La violation du règlement général sur la protection des données par l’employeur et l’exigence prétorienne d’un préjudice démontré

I. La fin du préjudice automatique en matière de violation du RGPD par l’employeur

A. La portée de l’arrêt de la chambre sociale du 24 juin 2026

La chambre sociale de la Cour de cassation a rendu, le 24 juin 2026, un arrêt publié au Bulletin dont la portée dépasse le seul contentieux de la preuve pour irriguer l’ensemble du droit de la réparation dans les relations de travail. Par cette décision, la haute juridiction a censuré un arrêt de la cour d’appel de Paris du 30 octobre 2024 qui avait retenu que le non-respect du règlement général sur la protection des données par l’employeur avait nécessairement causé un préjudice au salarié. En l’espèce, un analyste en stratégies algorithmiques, engagé en 2010 par la société Natixis, contestait son licenciement notifié le 29 mars 2019 et sollicitait l’indemnisation d’un préjudice résultant de la violation du RGPD constatée dans le cadre de la production par l’employeur de preuves permettant son identification.

La cour d’appel de Paris, après avoir jugé que les preuves fournies par l’employeur étaient certes illicites mais recevables en raison de leur caractère indispensable et proportionné, avait néanmoins condamné la société au paiement de la somme de 5 000 euros à titre de dommages et intérêts pour exécution déloyale du contrat de travail, en retenant que la violation du RGPD était caractérisée et avait nécessairement causé un préjudice au salarié. La chambre sociale a considéré que les juges du fond, en statuant ainsi, avaient violé l’article 82 du règlement européen. Elle énonce, dans un attendu de principe, que « la simple violation du règlement général sur la protection des données n’ouvre pas, à elle seule, droit à réparation » et qu’il appartenait à la cour d’appel « d’apprécier si le salarié établissait que la violation de ce règlement qu’elle avait constatée avait causé au salarié un dommage matériel ou moral » (Cass. soc., 24 juin 2026, n° 24-22.792, Publié au Bulletin).

Cette motivation est dénuée de toute ambiguïté. La chambre sociale ne se borne pas à rappeler le principe selon lequel la violation du RGPD ne se confond pas avec le préjudice indemnisable : elle impose au juge du fond un contrôle concret de l’existence d’un dommage matériel ou moral causé par cette violation. Par là-même, elle écarte définitivement toute présomption de préjudice qui aurait pu découler du seul constat d’un manquement de l’employeur aux dispositions du règlement européen. La cassation prononcée, avec renvoi devant la cour d’appel de Paris autrement composée, illustre la rigueur du contrôle exercé par la chambre sociale sur la motivation des juges du fond en matière de réparation.

Cet arrêt s’inscrit dans un mouvement plus large de la chambre sociale, qui avait déjà eu l’occasion de rappeler, dans un arrêt publié au Bulletin du 1er juin 2023, que « le droit à la protection des données à caractère personnel n’est pas un droit absolu et doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité » (Cass. soc., 1er juin 2023, n° 22-13.238, Publié au Bulletin). La décision du 24 juin 2026 prolonge cette logique en ajoutant que, même lorsque l’atteinte au RGPD est caractérisée, l’indemnisation ne saurait être automatique. Or, cette exigence prétorienne constitue, pour tout avocat en droit du travail à Paris, un paramètre déterminant dans l’évaluation des chances de succès d’une action en réparation fondée sur la violation des données personnelles du salarié.

B. L’alignement sur la jurisprudence de la Cour de justice de l’Union européenne

La solution retenue par la chambre sociale le 24 juin 2026 n’est pas le produit d’une création prétorienne isolée. Elle puise explicitement ses sources dans la jurisprudence de la Cour de justice de l’Union européenne, dont les enseignements sont venus préciser la portée de l’article 82 du RGPD. La Cour de justice, dans un arrêt Österreichische Post du 4 mai 2023, a dit pour droit que « la simple violation des dispositions de ce règlement ne suffit pas pour conférer un droit à réparation », que l’article 82 « s’oppose à une règle ou une pratique nationale subordonnant la réparation d’un dommage moral à la condition que le préjudice subi par la personne concernée ait atteint un certain degré de gravité », et que les juges nationaux doivent appliquer les règles internes relatives à l’étendue de la réparation pécuniaire dans le respect des principes d’équivalence et d’effectivité du droit de l’Union (CJUE, 4 mai 2023, n° C-300/21).

