Cabinet Cholez-Pagotto · Comprendre. Décider. Agir.
AccueilBlogRGPD et prud'hommes
RGPD & CONFORMITÉJURISPRUDENCE 2026

RGPD et prud'hommes : pourquoi la seule violation ne suffit plus à obtenir réparation

François CHOLEZ 16 juillet 2026 12 min de lecture
RGPD et prud'hommes : pourquoi la seule violation ne suffit plus à obtenir réparation

Le RGPD n'est plus seulement une affaire de conformité ou de contrôle de la CNIL. Il est devenu un terrain de discussion à part entière devant le conseil de prud'hommes, dès qu'un salarié conteste un licenciement, une preuve, ou un dispositif de surveillance. Mais un arrêt du 24 juin 2026 vient poser une limite nette à ce que ce terrain permet réellement d'obtenir, et elle mérite d'être bien comprise avant d'en tirer des conclusions hâtives.

L'essentiel en une phrase : la Cour de cassation juge que la seule violation du RGPD par l'employeur n'ouvre plus automatiquement droit à réparation pour le salarié, qui doit désormais démontrer un préjudice réel et un lien de causalité, sans que cela ne dispense pour autant l'employeur de sécuriser ses traitements de données RH, qui restent un terrain de contentieux à part entière.

I. L'affaire jugée le 24 juin 2026

Un salarié, analyste en stratégies algorithmiques, avait été licencié après avoir cliqué à plusieurs reprises sur des liens suspects dans le cadre d'une campagne de simulation d'hameçonnage organisée par son employeur. Les éléments issus de ce test avaient permis son identification et fondé son licenciement.

Devant les juges, trois questions distinctes se posaient. Le comportement du salarié justifiait-il une sanction disciplinaire ? La cour d'appel avait répondu par l'affirmative, retenant une cause réelle et sérieuse. Les preuves issues du dispositif étaient-elles licites au regard du RGPD ? La cour d'appel avait répondu par la négative, les données ayant été recueillies auprès d'un tiers sans le consentement du salarié. Ces preuves illicites pouvaient-elles malgré tout être reçues dans le débat prud'homal ? La cour d'appel avait répondu par l'affirmative, au nom du droit à la preuve. Enfin, la cour d'appel avait condamné l'employeur à verser 5 000 euros de dommages-intérêts pour exécution déloyale du contrat de travail, au motif que la violation du RGPD causait nécessairement un préjudice au salarié.

C'est cette dernière question, celle de l'indemnisation automatique, que la Cour de cassation censure.

II. Ce que pose la Cour de cassation

Par un arrêt du 24 juin 2026 (n° 24-22.792), rendu en formation de section et publié au Bulletin, ce qui signale une portée doctrinale assumée, la chambre sociale de la Cour de cassation censure le raisonnement de la cour d'appel. Elle rappelle que l'article 82, paragraphe 1, du RGPD, qui consacre le droit à réparation de toute personne ayant subi un dommage matériel ou moral du fait d'une violation du règlement, suppose la démonstration d'un dommage effectif. La seule violation constatée du RGPD, aussi réelle soit-elle, ne suffit donc plus, à elle seule, à ouvrir un droit à réparation : il appartient aux juges du fond d'apprécier si le salarié établit que cette violation lui a causé un dommage matériel ou moral concret.

III. Un alignement sur la CJUE et sur une tendance déjà ancienne

Cette solution aligne la chambre sociale sur la Cour de justice de l'Union européenne, qui avait posé, dans son arrêt Österreichische Post du 4 mai 2023 (C-300/21), trois conditions cumulatives au droit à réparation de l'article 82 : une violation du RGPD, un dommage matériel ou moral réel, et un lien de causalité entre les deux. La CJUE précise toutefois qu'il n'existe pas de seuil de gravité : un préjudice même minime doit être réparé, dès lors qu'il est effectivement établi.

