La violation du RGPD par l’employeur : l’absence de préjudice automatique consacrée par la chambre sociale du 24 juin 2026

I. La violation du règlement général sur la protection des données ne suffit pas à fonder un droit à réparation

A. Le principe dégagé par l’arrêt du 24 juin 2026 : la simple violation du RGPD n’ouvre pas, à elle seule, droit à réparation

Le 24 juin 2026, la chambre sociale de la Cour de cassation, statuant en formation de section, a rendu un arrêt publié au Bulletin dont la portée doctrinale dépasse le seul contentieux prud’homal pour irriguer l’ensemble du droit de la protection des données personnelles dans les relations de travail. Statuant sur le pourvoi formé contre un arrêt de la cour d’appel de Paris du 30 octobre 2024, la Haute juridiction a censuré la condamnation d’un employeur au paiement de dommages et intérêts pour violation du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, au motif que la cour d’appel avait déduit l’existence d’un préjudice de la seule violation constatée du règlement Cass. soc., 24 juin 2026, n°24-22.792, Publié au Bulletin. L’arrêt attaqué avait en effet retenu que l’employeur, la société Natixis, avait mis en œuvre un traitement de données à caractère personnel contraire aux dispositions du RGPD pour identifier un salarié soupçonné de manquements, avant de juger ces preuves recevables comme indispensables et proportionnées, puis d’allouer au salarié la somme de 5 000 euros à titre de dommages et intérêts en énonçant que le non-respect des dispositions dudit règlement « a nécessairement causé un préjudice au salarié ».

La chambre sociale censure ce raisonnement au visa de l’article 82, paragraphe 1, du RGPD. Elle rappelle que la Cour de justice de l’Union européenne a dit pour droit que « la simple violation des dispositions de ce règlement ne suffit pas pour conférer un droit à réparation » CJUE, 4 mai 2023, Österreichische Post, C-300/21. Par ailleurs, la Cour de justice a précisé que « le droit à réparation prévu à cette disposition, notamment en cas de dommage moral, remplit une fonction compensatoire, en ce qu’une réparation pécuniaire fondée sur ladite disposition doit permettre de compenser intégralement le préjudice concrètement subi du fait de la violation de ce règlement, et non une fonction punitive » et que « la personne demandant réparation au titre de cette disposition est tenue d’établir non seulement la violation de dispositions de ce règlement, mais également que cette violation lui a causé un dommage matériel ou moral » CJUE, 25 janvier 2024, MediaMarktSaturn Hagen-Iserlohn GmbH, C-687/21. En conséquence, en statuant comme elle l’a fait, « alors que la simple violation du règlement général sur la protection des données n’ouvre pas, à elle seule, droit à réparation et qu’il lui appartenait d’apprécier si le salarié établissait que la violation de ce règlement qu’elle avait constatée avait causé au salarié un dommage matériel ou moral, la cour d’appel a violé le texte susvisé ».

L’arrêt opère une cassation partielle, limitée au chef de dispositif condamnant l’employeur à payer la somme de 5 000 euros à titre de dommages et intérêts pour exécution déloyale du contrat de travail, et renvoie l’affaire devant la cour d’appel de Paris autrement composée. Par ailleurs, la chambre sociale rejette le pourvoi principal du salarié, ce dont il résulte que la cour d’appel de renvoi ne pourra remettre en cause l’appréciation de la recevabilité des preuves litigieuses. Cette dissociation entre le sort de la preuve et celui de la réparation constitue l’un des enseignements majeurs de la décision.

B. Les antécédents jurisprudentiels : une construction progressive de l’exigence probatoire du préjudice

L’arrêt du 24 juin 2026 s’inscrit dans une lignée jurisprudentielle qui, depuis l’entrée en vigueur du RGPD le 25 mai 2018, a progressivement affiné les conditions d’indemnisation des violations de données personnelles dans le contentieux du travail. Dès le 25 novembre 2020, la chambre sociale avait posé les premiers jalons en jugeant que « les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel » et que leur collecte par l’exploitation d’un fichier de journalisation constitue un traitement soumis aux formalités préalables de la loi Informatique et Libertés Cass. soc., 25 novembre 2020, n°17-19.523, Publié au Bulletin, Publié au Rapport. Elle y ajoutait que « l’illicéité d’un moyen de preuve, au regard des dispositions de la loi n° 78-17 du 6 janvier 1978, n’entraîne pas nécessairement son rejet des débats, le juge devant apprécier si l’utilisation de cette preuve a porté atteinte au caractère équitable de la procédure dans son ensemble ». Cette décision, rendue dans l’affaire AFP, ne tranchait toutefois pas la question de l’indemnisation autonome du préjudice né de la violation des règles de protection des données, qu’elle distinguait du préjudice lié à la rupture du contrat de travail.

