Actualités
Violation du RGPD par l'employeur : le seul manquement n'ouvre pas droit à réparation
Cass. soc., 24 juin 2026, n° 24-22.792 (FS-B)

3 juillet 2026
Par un arrêt du 24 juin 2026 destiné à la publication au Bulletin, la chambre sociale de la Cour de cassation juge que la seule violation du Règlement général sur la protection des données (RGPD) par l'employeur n'ouvre pas, à elle seule, droit à réparation au profit du salarié. Celui-ci doit établir que ce manquement lui a causé un dommage matériel ou moral. La décision transpose au contentieux du travail la solution dégagée par la Cour de justice de l'Union européenne et illustre le recul continu du « préjudice nécessaire ».
Les faits et la procédure
Un salarié avait été engagé en 2010 en qualité d'assistant analyste quantitatif, avant d'exercer en dernier lieu des fonctions d'analyste en stratégies algorithmiques. Il a été licencié le 29 mars 2019 et a saisi la juridiction prud'homale pour contester la rupture.
Pour établir certains faits, l'employeur avait produit des éléments issus d'un traitement de données à caractère personnel du salarié. La cour d'appel de Paris, dans son arrêt du 30 octobre 2024, a jugé ce traitement contraire au RGPD, donc illicite, mais a néanmoins déclaré les preuves recevables, leur obtention et leur production étant indispensables et proportionnées à l'objectif poursuivi. Elle a toutefois condamné l'employeur à verser 5 000 euros de dommages et intérêts pour exécution déloyale du contrat de travail, en retenant que le non-respect du RGPD avait « nécessairement causé un préjudice » au salarié.
L'employeur s'est pourvu en cassation sur ce point, faisant valoir qu'il appartenait au salarié de justifier d'un préjudice.
La question de droit
La seule violation du RGPD par l'employeur suffit-elle à ouvrir droit à réparation au profit du salarié, ou celui-ci doit-il démontrer l'existence d'un dommage causé par ce manquement ?
La solution de la Cour de cassation
Au visa de l'article 82, paragraphe 1, du règlement (UE) 2016/679, la chambre sociale casse l'arrêt d'appel. Ce texte prévoit que toute personne ayant subi un dommage matériel ou moral du fait d'une violation du règlement a le droit d'en obtenir réparation.
La Cour s'appuie expressément sur la jurisprudence de la Cour de justice de l'Union européenne. Dans l'arrêt Österreichische Post du 4 mai 2023 (C-300/21), la CJUE a dit pour droit que la simple violation des dispositions du RGPD ne suffit pas à conférer un droit à réparation, celui-ci supposant la réunion de trois conditions cumulatives : une violation du règlement, un dommage matériel ou moral, et un lien de causalité entre les deux. Dans l'arrêt MediaMarktSaturn du 25 janvier 2024 (C-687/21), elle a précisé que la personne qui demande réparation doit établir non seulement la violation, mais aussi que celle-ci lui a causé un dommage.
La chambre sociale en déduit que la cour d'appel ne pouvait retenir un préjudice « nécessaire ». Il lui appartenait de rechercher si le salarié établissait que la violation constatée lui avait causé un dommage matériel ou moral. En statuant comme elle l'a fait, elle a violé l'article 82, paragraphe 1, du RGPD.
La portée pratique
L'apport de l'arrêt tient d'abord à l'abandon du raisonnement du « préjudice nécessaire » en matière de protection des données. La chambre sociale prolonge ainsi, sur le fondement du droit de l'Union, le mouvement qu'elle a engagé depuis 2016 et qui subordonne l'indemnisation d'un manquement de l'employeur à la démonstration d'un préjudice, l'automaticité restant l'exception.
La décision invite ensuite à distinguer nettement deux questions que la cour d'appel avait tendance à confondre. La recevabilité d'une preuve obtenue de manière illicite, appréciée au regard de son caractère indispensable et proportionné, relève d'un raisonnement propre, cohérent avec la jurisprudence de l'assemblée plénière du 22 décembre 2023. La réparation du manquement au RGPD en relève d'un autre : le caractère illicite du traitement ne crée pas, par lui-même, un dommage indemnisable.
Pour les employeurs, la solution est de nature à limiter les condamnations automatiques : un manquement au RGPD dans la collecte ou la production d'éléments de preuve n'entraîne pas, en soi, l'allocation de dommages et intérêts. Encore faut-il que le salarié caractérise un préjudice.
Pour les salariés, la vigilance s'impose au stade de la rédaction des écritures. L'invocation abstraite d'une violation du RGPD ne suffit plus. Il convient d'identifier et d'établir concrètement le dommage, matériel ou moral, résultant du traitement illicite, par exemple une atteinte à la vie privée ou l'usage effectif de données à des fins non autorisées, et d'en justifier l'étendue.
À retenir
La seule violation du RGPD par l'employeur n'ouvre pas droit à réparation : le salarié doit prouver un dommage matériel ou moral et son lien avec le manquement. La chambre sociale aligne sa position sur la jurisprudence de la CJUE (Österreichische Post, 4 mai 2023 ; MediaMarktSaturn, 25 janvier 2024) et écarte le « préjudice nécessaire ». Recevabilité de la preuve illicite et réparation du manquement au RGPD demeurent deux questions distinctes : une preuve illicite peut être recevable sans ouvrir droit, à elle seule, à indemnisation.
Notes et références
Références vérifiées sur Légifrance ; articles en vigueur.
Ce commentaire présente la portée générale d’une décision et ne constitue pas un conseil juridique personnalisé. Pour un avis circonstancié, contactez Maître Frech.