La violation du RGPD en droit du travail : la chambre sociale du 24 juin 2026 exige désormais la preuve d’un préjudice matériel ou moral
Par un arrêt du 24 juin 2026, publié au Bulletin, la chambre sociale de la Cour de cassation a posé un principe dont les conséquences pratiques pour le contentieux prud’homal sont considérables : la simple violation du règlement général sur la protection des données (RGPD) n’ouvre pas, à elle seule, droit à réparation. Le salarié qui invoque un traitement illicite de ses données personnelles par son employeur doit désormais établir l’existence d’un dommage matériel ou moral distinct du manquement lui-même. Cette décision, rendue sur le pourvoi n° 24-22.792, s’inscrit dans un mouvement jurisprudentiel plus large qui tend à renforcer l’exigence probatoire pesant sur le demandeur à l’action en responsabilité, tout en alignant le droit interne du travail sur la jurisprudence de la Cour de justice de l’Union européenne relative à l’article 82, paragraphe 1, du règlement du 27 avril 2016.
L’arrêt commenté est intervenu dans un litige opposant un salarié, analyste en stratégies algorithmiques, à son employeur, la société Natixis. Contestant son licenciement, le salarié avait saisi la juridiction prud’homale. La cour d’appel de Paris, dans un arrêt du 30 octobre 2024, avait jugé que les preuves fournies par l’employeur, bien qu’illicites en raison d’un traitement de données contraire au RGPD, étaient recevables au motif que leur obtention était indispensable et proportionnée à l’objectif poursuivi. Elle avait néanmoins condamné l’employeur à verser 5 000 euros de dommages et intérêts pour exécution déloyale du contrat de travail, retenant que le non-respect du RGPD était caractérisé et avait nécessairement causé un préjudice au salarié. C’est cette automaticité du préjudice que la chambre sociale censure avec une netteté remarquable.
L’intérêt de cet arrêt dépasse le seul cas d’espèce. Il touche à l’articulation entre le droit de la protection des données personnelles, les droits fondamentaux du salarié et le droit de la preuve dans le contentieux prud’homal. Il oblige praticiens et justiciables à repenser la stratégie contentieuse des demandes indemnitaires fondées sur le RGPD. L’analyse de cette décision impose d’examiner, d’une part, la portée de la dissociation entre le manquement et le préjudice (I), et d’autre part, les conséquences contentieuses du renforcement de l’exigence probatoire (II).
I. La dissociation du manquement au RGPD et du droit à réparation
A. L’abandon de la présomption de préjudice pour violation des données personnelles
L’apport principal de l’arrêt du 24 juin 2026 tient dans la formule par laquelle la chambre sociale énonce que « la simple violation du règlement général sur la protection des données n’ouvre pas, à elle seule, droit à réparation » et qu’il appartenait à la cour d’appel « d’apprécier si le salarié établissait que la violation de ce règlement qu’elle avait constatée avait causé au salarié un dommage matériel ou moral » (Cass. soc., 24 juin 2026, n° 24-22.792, publié au Bulletin). Cette position constitue une clarification importante dans un domaine où la pratique des juridictions du fond était jusqu’alors incertaine.
En l’espèce, la cour d’appel de Paris avait raisonné en deux temps. Elle avait d’abord admis la recevabilité de preuves obtenues en violation du RGPD, au nom du droit à la preuve et du principe de proportionnalité. Puis elle avait considéré que, le manquement au règlement étant avéré, un préjudice en résultait nécessairement pour le salarié. C’est ce second temps du raisonnement que la Cour de cassation sanctionne. La haute juridiction rappelle que la caractérisation du manquement ne dispense pas le juge de rechercher si un préjudice en est effectivement résulté.
Cette solution prolonge la logique déjà présente dans la jurisprudence des cours d’appel. La cour d’appel de Nîmes, dans un arrêt du 9 juin 2026, avait débouté un salarié de sa demande de dommages et intérêts fondée sur la violation du RGPD, après avoir constaté que « la circonstance que la déclaration auprès de la CNIL ne figure pas au nombre des pièces versées n’a pas été à l’origine du préjudice moral qu’il invoque » (CA Nîmes, 5e ch. soc., 9 juin 2026, n° 25/00994). L’arrêt du 24 juin 2026 unifie et consolide cette approche en l’érigeant en principe directeur pour l’ensemble du contentieux prud’homal.
Par ailleurs, la chambre sociale ne se borne pas à énoncer une règle de principe. Elle en tire les conséquences immédiates dans le dispositif de son arrêt, en cassant et annulant, « mais seulement en ce qu’il condamne la société Natixis à payer à M. [P] la somme de 5 000 euros à titre de dommages et intérêts pour exécution déloyale du contrat de travail », et en renvoyant l’affaire devant la cour d’appel de Paris autrement composée. Cette cassation partielle illustre la volonté de la chambre sociale de circonscrire précisément la portée de sa censure à la seule question de l’indemnisation automatique, sans remettre en cause l’appréciation de la cour d’appel sur la recevabilité des preuves illicites.
