La Douille, c’est la newsletter de Volkane qui raconte le droit au monde des affaires, un dimanche sur deux. Pour la recevoir, abonnez-vous ici.
À lire si vous êtes DRH, DPO ou dirigeant : cet épisode raconte un cas réel. Si vous voulez éviter que ça vous arrive, on prépare votre entreprise en amont. Voir notre accompagnement →
Droit d’accès du salarié aux emails : le cas des 26 546 messages
Une demande d’accès RGPD utilisée comme arme de contentieux
Vous avez déjà trié 26 546 emails ?
Combien de temps faudrait-il ?
Si on compte une moyenne d’une minute pour lire et trier chaque email, il faut 442h. Soit 12 semaines de travail d’un salarié à temps plein, c’est-à-dire 3 mois au total.
Si ce salarié est payé 3 000 € mensuel brut, cela représente un coût employeur autour de 12 000 €.
C’est beaucoup ?
Beaucoup oui, mais rien par rapport à la menace d’une sanction RGPD : jusqu’à 4 % du CA groupe ou 20 millions d’euros d’amende.
Mais surtout, quel est le rapport ?
Vous allez vite comprendre.
Ginette, l’arrêt maladie et la demande de droit d’accès
Ginette est jeune. C’est son premier job et elle est arrivée dans son entreprise il y a moins de 2 ans.
Ces derniers mois, elle avait la tête ailleurs. Elle travaille dur sur un side project avec son meilleur ami. Ils veulent monter leur startup. Ils le font dans la plus totale discrétion car son contrat de travail lui interdit d’avoir une activité à part.
Quand ses managers lui ont fait part de sa baisse de performance et l’ont mise en garde, elle a répondu par un arrêt maladie.
Puis elle l’a renouvelé. C’est devenu la stratégie : renouveler l’arrêt maladie jusqu’à ce que son employeur veuille négocier sa sortie.
Mais comme au 2ème renouvellement son employeur ne l’appelait toujours pas, on lui a conseillé de faire une demande de droit d’accès au sens du RGPD pour faire réagir.
Pour faire réagir au maximum, Ginette s’est fait conseiller sur la rédaction. Voici ce qu’elle a écrit :

Elle a adressé directement cette demande au DRH de l’entreprise, qui lui-même l’a redirigé vers le DPO (i.e. la personne en charge de la protection des données au sein d’une entreprise).
Le DRH n’en revient pas quand le DPO lui explique qu’il va réellement falloir répondre à cette demande et que c’est un droit prévu dans le RGPD.
Il sait très bien quelle est la vraie raison de Ginette et pour lui, il est hors de question de mobiliser quelqu’un de son équipe à temps plein pour traiter cette demande totalement démentielle.
Le DRH insiste auprès de son DPO. Il faut trouver une solution pour que ce soit le moins chronophage possible.
Ils mettent en place un plan d’action.
Le plan d’action de l’entreprise face à une demande de droit d’accès démesurée
Le DRH coordonne un inventaire rapide :
- plus de 26 000 emails seraient concernés
- autant de messages slack et teams
- Une centaine de ticket IT.
Il retourne voir le DPO, fou d’inquiétude sur la gestion de cette situation.
Ils décident d’une stratégie en deux temps :
Première étape : le DPO, avec l’aide du DRH, prépare un dossier pour communiquer un premier niveau d’informations : l’ensemble du dossier du personnel avec contrat, bulletins de paie, comptes rendus d’entretien, politique de confidentialité, etc. En résumé, les éléments sans enjeu qui peuvent être communiqués tout de suite.
Deuxième étape : pour traiter la masse, utiliser le droit de prolonger de 2 mois pour les demandes complexes et demander à Ginette de préciser sa demande sur les messages : quelles périodes, quels destinataires, quels mots-clés ?
Trois semaines plus tard, Ginette n’a toujours pas répondu.
L’avocat en droit social qui commence à préparer la négociation se frotte les mains. Pour lui, Ginette ne va jamais répondre et cela va faciliter le dossier.