Par ailleurs, la Cour de justice a précisé, dans un arrêt MediaMarktSaturn du 25 janvier 2024, que « le droit à réparation prévu à cette disposition remplit une fonction compensatoire » et non punitive, et que « la personne demandant réparation est tenue d’établir non seulement la violation de dispositions de ce règlement, mais également que cette violation lui a causé un dommage matériel ou moral » (CJUE, 25 janvier 2024, n° C-687/21). La chambre sociale, en visant expressément ces deux décisions dans les motifs de son arrêt du 24 juin 2026, consacre une lecture du RGPD conforme à l’interprétation authentique qu’en donne la Cour de Luxembourg. Dès lors, le droit français du travail se trouve pleinement aligné sur le droit de l’Union s’agissant de la réparation du préjudice consécutif à une violation des données personnelles par l’employeur.

En conséquence, la violation du RGPD dans le cadre de la relation de travail ne saurait être appréhendée comme un chef de préjudice autonome et forfaitaire. Elle doit, au contraire, s’analyser à l’aune des règles du droit commun de la responsabilité civile, telles qu’elles résultent des articles 1240 et suivants du code civil, qui exigent la démonstration d’un dommage, d’un fait générateur et d’un lien de causalité entre les deux. Le salarié qui se prévaut d’une violation du RGPD ne peut donc se dispenser d’établir, par tous moyens, la matérialité du dommage qu’il allègue et son imputabilité directe au manquement constaté. Aux termes de l’article 1240 du code civil, « tout fait quelconque de l’homme, qui cause à autrui un dommage, oblige celui par la faute duquel il est arrivé à le réparer » (C. civ., art. 1240). La faute de l’employeur, fût-elle constituée par la méconnaissance des obligations issues du RGPD, ne dispense donc pas le salarié de rapporter la preuve du préjudice qu’il allègue.

Or, cette exigence prétorienne constitue, pour tout avocat en droit du travail à Paris, un paramètre déterminant dans l’évaluation des chances de succès d’une action en réparation fondée sur la violation des données personnelles du salarié. La démonstration du préjudice ne saurait se satisfaire d’affirmations générales ou de considérations abstraites sur l’importance de la protection des données : elle doit reposer sur des éléments concrets, tels que la preuve d’une anxiété médicalement constatée, d’une atteinte à la réputation professionnelle ou d’une perte de chance avérée.

Cette exigence probatoire se trouve également confortée par l’article L. 1222-4 du code du travail, aux termes duquel « aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance » (C. trav., art. L. 1222-4). La violation de cette disposition, comme celle des articles du RGPD, constitue un manquement de l’employeur à ses obligations, mais elle ne génère pas, en elle-même, un droit à indemnisation automatique. C’est précisément ce que rappelle la chambre sociale en exigeant que le salarié démontre, au-delà du manquement, l’existence d’un dommage matériel ou moral en lien causal avec ce manquement.

II. La dissociation de l’illicéité de la preuve et du droit à réparation dans le contentieux prud’homal

A. La distinction entre le sort de la preuve illicite et la réparation du préjudice RGPD

L’un des apports majeurs de l’arrêt du 24 juin 2026 réside dans la distinction clairement opérée entre deux questions que la pratique avait tendance à confondre : d’une part, la recevabilité de la preuve obtenue en méconnaissance du RGPD et, d’autre part, le droit à réparation du salarié du fait de cette méconnaissance. La cour d’appel de Paris avait, dans l’arrêt censuré, admis la recevabilité des preuves fournies par l’employeur après avoir constaté qu’elles étaient certes illicites mais indispensables et proportionnées à l’objectif poursuivi, conformément à la jurisprudence constante de la chambre sociale sur le droit à la preuve. Sur ce point, la Cour de cassation n’a pas remis en cause l’appréciation des juges du fond, le pourvoi principal du salarié étant rejeté.

En revanche, la cour d’appel avait, dans le même mouvement, déduit de cette illicéité l’existence nécessaire d’un préjudice indemnisable. C’est ce raisonnement que la chambre sociale a sanctionné. Il existe donc, dans le contentieux prud’homal, un double régime juridique qu’il convient de ne pas confondre : l’illicéité de la preuve, qui relève d’un contrôle de proportionnalité entre le droit à la preuve et les droits antinomiques en présence, d’un côté ; le droit à réparation, qui suppose la démonstration d’un préjudice distinct, de l’autre. La chambre sociale avait d’ailleurs déjà posé, dans son arrêt du 1er juin 2023, le cadre de ce contrôle de proportionnalité en énonçant que « le droit à la preuve peut justifier la production d’éléments portant atteinte à la vie personnelle à la condition que cette production soit indispensable à l’exercice de ce droit et que l’atteinte soit proportionnée au but poursuivi » (Cass. soc., 1er juin 2023, n° 22-13.238, Publié au Bulletin).

