RGPD : quels risques pour les entreprises en matière de droit social ?

Le RGPD soulève de nouveaux enjeux en matière de droit social. Accès aux données personnelles, surveillance des collaborateurs, preuves illicites... Le règlement européen est au coeur de nombreux contentieux. Tour d'horizon des risques à ne pas sous-estimer.

Entré en vigueur en 2018, le règlement général sur la protection des données (RGPD) impose aux entreprises plusieurs obligations. De récentes jurisprudences ont mis en exergue des risques en matière de droit social. Ce règlement prévoit, par exemple, un droit d'accès aux données personnelles pour le salarié. Fiches de paie, entretiens individuels, copie des arrêts maladie, courriels, relevés de connexions outlook, relevés de badges... Un collaborateur peut solliciter à tout moment son employeur pour récupérer un grand nombre de données personnelles le concernant. « Il y a parfois un détournement du RGPD à des fins probatoires », observe Anne Vincent, avocate associée au sein du cabinet Voltaire Avocats, lors d'un webinaire organisé le 16 septembre. Selon elle, ces demandes s'inscrivent de plus en plus souvent dans une logique contentieuse, notamment pour contester un licenciement ou remettre en cause une convention de forfait jours. L'entreprise dispose alors d'un mois pour répondre. « Ce qui est très court pour une entreprise. Ce délai peut être porté à deux mois lorsqu'il y a beaucoup de fichiers à transmettre », détaille Anne Vincent. Mais attention : l'absence de réponse ou un refus injustifié de la part de l'employeur peut peser lourd.

Les messageries professionnelles dans le viseur

Par ailleurs, un arrêt publié le 18 juin 2025 semble ouvrir la porte à la possibilité pour un salarié de demander l'intégralité du contenu de sa messagerie. « Il ne faut cependant pas en tirer une règle générale. L'employeur peut s'y opposer en invoquant le secret des affaires ou la protection des données d'autres collaborateurs », tempère l'avocate. Si le salarié a un droit d'accès à ses propres données, cela ne doit pas conduire à divulguer celles de tiers.

Attention à la surveillance disproportionnée

Autre risque majeur pour les entreprises : celui d'une surveillance excessive des salariés. Une société en a récemment fait les frais et a été sanctionnée par la CNIL à hauteur de 40 000 euros. En cause : la mise en place d'un logiciel capable d'enregistrer les frappes clavier, de détecter les mouvements de souris, de réaliser des captures d'écran, le tout doublé d'une vidéosurveillance étendue des espaces de travail et de repos. Cela a été réalisé sans aucune information préalable des salariés, ce qui est contraire au RGPD. Autre cas : dans le cadre d'un litige, un employeur a mis en place un fichier de traçabilité informatique sur l'ordinateur d'un collaborateur établi par un huissier, sans que le salarié n'ait été informé. Résultat : la preuve a été considérée comme illicite. Sept ans après sa mise en oeuvre, le RGPD continue d'évoluer, au rythme des avancées technologiques et des usages en entreprise.