Droits RGPD en entreprise: seule la personne peut agir (Cass. crim., 13 janv. 2026)
La Cour de cassation juge qu’une entreprise ne peut pas invoquer les droits RGPD de ses salariés pour contester une saisie: seuls les intéressés peuvent agir. Enjeu clé pour vos procédures d’accès et de réponse DPO.
En bref — La Cour de cassation (ch. crim., 13 janvier 2026) décide qu’une entreprise ne peut pas se prévaloir des droits RGPD de ses salariés pour contester une saisie: seule la personne concernée a qualité pour agir. Enseignement majeur pour les procédures d’accès (art. 15) et la réponse DPO.
L’affaire
Le 13 janvier 2026, la chambre criminelle a statué sur plusieurs pourvois liés à des visites et saisies effectuées sous contrôle du juge des libertés et de la détention, dans des enquêtes de concurrence. Question centrale: une société peut‑elle invoquer les droits de protection des données de ses salariés pour obtenir l’annulation ou la restitution de documents saisis (messageries, fichiers) les concernant? Réponse: non. La Cour estime que « le salarié a seul qualité » pour invoquer une atteinte à sa vie privée et à ses droits RGPD; l’employeur ne peut se substituer à lui (Cass. crim., 13 janv. 2026, n° 24‑82.422, publié au Bulletin). La série d’arrêts rappelle en outre le contrôle du juge sur la régularité, la nécessité et la proportionnalité des saisies numériques (Cass. crim., 13 janv. 2026, n° 24‑82.390, publié au Bulletin).
- Cass. crim., 13 janv. 2026, n° 24‑82.422 (publié): l’entreprise ne peut pas se substituer à ses salariés pour invoquer leurs droits RGPD. Lien Légifrance: https://www.legifrance.gouv.fr/juri/id/JURITEXT000053384224?isSuggest=true. Voir la notice Justiweb (ECLI:FR:CCASS:2026:CR00002).
- Cass. crim., 13 janv. 2026, n° 24‑82.390 (publié): contrôle juridictionnel de la régularité et de la proportionnalité des saisies, y compris de messageries professionnelles. Lien Légifrance: https://www.legifrance.gouv.fr/juri/id/JURITEXT000053384276/.
Le raisonnement juridique
- Base RGPD. Les droits des personnes concernées (art. 12 à 22 RGPD) appartiennent à la personne physique, pas à l’employeur. Le responsable du traitement répond « à la personne concernée » dans le délai d’un mois (art. 12, §3), avec des motifs limités de refus (art. 12, §5). La CNPD rappelle ces règles sur sa page « Chapitre III — Droits de la personne concernée » et sa fiche « droit d’accès ». Sources: CNPD — Chapitre III et CNPD — Droit d’accès. Pour un cadrage global, voir aussi le chapitre III du RGPD.
- Qualité pour agir. La Cour rattache la qualité pour invoquer les droits à la personne concernée elle‑même. Dans l’arrêt n° 24‑82.422, elle écarte le grief d’une société invoquant une atteinte aux droits de ses salariés pour contester la saisie. Source: Légifrance — 24‑82.422.
- Conciliation des intérêts publics. L’arrêt n° 24‑82.390 précise que le contrôle doit concilier droits fondamentaux (données, vie privée) et lutte contre les pratiques anticoncurrentielles; la saisie de messageries est possible si nécessaire et proportionnée. Source: Légifrance — 24‑82.390.
- Position des autorités. CNPD: identification du demandeur, délai d’un mois, canaux et limites du droit d’accès, voies de réclamation. EDPB: digest (25 juin 2026) sur les droits d’opposition (art. 21) et d’effacement (art. 17): traçabilité, délais, propagation aux sous‑traitants. Source: EDPB.
Ce que ça change concrètement
- Procédures DSAR et contentieux. Un employeur ne peut pas opposer les droits d’accès/opposition « des salariés » pour bloquer une saisie autorisée par un juge; seule la personne concernée peut agir selon ses voies de droit. Source: Légifrance — 24‑82.422.
