Le Conseil d’État a rappelé, dans sa décision du 1er décembre 20251, que l’existence d’une enquête interne ne suspendait pas le droit d’accès prévu à l’article 15 du Règlement général sur la protection des données (RGPD). En effet, il a souligné que le responsable de traitement devait répondre à la demande, sous réserve des exceptions prévues par le règlement, et respecter les délais. Cette solution qui s’inscrit dans une logique européenne a déjà été confirmée par la CJUE (Addiko Bank, C-312/23, 27 mai 2024), qui impose la communication des données personnelles, y compris lorsque la demande poursuit un autre objectif que celui de vérifier la licéité du traitement.
I. L’impossibilité d’opposer un refus global à la demande de droit d’accès en cas d’enquête interne
L’article 15 du RGPD garantit à toute personne concernée l’accès à ses données personnelles. Le Conseil d’État a confirmé que le responsable de traitement ne peut refuser purement et simplement une demande au motif qu’une enquête interne est en cours au sein de l’entreprise.
En effet, d’après le Conseil d’Etat, « la circonstance que des données personnelles relatives à un salarié fassent l’objet d’un traitement par son employeur dans le cadre d’une enquête interne ne fait pas obstacle, par principe, à l’exercice de son droit d’accès à ces données par le salarié, à moins que l’employeur démontre le caractère manifestement infondé ou excessif de la demande ou que les modalités d’exercice de ce droit portent atteinte aux droits et libertés d’autrui » (point 11).
L’employeur doit ainsi :
- Accuser réception et respecter les délais : conformément à l’article 12 §3 RGPD, le responsable de traitement doit informer la personne concernée des mesures prises dans un délai d’un mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois supplémentaires en cas de complexité ou de multiplicité des demandes, mais uniquement à condition d’en informer la personne concernée dans le premier mois et de justifier cette prorogation. Le Conseil d’Etat, dans sa décision du 1er décembre dernier, a précisé que le responsable de traitement ne saurait invoquer des dispositions nationales (en l’occurrence les dispositions de l’ordonnance du 25 mars 2020 relative à la prorogation des délais échus pendant la période d’urgence sanitaire) pour allonger ce délai.
- Identifier les données personnelles contenues dans les documents liés à l’enquête (notes, courriels, comptes rendus) et déterminer si la communication d’une copie de l’entièreté du document plutôt que des seules données personnelles est nécessaire afin de garantir l’effectivité du droit d’accès.
Occulter ou pseudonymiser, le cas échéant, les informations concernant des tiers ou protégées par un secret (secret des affaires, secret défense) ou par un droit de propriété intellectuelle. Par exemple, l’employeur pourra arguer du fait que certains courriels professionnels dont il est demandé la communication par la personne concernée font état de la stratégie de l’entreprise, de ses pratiques commerciales, d’un secret de fabrication, etc.
II. L’influence de la jurisprudence européenne sur la portée du droit d’accès des salariés à leurs données personnelles
Il est intéressant de noter que le Conseil d’Etat a cité à plusieurs reprises la jurisprudence de la Cour de justice de l’Union européenne au regard du droit d’accès qui a apporté des clarifications déterminantes dans l’interprétation de ce droit.
En effet, le Conseil d’Etat a cité l’arrêt du 27 mai 2024 (Addiko Bank, C-312/23) qui affirme que « l’obligation de fournir à la personne concernée qui en fait la demande une copie des données à caractère personnel la concernant et faisant l’objet d’un traitement s’impose au responsable du traitement, même lorsque cette demande est motivée par un autre but que celui de prendre connaissance du traitement et d’en vérifier la licéité2 ». Dans cette affaire, des clients d’une banque avaient sollicité leurs données pour obtenir des copies de contrats de prêt et de plans de remboursement.
L’employeur ne peut ainsi pas refuser de donner suite au droit d’accès au simple motif qu’une enquête interne est en cours.
La CJUE a également rendu d’autres décisions majeures en matière de droit d’accès, plus précisément s’agissant de l’accès à leur messagerie professionnelle par des anciens salariés, notamment les arrêts C-487/21 et C-307/22, qui rappellent que le droit d’accès vise à permettre à la personne concernée de vérifier la licéité du traitement, et que le responsable du traitement n’est pas tenu de transmettre le document en tant que tel, mais a minima les données personnelles qu’il contient. La communication intégrale du document n’est requise que si elle est nécessaire pour assurer l’intelligibilité des données.
Cette approche européenne contraste quelque peu avec la position adoptée par la Cour de cassation dans son arrêt du 18 juin 2025 (n° 23-19.022) qui confirme que les courriels professionnels constituent des données personnelles communicables et impose à l’employeur de fournir une copie intégrale, sauf atteinte disproportionnée aux droits des tiers.
III. Quels enseignements pratiques tirer de cette décision ?
La décision du Conseil d’Etat du 1er décembre dernier doit conduire les responsables de traitement à mettre en place des procédures d’exercice de droit précises et structurées afin de fournir une réponse aux demandes formulées par leurs salariés et anciens salariés qui soit conforme au RGPD.
Cette documentation vise en effet à attribuer les rôles de chaque équipe et/ou département dans le traitement de la demande de manière précise afin que celle-ci soit traitée dans les délais fixés par le RGPD (ressources humaines, équipe juridique, DPO, etc.).
Il est également recommandé de définir une gouvernance des données ainsi qu’une politique de durée de conservation des données, avec des procédures de purge efficaces. Ainsi, lorsqu’une donnée personnelle a été supprimée par l’employeur, celle-ci sortirait du champ de la demande de droit d’accès et ne pourrait donc plus être communiquée à la personne concernée.
De manière générale, il est important de sensibiliser et de former les équipes aux enjeux relatifs à la protection des données personnelles, en particulier aux règles en matière de droit d’accès. Le contentieux lié à l’exercice de ce droit devient en effet un enjeu stratégique majeur pour les entreprises, tant en termes de conformité que de gestion des risques. Une mauvaise réponse à une demande d’accès peut entraîner des sanctions administratives (CNIL) mais aussi fragiliser la position de l’employeur dans un litige prud’homal ou pénal.
Aumans Avocats : spécialistes en IT/Data, protection des données et externalisation de DPO
En tant que cabinet d’avocats spécialisé IT / Data et protection des données, Aumans Avocats accompagne les entreprises dans la mise en conformité RGPD et la gestion opérationnelle des droits des personnes concernées.
- CE, 10ème, – 9ème chambres réunies, 1er décembre 2025, 498023 ↩︎
- Passage souligné en gras par nos soins. ↩︎
