RGPD et messagerie professionnelle
Arkane Risk, membre d’Eurolaw France Cyber, a diffusé le 15 avril une note relative à la problématique du statut de la messagerie professionnelle au regard du RGPD (Règlement Général sur la Protection des Données) qui régit les données à caractère personnel.
Cette Note fait suite à de récentes jurisprudences qui rendent ce sujet délicat à manier pour les entreprises.
L’essentiel en 30 secondes
CE QUI A CHANGÉ : Les contenus des courriels professionnels peuvent désormais être considérés comme des données personnelles. Tout salarié peut exiger l’intégralité de sa messagerie (contenu + métadonnées). Délai de réponse : 1 mois.
CE QUE VOUS RISQUEZ : Sanctions CNIL jusqu’à 4% du CA mondial. Divulgation du secret des affaires. Coût de traitement par demande : 20 000 à 100 000 €.
CE QUE VOUS DEVEZ FAIRE MAINTENANT : Réduire les durées d’archivage. Actualiser les chartes. Préparer une procédure de réponse aux demandes d’accès. Ne jamais refuser sans justification documentée.
Synthèse Exécutive
Un arrêt de la Cour de cassation du 18 juin 2025 qualifie les courriels professionnels de données à caractère personnel au sens du RGPD, ouvrant aux salariés un droit d’accès à l’intégralité de leur messagerie électronique : contenu, métadonnées, pièces jointes. Le délai légal de réponse est d’un mois.
L’impact est double : une charge administrative massive (potentiellement 10 à 15 ans d’historique à traiter) et un risque de divulgation involontaire d’informations sensibles. La seule limite posée par l’arrêt est la protection des droits des tiers, ce qui impose un filtrage et une anonymisation courriel par courriel.
La jurisprudence n’est pas stabilisée : dès le lendemain, la cour d’appel d’Amiens adoptait une position opposée, refusant de transformer le droit d’accès en instrument probatoire. Le contentieux est ouvert et nécessite une vigilance accrue.
Téléchargez la Note d'Analyse complète
Note d’Arkane Risk, agence conseil en gestion des risques et des crises