Sauf qu’un matin de février, Ginette répond enfin.
Elle « précise ». 10 mots-clés. 20 expéditeurs et destinataires susceptibles de la mentionner. La totalité des 24 derniers mois.
Le DPO et le DRH espéraient un périmètre beaucoup plus réduit. Mais ils pensent qu’ils n’ont plus le choix malgré le fait que la recherche est presque toujours aussi large.
Ils appliquent ces filtres. Cela laisse toujours 16.200 emails à couvrir sur les + de 26.000 initiaux.
Il faut les relire un par un. Repérer les données de Ginette et caviarder les informations concernant les tiers.
Ils font un point d’avancement chaque semaine du délai de 2 mois :
Fin de la première semaine. Le DPO reporte ses autres dossiers. Le DRH recrute en urgence un CDD en renfort.
Fin du premier mois. 5 400 emails traités. Ils sont en retard sur leur planning mais ils font passer le dossier en priorité absolue.
Six semaines. A ce moment-là, le DPO et le DRH enchainent les heures supplémentaires pour relire dans les temps tous les emails.
Sept semaines. Ils font les comptes. À la cadence actuelle, ils termineront dix jours après la fin du délai, ce qui place l’entreprise en violation du RGPD.
Le point est escaladé à Clodomir, le dirigeant, pour trancher entre ces trois options :
Option 1 : Livrer tout dans les temps, en l’état. Avec 2 800 emails non relus et prendre le risque qu’ils contiennent des éléments qui n’étaient pas communicables : soit secret d’affaires, soit atteinte aux droits de tiers.
Option 2 : Livrer les 13 400 emails relus dans le délai impératif du RGPD, et remettre le reste dix jours plus tard en expliquant les raisons du retard.
Option 3 : Assumer un retard global de dix jours pour ne rien envoyer d’imparfait.
Clodomir, le dirigeant, se tourne vers le DPO : « Vous recommandez quoi ? »
Le DPO répond qu’aucune solution n’est bonne. Que la seule bonne option aurait été de ne pas se retrouver là.
« Et vous, quelle option auriez-vous choisie ? »
Comment répondre à une demande de droit d’accès RGPD d’un salarié
Position CNIL et CEPD sur le droit d’accès aux emails
En France, la CNIL a toujours été extrêmement en faveur des salariés qui effectuent des demandes de droit d’accès à leurs emails.
La CNIL a toujours reconnu qu’un salarié peut, dans le cadre du droit d’accès, obtenir communication des éléments suivants :
- Les emails dont il est destinataire ou expéditeur
- Les emails dont il n’est ni destinataire ni expéditeur, mais dans lesquels il est mentionné dans le corps du texte.
Au sein de l’Union européenne, cette position ne fait pas consensus et certains des homologues de la CNIL n’ont pas une approche aussi large.
Dans un rapport en date du 16 janvier 2025, le Comité européen de la protection des données (CEPD) a reconnu que les demandes d’accès peuvent être coûteuses et chronophages pour les employeurs, et que ces derniers ont un intérêt légitime à protéger les données des autres salariés susceptibles d’être exposées.
Pour autant, le CEPD considère que ces contraintes ne justifient pas de refuser aux salariés d’accéder à leurs courriels professionnels et enregistrements téléphoniques.
Le point du droit d’accès est donc un sujet sur lequel les entreprises doivent se positionner.
Cass. soc. 18 juin 2025 : la faute de ne pas communiquer les emails
Ces derniers mois, plusieurs décisions de jurisprudence ont agité l’actualité sur le périmètre de ce droit.
La chambre sociale de la Cour de cassation dans un arrêt du 18 juin 2025 (Cass. soc., 18 juin 2025, n° 23-19.022) a considéré qu’un employeur avait commis une faute en ne communiquant pas les courriels professionnels à un salarié qui en avait fait la demande. Pourtant il avait communiqué d’autres éléments mais il avait omis les emails sans le justifier.
Réflexes RGPD en amont et le jour de la demande d’accès
Concrètement, comment répondre quand un salarié demande une grande quantité de données ?
