Cass. soc., 24 juin 2026
Un salarié ne peut plus obtenir de dommages-intérêts en se bornant à invoquer une irrégularité de l’employeur dans le traitement de ses données personnelles : il doit prouver un préjudice concret. C’est ce que vient de juger la chambre sociale de la Cour de cassation. Une décision qui recadre un contentieux en plein essor et qui concerne directement délégués syndicaux, employeurs et DRH, tant les données personnelles sont devenues le quotidien de la relation de travail.

Partie 1 — Le déclencheur
Par un arrêt du 24 juin 2026 (Cass. soc., 24 juin 2026, n° 24-22.792, FS-B), la chambre sociale de la Cour de cassation pose un principe clair : la violation du Règlement général sur la protection des données (RGPD, le règlement européen 2016/679 applicable depuis le 25 mai 2018) n’ouvre pas, à elle seule, droit à réparation. Autrement dit, le seul constat d’un manquement de l’employeur aux règles de protection des données ne suffit pas à justifier le versement de dommages-intérêts au salarié.
La mention « FS-B » signale que l’arrêt est rendu en formation de section et publié au Bulletin : la Cour entend lui donner une portée doctrinale et le diffuser comme une solution de principe, et non comme une décision d’espèce isolée.
Le contexte est celui, désormais classique, d’un salarié qui, à l’occasion d’un litige avec son employeur, invoque un manquement de ce dernier au RGPD — par exemple un traitement de données personnelles irrégulier, un défaut d’information sur un dispositif, une durée de conservation excessive ou une réponse incomplète à une demande d’accès — et en réclame réparation. La question posée à la Cour était simple : la seule existence de l’irrégularité ouvre-t-elle automatiquement un droit à indemnisation, ou faut-il en plus démontrer un dommage ? La chambre sociale tranche pour la seconde branche : pas de préjudice prouvé, pas d’indemnisation.
Le fondement est l’article 82 du RGPD, qui consacre le droit à réparation de « toute personne ayant subi un dommage matériel ou moral du fait d’une violation » du règlement. La rédaction même du texte — « ayant subi un dommage » — suppose un préjudice effectif.
Partie 2 — Ce que dit le droit
Pendant longtemps, une partie des plaideurs a soutenu que tout manquement causait nécessairement un préjudice, ouvrant un droit à réparation quasi automatique. Cette logique du « préjudice nécessaire » avait déjà été abandonnée par la chambre sociale dans d’autres domaines : depuis 2016, elle juge que le manquement de l’employeur à une obligation (remise tardive de documents, dépassement ponctuel de durées, etc.) n’ouvre droit à réparation que si le salarié démontre un dommage. L’arrêt du 24 juin 2026 étend cette grille de lecture au contentieux des données personnelles.
Ce faisant, la Cour de cassation aligne sa jurisprudence sur celle de la Cour de justice de l’Union européenne (CJUE). Dans son arrêt Österreichische Post du 4 mai 2023 (C-300/21), la CJUE a posé que le droit à réparation de l’article 82 suppose trois conditions cumulatives : une violation du RGPD, un dommage matériel ou moral réel, et un lien de causalité entre les deux. La simple infraction au règlement ne déclenche pas, à elle seule, l’indemnisation. La CJUE a toutefois précisé qu’il n’existe pas de seuil de gravité : un préjudice même minime doit être réparé, dès lors qu’il est établi. La chambre sociale s’inscrit dans cette ligne — elle n’exige pas un dommage important, mais elle exige un dommage prouvé.
Concrètement, le préjudice moral peut résider, par exemple, dans la perte de maîtrise de ses données, un sentiment d’atteinte à la vie privée ou une anxiété caractérisée ; le préjudice matériel, dans une perte financière. Mais ce dommage ne se présume pas : il doit être allégué et démontré par le salarié, qui supporte ici la charge de la preuve. À défaut, le juge doit débouter, même si l’irrégularité de l’employeur est avérée.
Il faut bien distinguer deux registres. D’un côté, la responsabilité civile de l’employeur envers le salarié (article 82 RGPD), qui suppose un préjudice : c’est l’objet de l’arrêt. De l’autre, les pouvoirs de la CNIL (Commission nationale de l’informatique et des libertés), qui peut sanctionner un manquement par une mise en demeure ou une amende administrative sans qu’aucun salarié n’ait subi de dommage. L’arrêt ne désarme donc pas le RGPD : il limite seulement l’indemnisation individuelle automatique devant le conseil de prud’hommes.
Partie 3 — Ce que ça change en pratique
Pour les délégués syndicaux. La voie de l’indemnisation « automatique » se referme : invoquer un manquement RGPD ne suffit plus, il faut documenter le préjudice. En pratique, cela suppose d’aider le salarié à caractériser un dommage concret — témoignages sur l’anxiété générée par une surveillance, conséquences d’une fuite de données, atteinte avérée à la vie privée. Attention toutefois : le manquement RGPD conserve toute son utilité comme levier collectif et comme moyen de preuve. Un dispositif de contrôle illicite (vidéosurveillance, géolocalisation, outils numériques) reste contestable devant le CSE, signalable à la CNIL, et la preuve obtenue par un moyen illicite peut être écartée des débats. Le délégué a donc intérêt à articuler le terrain de la conformité (CSE, CNIL) et celui de l’indemnisation (préjudice prouvé).
Pour les employeurs. L’arrêt réduit le risque d’une condamnation réflexe à chaque irrégularité formelle, mais il ne doit pas être lu comme un blanc-seing. Le manquement reste une faute : il expose à l’action de la CNIL, à la nullité de preuves dans un contentieux et à une indemnisation dès qu’un salarié établit un dommage, fût-il modeste. La prudence reste donc de mise sur tous les traitements de données du personnel : badgeuses, géolocalisation des véhicules, vidéosurveillance, messagerie, outils de mesure de l’activité.
Pour les DRH. C’est l’occasion de fiabiliser la conformité « ressources humaines » : information préalable des salariés et consultation du CSE avant tout dispositif de contrôle ; tenue à jour du registre des activités de traitement ; respect des durées de conservation ; procédure de réponse aux demandes d’accès des salariés dans le délai d’un mois. Bonne pratique : tracer ces démarches (preuves d’information, comptes rendus de consultation), car en cas de litige, c’est cette documentation qui permettra de démontrer l’absence de manquement — ou, à défaut, l’absence de préjudice.
Conclusion
L’arrêt du 24 juin 2026 ne minore pas la protection des données ; il rationalise son contentieux indemnitaire en exigeant, comme la CJUE, la preuve d’un préjudice réel. Pour les salariés et leurs représentants, l’enjeu se déplace vers la démonstration concrète du dommage ; pour les employeurs et les DRH, la vigilance se maintient sur la conformité, car la CNIL et le juge de la preuve, eux, n’exigent aucun préjudice. À surveiller : la façon dont les conseils de prud’hommes apprécieront, au cas par cas, la réalité et l’ampleur du préjudice moral invoqué.
Cet article a une vocation pédagogique et informative ; il ne constitue pas un conseil juridique individuel.