L’arrêt Renault Trucks du 1er juin 2023 a marqué une étape supplémentaire en consacrant l’obligation pour le juge saisi d’une demande de communication de pièces sur le fondement de l’article 145 du code de procédure civile de « rechercher si cette communication n’est pas nécessaire à l’exercice du droit à la preuve de la discrimination syndicale alléguée et proportionnée au but poursuivi » Cass. soc., 1er juin 2023, n°22-13.238, Publié au Bulletin. La chambre sociale rappelait que « le droit à la protection des données à caractère personnel n’est pas un droit absolu et doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité », consacrant ainsi une approche pondérée de l’articulation entre le RGPD et le droit à la preuve, sans pour autant se prononcer sur les conditions d’indemnisation du préjudice autonome.

L’arrêt du 21 mai 2025 relatif au système de vidéoprotection de l’aéroport de Bergerac a précisé le champ d’application du RGPD en jugeant que « l’utilisation de constats et attestations réalisés à partir de la captation et du visionnage des images issues du système de vidéoprotection de l’aéroport constitue un traitement de données à caractère personnel au sens de l’article 4 du RGPD », tout en validant la recevabilité de ces preuves dès lors que « les données à caractère personnel concernant le salarié avaient été collectées pour des finalités déterminées et légitimes » Cass. soc., 21 mai 2025, n°22-19.925, Publié au Bulletin. Cette décision illustrait déjà la distinction entre la licéité du traitement, sa recevabilité probatoire et l’éventuelle réparation d’un préjudice distinct.

Par ailleurs, la cour d’appel de Pau, dans un arrêt du 2 octobre 2025, avait déjà eu l’occasion de rappeler qu’« en matière prud’homale, les parties peuvent administrer la preuve des faits, si elles le jugent utile, par tous moyens », tout en relevant que l’employeur ne saurait s’exonérer de son obligation de sécurité par la seule invocation des nécessités probatoires CA Pau, 2 octobre 2025, n°23/01266. Et la cour d’appel de Nîmes, dans un arrêt du 9 juin 2026, postérieur de quelques jours seulement à l’arrêt commenté, a expressément fait application de l’article 82, alinéa 1, du RGPD en énonçant que « celui qui a subi un dommage du fait d’une violation du RGPD peut en obtenir réparation », tout en rejetant la demande indemnitaire faute de démonstration d’un préjudice distinct de celui déjà réparé au titre de la rupture CA Nîmes, 9 juin 2026, n°25/00994. La convergence de ces décisions confirme que l’exigence d’un préjudice démontré, et non simplement présumé, est devenue la règle dans le contentieux de la violation des données personnelles en droit du travail.

II. La charge de la preuve du préjudice comme instrument de régulation du contentieux de la donnée personnelle

A. L’exigence d’un dommage matériel ou moral démontré par le salarié

L’arrêt du 24 juin 2026 consacre, en droit interne, une exigence probatoire qui était déjà ancrée dans la jurisprudence de la Cour de justice de l’Union européenne depuis l’arrêt Österreichische Post du 4 mai 2023. La Cour de justice y avait en effet jugé que l’article 82, paragraphe 1, du RGPD « doit être interprété en ce sens que la simple violation des dispositions de ce règlement ne suffit pas pour conférer un droit à réparation », précisant que ce texte « s’oppose à une règle ou une pratique nationale subordonnant la réparation d’un dommage moral, au sens de cette disposition, à la condition que le préjudice subi par la personne concernée ait atteint un certain degré de gravité ». Cette double précision est essentielle : d’une part, la violation du RGPD n’est pas, en elle-même, génératrice d’un droit à réparation ; d’autre part, une fois le préjudice établi, le juge national ne peut exiger que ce préjudice atteigne un seuil de gravité minimal pour ouvrir droit à indemnisation. La fonction compensatoire du droit à réparation est ainsi préservée, sans que soit instaurée une présomption de préjudice que le texte européen ne prévoit pas.

