Violation du RGPD : la preuve illicite peut être admise, le préjudice doit être prouvé

Lorsqu’un employeur fonde la preuve d’une faute disciplinaire sur des données personnelles collectées en méconnaissance du règlement général sur la protection des données (RGPD), une question délicate se pose : si cette preuve, bien qu’illicite, est jugée recevable parce qu’indispensable et proportionnée au but poursuivi, le salarié peut-il obtenir réparation du seul fait de la violation du règlement ?
 
La réponse ne fait guère de doute sur un premier point. L’admission de la preuve n’efface pas l’irrégularité de son obtention. Dès lors qu’un traitement de données a été mis en œuvre en violation du RGPD, l’employeur a commis une faute susceptible d’engager sa responsabilité. Mais encore faut-il déterminer si cette faute ouvre automatiquement droit à indemnisation ou si le salarié doit démontrer l’existence d’un préjudice personnel.
 
C’est précisément la question tranchée par la chambre sociale. Censurant l’arrêt d’appel, elle affirme que la seule violation du RGPD « n’ouvre pas, à elle seule, droit à réparation ». En conséquence, il appartient aux juges du fond de vérifier concrètement si le salarié établit l’existence d’un dommage, matériel ou moral, résultant de cette violation (Cass. soc., 24 juin 2026, n° 24-22.792, publié).
 
L’affaire s’inscrivait dans un contexte particulier. Dans le cadre d’une campagne de sensibilisation aux cyberattaques, l’employeur avait organisé plusieurs tests d’hameçonnage. Le salarié, analyste en stratégies algorithmiques, avait volontairement cliqué sur des liens suspects lors de six simulations successives et créé, à cette occasion, de faux identifiants à caractère insultant.
 
Considérant que ce comportement révélait une attitude délibérée de nature à compromettre la sécurité informatique de l’entreprise, l’employeur avait procédé à son licenciement.
 
Pour identifier l’auteur des agissements, l’entreprise avait exploité des données personnelles dans des conditions contraires aux exigences du RGPD. Les juges du fond avaient néanmoins admis la recevabilité de cette preuve, estimant qu’elle était indispensable à l’exercice du droit à la preuve et proportionnée à l’objectif poursuivi. Sur ce point, la Cour de cassation n’a pas jugé utile de discuter leur analyse, rejetant sans motivation spéciale le moyen du salarié qui contestait cette admission.
 
Les juges d’appel avaient en revanche considéré que la méconnaissance du RGPD avait nécessairement causé un préjudice au salarié, qu’ils avaient évalué à 5 000 euros. C’est cette partie de leur décision qui est censurée. Pour la Cour de cassation, l’existence du dommage ne saurait être présumée : elle doit être démontrée.
 
La solution s’inscrit dans le sillage de la jurisprudence de la Cour de justice de l’Union européenne.
 
Dans l’arrêt Österreichische Post, la CJUE a clairement affirmé que la simple violation d’une disposition du RGPD ne suffit pas à faire naître un droit à réparation. L’article 82 du règlement subordonne en effet l’indemnisation à la réunion de trois conditions cumulatives : la violation d’une règle, l’existence d’un dommage et un lien de causalité entre les deux. En l’absence de préjudice établi, aucune réparation n’est due (CJUE, 4 mai 2023, aff. C-300/21, Österreichische Post).
 
Depuis lors, la Cour de justice n’a cessé de réaffirmer cette position. Elle rappelle que la personne concernée doit prouver non seulement l’existence d’un manquement au règlement, mais également le dommage matériel ou moral qui en est résulté (v. not. CJUE, 25 janvier 2024, aff. C-687/21, MediaMarktSaturn Hagen-Iserlohn GmbH). Plus récemment, à propos du droit d’accès aux données personnelles, elle a exclu toute automaticité du préjudice fondée sur la seule constatation d’une violation du RGPD (CJUE, 19 mars 2026, aff. C-526/24, Brillen Rottler GmbH & Co. KG c. TC).
 
La décision apparaît cohérente avec les principes de la responsabilité civile. Faire naître un droit à réparation du seul constat de la violation d’une règle reviendrait à détacher l’indemnisation de sa fonction première, qui est de compenser un dommage subi. Forçant les mécanismes du droit pour un avantage financier individuel que rien ne justifie et dont l’effet dissuasif est douteux, on réintroduirait une logique proche du « préjudice nécessairement causé », pourtant formellement abandonnée.
 
L’absence de réparation automatique ne signifie pas au demeurant une absence de sanction. Les manquements au RGPD peuvent donner lieu à d’autres mécanismes répressifs, notamment aux pouvoirs de contrôle et de sanction des autorités de protection des données. Les amendes administratives prévues par le règlement remplissent précisément cette fonction dissuasive, sans qu’il soit nécessaire de démontrer l’existence d’un dommage individuel.
 
Dès lors, exiger la preuve d’un préjudice pour obtenir des dommages-intérêts ne traduit pas un affaiblissement de la protection des données personnelles, mais le maintien d’une distinction fondamentale entre sanction et réparation.