
Un salarié ne peut plus obtenir de dommages-intérêts en invoquant simplement une irrégularité de l’employeur dans le traitement de ses données personnelles : il doit désormais prouver un préjudice concret. C’est le rappel à l’ordre important que vient de rendre la chambre sociale de la Cour de cassation le 24 juin 2026. Décryptage d’une décision qui bouscule le contentieux prud’homal et directeurs RH, délégués syndicaux et salariés.
Le déclencheur : Pas de préjudice prouvé, pas d’indemnisation
Par un arrêt de principe destiné à faire jurisprudence (Cass. soc., 24 juin 2026, n° 24-22.792, FS-B), la Cour de cassation pose une règle stricte : la seule violation du RGPD par l’employeur n’ouvre pas automatiquement droit à réparation.
Jusqu’ici, lorsqu’un salarié constatait un manquement (absence d’information sur la vidéosurveillance, conservation excessive de fichiers, réponse incomplète à une demande d’accès à ses données), il pouvait tenter d’obtenir des dommages-intérêts devant le Conseil de prud’hommes en invoquant le simple non-respect de la loi. La Cour tranche : le salarié doit désormais démontrer qu’il a subi un dommage réel du fait de cette faute.
La Cour s’appuie sur l’article 82 du RGPD, qui exige la preuve d’un « dommage matériel ou moral » pour accorder une réparation financière.
Ce que dit le droit : Un alignement sur l’Europe
Cet arrêt confirme l’abandon progressif de la notion de « préjudice nécessaire » (ou automatique) en droit du travail. La chambre sociale s’aligne strictement sur la Cour de justice de l’Union européenne (CJUE, arrêt Österreichische Post, 2023), qui impose trois conditions cumulatives pour obtenir réparation :
- Une violation du RGPD par l’employeur.
- Un dommage matériel ou moral réel.
- Un lien direct entre la violation et le dommage.
À noter : Il n’y a pas de seuil de gravité. Un préjudice minime (anxiété avérée, sentiment de perte de contrôle de ses données, atteinte à la vie privée) peut être indemnisé, mais il doit être prouvé par le salarié.
Attention à ne pas confondre les registres : cette décision concerne l’indemnisation individuelle du salarié. Elle n’enlève aucun pouvoir à la CNIL, qui peut toujours lourdement sanctionner ou mettre en demeure un employeur hors-la-loi, même en l’absence de préjudice direct pour un salarié.
En pratique : Qu’est-ce que ça change sur le terrain ?
Pour les délégués syndicaux FO
La stratégie juridique doit évoluer. Face à un manquement de l’employeur, il ne suffit plus de pointer l’irrégularité pour obtenir une condamnation financière aux prud’hommes.
- Accompagner le salarié : Il faut l’aider à matérialiser son préjudice (témoignages sur l’anxiété liée à une surveillance clandestine, conséquences d’une fuite de données, etc.).
- Garder les bons réflexes collectifs : Le RGPD reste une arme puissante. Un dispositif de contrôle illicite (badgeuse détournée, géolocalisation abusive) reste contestable devant le CSE et signalable à la CNIL. De plus, une preuve obtenue de manière illicite par l’employeur peut toujours être rejetée par les juges.
Pour les employeurs et les DRH
Cet arrêt limite le risque d’une condamnation automatique, mais il ne s’agit pas d’un chèque en blanc. Le manquement au RGPD reste une faute. Les directions ont tout intérêt à fiabiliser leur conformité RH :
- Informer préalablement les salariés et consulter le CSE avant d’installer tout dispositif de contrôle (vidéosurveillance, messagerie, outils de mesure de l’activité).
- Répondre aux demandes d’accès aux données sous un mois.
- Tenir à jour le registre des traitements.
En Conclusion
L’arrêt du 24 juin 2026 encadre fermement le contentieux indemnitaire. Pour FO, la vigilance reste entière. Si la charge de la preuve est alourdie pour les salariés sur le plan financier, les obligations de conformité des employeurs restent strictes. Les représentants du personnel doivent continuer à exiger la transparence totale sur la gestion des données numériques dans l’entreprise.