ?

Oui. L’article 15, point 4, du RGPD précise que le droit de copie ne porte pas atteinte aux droits et libertés d’autrui. L’employeur doit masquer les données de tiers (noms d’autres salariés, clients, etc.) avant toute communication.

Que risque un employeur qui refuse de répondre à une demande de droit d’accès ?

Une amende de la Cnil (pouvant aller jusqu’à 20 millions d’euros ou 4 % du CA mondial), une action en dommages et intérêts du salarié (RGPD, art. 82), et un argument défavorable dans un éventuel contentieux prud’homal.

Le CSE peut-il exercer le droit d’accès au nom des salariés ?

Non. Le droit d’accès est un droit personnel de la personne concernée. Le CSE ne peut pas l’exercer collectivement. En revanche, un salarié peut mandater un tiers (y compris un représentant du personnel) pour exercer ce droit en son nom.

L’employeur peut-il opposer le secret des affaires à une demande de droit d’accès ?

Partiellement. L’employeur peut refuser de communiquer des données dont la divulgation porterait atteinte au secret des affaires, mais il ne peut pas utiliser cet argument pour refuser en bloc toute communication. Le secret des affaires ne peut justifier qu’un refus ciblé sur des données spécifiques.

La Cnil peut-elle intervenir si l’employeur ne répond pas ?

Oui. Le salarié peut déposer une plainte auprès de la Cnil, qui dispose du pouvoir d’enquêter, de mettre en demeure et de sanctionner le responsable de traitement (RGPD, art. 77 et 83).

Comment le salarié doit-il formuler sa demande de droit d’accès ?

La demande n’est soumise à aucun formalisme particulier. Le salarié peut l’adresser par email, par courrier, ou même oralement (bien que l’écrit soit recommandé pour des raisons de preuve). Il doit simplement indiquer qu’il exerce son droit d’accès au titre de l’article 15 du RGPD.

L’employeur doit-il répondre à des demandes répétées du même salarié ?

Oui, sauf si les demandes sont “manifestement infondées ou excessives, notamment en raison de leur caractère répétitif” (RGPD, art. 12, point 5). Dans ce cas, l’employeur peut soit facturer des frais raisonnables, soit refuser de donner suite. Mais la charge de la preuve du caractère excessif repose sur l’employeur.

Existe-t-il un modèle de réponse à une demande de droit d’accès ?

La Cnil ne fournit pas de modèle officiel. Toutefois, la réponse devrait inclure : la confirmation du traitement de données, la liste des catégories de données traitées, les informations prévues par l’article 15 (finalités, destinataires, durée de conservation, droits de la personne), et la copie des données elles-mêmes transmise de manière sécurisée.

Le RGPD s’applique-t-il aux petites entreprises ?

Oui. Le RGPD s’applique à toute entreprise, quelle que soit sa taille, dès lors qu’elle traite des données personnelles. Une TPE de 3 salariés est soumise aux mêmes obligations qu’un groupe du CAC 40 en matière de droit d’accès.

Vous avez des questions sur le droit d’accès RGPD ?

Que vous soyez salarié souhaitant exercer votre droit d’accès ou employeur confronté à une demande, les enjeux juridiques et financiers sont considérables. Une demande mal formulée peut rester sans effet. Un refus mal motivé peut coûter très cher.

Auron Avocat vous accompagne pour formuler ou traiter des demandes de droit d’accès RGPD, identifier les données communicables et celles qui peuvent être refusées, sécuriser la procédure de réponse et de caviardage, et défendre vos intérêts devant la Cnil ou les juridictions en cas de contentieux.

Le cadre juridique du droit d’accès RGPD en matière de relations de travail évolue rapidement. N’attendez pas pour faire analyser votre situation.

Contactez Auron Avocat pour une consultation personnalisée.

Auteur de l'article
Arnaud Sirven
Fondateur d'Auron Avocat
Heading 2
Organiser un rendez-vous

Publications associés

14.04.2026
Transparence salariale : guide complet de la directive au projet de loi
Vous êtes salarié et vous vous demandez si votre rémunération est équitable par rapport à celle de vos collègues ? Vous êtes employeur et vous cherchez à anticiper les nouvelles obligations en matière de transparence salariale ? La directive européenne 2023/970 du 10 mai 2023, dite “transparence salariale”, et l’avant-projet de loi français qui la transpose, s’apprêtent à transformer en profondeur les règles du jeu. Obligation d’afficher les salaires dans les offres d’emploi, interdiction de demander l’historique salarial des candidats, refonte complète de l’index égalité femmes-hommes, nouvelles sanctions financières : le cadre juridique de la rémunération en France est sur le point de connaître un bouleversement majeur. Cet article vous explique, point par point, ce qui va changer et comment vous y préparer.
14/4/26
Peut-on travailler le 1er mai ? Le guide complet de vos droits
Peut-on vous obliger à travailler le 1er mai ? Qui peut travailler le 1er mai et dans quelles conditions ? Quelle majoration de salaire devez-vous percevoir si vous travaillez ce jour-là ? Chaque année, ces questions reviennent pour des millions de salariés français. Le travail le 1er mai obéit à des règles très spécifiques en droit du travail français, car il s’agit du seul jour férié dont le chômage est imposé par la loi. Pourtant, des exceptions existent, notamment dans la restauration, la boulangerie ou pour les fleuristes, et il est essentiel de les connaître pour faire valoir vos droits. Dans ce guide complet, Auron Avocat vous explique tout ce que vous devez savoir sur le travail le 1er mai, de l’interdiction de travailler le 1er mai aux cas où votre employeur peut légalement vous le demander, en passant par la majoration salariale et les recours possibles.
13/4/26
Inspection du travail : tout ce qu'un employeur (et un salarié) doit savoir avant le contrôle
Un agent se présente à l’accueil, carte professionnelle à la main. Il demande à entrer, à voir des registres, à s’entretenir avec quelques salariés. En quelques minutes, un contrôle de l’inspection du travail s’ouvre, souvent sans préavis, parfois sans motif énoncé. Pour le chef d’entreprise, ce n’est presque jamais une formalité. Pour le salarié, c’est souvent la seule voie concrète pour faire bouger une situation que la hiérarchie ignore. Ce guide n’est pas un cours magistral. Il adopte une approche pratique et pédagogique, à partir d’une question simple : que se passe-t-il, concrètement, lorsqu’un agent franchit la porte de l’entreprise ? Que peut-il consulter, qui peut-il interroger, jusqu’où peut-il aller, et où ses prérogatives s’arrêtent-elles ? Chaque section est illustrée par des exemples inspirés de la pratique, pour les employeurs qui veulent anticiper comme pour les salariés qui s’interrogent sur l’opportunité d’une saisine. En clair : l’inspection du travail dispose de pouvoirs d’investigation très larges, mais ces pouvoirs s’arrêtent au seuil de droits protégés : propriété, vie privée, secret de l’avocat, secret médical, confidentialité des enquêtes internes. L’enjeu, pour l’employeur, n’est pas de se soustraire au contrôle ; c’est d’y coopérer utilement sans renoncer aux garanties qui protègent l’entreprise et ses salariés. Pour le salarié, c’est un levier puissant, à condition de savoir comment le mobiliser.
Prendre un rendez-vous
OURAMA | Création de site internet pour avocatsMentions légales