Le 18 juin 2025, la chambre sociale de la Cour de cassation a rendu un arrêt retentissant (pourvoi n° 23‑19.022), consacré au statut des courriels professionnels. La Cour a jugé que « les courriels émis ou reçus par le salarié grâce à sa messagerie électronique professionnelle sont des données à caractère personnel au sens de l’article 4 du RGPD », et qu’à ce titre, « le salarié a le droit d’accéder à ces courriels, l’employeur devant lui fournir tant les métadonnées (horodatage, destinataires) que leur contenu, sauf si les éléments dont la communication est demandée sont de nature à porter atteinte aux droits et libertés d’autrui ».
Les faits
L’affaire concernait un directeur associé licencié pour des faits à connotation sexiste. Lors de la procédure prud’homale, il avait demandé communication de l’intégralité des échanges de sa messagerie professionnelle. L’employeur s’était borné à fournir des documents administratifs, refusant de communiquer les courriels, au motif qu’il s’agissait d’un usage professionnel. La Cour d’appel a estimé ce refus injustifié au regard de l’article 15 du RGPD, et la Cour de cassation l’a confirmé1.
La décision de la cour de cassation
La haute juridiction a ainsi rejeté l’argument selon lequel le cadre professionnel exclurait le droit d’accès, rappelant que ce qui compte est le critère d’identifiabilité. Elle précise toutefois que l’employeur peut s’opposer à la communication si elle porte atteinte à des droits d’autrui, tels que le secret des affaires, la vie privée d’un tiers ou des droits de propriété intellectuelle2.
Par ailleurs, la Cour a rappelé que le non-respect de cette obligation expose l’employeur à des sanctions financières. En l’espèce, pour avoir refusé purement et simplement de communiquer les emails sollicités, l’employeur a été condamné à verser des dommages-intérêts, en l’occurrence 500 €3.
Désormais, l’arrêt du 18 juin 2025 consacre un changement notable en droit du travail : les courriels professionnels, y compris leurs métadonnées, tombent pleinement sous le régime du droit d’accès du salarié. L’employeur se trouve donc contraint de renforcer ses procédures internes, notamment la charte informatique et les politiques de conservation, afin de satisfaire les demandes tout en préservant les droits des tiers.
Et au Togo, que dit la loi ?
Au Togo, la protection des données personnelles est encadrée par la loi n° 2019‑014 du 29 octobre 2019, qui s’applique à « toute collecte, tout traitement par une personne physique ou morale ». Son article 40 consacre le droit d’accès aux données : « Une copie des données à caractère personnel est délivrée à la personne concernée à sa demande ». Cela suggère que les courriels professionnels contenant des informations identifiables relèvent de ce droit, même s’ils sont émis dans un cadre de travail.
La loi a institué l’IPDCP(Instance de Protection des Données à Caractère Personnel), une autorité administrative indépendante chargée de veiller à la conformité des traitements, de sensibiliser les entreprises, de recevoir les plaintes, et d’homologuer des chartes internes. L’IPDCP dispose aussi de pouvoirs d’investigation et peut sanctionner les responsables de traitement en cas de manquement.
Le cadre togolais impose aux employeurs d’encadrer formellement l’usage des messageries professionnelles, en définissant clairement les finalités, les modalités de conservation et d’accès, conformément aux principes de transparence, de proportionnalité et de sécurité (articles 14, 51 et 52) . À ce jour, aucune jurisprudence togolaise ne traite spécifiquement des courriels professionnels comme en France, mais les règles générales garantissent un droit d’accès au salarié.
En effet, en cas de réclamation liée à l’accès aux données, un salarié peut saisir l’IPDCP, qui peut effectuer des vérifications, ordonner la communication des données ou sanctionner l’employeur.
Conclusion
si la jurisprudence togolaise reste à consolider, la loi de 2019 offre un cadre juridique solide pour protéger la vie privée au travail. Les entreprises togolaises sont invitées à adopter des chartes d’utilisation précises, à former leurs employés et à prévoir des procédures claires pour répondre aux demandes d’accès. Le rôle actif de l’IPDCP devrait contribuer à renforcer cette protection dans les prochains mois.
Leave a Comment