La jurisprudence des cours d’appel confirme cette dissociation. La cour d’appel de Nîmes, dans un arrêt du 9 juin 2026, a ainsi débouté un salarié de sa demande de dommages et intérêts à hauteur de 10 000 euros fondée sur la violation du RGPD, après avoir constaté que, si l’employeur n’avait pas justifié d’une déclaration à la CNIL, le traitement des données n’avait pas été détourné de ses finalités et que le salarié ne démontrait pas la réalité du préjudice moral qu’il invoquait. La cour a notamment relevé que « la circonstance que la déclaration auprès de la CNIL ne figure pas au nombre des pièces versées n’a pas été à l’origine du préjudice moral qu’il invoque alors qu’il a lui-même procédé à des appels descendants, renseigné le logiciel sans être à même de justifier de l’utilisation conforme du logiciel » (CA Nîmes, 5e ch. soc., 9 juin 2026, n° 25/00994).

Par ailleurs, la cour d’appel de Pau, dans un arrêt du 2 octobre 2025, a retenu que l’employeur, qui avait fait dresser un procès-verbal d’huissier décomptant les courriels de la salariée sur une période antérieure à la procédure de licenciement, avait méconnu les règles relatives à la collecte des données personnelles, mais a néanmoins limité l’indemnisation allouée à ce titre à la somme de 1 000 euros, après avoir constaté que ce manquement n’avait causé qu’un préjudice limité (CA Pau, ch. soc., 2 octobre 2025, n° 23/01266). Cette solution illustre la logique de proportionnalité qui gouverne désormais l’office du juge en la matière : le quantum de la réparation est fonction de la gravité du préjudice démontré, non de la seule existence du manquement.

B. L’articulation avec les autres chefs de préjudice dans le contentieux prud’homal

La décision de la chambre sociale du 24 juin 2026 produit des conséquences qui dépassent le seul contentieux du RGPD pour affecter l’architecture même des demandes indemnitaires dans le procès prud’homal. Elle invite, en effet, le salarié à distinguer avec rigueur les différents chefs de préjudice qu’il invoque et à en rapporter la preuve pour chacun d’entre eux, sans pouvoir se reposer sur une quelconque présomption tirée du constat d’un manquement de l’employeur.

Cette exigence est d’autant plus prégnante dans un contexte où le salarié cumule fréquemment, au sein d’une même instance, des demandes fondées sur la violation du RGPD, sur l’exécution déloyale du contrat de travail, sur l’absence de cause réelle et sérieuse du licenciement ou encore sur un harcèlement moral. Or, la chambre sociale a précisément rappelé, par l’arrêt commenté, que le préjudice allégué au titre de la violation du RGPD doit être distinct de celui qui pourrait résulter des autres manquements de l’employeur, et que sa preuve doit être rapportée de manière autonome. En d’autres termes, le salarié ne saurait obtenir une indemnisation au titre du RGPD en se bornant à invoquer le caractère illicite du traitement de ses données, sans démontrer en quoi cette illicéité lui a causé un dommage spécifique.

A cet égard, la jurisprudence de la chambre sociale fournit plusieurs illustrations de cette articulation délicate entre les différents chefs de préjudice. Dans un arrêt du 13 mai 2026, la chambre sociale a eu à connaître d’un litige dans lequel un salarié invoquait simultanément la violation du RGPD, la nullité de son licenciement et un préjudice distinct résultant de ses conditions de travail dégradées. La haute juridiction a rappelé, dans cette décision, que le juge doit apprécier séparément chacun des chefs de demande, sans qu’aucune présomption ne puisse être tirée de la constatation d’un manquement pour en déduire l’existence d’un autre préjudice. Cette exigence de rigueur probatoire, si elle peut paraître contraignante pour le salarié, participe de la sécurité juridique et de la prévisibilité des décisions de justice, en évitant que le contentieux prud’homal ne devienne le théâtre d’une indemnisation forfaitaire déconnectée de la réalité des préjudices subis.

