---
title: "Accès des salariés ou anciens salariés à leurs données personnelles et à leurs courriers professionnels, la CNIL met à jour ses recommandations"
id: "3183"
type: "post"
slug: "acces-des-salaries-ou-anciens-salaries-a-leurs-donnees-personnelles-et-a-leurs-courriers-professionnels-la-cnil-met-a-jour-ses-recommandations"
published_at: "2025-02-06T14:02:05+00:00"
modified_at: "2026-03-03T09:57:18+00:00"
url: "https://augustdeboustg.wpenginepowered.com/article-juridique/acces-des-salaries-ou-anciens-salaries-a-leurs-donnees-personnelles-et-a-leurs-courriers-professionnels-la-cnil-met-a-jour-ses-recommandations/"
markdown_url: "https://augustdeboustg.wpenginepowered.com/article-juridique/acces-des-salaries-ou-anciens-salaries-a-leurs-donnees-personnelles-et-a-leurs-courriers-professionnels-la-cnil-met-a-jour-ses-recommandations.md"
taxonomy_category:
  - "Article"
taxonomy_language:
  - "Français"
taxonomy_tax_expertise:
  - "Données personnelles et cybersécurité"
---

Menu          Interagir avec notre IA

 Expertises (66) Transactionnel- [Brevets](https://augustdeboustg.wpenginepowered.com/expertise/brevets-2/)
- [Commande publique](https://augustdeboustg.wpenginepowered.com/expertise/commande-publique/)
- [Concurrence, régulation européenne et FDI](https://augustdeboustg.wpenginepowered.com/expertise/concurrence-et-aides-detat-2/)
- [Consommation, Marketing & Publicité](https://augustdeboustg.wpenginepowered.com/expertise/distribution-et-consommation-2/)
- [Contrats commerciaux et internationaux](https://augustdeboustg.wpenginepowered.com/expertise/contrats-commerciaux-et-internationaux/)
- [Contrôle des investissements étrangers](https://augustdeboustg.wpenginepowered.com/expertise/controle-des-investissements-etrangers/)
- [Données personnelles et cybersécurité](https://augustdeboustg.wpenginepowered.com/expertise/donnees-personnelles-et-cybersecurite/)
- [Droit boursier](https://augustdeboustg.wpenginepowered.com/expertise/droit-boursier/)
- [Droit du travail et de la sécurité sociale](https://augustdeboustg.wpenginepowered.com/expertise/droit-du-travail-et-de-la-securite-sociale/)
- [Financement](https://augustdeboustg.wpenginepowered.com/expertise/financement/)
- [Fiscalité](https://augustdeboustg.wpenginepowered.com/expertise/fiscalite/)
- [Fusions-acquisitions](https://augustdeboustg.wpenginepowered.com/expertise/fusions-acquisitions/)
- [Immobilier et Construction](https://augustdeboustg.wpenginepowered.com/expertise/immobilier-et-construction/)
- [Ingénierie Contractuelle & Partenariats](https://augustdeboustg.wpenginepowered.com/expertise/ingenierie-contractuelle-partenariats/)
- [Intelligence artificielle](https://augustdeboustg.wpenginepowered.com/expertise/intelligence-artificielle/)
- [International Trade](https://augustdeboustg.wpenginepowered.com/expertise/international-trade/)
- [Marchés de capitaux](https://augustdeboustg.wpenginepowered.com/expertise/marches-de-capitaux/)
- [Private equity](https://augustdeboustg.wpenginepowered.com/expertise/private-equity/)
- [Projets et Infrastructure](https://augustdeboustg.wpenginepowered.com/expertise/projets-et-infrastructure-2/)
- [Propriété intellectuelle](https://augustdeboustg.wpenginepowered.com/expertise/propriete-intellectuelle/)
- [Restructuring](https://augustdeboustg.wpenginepowered.com/expertise/restructuring/)
- [Supply Chain, Distribution & Réseaux](https://augustdeboustg.wpenginepowered.com/expertise/supply-chain-distribution-reseaux-2/)
- [Tech et digital](https://augustdeboustg.wpenginepowered.com/expertise/tech-et-digital/)

