Violation du RGPD : le préjudice doit être prouvé

Un employeur qui viole le RGPD doit-il automatiquement indemniser le salarié concerné ? La Cour de cassation vient de répondre par la négative, dans un arrêt du 24 juin 2026.
Cette décision s’appuie sur une affaire concrète : un établissement financier avait identifié un salarié grâce à des données personnelles collectées sans son consentement, lors d’une campagne de sensibilisation au phishing. Le salarié réclamait réparation pour ce manquement au règlement européen sur la protection des données.
Cette question dépasse largement le seul secteur financier. Toute entreprise traitant des données personnelles de ses salariés, à des fins de sécurité informatique ou de suivi RH, peut se retrouver confrontée à ce type de litige.
Cet article revient sur les faits de cette affaire, sur la position de la Cour de cassation concernant la preuve du préjudice, et sur les conséquences pratiques pour les employeurs.
Une campagne de phishing à l’origine du litige RGPD
L’affaire débute par une campagne de sensibilisation aux risques du phishing, confiée par l’employeur à un prestataire. Cette campagne consistait à envoyer aux salariés, préalablement informés, de fausses tentatives d’hameçonnage dissimulées dans des mails d’apparence anodine.
Un analyste en stratégies algorithmiques a cliqué à plusieurs reprises sur ces liens suspects, en inscrivant des injures en guise d’identifiants. L’employeur l’a licencié pour faute simple, estimant qu’il avait enfreint les consignes données lors de la campagne.
Pour identifier ce salarié, l’employeur avait recueilli ses données personnelles, sans recueillir son consentement. Cette absence de consentement était, dans ce contexte précis, contraire au règlement général sur la protection des données (RGPD, règlement UE 2016/679 du 27 avril 2016).
Le saviez-vous ? Selon la finalité du traitement, le consentement du salarié n’est pas systématiquement requis pour justifier une collecte de données personnelles (RGPD, art. 6). Dans cette affaire, il l’était bien.
Le salarié a contesté son licenciement devant les juges, sans succès sur ce point. Il réclamait aussi des dommages-intérêts pour le préjudice lié à ce manquement au RGPD. La cour d’appel lui a donné raison sur ce second point, condamnant l’employeur à verser 5 000 €, estimant que le non-respect du RGPD avait nécessairement causé un préjudice.
L’employeur porte l’affaire devant la Cour de cassation
L’employeur a contesté cette condamnation automatique. Son argument : une violation du RGPD ne suffit pas, à elle seule, à justifier une réparation. Il fallait que le salarié prouve son préjudice.
La Cour de cassation lui a donné raison, cassant l’arrêt de la cour d’appel sur ce point.
Pas de réparation automatique en cas de violation du RGPD
Pour trancher, la Cour de cassation s’appuie d’abord sur le texte du RGPD. L’article 82 prévoit un droit à réparation. Ce droit bénéficie à toute personne ayant subi un dommage matériel ou moral. Ce dommage doit résulter d’une violation du règlement.
La Cour de cassation rappelle ensuite la jurisprudence européenne. La Cour de justice de l’Union européenne a déjà tranché cette question. Une simple violation du RGPD ne confère pas de droit à réparation. La CJUE l’a précisé dans une décision du 4 mai 2023 (aff. n° C/300-21). La personne qui demande réparation doit prouver deux éléments. Elle doit établir la violation elle-même. Elle doit aussi démontrer le dommage matériel ou moral qui en résulte. La CJUE l’a rappelé le 25 janvier 2024 (aff. n° C-687/21).
La Cour de cassation en tire une règle claire. Une simple violation du RGPD n’ouvre pas, à elle seule, droit à réparation.
À éviter : ne présumez jamais qu’un manquement avéré au RGPD justifie automatiquement une indemnisation. Le juge exige la preuve d’un dommage concret, matériel ou moral.
Cette solution rejoint une ligne jurisprudentielle plus large. Depuis 2016, le salarié qui demande réparation doit en principe prouver un dommage, sauf exception. Cette règle date d’un arrêt du 13 avril 2016 (n° 14-28293 FSPBR). La Cour de cassation a récemment appliqué ce même principe à l’obligation de formation de l’employeur. Elle l’a fait dans un arrêt du 17 juin 2026 (n° 25-10517 FB).
C’est la première fois que la Cour de cassation applique ce principe au RGPD. La cour d’appel n’avait pas vérifié cette preuve du préjudice. La Cour de cassation censure donc son arrêt sur ce point. Une cour d’appel autrement composée rejugera l’affaire.
Ce que les RH doivent retenir pour sécuriser leurs pratiques
Cette décision ne dispense pas les employeurs de respecter le RGPD. Elle précise seulement les conditions d’indemnisation du salarié devant les tribunaux.
Bonnes pratiques :
- Vérifier systématiquement si le consentement du salarié est requis avant toute collecte de données personnelles, selon la finalité du traitement.
- Documenter les campagnes de sensibilisation à la sécurité informatique pour anticiper tout litige.
- Ne pas assimiler l’existence d’un manquement au RGPD à une indemnisation automatique du salarié concerné.
Un point mérite d’être souligné : même obtenue en violation du RGPD, une preuve peut rester recevable devant le juge, si son obtention et sa production sont indispensables et proportionnées à l’objectif poursuivi. La jurisprudence sur ce point est désormais bien établie (cass. soc. 25 novembre 2020, n° 17-19523 FPPBRI).
Enfin, la voie civile n’est pas la seule exposition pour l’employeur. Le non-respect du RGPD peut aussi entraîner des sanctions de la CNIL, notamment une amende administrative, pour laquelle l’existence d’un dommage individuel n’a pas à être démontrée (RGPD, art. 83).