Dès lors, le principe est clairement établi : la violation du RGPD par l’employeur constitue un fait juridique dont le salarié peut se prévaloir, mais ce fait ne se confond pas avec le préjudice. La preuve de la violation et la preuve du dommage sont deux exigences distinctes, que le juge doit examiner successivement et indépendamment. Cette clarification était d’autant plus nécessaire que le RGPD lui-même, en son article 82, paragraphe 1, dispose que « toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi », formulation qui subordonne expressément le droit à réparation à l’existence d’un dommage.
B. L’alignement explicite sur la jurisprudence de la Cour de justice de l’Union européenne
L’arrêt du 24 juin 2026 ne constitue pas une innovation isolée de la chambre sociale. Il s’inscrit délibérément dans le sillage de la jurisprudence de la Cour de justice de l’Union européenne, dont il reproduit les principaux enseignements avec une fidélité remarquable. La Cour de cassation cite expressément deux arrêts de la Cour de Luxembourg qui forment le cadre européen de la réparation en matière de violation des données personnelles.
Le premier, rendu le 4 mai 2023 dans l’affaire Österreichische Post (C-300/21), a dit pour droit que « la simple violation des dispositions de ce règlement ne suffit pas pour conférer un droit à réparation », que le règlement « s’oppose à une règle ou une pratique nationale subordonnant la réparation d’un dommage moral, au sens de cette disposition, à la condition que le préjudice subi par la personne concernée ait atteint un certain degré de gravité », et que « aux fins de la fixation du montant des dommages-intérêts dus au titre du droit à réparation consacré à cet article, les juges nationaux doivent appliquer les règles internes de chaque État membre relatives à l’étendue de la réparation pécuniaire, pour autant que les principes d’équivalence et d’effectivité du droit de l’Union soient respectés » (CJUE, 4 mai 2023, C-300/21, Österreichische Post). Cette décision a posé les trois piliers du droit à réparation : l’absence d’automaticité, l’absence de seuil de gravité, et le renvoi aux droits nationaux pour la fixation du quantum.
Le second arrêt, rendu le 25 janvier 2024 dans l’affaire MediaMarktSaturn Hagen-Iserlohn (C-687/21), a précisé deux points essentiels. D’une part, que « le droit à réparation prévu à cette disposition, notamment en cas de dommage moral, remplit une fonction compensatoire, en ce qu’une réparation pécuniaire fondée sur ladite disposition doit permettre de compenser intégralement le préjudice concrètement subi du fait de la violation de ce règlement, et non une fonction punitive ». D’autre part, que « la personne demandant réparation au titre de cette disposition est tenue d’établir non seulement la violation de dispositions de ce règlement, mais également que cette violation lui a causé un dommage matériel ou moral » (CJUE, 25 janv. 2024, C-687/21, MediaMarktSaturn). La chambre sociale reproduit ces motifs mot pour mot dans l’arrêt du 24 juin 2026.
En reprenant fidèlement le cadre dessiné par la Cour de justice, la chambre sociale opère un alignement explicite du droit interne du travail sur le droit de l’Union. Cet alignement a pour effet d’écarter toute tentation d’une réparation punitive, que certains juges du fond avaient pu esquisser en accordant des dommages et intérêts fondés sur la seule gravité du manquement de l’employeur, indépendamment du préjudice subi par le salarié. La fonction de la responsabilité civile en matière de violation du RGPD est désormais exclusivement compensatoire.
Cette position est d’autant plus significative qu’elle s’inscrit dans un mouvement plus large de convergence entre le droit du travail et le droit des données personnelles. L’arrêt de la chambre sociale du 1er juin 2023 avait déjà souligné que « le droit à la protection des données à caractère personnel n’est pas un droit absolu et doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité » (Cass. soc., 1er juin 2023, n° 22-13.238, publié au Bulletin). L’arrêt du 24 juin 2026 approfondit cette logique en soumettant la réparation à la preuve d’un préjudice effectif.
II. Les conséquences contentieuses de l’exigence probatoire renforcée
A. La charge de la preuve du dommage matériel ou moral incombant au salarié
La conséquence pratique la plus immédiate de l’arrêt du 24 juin 2026 concerne la charge de la preuve. En écartant toute automaticité du préjudice, la chambre sociale impose au salarié demandeur d’établir, par tous moyens, l’existence d’un dommage matériel ou moral résultant de la violation du RGPD. Cette exigence n’est pas nouvelle en droit commun de la responsabilité civile, où il est constant que le demandeur doit prouver la faute, le préjudice et le lien de causalité. Elle l’est davantage dans le contentieux du travail, où le régime probatoire présente des spécificités qui peuvent entrer en tension avec cette exigence.