Résolution des litiges- [Actions de groupe](https://augustdeboustg.wpenginepowered.com/expertise/actions-de-groupe/)
- [Arbitrage et MARD](https://augustdeboustg.wpenginepowered.com/expertise/arbitrage-et-mard/)
- [Contentieux administratifs et publics](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-administratifs-et-publics-2/)
- [Contentieux boursiers](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-boursiers/)
- [Contentieux brevets](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-brevets/)
- [Contentieux commercial et corporate](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-commercial-et-corporate-2/)
- [Contentieux constitutionnels](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-constitutionnels-2/)
- [Contentieux de la concurrence](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-concurrence-consommation-et-distribution/)
- [Contentieux du droit du travail et de la sécurité sociale](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-du-droit-du-travail-et-de-la-securite-sociale-2/)
- [Contentieux environnementaux et ESG](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-environnementaux-et-esg-2/)
- [Contentieux européens](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-europeens/)
- [Contentieux fiscaux](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-fiscaux/)
- [Contentieux immobiliers, construction et urbanisme](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-immobiliers-construction-et-urbanisme/)
- [Contentieux produits défectueux et assurance](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-produits-defectueux-et-assurance/)
- [Contentieux propriété intellectuelle, média et presse](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-propriete-intellectuelle-media-et-presse/)
- [Contentieux tech, digital et data](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-tech-digital-et-data/)
- [Droit pénal des affaires et enquêtes](https://augustdeboustg.wpenginepowered.com/expertise/droit-penal-des-affaires-et-enquetes/)
- [Procédures collectives](https://augustdeboustg.wpenginepowered.com/expertise/procedures-collectives/)

Conseil- [Brevets](https://augustdeboustg.wpenginepowered.com/expertise/brevets-2/)
- [Consommation, Marketing & Publicité](https://augustdeboustg.wpenginepowered.com/expertise/distribution-et-consommation-2/)
- [Droit des assurances](https://augustdeboustg.wpenginepowered.com/expertise/droit-des-assurances/)
- [Droit du travail et de la sécurité sociale](https://augustdeboustg.wpenginepowered.com/expertise/droit-du-travail-et-de-la-securite-sociale/)
- [Fiscalité](https://augustdeboustg.wpenginepowered.com/expertise/fiscalite/)
- [Gouvernance et Droit des sociétés](https://augustdeboustg.wpenginepowered.com/expertise/gouvernance-et-droit-des-societes-2/)
- [Ingénierie Contractuelle & Partenariats](https://augustdeboustg.wpenginepowered.com/expertise/ingenierie-contractuelle-partenariats/)
- [Intelligence artificielle](https://augustdeboustg.wpenginepowered.com/expertise/intelligence-artificielle/)
- [Private Clients](https://augustdeboustg.wpenginepowered.com/expertise/private-clients/)
- [Propriété intellectuelle](https://augustdeboustg.wpenginepowered.com/expertise/propriete-intellectuelle/)
- [Supply Chain, Distribution & Réseaux](https://augustdeboustg.wpenginepowered.com/expertise/supply-chain-distribution-reseaux-2/)
- [Tech et digital](https://augustdeboustg.wpenginepowered.com/expertise/tech-et-digital/)

Réglementaire- [Actifs numériques et cryptoactifs](https://augustdeboustg.wpenginepowered.com/expertise/actifs-numeriques-et-cryptoactifs/)
- [Compliance et enquêtes](https://augustdeboustg.wpenginepowered.com/expertise/compliance-et-enquetes/)
- [Concurrence, régulation européenne et FDI](https://augustdeboustg.wpenginepowered.com/expertise/concurrence-et-aides-detat-2/)
- [Conformité et sécurité des produits](https://augustdeboustg.wpenginepowered.com/expertise/conformite-et-securite-des-produits/)
- [Données personnelles et cybersécurité](https://augustdeboustg.wpenginepowered.com/expertise/donnees-personnelles-et-cybersecurite/)
- [Droit boursier](https://augustdeboustg.wpenginepowered.com/expertise/droit-boursier/)
- [Droit de l’environnement et de l’urbanisme](https://augustdeboustg.wpenginepowered.com/expertise/droit-de-lenvironnement-et-de-lurbanisme/)
- [Droit européen](https://augustdeboustg.wpenginepowered.com/expertise/droit-europeen-2/)
- [Droit public](https://augustdeboustg.wpenginepowered.com/expertise/droit-public/)
- [ESG](https://augustdeboustg.wpenginepowered.com/expertise/esg-2/)
- [International Trade](https://augustdeboustg.wpenginepowered.com/expertise/international-trade/)
- [Régulation numérique et technologique](https://augustdeboustg.wpenginepowered.com/expertise/regulation-numerique-et-technologique/)
- [Sanctions internationales et contrôle des exportations](https://augustdeboustg.wpenginepowered.com/expertise/sanctions-internationales-et-controle-des-exportations/)

