Un employeur qui méconnaît le RGPD n'est pas automatiquement condamné à indemniser le salarié concerné. Par un arrêt du 24 juin 2026, la Cour de cassation juge que la réparation suppose la preuve d'un préjudice effectif (Cass. soc. 24/06/2026, n° 24-22.792).
En bref. La simple violation du RGPD ne suffit pas à ouvrir droit à des dommages-intérêts. Pour être indemnisé, le salarié doit démontrer que le manquement de l'employeur lui a causé un dommage matériel ou moral concret. À défaut d'une telle preuve, aucune réparation n'est due, quand bien même l'atteinte aux données personnelles serait établie.
Pour la première fois, la Cour de cassation se prononce sur les conséquences indemnitaires d'une violation du RGPD dans la relation de travail. Sa réponse est nette : le salarié qui réclame des dommages-intérêts doit prouver son préjudice.
Un établissement financier avait organisé une campagne interne de sensibilisation aux risques d'hameçonnage (phishing). Confiée à un prestataire, l'opération consistait à adresser aux salariés, préalablement avertis, de faux courriels frauduleux destinés à tester leur vigilance.
Un analyste chargé de stratégies de trading algorithmique a cliqué, de façon délibérée et répétée, sur les liens piégés. Il est même allé jusqu'à saisir des injures en guise d'identifiants, au mépris des consignes rappelées lors de la campagne. L'employeur l'a licencié pour faute simple.
Pour identifier ce salarié, l'employeur avait toutefois collecté ses données personnelles sans recueillir son consentement, alors que celui-ci était requis dans ce contexte. Il avait ainsi méconnu le règlement général sur la protection des données (règlement UE 2016/679 du 27/04/2016).
La campagne poursuivait un objectif légitime de sécurité informatique. Le comportement du salarié, qui avait sciemment déjoué le dispositif de test, se rattachait directement à ce cadre. C'est en cherchant à établir ces agissements que l'employeur a procédé à la collecte litigieuse.
Le salarié a contesté son licenciement et sollicité des dommages-intérêts au titre de la violation du RGPD. La contestation du licenciement a été rejetée, la cause réelle et sérieuse étant retenue. Restait la seule question de l'indemnisation liée au non-respect du règlement.
La cour d'appel avait condamné l'employeur à verser 5 000 euros au salarié. Selon elle, dès lors que la violation du RGPD était caractérisée, celle-ci avait nécessairement causé un préjudice ouvrant droit à réparation.
L'employeur a formé un pourvoi en contestant tout automatisme. La réparation supposait, selon lui, que le salarié établisse la réalité de son préjudice.
La Cour de cassation lui donne raison et censure l'arrêt d'appel. Elle pose que la simple violation du RGPD n'ouvre pas, à elle seule, droit à réparation (Cass. soc. 24/06/2026, n° 24-22.792).
La solution ne procède pas d'une lecture isolée. Elle combine le texte du règlement, la jurisprudence européenne et une ligne interne bien établie.
Le RGPD ouvre à toute personne ayant subi un dommage matériel ou moral du fait d'une violation de ses dispositions le droit d'obtenir réparation auprès du responsable du traitement ou du sous-traitant (RGPD, art. 82).
La Cour de justice de l'Union européenne a précisé la portée de ce texte. La seule violation du règlement ne suffit pas à conférer un droit à réparation (CJUE 04/05/2023, aff. C-300/21).
La personne qui réclame une indemnisation doit établir non seulement la violation du RGPD, mais aussi le dommage, matériel ou moral, qui en résulte pour elle (CJUE 25/01/2024, aff. C-687/21). La Cour de cassation transpose fidèlement cette exigence en droit interne.
C'est la première fois que la Cour de cassation applique cette logique au RGPD. Elle s'inscrit néanmoins dans une ligne qu'elle suit depuis 2016.
Depuis cette date, le salarié qui demande réparation à raison d'un manquement de l'employeur doit en principe démontrer l'existence d'un préjudice, sauf exceptions (Cass. soc. 13/04/2016, n° 14-28.293). Le préjudice n'est donc plus présumé du seul fait du manquement.
La Cour a récemment fait application de ce principe au manquement de l'employeur à son obligation de formation (Cass. soc. 17/06/2026, n° 25-10.517). Le non-respect du RGPD rejoint aujourd'hui cette logique probatoire commune à l'ensemble des manquements de l'employeur.