Cette distinction entre la violation et le préjudice trouve un écho particulier dans le contentieux prud’homal, où le salarié qui invoque un manquement de l’employeur au RGPD est souvent le même qui conteste la rupture de son contrat de travail. Or, la confusion entre le préjudice né de la violation des règles de protection des données et le préjudice né de la perte injustifiée de l’emploi est fréquente dans la pratique judiciaire. L’arrêt du 24 juin 2026 impose désormais au salarié de caractériser le dommage spécifique résultant du traitement illicite de ses données personnelles, indépendamment des conséquences de ce traitement sur la rupture du contrat. Il ne suffit plus d’établir que l’employeur a collecté ou utilisé des données en méconnaissance des articles 5, 6 ou 13 du RGPD ; il faut encore démontrer que cette collecte ou cette utilisation a engendré un préjudice matériel, tel qu’une perte financière, ou un préjudice moral, tel qu’une atteinte à la réputation, une angoisse ou une perte de contrôle sur les données.

En cela, la chambre sociale transpose dans l’ordre juridique interne une exigence qui innerve l’ensemble du droit de la responsabilité civile. L’article 1240 du code civil, auquel renvoient d’ailleurs certaines décisions de cours d’appel en complément de l’article 82 du RGPD, subordonne l’obligation de réparer à la démonstration d’un fait générateur, d’un dommage et d’un lien de causalité. La violation du RGPD constitue le fait générateur, mais elle ne dispense pas le demandeur d’établir l’existence et l’étendue du dommage, non plus que le lien de causalité entre cette violation et ce dommage. L’arrêt du 24 juin 2026 réaffirme avec force cette exigence causale. Par ailleurs, l’exécution de bonne foi du contrat de travail, consacrée par l’article L. 1222-1 du code du travail art. L. 1222-1 C. trav., impose symétriquement à l’employeur de ne pas détourner les prérogatives que lui confère le contrat pour porter atteinte aux droits fondamentaux du salarié, au nombre desquels figure le droit à la protection des données personnelles.

B. L’articulation renouvelée entre le contrôle de proportionnalité des preuves et la réparation du préjudice autonome

L’un des apports les plus significatifs de l’arrêt du 24 juin 2026 réside dans la clarification de l’articulation entre le contrôle de proportionnalité qui gouverne la recevabilité des preuves portant atteinte aux données personnelles et la réparation du préjudice autonome né de cette atteinte. La cour d’appel de Paris avait déclaré recevables les preuves fournies par l’employeur au motif que leur obtention et leur production étaient « indispensables et proportionnées à l’objectif poursuivi », faisant application du standard dégagé par la chambre sociale depuis l’arrêt du 25 novembre 2020. Mais elle en avait déduit, de manière erronée, que cette atteinte justifiée à la protection des données n’en demeurait pas moins génératrice d’un préjudice automatique ouvrant droit à réparation. La Cour de cassation censure ce raisonnement en dissociant deux questions que la pratique confondait trop souvent : celle de la recevabilité de la preuve obtenue en violation du RGPD, qui relève du contrôle de proportionnalité opéré par le juge au regard des articles 6 et 8 de la Convention européenne des droits de l’homme ; et celle de l’indemnisation du préjudice né de la violation du RGPD, qui relève de la démonstration par le salarié d’un dommage matériel ou moral distinct.

Or, cette clarification est d’autant plus nécessaire que la chambre sociale a, au cours des dernières années, considérablement affiné le contrôle de proportionnalité applicable aux preuves portant atteinte aux droits fondamentaux du salarié. L’arrêt du 14 janvier 2026, rendu en matière de liberté d’expression, a substitué au contrôle traditionnel de l’abus un contrôle de proportionnalité imposant au juge de mettre en balance la liberté fondamentale invoquée par le salarié avec la protection des intérêts légitimes de l’employeur Cass. soc., 14 janvier 2026, n°23-19.947, Publié au Bulletin. Cette méthode de la balance des intérêts irrigue désormais l’ensemble du contentieux des libertés et droits fondamentaux dans l’entreprise, y compris celui de la protection des données personnelles. Mais elle ne saurait aboutir à ce que l’atteinte, même jugée proportionnée et donc licite dans son principe probatoire, soit en elle-même constitutive d’un préjudice indemnisable sans autre démonstration.