  Secteurs (13) - [Aéronautique et Défense](https://augustdeboustg.wpenginepowered.com/secteur/aeronautique-et-defense/)
- [Banque et Finance](https://augustdeboustg.wpenginepowered.com/secteur/1704/)
- [Data Centers](https://augustdeboustg.wpenginepowered.com/secteur/data-centers/)
- [Energie](https://augustdeboustg.wpenginepowered.com/secteur/energie/)
- [Immobilier et Construction](https://augustdeboustg.wpenginepowered.com/secteur/immobilier-et-construction/)
- [Industrie](https://augustdeboustg.wpenginepowered.com/secteur/industrie/)
- [Infrastructures](https://augustdeboustg.wpenginepowered.com/secteur/infrastructures/)
- [Luxe – Retail](https://augustdeboustg.wpenginepowered.com/secteur/luxe-retail/)
- [Médias](https://augustdeboustg.wpenginepowered.com/secteur/medias/)
- [Santé et Sciences de la vie](https://augustdeboustg.wpenginepowered.com/secteur/sante-et-sciences-de-la-vie/)
- [Sport](https://augustdeboustg.wpenginepowered.com/secteur/sport/)
- [Tech & Digital](https://augustdeboustg.wpenginepowered.com/secteur/tech-digital/)
- [Télécoms](https://augustdeboustg.wpenginepowered.com/secteur/telecoms/)

Cet article résumé en une minute avec l’IA

La CNIL a mis à jour sa fiche intitulée « [Le droit d’accès des salariés à leurs données et aux courriels professionnels](https://www.cnil.fr/fr/le-droit-dacces-des-salaries-leurs-donnees-et-aux-courriels-professionnels)
 » le 31 janvier 2025. Cette fiche, très largement utilisée par les organismes confrontés à des demandes de droit d’accès de la part de leurs salariés ou anciens salariés, n’avait pas été mise à jour depuis janvier 2022.

La CNIL, qui a par ailleurs publié le 20 janvier dernier le bilan des contrôles qu’elle a menés dans le cadre de l’action coordonnée européenne (*coordinated enforcement framework*) du Comité européen de la protection des données (CEPD), semble avoir désormais acquis une vision plus précise des pratiques en matière de gestion des demandes de droit d’accès, mais également des problématiques rencontrées par les organismes (demandes trop larges, instrumentalisation du droit d’accès, difficulté à caviarder les documents, etc.) à la suite des différents contrôles qu’elle a réalisés dans ce cadre mais également du traitement des nombreuses plaintes qu’elle reçoit quotidiennement à ce sujet.

La mise à jour de la fiche CNIL concerne essentiellement les demandes d’accès de salariés ou anciens salariés aux courriels dont ils sont expéditeurs, destinataires, en copie ou dans lesquels ils sont seulement cités ou visés, la demande visant par conséquent un très grand nombre de courriels.

Ces demandes d’accès sont extrêmement chronophages et coûteuses pour les employeurs et dépassent d’ailleurs bien souvent la finalité première du droit d’accès.

En effet, alors que les nombreux droits que le RGPD confère aux individus visent légitimement à leur permettre de conserver la maîtrise de leurs données et d’éviter toute utilisation excessive de leurs données, ces droits – tels que les droits d’opposition, d’effacement ou d’accès – sont désormais invoqués par des salariés à des fins étrangères à la protection de leurs données, dans le but d’entraver – ou de rendre plus complexe – le travail de recherche qui incombe à l’employeur, conduisant ainsi à une instrumentalisation de ces droits.

Toutefois, les employeurs se doivent de répondre à ces demandes d’accès sous peine au mieux de recevoir un courrier de la CNIL (en cas de plainte d’un salarié mécontent) ou au pire de se voir infliger une sanction.

La fiche initiale de la CNIL fournissait aux employeurs des clés face à des demandes formulées par des salariés ou anciens salariés portant sur les courriels (notamment ceux dont ils n’étaient pas destinataires ou en copie mais dans lesquels ils étaient cités), mais elle n’évoquait pas le cas des demandes portant sur un très grand nombre de courriels. C’est désormais chose faite puisque la CNIL prévoit une section dédiée aux « *demandes portant sur de très nombreux courriels* ».

