
Par un arrêt du 24 juin 2026 (n° 24-22.792), la chambre sociale de la Cour de cassation apporte une nouvelle illustration de l’articulation entre le droit du travail et le Règlement général sur la protection des données (RGPD).
Elle rappelle avec force qu’une violation du RGPD, à elle seule, ne suffit pas à ouvrir droit à réparation : le salarié doit démontrer l’existence d’un préjudice en lien direct avec cette violation.
Les faits
En l’espèce, un salarié sollicitait l’allocation de dommages et intérêts en invoquant exclusivement la violation des dispositions du RGPD.
Les éléments de preuve produits par l’employeur au soutien du licenciement provenaient d’un traitement de données personnelles réalisé en méconnaissance du RGPD, le salarié n’ayant notamment pas consenti au traitement de ses données par une société tierce.
Les juges avaient toutefois admis la recevabilité de ces preuves, considérant que leur production était indispensable à l’exercice du droit à la preuve et proportionnée au but poursuivi.
Parallèlement, la Cour d’appel de Paris avait condamné l’employeur à verser au salarié la somme de 5 000 euros de dommages et intérêts pour exécution déloyale du contrat de travail, estimant que la seule violation du RGPD justifiait une réparation.
L’employeur formait un pourvoi, soutenant que la violation du RGPD ne constitue pas un préjudice nécessaire et qu’il appartenait au salarié de rapporter la preuve de l’existence et de l’étendue de son dommage.
La solution retenue par la Cour de cassation
La Cour de cassation casse l’arrêt d’appel au visa de l’article 82, paragraphe 1, du RGPD, lequel prévoit que :
« Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. »
Pour interpréter cette disposition, la Haute juridiction s’appuie sur la jurisprudence constante de la Cour de justice de l’Union européenne.
Il résulte notamment de cette jurisprudence que :
- la seule violation du RGPD ne suffit pas à faire naître un droit à indemnisation,
- aucune gravité minimale du dommage ne peut être exigée pour obtenir réparation d’un préjudice moral,
- l’indemnisation présente une fonction exclusivement compensatoire et non punitive,
- la personne qui sollicite réparation doit démontrer cumulativement :
- une violation du RGPD,
- l’existence d’un dommage matériel ou moral,
- ainsi qu’un lien de causalité entre cette violation et le préjudice invoqué.
La Cour rappelle ainsi les principes dégagés notamment par la CJUE dans ses arrêts du 4 mai 2023 (C-300/21, Österreichische Post) et du 25 janvier 2024 (C-687/21, MediaMarktSaturn Hagen-Iserlohn GmbH).
Une exigence probatoire renforcée
En l’espèce, la Cour d’appel s’était bornée à constater l’existence d’une violation du RGPD sans caractériser le dommage effectivement subi par le salarié.
Faute d’avoir constaté l’existence d’un préjudice matériel ou moral résultant de cette violation, elle ne pouvait légalement condamner l’employeur au paiement de dommages et intérêts.
Son arrêt est donc censuré.
Portée pratique de la décision
Cette décision confirme l’abandon définitif de toute logique de « préjudice automatique » en matière de protection des données personnelles.
Si la violation du RGPD peut naturellement engager la responsabilité civile du responsable du traitement, elle ne dispense pas le demandeur d’établir l’existence d’un préjudice concret ainsi que le lien de causalité entre ce dommage et le manquement invoqué.
Pour les employeurs, cette décision constitue un rappel important : une violation des règles relatives à la protection des données personnelles ne conduit pas mécaniquement à une condamnation indemnitaire devant le juge prud’homal.
À l’inverse, le salarié conserve la possibilité d’obtenir réparation dès lors qu’il est en mesure de démontrer l’existence d’un dommage, qu’il soit matériel ou moral, directement causé par la méconnaissance des dispositions du RGPD.
http://www.courdecassation.fr/decision/6a3cc051cdc6046d479d8eb0
