La Cour de cassation a rappelé, dans un arrêt du 11 février 2026 (Cass. soc., 11-2-2026, n° 24-18.087 F-D), l’importance de la confidentialité des données personnelles détenues par l’employeur.
Dans cette affaire, le directeur des ressources humaines avait transmis à une organisation syndicale la copie d’une lettre adressée par une salariée à l’employeur. Or, il n’avait pas pris soin d’en occulter l’adresse personnelle.
Cette omission, en apparence anodine, constitue en réalité une divulgation non autorisée d’une information relevant de la vie privée. La Haute juridiction considère en effet que la communication de cette donnée à un tiers – même à un syndicat – sans le consentement de la salariée, caractérise une atteinte à son droit au respect de la vie privée.
Les enseignements clés de la décision :
L’adresse personnelle : une donnée strictement protégée
L’adresse d’un salarié, bien qu’elle ne soit pas une donnée « sensible » au sens du RGPD, relève de sa sphère privée.
Sa communication doit donc être justifiée par une finalité légitime, strictement nécessaire et surtout autorisée par la personne concernée.
En l’absence de l’une de ces conditions, la transmission est considérée comme fautive.
La responsabilité renforcée de l’employeur
En tant que responsable du traitement des données personnelles, l’employeur doit garantir la confidentialité des informations détenues, la limitation de leur diffusion et l’occultation des éléments non indispensables lors de toute transmission.
L’arrêt rappelle que la négligence suffit à engager la responsabilité de l’employeur, même sans intention de nuire.
Les syndicats ne peuvent recevoir que les informations nécessaires à leurs missions
Les organisations syndicales disposent de prérogatives importantes, mais celles-ci ne justifient pas l’accès à des données personnelles sans lien direct avec l’exercice de leurs droits.
En la circonstance, l’adresse de la salariée n’était pas utile à la compréhension du courrier ni à l’action syndicale.
Une jurisprudence qui s’inscrit dans la logique de protection des données
Cet arrêt s’inscrit dans une tendance constante. En effet, la Cour de cassation exige une vigilance accrue dans la manipulation des données personnelles au sein de l’entreprise.
Il confirme ainsi que la moindre imprudence peut constituer une atteinte à la vie privée, ouvrant droit à réparation.
Dans un tel cas, l’employeur doit occulter systématiquement les données non nécessaires (adresse, téléphone, email, etc.) avant toute transmission, limiter l’accès aux documents contenant des informations personnelles. former les équipes RH et les managers aux obligations de confidentialité et mettre en place des contrôles avant diffusion de documents à des tiers.