Cet arrêt n'est pas non plus isolé dans le paysage du droit du travail français. Depuis 2016, la Cour de cassation abandonne progressivement, domaine après domaine, la logique du « préjudice nécessaire », qui présumait qu'un manquement de l'employeur causait automatiquement un dommage : défaut de visite médicale, nullité d'un forfait-jours, empêchement de prendre ses congés payés. Le RGPD vient d'y être ajouté, aux côtés du manquement à l'obligation de formation, dans un arrêt rendu la même semaine, le 17 juin 2026 (n° 25-10.517). Le préjudice nécessaire reste en revanche maintenu dans quelques domaines limités, comme les durées maximales de travail ou de repos, ou l'absence d'institutions représentatives du personnel.

IV. Un autre terrain : la licéité de la preuve

Il faut se garder de confondre deux questions différentes que ce dossier permet justement de distinguer clairement. La première est celle de la recevabilité d'une preuve obtenue en violation du RGPD : la Cour de cassation admet qu'une preuve illicite ou déloyale soit reçue dans le débat, dès lors que sa production est indispensable à l'exercice du droit à la preuve et proportionnée au but poursuivi. La seconde est celle de l'indemnisation automatique du salarié du seul fait de cette violation, à laquelle la Cour de cassation répond désormais par la négative. Ces deux logiques obéissent à des conditions propres, et un manquement au RGPD peut ainsi, selon les circonstances, servir à contester une preuve sans pour autant fonder, à lui seul, une demande de dommages-intérêts.

V. Ce que l'employeur risque encore

Cet arrêt ne banalise en rien les manquements au RGPD, il en rationalise simplement le contentieux indemnitaire. Trois risques distincts subsistent pleinement pour un employeur qui traite mal les données de ses salariés :

  • Le risque administratif, indépendant du contentieux prud'homal : une sanction de la CNIL reste possible (mise en demeure, amende), quelle que soit l'issue d'un litige individuel avec un salarié.
  • Le risque indemnitaire, désormais conditionné : dès qu'un salarié démontre un préjudice réel, même minime (atteinte à la vie privée, stress, dévalorisation professionnelle), l'indemnisation reste due. La Cour de cassation a d'ailleurs déjà reconnu qu'une atteinte au droit au respect de la vie privée constitue, à elle seule, un préjudice réparable dans d'autres contentieux.
  • Le risque probatoire : un dispositif de contrôle mal encadré peut voir ses preuves écartées des débats si leur production n'est ni indispensable ni proportionnée, ce qui peut priver l'employeur des éléments mêmes qui fondaient sa décision.

VI. L'angle mort des données RH internes

Dans la plupart des dossiers de sécurisation d'entreprise, l'accent est mis sur la conformité RGPD dite « externe » : site internet, clients, sous-traitants. Les données internes des salariés, elles, sont beaucoup plus rarement auditées sous cet angle : géolocalisation des véhicules professionnels, outils de mesure de l'activité, vidéosurveillance, messagerie professionnelle. Or c'est précisément sur ces dispositifs que se concentre, en pratique, le contentieux RGPD devant le conseil de prud'hommes, qu'il porte sur la licéité d'une preuve ou sur la réparation d'un préjudice.

Et lorsque le litige social survient, ce grief RGPD s'ajoute presque toujours au litige principal (licenciement, discrimination, harcèlement), transformant un dossier déjà sensible en dossier à double détente. C'est un point que chaque salarié peut désormais soulever à n'importe quel moment d'un contentieux, dès lors qu'un préjudice, même modeste, peut être documenté.

VII. Ce que ça change concrètement

  • Pour l'employeur : information préalable des salariés et consultation du CSE avant tout dispositif de contrôle, tenue à jour du registre des activités de traitement, respect des durées de conservation, et surtout traçabilité de ces démarches : en cas de litige, c'est cette documentation qui permet de démontrer l'absence de manquement, ou à défaut l'absence de préjudice réel.
  • Pour le salarié : un manquement RGPD reste un argument utile, mais il doit désormais s'accompagner d'éléments concrets sur le préjudice subi pour espérer une indemnisation, une simple invocation du texte ne suffisant plus.
  • Pour les deux : distinguer clairement, dans la construction d'un dossier, ce qui relève de la contestation d'une preuve, de ce qui relève d'une demande indemnitaire, les deux répondant à des logiques et des preuves différentes.