L’arrêt de la cour d’appel de Versailles du 3 juin 2026, s’agissant du télétravail imposé, et celui de la cour d’appel de Nîmes du 9 juin 2026 illustrent les difficultés pratiques auxquelles se heurtent les salariés. Dans cette dernière espèce, la cour a relevé que le salarié « ne démontre pas le préjudice qu’il allègue » au titre de la violation du RGPD. Le seul constat de l’irrégularité du traitement de données — en l’occurrence, l’absence de déclaration à la CNIL — n’a pas suffi à caractériser un préjudice indemnisable. La cour a pris soin d’observer que « la circonstance que la déclaration auprès de la CNIL ne figure pas au nombre des pièces versées n’a pas été à l’origine du préjudice moral qu’il invoque alors qu’il a lui-même procédé à des appels descendants, renseigné le logiciel sans être à même de justifier de l’utilisation conforme du logiciel ».
En conséquence, la stratégie contentieuse des salariés doit évoluer. Il ne suffit plus d’invoquer une violation du RGPD pour obtenir des dommages et intérêts. Le salarié doit désormais articuler précisément en quoi le traitement illicite de ses données lui a causé un préjudice distinct : perte de chance, atteinte à la réputation, stress ou anxiété, discrimination, ou tout autre dommage matériel ou moral susceptible d’être évalué par le juge. Cette exigence renforce le rôle de l’avocat en droit du travail à Paris dans la construction du dossier probatoire, chaque demande indemnitaire fondée sur le RGPD devant être étayée par des éléments concrets démontrant la réalité et l’étendue du préjudice allégué.
Par ailleurs, l’arrêt du 24 juin 2026 ne remet pas en cause le droit du salarié de solliciter réparation sur le fondement du droit commun. Les articles L. 1121-1 et L. 1222-1 du code du travail demeurent applicables. L’article L. 1121-1 du code du travail dispose que « nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché ». L’article L. 1222-1 du même code prévoit que « le contrat de travail est exécuté de bonne foi ». La violation du RGPD peut ainsi constituer un manquement à l’obligation d’exécution loyale du contrat de travail, mais l’indemnisation de ce manquement suit les règles ordinaires de la responsabilité civile, qui exigent la preuve d’un préjudice.
B. L’articulation délicate entre le droit à la preuve et la protection des données personnelles
L’arrêt du 24 juin 2026 ne se borne pas à trancher la question du préjudice. Il s’inscrit dans une réflexion plus large sur l’articulation entre le droit à la preuve et la protection des données personnelles, qui constitue l’un des enjeux majeurs du contentieux prud’homal contemporain. La chambre sociale rappelle que le droit à la preuve peut justifier la production d’éléments portant atteinte à la vie privée, à condition que cette production soit indispensable à son exercice et que l’atteinte soit strictement proportionnée au but poursuivi.
Ce principe avait été consacré par l’assemblée plénière de la Cour de cassation dans un arrêt du 22 décembre 2023, qui a posé que « dans un procès civil, l’illicéité ou la déloyauté dans l’obtention ou la production d’un moyen de preuve ne conduit pas nécessairement à l’écarter des débats » (Ass. plén., 22 décembre 2023, n° 20-20.648). La chambre sociale en a fait une application constante. Dans un arrêt du 25 septembre 2024, publié au Bulletin, elle a précisé que « le droit à la preuve peut justifier la production d’éléments portant atteinte à la vie privée à la condition que cette production soit indispensable à l’exercice de ce droit et que l’atteinte soit proportionnée au but poursuivi » (Cass. soc., 25 sept. 2024, n° 23-13.992, publié au Bulletin).
L’arrêt du 24 juin 2026 s’inscrit dans cette continuité. La cour d’appel de Paris avait jugé que les preuves fournies par l’employeur, bien qu’obtenues en violation du RGPD, étaient recevables en raison de leur caractère indispensable et proportionné. La Cour de cassation n’a pas censuré cette appréciation, confirmant ainsi que la violation du RGPD n’entraîne pas automatiquement l’irrecevabilité des preuves obtenues en méconnaissance de ses dispositions. Cette solution, déjà présente en germe dans un arrêt du 26 février 2025 par lequel la chambre sociale avait rappelé que « le droit à la preuve peut justifier la production d’éléments portant atteinte à la vie privée à la condition que cette production soit indispensable à l’exercice de ce droit et que l’atteinte soit proportionnée au but poursuivi » (Cass. soc., 26 févr. 2025, n° 22-18.179), trouve ici une confirmation éclatante.
