Preuve et données perso: la Cour de cassation trace une ligne claire

Le 17 juin 2026, la chambre commerciale de la Cour de cassation valide la production en justice d’un rapport d’analyse fondé sur des données pseudonymisées, dès lors que la démarche est nécessaire et strictement proportionnée au droit à la preuve, malgré les enjeux de liberté syndicale.

Les faits

Dans l’affaire n° 25-11.499, un cabinet externe avait mené une analyse technique à la suite d’allégations de fuite et d’usage illicite de données personnelles de salariés lors d’opérations de vote. Le sous-traitant avait pseudonymisé l’ensemble des données, détruit les données brutes, exclu tout accès au contenu des courriels et réalisé une analyse purement volumétrique ne générant aucun fichier nominatif. La Cour qualifie l’atteinte à la confidentialité d’« extrêmement limitée » et la production du rapport de « nécessaire » et « proportionnée » au droit à la preuve.

Cadre légal et fondement

• Droit à la preuve et proportionnalité: confirmation de la grille d’analyse (Assemblée plénière 22/12/2023; 1re civ. 04/03/2026) admettant une preuve obtenue/produite de façon illicite ou déloyale si elle est indispensable et que l’atteinte aux droits est strictement proportionnée (art. 6 CEDH; art. 9 CPC).
• Protection des données: articulation avec le RGPD (minimisation, protection dès la conception, intérêt légitime). Pour un rappel structuré des principes, voir notre page cadre RGPD et obligations clés.
• Libertés collectives: la Cour reconnaît l’enjeu de liberté syndicale, mais admet la preuve compte tenu des garanties techniques et de la finalité procédurale (défense en justice).

Ce que cela change pour les entreprises luxembourgeoises

Pour les directions au Luxembourg et dans la Grande Région, l’arrêt fournit un mode d’emploi opérationnel pour mener des enquêtes internes et produire des éléments techniques sans franchir la ligne rouge du RGPD. Il valide un schéma d’« enquête défensive » où la finalité est circonscrite, la nécessité est démontrée, la minimisation est poussée au maximum et la pseudonymisation est réelle avec destruction organisée des identifiants.

Cette logique s’inscrit dans le cadre européen et dans les exigences de la CNPD. Pour les organisations souhaitant structurer leur gouvernance conformité, un mandat DPO avec des SOP d’enquête permet d’orchestrer la minimisation, la pseudonymisation et la documentation de proportionnalité.

Pour un cadrage local des exigences et pratiques, consultez notre ressource RGPD au Luxembourg et attentes de la CNPD.

Actions concrètes à entreprendre cette semaine

• Cartographier vos scénarios « droit à la preuve »: identifier les cas d’enquête (vote électronique, soupçon de fuite, concurrence déloyale) et préparer une note standard de nécessité/proportionnalité (finalité, périmètre, durée, populations).
• Mettre à jour clauses et SOP: exiger pseudonymisation forte en amont, destruction certifiée des identifiants, interdiction d’accès au contenu, journalisation, restitution agrégée/non nominative. Un DPO certifié pour cadrer ces exigences facilite la mise en œuvre.
• Préparer un « paquet de preuve conforme »: registre ad hoc, LIA ciblée (mise en balance art. 6(1)(f)), gel de conservation limité et kit de production au juge documentant minimisation et stricte nécessité. Les principes clés sont détaillés sur les bases légales et la minimisation.

Article generé par la veille réglementaire Luxgap. Pour un accompagnement personnalisé sur ce sujet, contactez-nous.