Par ailleurs, la cour d’appel de Reims, dans un arrêt du 11 juin 2026, a jugé que le licenciement d’une salariée était dépourvu de cause réelle et sérieuse, après avoir écarté la qualification de faute grave retenue par l’employeur, mais a dans le même temps débouté l’intéressée de sa demande de dommages et intérêts pour préjudice distinct fondée sur les conditions de la rupture, au motif que « l’absence de cause réelle et sérieuse du licenciement ouvre droit aux seules indemnités prévues par les articles L. 1235-3 et L. 1235-3-1 du code du travail, sans que puisse être allouée une indemnisation supplémentaire en l’absence de circonstances vexatoires ou brutales établies » (CA Reims, ch. soc., 11 juin 2026, n° 25/00439). Cette solution, qui refuse l’indemnisation automatique d’un préjudice distinct non démontré, s’inscrit dans la même logique que celle qui gouverne l’arrêt du 24 juin 2026 s’agissant du RGPD : le juge ne saurait présumer le préjudice du seul fait du manquement.

La cour d’appel de Versailles, dans un arrêt du 26 juin 2025, a d’ailleurs rappelé, dans un litige relatif à la contestation du statut de cadre dirigeant, que la demande de dommages et intérêts pour violation de la vie privée n’était pas reprise au dispositif des conclusions, de sorte que la cour n’en était pas saisie, en application de l’article 954 du code de procédure civile (CA Versailles, ch. soc. 4-6, 26 juin 2025, n° 23/01844). Cette décision souligne la nécessité procédurale, pour le salarié, de présenter une demande autonome et chiffrée au titre de la violation du RGPD, distincte de ses autres prétentions indemnitaires.

De surcroît, la chambre sociale de la Cour de cassation a, dans un arrêt du 17 janvier 2024 publié au Bulletin, rappelé que « dans un procès civil, le juge doit, lorsque cela lui est demandé, apprécier si une preuve obtenue ou produite de manière illicite ou déloyale porte une atteinte au caractère équitable de la procédure dans son ensemble, en mettant en balance le droit à la preuve et les droits antinomiques en présence » (Cass. soc., 17 janv. 2024, n° 22-17.474, Publié au Bulletin). Cette jurisprudence, qui procède à une mise en balance des intérêts en présence, ne saurait être interprétée comme consacrant un droit à réparation automatique du seul fait de l’illicéité de la preuve. Elle confirme, au contraire, que le juge doit apprécier distinctement la recevabilité du moyen de preuve et le bien-fondé de la demande indemnitaire.

Enfin, il convient de relever que le droit à réparation prévu par l’article 82 du RGPD présente une fonction exclusivement compensatoire, ainsi que l’a rappelé la Cour de justice dans l’arrêt MediaMarktSaturn précité. Il ne saurait donc être détourné de sa finalité pour servir de fondement à une demande de dommages et intérêts punitifs, que le droit français ne connaît d’ailleurs pas dans son dispositif de responsabilité civile. Cette précision revêt une importance particulière dans le contentieux prud’homal, où la tentation peut exister, pour le salarié, de majorer ses demandes indemnitaires en invoquant, de manière systématique, une violation du RGPD qui tiendrait lieu de préjudice par présomption. L’arrêt du 24 juin 2026 met un terme à cette pratique en exigeant du salarié qu’il établisse, de manière concrète et circonstanciée, la réalité du dommage matériel ou moral que lui aurait causé la violation du règlement européen par son employeur.

Conclusion

L’arrêt rendu par la chambre sociale de la Cour de cassation le 24 juin 2026 constitue une décision de principe dont la portée dépasse le seul contentieux du droit des données personnelles. En jugeant que la simple violation du RGPD par l’employeur n’ouvre pas, à elle seule, droit à réparation, la haute juridiction rappelle avec fermeté l’exigence probatoire qui pèse sur le salarié demandeur à l’instance. Elle aligne, par ailleurs, la jurisprudence française sur les standards fixés par la Cour de justice de l’Union européenne, garantissant ainsi une application uniforme du droit européen de la protection des données dans les relations de travail. Cette décision invite les praticiens à repenser la stratégie contentieuse en matière de violation du RGPD, en distinguant avec rigueur la question de la recevabilité de la preuve de celle de la réparation du préjudice, et en apportant, pour chaque chef de demande, la démonstration d’un dommage matériel ou moral directement causé par le manquement allégué. La chambre sociale, ce faisant, rappelle que le droit de la protection des données, pour essentiel qu’il soit dans une société numérique, ne saurait se muer en un instrument de réparation sans dommage, au risque de dénaturer la fonction compensatoire que le législateur européen a entendu assigner au droit à réparation de l’article 82 du RGPD.