La portée pratique de cette exigence est considérable. Le salarié ne peut plus se contenter d'invoquer la violation du texte : il lui appartient de caractériser, éléments à l'appui, la nature et la consistance du dommage subi. À défaut, sa demande indemnitaire est vouée à l'échec, indépendamment de la réalité du manquement.
En l'espèce, la cour d'appel aurait dû rechercher si le salarié rapportait la preuve d'un dommage matériel ou moral. Faute de l'avoir fait, son arrêt est cassé. L'affaire sera rejugée par la même cour d'appel, autrement composée.
Pour l'employeur, l'arrêt est rassurant sur le plan indemnitaire, mais il ne dispense pas d'une conformité rigoureuse. Plusieurs enseignements pratiques s'en dégagent.
L'absence d'automatisme indemnitaire ne signifie pas absence de risque. Sur le terrain civil, l'employeur n'échappe à la condamnation que si le salarié ne démontre aucun préjudice concret.
Le risque se déploie surtout sur un autre terrain. L'employeur qui méconnaît le RGPD s'expose à des sanctions de la CNIL, dont une amende administrative pour laquelle l'existence d'un dommage individuel n'a pas à être démontrée (RGPD, art. 83).
Un traitement de données non conforme peut donc être sanctionné indépendamment de tout préjudice subi par un salarié déterminé. La sécurisation de ces traitements relève d'une démarche plus large de conformité en droit social de l'entreprise.
Dans cette affaire, l'employeur avait manqué à ses obligations en s'abstenant de recueillir le consentement du salarié, alors qu'il était requis.
Le consentement n'est toutefois pas systématiquement exigé. Selon la finalité du traitement, d'autres bases légales peuvent le fonder (RGPD, art. 6).
Avant tout traitement de données relatives à ses salariés, l'employeur a donc intérêt à identifier la base légale applicable, car cette analyse conditionne la licéité de l'opération. La portée du droit d'accès du salarié à ses données personnelles au regard du RGPD appelle la même vigilance.
La collecte litigieuse soulevait une difficulté supplémentaire : la preuve identifiant le salarié avait été obtenue de manière illicite.
Cette preuve a néanmoins été jugée recevable. Son obtention et sa production étaient indispensables à l'exercice du droit de l'employeur et proportionnées au but poursuivi (Cass. soc. 25/11/2020, n° 17-19.523).
La solution s'inscrit dans une jurisprudence désormais établie sur la recevabilité des preuves illicites. Dans ce prolongement, l'admissibilité d'un mode de preuve tel que le compte privé Facebook comme mode de preuve du licenciement obéit aux mêmes exigences de nécessité et de proportionnalité.
En définitive, l'arrêt du 24 juin 2026 dessine un équilibre. Il écarte toute réparation automatique au profit du salarié, mais laisse entière l'exposition de l'employeur au contrôle de la CNIL. Il rappelle enfin qu'une preuve obtenue en violation du RGPD n'est pas nécessairement écartée des débats. Pour l'employeur, la sécurité juridique passe moins par le contentieux indemnitaire que par la conformité en amont des traitements de données de ses salariés.
Non. Depuis l'arrêt du 24 juin 2026, la seule violation du RGPD ne suffit pas. Le salarié doit prouver un préjudice matériel ou moral pour être indemnisé (Cass. soc. 24/06/2026, n° 24-22.792).
Il doit établir deux éléments : la violation du RGPD par l'employeur et le dommage, matériel ou moral, que cette violation lui a personnellement causé. Sans preuve du préjudice, aucune réparation n'est due.
Oui. Indépendamment de toute action du salarié, l'employeur s'expose à une sanction de la CNIL, notamment une amende administrative, qui ne suppose pas la démonstration d'un préjudice individuel (RGPD, art. 83).
Elle le peut, à titre exceptionnel. La preuve illicite est recevable lorsque sa production est indispensable à l'exercice d'un droit et proportionnée au but poursuivi (Cass. soc. 25/11/2020, n° 17-19.523).
Xavier Berjot
Avocat associé, Cabinet SANCY Avocats
Publié le 05/07/2026
Une situation à clarifier ?
Le premier échange est gratuit. 30 minutes pour comprendre votre situation, identifier les enjeux et vous orienter. Sans engagement.