La réponse tient en quelques réflexes, à préparer en amont de toute demande pour être prêt le jour où elle arrive.
En amont :
- Raccourcir les durées de conservation. Moins vous stockez de données, moins vous avez de matière à trier le jour J.
- S’entraîner sur un cas fictif et documenter dans une procédure pour facilement identifier où sont les données, qui sait les extraire, combien de temps prend chaque étape.
Le jour de la demande :
- Envoyer, dans le délai d’un mois, un premier niveau de réponse avec ce qui est facile d’accès : contrat, bulletins, entretiens, politique de confidentialité, rappel des droits, éventuels transferts hors UE. Ce socle démontre la bonne foi.
- Demander dès que possible des précisions sur le périmètre de la recherche pour la messagerie et les logs : périodes, destinataires, mots-clés.
- Organiser un tri méthodique des documents afin d’écarter ou d’anonymiser tous les éléments susceptibles de porter atteinte aux droits des tiers, aux droits de la propriété intellectuelle ou au secret d’affaires.
Vous voulez éviter de vous retrouver comme Clodomir ?
Volkane prépare votre entreprise à répondre le jour où une demande de droit d’accès arrive : cartographie de vos données, procédure interne, modèles de courriers et exercice à blanc, en trois à six semaines.
FAQ droit d’accès du salarié aux emails
Un salarié peut-il demander l’accès à ses emails professionnels dans le cadre du RGPD ?
Oui. La CNIL a toujours reconnu qu’un salarié peut, dans le cadre du droit d’accès, obtenir communication des emails dont il est destinataire ou expéditeur, ainsi que des emails dans lesquels il est mentionné dans le corps du texte.
Quel est le délai pour répondre à une demande de droit d’accès d’un salarié ?
Le délai de réponse est d’un mois. Il peut être prolongé de deux mois supplémentaires pour les demandes complexes.
Peut-on refuser de communiquer des emails d’un salarié au motif que la demande est excessive ?
Non. Le Comité européen de la protection des données (CEPD), dans un rapport du 16 janvier 2025, a reconnu que les demandes d’accès peuvent être coûteuses et chronophages pour les employeurs, et que ces derniers ont un intérêt légitime à protéger les données des autres salariés susceptibles d’être exposées. Pour autant, le CEPD considère que ces contraintes ne justifient pas de refuser aux salariés d’accéder à leurs courriels professionnels et enregistrements téléphoniques.
Que dit la Cour de cassation sur le droit d’accès aux emails d’un salarié ?
La chambre sociale de la Cour de cassation, dans un arrêt du 18 juin 2025 (Cass. soc., 18 juin 2025, n° 23-19.022), a considéré qu’un employeur avait commis une faute en ne communiquant pas les courriels professionnels à un salarié qui en avait fait la demande, alors qu’il avait communiqué d’autres éléments sans justifier l’omission des emails.
Comment se préparer en amont à une demande de droit d’accès d’un salarié ?
Deux réflexes principaux : raccourcir les durées de conservation (moins vous stockez de données, moins vous avez de matière à trier le jour J) et s’entraîner sur un cas fictif documenté dans une procédure interne, pour identifier où sont les données, qui sait les extraire et combien de temps prend chaque étape.
Comment traiter une demande de droit d’accès portant sur un très grand volume d’emails ?
Envoyer, dans le délai d’un mois, un premier niveau de réponse avec ce qui est facile d’accès : contrat, bulletins, entretiens, politique de confidentialité, rappel des droits, éventuels transferts hors UE. Ce socle démontre la bonne foi. Demander dès que possible des précisions sur le périmètre de la recherche pour la messagerie et les logs : périodes, destinataires, mots-clés. Organiser un tri méthodique pour écarter ou anonymiser tous les éléments susceptibles de porter atteinte aux droits des tiers, aux droits de la propriété intellectuelle ou au secret d’affaires.
Toute ressemblance avec des faits et des personnages existants ou ayant existé serait purement fortuite et ne pourrait être que le fruit d’une pure coïncidence.