La mise à jour de la fiche permet à la CNIL de rappeler que lorsque les courriels sont visés par la demande de droit d’accès, tant les métadonnées des courriels (horodatage, destinataires) que les données à caractère personnel contenues dans ces courriels doivent être fournies. À cet égard, la position de la CNIL diffère de celle de la CJUE précisée dans son arrêt du 4 mai 2023 (F.F. contre Österreichische Datenschutzbehörde, affaire C-487/21, points 46 et 53) dans lequel elle semble écarter les métadonnées des informations visées par le droit d’accès.

La CNIL fournit également une méthodologie pour les organismes qui doivent répondre à des demandes d’accès visant un nombre considérable de messages (le terme n’étant pas précisé par la CNIL, nous ne connaissons pas le seuil au-delà duquel la demande doit être considérée comme large, il s’agit à cet égard de faire preuve de bon sens et de bonne foi dans l’approche retenue) :

- L’employeur peut communiquer au demandeur un tableau récapitulatif comprenant la liste des messages conservés dont le demandeur est expéditeur, celle dont il est destinataire, et celle où son nom apparaît.
- L’employeur indique à l’intéressé que l’extraction complémentaire de ses données à caractère personnel de l’ensemble de ces documents représente une charge importante et peut l’inviter à préciser sa demande afin d’en accélérer le traitement.
- En fonction de la réponse du demandeur, l’employeur communique les données contenues dans les courriels.

Bien qu’une méthodologie ait le mérite d’exister, elle manque cependant cruellement de clarté. En effet, la CNIL n’indique pas ce que l’organisme doit faire si le salarié ou ancien salarié refuse de préciser sa demande. À défaut de précision à ce sujet, il semblerait que dans un tel cas, il faille tout de même lui communiquer ses données à caractère personnel, mais que de telles données peuvent être extraites des courriels afin de ne pas avoir à communiquer des courriels dont le caviardage demanderait un travail trop important (voire pour certaines demandes impossible) pour l’organisme.

Il faut donc retenir de la nouvelle méthodologie de la CNIL que (1) la communication d’une copie des courriels peut apparaître comme la solution la plus aisée pour les organismes, mais que cela n’est pas obligatoire et (2) l’envoi d’un tableau contenant les métadonnées et les données à caractère personnel contenues dans les différents courriels est également une solution.

On peut s’interroger sur l’intérêt d’une telle solution qui sera très certainement tout aussi chronophage qu’un caviardage et des nouvelles clarifications de la part de la CNIL sont déjà les bienvenues.

Partager l’article

- Linkedin
- Copier le lien

Cet article résumé en une minute avec l’IA

### Auteurs

2

- [Florence Chafiol](https://augustdeboustg.wpenginepowered.com/collaborateur/florence-chafiol/)
- [Alexandra Antalis](https://augustdeboustg.wpenginepowered.com/collaborateur/alexandra-antalis/)

### Expertise

1

- [Données personnelles et cybersécurité](https://augustdeboustg.wpenginepowered.com/tax-expertise/donnees-personnelles-et-cybersecurite/)

## Découvrir d’autres contenus *qui pourraient vous intéresser*

Actualités

[09/03/26 Article 13 min Le secret médical à l’épreuve des cyberattaques : réflexions autour du cas Cegedim Santé Découvrir](https://augustdeboustg.wpenginepowered.com/article-juridique/le-secret-medical-a-lepreuve-des-cyberattaques-reflexions-autour-du-cas-cegedim-sante/)
[19/02/26 Données personnelles et cybersécurité 0 min Groupe Énergétique – Stratégie mondiale de transferts de données Conseil à un leader du secteur de l'énergie dans la définition d'une stratégie internationale de transferts de données conforme au RGPD, incluant l’analyse des BCR et la structuration des responsabilités entre entités européennes. Découvrir](https://augustdeboustg.wpenginepowered.com/business-case/groupe-energetique-strategie-mondiale-de-transferts-de-donnees/)
[19/02/26 Données personnelles et cybersécurité 0 min Groupe de Services à l’Environnement – Gouvernance et conformité RGPD Conseil à un groupe de services à l'environnement sur la mise en œuvre de sa gouvernance RGPD : rédaction de modèles contractuels, gestion des droits d'accès, qualification des rôles et harmonisation des pratiques internes. Découvrir](https://augustdeboustg.wpenginepowered.com/business-case/groupe-de-services-a-lenvironnement-gouvernance-et-conformite-rgpd/)