La combinaison des deux principes dégagés par l’arrêt du 24 juin 2026 — recevabilité conditionnelle de la preuve illicite et absence d’indemnisation automatique de la violation du RGPD — produit un effet d’équilibre remarquable. D’un côté, l’employeur ne peut se voir automatiquement condamné à des dommages et intérêts du seul fait qu’il a traité des données en méconnaissance du RGPD. De l’autre, le salarié conserve la possibilité d’obtenir réparation d’un préjudice qu’il parvient à démontrer, y compris lorsque ce préjudice résulte de la production en justice de données obtenues de manière illicite.
Cette construction jurisprudentielle prend en compte la réalité du contentieux prud’homal, dans lequel les questions de preuve et de protection des données sont souvent inextricablement liées. La cour d’appel de Nîmes, dans son arrêt du 9 juin 2026, a ainsi rappelé que les dispositions du RGPD relatives à la licéité du traitement des données, aux finalités du traitement et à la transparence vis-à-vis de la personne concernée constituent le cadre dans lequel le juge doit apprécier la validité des preuves produites par l’employeur, sans pour autant que ce cadre n’aboutisse à un évincement systématique des moyens de preuve technique.
La chambre sociale de la Cour de cassation, par cet arrêt du 24 juin 2026, a également pris soin de rappeler que le règlement général sur la protection des données doit être interprété en ce sens qu’il ne crée pas un droit absolu, mais un droit qui doit être mis en balance avec d’autres droits fondamentaux, au premier rang desquels figure le droit à un procès équitable. Ce rappel, déjà présent dans l’arrêt du 1er juin 2023 précité, prend une acuité particulière dans le contentieux du licenciement, où l’accès aux données techniques est souvent le seul moyen pour l’employeur de rapporter la preuve des faits fautifs qu’il invoque.
Par ailleurs, la question de l’articulation entre le RGPD et la preuve en droit du travail ne se limite pas au contentieux du licenciement. Elle intéresse également le contentieux de l’exécution du contrat de travail, dans lequel les salariés invoquent de plus en plus fréquemment les dispositions du règlement européen à l’appui de demandes indemnitaires distinctes de la rupture. L’arrêt de la cour d’appel de Limoges du 12 mars 2026 illustre cette tendance, en confirmant la compétence du conseil de prud’hommes pour connaître d’une demande indemnitaire fondée sur la violation du RGPD, tout en rejetant cette demande au fond faute de preuve d’un préjudice distinct (CA Limoges, ch. soc., 12 mars 2026, n° 25/00368). La multiplication de ces contentieux laisse présager que l’arrêt du 24 juin 2026 sera fréquemment invoqué, tant par les employeurs pour s’opposer aux demandes indemnitaires automatiques que par les salariés pour ajuster leur stratégie probatoire en conséquence.
En définitive, la chambre sociale dessine un régime de responsabilité cohérent pour les violations du RGPD dans les relations de travail. Elle distingue trois moments qui doivent être examinés indépendamment : la caractérisation du manquement au règlement, l’appréciation de la recevabilité des preuves obtenues en violation de ses dispositions, et l’évaluation du préjudice indemnisable. Chacun obéit à des conditions qui lui sont propres, et le succès sur le premier terrain ne garantit pas le succès sur les deux autres.
Conclusion
L’arrêt du 24 juin 2026 marque une étape décisive dans la construction du régime contentieux de la violation du RGPD en droit du travail. En écartant toute automaticité entre le manquement et le préjudice, la chambre sociale aligne le droit interne sur la jurisprudence de la Cour de justice de l’Union européenne et restaure la fonction compensatoire de la responsabilité civile. Cette solution, qui pourrait paraître défavorable aux salariés, garantit en réalité la cohérence du système probatoire et indemnitaire, en évitant que le RGPD ne devienne un fondement de condamnation systémique de l’employeur, déconnecté de toute logique de préjudice effectif. Elle impose aux praticiens une rigueur nouvelle dans l’administration de la preuve du dommage matériel ou moral. Les salariés conservent la possibilité d’obtenir réparation, mais à la condition expresse de démontrer, par des éléments objectifs et circonstanciés, la réalité du préjudice que leur a causé la violation alléguée du règlement.
Le renvoi ordonné devant la cour d’appel de Paris autrement composée permettra de mesurer la portée concrète de cette exigence probatoire renforcée. Il appartiendra à cette juridiction d’apprécier si le salarié établit, au-delà du manquement constaté, l’existence d’un dommage matériel ou moral en lien causal avec la violation du RGPD. L’issue de ce renvoi sera suivie avec attention par l’ensemble des acteurs du contentieux prud’homal.
Transmettez les pièces de votre dossier au cabinet. Maître Hassan KOHEN vous répond personnellement sous 24 heures avec une première analyse stratégique.