- Workflows internes. Conçuez des processus « droits des personnes » orientés vers les salariés (et ex‑salariés): authentification, périmètre des copies, caviardage des tiers, journalisation, délais (art. 12, §2‑5). Pour structurer ces workflows, le soutien d’un DPO certifié peut accélérer la conformité.
- Messagerie et référentiels RH. Les saisies peuvent viser messageries/fichiers professionnels; documentez inventaires, bases légales, durées, et préparez des exports sélectifs respectant la minimisation — la proportionnalité est appréciée par le juge, non via une opposition « au nom » des salariés. Source: Légifrance — 24‑82.390.
- Luxembourg. Les règles RGPD sont uniformes; la CNPD confirme délais/modalités (1 mois, identification, traçabilité). Veillez à traiter directement les demandes des salariés/ex‑salariés sans exiger un passage par l’employeur. Sources: CNPD — Droit d’accès.
- Sous‑traitants. Cadrez contractuellement l’assistance aux droits (art. 28): réacheminement, délais, preuves d’exécution; l’exercice reste personnel — répondez au salarié demandeur, sauf mandat explicite. Bonnes pratiques EDPB: traçabilité et propagation. Source: EDPB.
Pièges fréquents
- « Proxy » non documenté. Répondre à une demande d’accès portée par un supérieur « pour le compte de » un salarié, sans mandat vérifiable. Solution: exiger un mandat ou répondre directement après vérification d’identité. Source: CNPD — Chapitre III.
- Délai d’un mois mal géré. Hors délai faute de workflows et points d’entrée (RH, DPO, helpdesk). Solution: canal unique, SLA internes, prorogations motivées (+2 mois maxi). Source: CNPD — Chapitre III.
- Caviardage insuffisant. Remettre des e‑mails avec données de tiers sans minimisation. Solution: extraire, filtrer, anonymiser/pseudonymiser; justifier les occultations.
- Confusion « employeur représentant ». Tenter de bloquer une saisie en invoquant des droits « des salariés » comme si l’entreprise en était titulaire. L’arrêt du 13/01/2026 l’exclut. Source: Légifrance — 24‑82.422.
- Sous‑traitants non alignés. Ne pas propager à temps une demande d’effacement/opposition aux prestataires (SaaS, paie, SIRH). Solution: clauses d’assistance (art. 28), registre de synchronisation, preuves, contrôles DPO. Source: EDPB.
Sources officielles
- Cour de cassation (France) — Cass. crim., 13 janvier 2026, n° 24‑82.422 (publié au Bulletin) — Légifrance: https://www.legifrance.gouv.fr/juri/id/JURITEXT000053384224?isSuggest=true
- Cour de cassation (France) — Cass. crim., 13 janvier 2026, n° 24‑82.390 (publié au Bulletin) — Légifrance: https://www.legifrance.gouv.fr/juri/id/JURITEXT000053384276/
- CNPD Luxembourg — Chapitre III « Droits de la personne concernée »: https://cnpd.public.lu/fr/legislation/droit-europ/union-europeenne/rgpd/chapitre-3.html
- CNPD Luxembourg — « Le droit d’accès »: https://cnpd.public.lu/fr/particuliers/vos-droits/droit-acces.html
- EDPB — News (25 juin 2026): « One‑Stop‑Shop case digest on right to object and right to erasure — updated »: https://www.edpb.europa.eu/news/one-stop-shop-case-digest-on-right-to-object-and-right-to-erasure-updated_en
Remarque pratique
En cas de saisie judiciaire ou de demandes d’accès de salariés/ex‑salariés, alignez vos procédures: identification du demandeur, réponse directe sous un mois, traçabilité complète, refus motivé seulement dans les cas de l’article 12(5). L’arrêt du 13 janvier 2026 interdit à l’employeur de plaider « les droits RGPD des salariés » pour contester une mesure: ce sont leurs droits, pas les vôtres. Pour un accompagnement opérationnel, voyez le mandat DPO et la coordination DSAR, et n’hésitez pas à nous contacter.
Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.
Une question sur ce sujet ?
Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.
Configurer mon devis →