Auditer vos données RH avant qu'un litige ne les révèle

Vos dispositifs de contrôle RH sont-ils réellement sécurisés ?

Le cabinet réalise un diagnostic de conformité RGPD ciblé sur les traitements de données internes (géolocalisation, vidéosurveillance, messagerie, outils de mesure de l'activité), ainsi qu'une information juridique écrite sous 24 à 48h : notre juriste identifie les textes applicables à votre situation et vous apporte une réponse documentée.

Conclusion

L'arrêt du 24 juin 2026 ne retire rien à l'importance du RGPD dans le contentieux prud'homal, il en précise simplement les conditions d'usage. Le manquement reste un levier réel, pour contester une preuve ou fonder une indemnisation, mais il ne s'agit plus d'une formule magique : encore faut-il, pour obtenir réparation, démontrer un préjudice concret. C'est un rappel utile autant pour les salariés que pour les employeurs, qui ont tout intérêt à traiter l'audit des données RH avec la même rigueur que leur conformité RGPD tournée vers l'extérieur.

Sources officielles

  • Cour de cassation, chambre sociale, 24 juin 2026, n° 24-22.792, FS-B
  • Règlement (UE) 2016/679 du 27 avril 2016 (RGPD), article 82, paragraphe 1
  • Cour de justice de l'Union européenne, 4 mai 2023, Österreichische Post, C-300/21
  • Cour de cassation, chambre sociale, 17 juin 2026, n° 25-10.517 (manquement à l'obligation de formation, même abandon du préjudice nécessaire)
  • Cour de cassation, chambre sociale, 12 novembre 2020, n° 19-20.583 (atteinte au droit au respect de la vie privée, préjudice réparable)

Cet article relève d'une information juridique au sens de la loi n° 71-1130 du 31 décembre 1971. Le cabinet ne délivre pas de consultation juridique personnalisée. Pour l'analyse d'une situation individuelle, un professionnel du droit compétent reste le bon interlocuteur.

Questions fréquentes

Un salarié peut-il obtenir des dommages-intérêts pour la seule violation du RGPD par son employeur ?+

Non, plus depuis l'arrêt du 24 juin 2026. La Cour de cassation exige désormais que le salarié démontre un préjudice réel, matériel ou moral, résultant de cette violation, ainsi qu'un lien de causalité. Le simple constat du manquement ne suffit plus à ouvrir un droit à réparation automatique.

Une preuve obtenue en violation du RGPD peut-elle être utilisée devant le conseil de prud'hommes ?+

Elle peut l'être, sous conditions. La Cour de cassation admet qu'une preuve déloyale ou illicite soit produite dès lors que sa production est indispensable à l'exercice du droit à la preuve et proportionnée au but poursuivi, ce qui relève d'une appréciation distincte de celle du droit à réparation.

L'employeur n'a-t-il plus rien à craindre en cas de manquement au RGPD sur les données de ses salariés ?+

Si, sur trois plans distincts : une sanction de la CNIL reste possible indépendamment du contentieux prud'homal, une indemnisation du salarié reste due dès qu'un préjudice réel est démontré, même minime, et la preuve obtenue en violation du RGPD peut, selon les cas, être écartée des débats.

Quelles données RH sont les plus exposées à un contentieux RGPD ?+

La géolocalisation des véhicules professionnels, les outils de mesure de l'activité, la vidéosurveillance, et la messagerie professionnelle, dès lors que ces dispositifs n'ont pas fait l'objet d'une information préalable des salariés et d'une consultation du CSE, ou reposent sur une base légale insuffisante.