La cour d’appel de Versailles, dans un arrêt du 1er juin 2026, a également illustré cette distinction en relevant que l’employeur avait consulté des données de santé de la salariée auprès de sa mutuelle, en violation des règles du RGPD, mais en a justement déduit l’absence de préjudice indemnisable distinct dès lors que les factures litigieuses étaient fausses et que la salariée avait consenti à leur transmission CA Versailles, 1er juin 2026, n°23/02487. De même, la cour d’appel de Limoges, dans un arrêt du 12 mars 2026, a confirmé la compétence du conseil de prud’hommes pour connaître de la demande indemnitaire fondée sur la violation du RGPD, au titre de l’article L. 1411-1 du code du travail, tout en relevant que le salarié devait établir la réalité du préjudice allégué CA Limoges, 12 mars 2026, n°25/00368.

L’article L. 1121-1 du code du travail, qui prohibe les restrictions aux droits des personnes et aux libertés individuelles et collectives qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché art. L. 1121-1 C. trav., constitue le fondement textuel de ce contrôle de proportionnalité en droit interne. Mais ce texte, pas plus que l’article 82 du RGPD, ne crée de présomption de préjudice. La violation de l’article L. 1121-1, pas davantage que la violation du RGPD, ne se confond avec le dommage qu’elle est susceptible de causer.

En définitive, la chambre sociale du 24 juin 2026 a posé un principe dont la portée est à la fois théorique et pratique. Sur le plan théorique, elle confirme que le droit de l’Union européenne, tel qu’interprété par la Cour de justice, ne permet pas d’instaurer une action en réparation détachée de toute démonstration du préjudice. Sur le plan pratique, elle impose aux conseils des salariés de ne plus se contenter d’invoquer la violation du RGPD comme un fondement autonome et suffisant de leurs demandes indemnitaires, mais de rapporter la preuve d’un dommage spécifique. Cette exigence probatoire, loin de vider le RGPD de son effectivité, en renforce au contraire la légitimité en cantonnant la réparation aux hypothèses où un préjudice réel est démontré, ainsi que l’exige la fonction exclusivement compensatoire du droit à réparation prévu par l’article 82 du règlement européen. Pour le salarié confronté à une violation de ses données personnelles par son employeur, la démonstration du préjudice constitue désormais le cœur de la stratégie contentieuse, ce qu’un avocat spécialisé en droit du travail à Paris devra intégrer dans l’évaluation des chances de succès de l’action, étant rappelé que le cabinet peut être joint au 06 89 11 34 45 pour toute question relative à la protection des données personnelles dans les relations de travail ou écrire à [email protected].

Conclusion

L’arrêt rendu par la chambre sociale de la Cour de cassation le 24 juin 2026 constitue une décision de principe dont la portée dépasse le seul contentieux prud’homal pour s’étendre à l’ensemble du droit de la protection des données personnelles. En jugeant que la simple violation du RGPD n’ouvre pas, à elle seule, droit à réparation, la Haute juridiction rappelle que l’article 82 du règlement européen remplit une fonction exclusivement compensatoire et non punitive, conformément à la jurisprudence constante de la Cour de justice de l’Union européenne. Cette décision impose au salarié qui se prévaut d’une violation de ses données personnelles de démontrer l’existence d’un dommage matériel ou moral distinct, sans pouvoir se contenter d’établir le seul manquement de l’employeur. Elle clarifie par ailleurs l’articulation entre le contrôle de proportionnalité applicable à la recevabilité des preuves et la réparation du préjudice autonome, deux questions que la pratique judiciaire tendait à confondre. L’effectivité du RGPD dans les relations de travail ne s’en trouve pas affaiblie : elle est au contraire renforcée par l’exigence d’une démonstration rigoureuse du préjudice, seule de nature à garantir que la fonction compensatoire de la réparation ne soit pas dévoyée en mécanisme punitif automatique.