RGPD au travail : un manquement ne vous fait plus payer « automatiquement »
Sans preuve d'un préjudice réel, le salarié ne touche plus de dommages-intérêts pour un simple faux pas sur ses données.
⚖️ Jurisprudence décryptée — Cour de cassation, 24 juin 2026
L’histoire
Une entreprise utilise un outil qui traite des données personnelles de ses salariés, sans cocher toutes les cases des règles sur la protection des données. Au moment d’un litige aux prud’hommes, l’un d’eux ajoute une demande : l’employeur n’a pas respecté le RGPD, il veut des dommages-intérêts pour ça.
Saisis, les juges lui donnent raison et lui accordent 5 000 €. Leur raisonnement : à partir du moment où la règle sur les données n’a pas été respectée, le salarié a forcément subi un préjudice. Donc il faut l’indemniser.
Au fait, le RGPD, d’où ça vient ?
Petit rappel utile avant d’aller plus loin. Le RGPD — le règlement général sur la protection des données — est un texte européen, entré en application en mai 2018. Son idée de départ est simple : à l’heure où tout se collecte et se stocke, redonner à chacun la maîtrise de ses informations personnelles.
Et il ne vise pas que les géants du numérique. Dès que vous gérez des données de vos salariés — fiches de paie, badges, caméras, géolocalisation des véhicules, e-mails professionnels —, vous êtes concerné, même avec deux ou trois salariés. C’est précisément ce texte que ces juges avaient mobilisé pour accorder les 5 000 €. Restait à savoir si un simple manquement suffisait à ouvrir le portefeuille de l’employeur.
Ce qu’a tranché la justice
Quand on n’est pas d’accord avec une décision de justice, on peut la contester devant la Cour de cassation : la plus haute juridiction, celle qui a le dernier mot et fixe la règle pour tout le monde. Et là, le 24 juin 2026, le verdict s’inverse. La Cour balaie le raisonnement des premiers juges. Son message est net : un manquement aux règles sur les données personnelles ne donne pas droit, à lui seul, à une indemnité.
Le salarié doit prouver que ce manquement lui a causé un vrai préjudice — une gêne concrète, un tort matériel ou moral. Pas de preuve d’un dommage réel, pas de dommages-intérêts. Le simple constat de l’irrégularité ne suffit plus à ouvrir le portefeuille de l’employeur.
La règle, en clair
On a longtemps raisonné avec l’idée du « préjudice automatique » : une règle violée, et le juge présumait un tort, puis accordait une somme. Sur les données personnelles, c’est terminé.
La logique est désormais celle de toute indemnisation classique : il faut une faute (le manquement), un dommage réel et démontré, et un lien entre les deux. La protection des données reste une obligation sérieuse. Mais l’indemnité suit la preuve d’un préjudice, pas le simple papier mal rempli.
Ce que ça change pour vous
Concrètement, si un salarié vous reproche un faux pas sur ses données — une caméra mal déclarée, une géolocalisation un peu large, un fichier RH trop bavard —, il ne peut plus obtenir une indemnité au seul motif que la règle n’a pas été suivie. Il devra expliquer en quoi, précisément, cela lui a porté tort.
C’est une vraie sécurité pour vous. Mais ne la lisez surtout pas comme un feu vert.
Attention : le manquement, lui, reste risqué
Le RGPD garde des dents. Un faux pas sur les données peut toujours vous coûter cher — autrement que par l’indemnité « automatique » qui vient de disparaître. Quatre exemples très concrets :
– Votre preuve passe à la trappe. Vous licenciez un salarié grâce aux images d’une caméra installée sans respecter les règles. Ces images peuvent être jugées irrecevables. Sans preuve, le licenciement perd son motif : il devient sans cause réelle et sérieuse — et là, c’est vous qui payez, souvent bien plus que les dommages-intérêts évités.
– La CNIL peut s’en mêler. Un salarié ou un candidat peut déposer plainte ; un membre du CSE peut, lui aussi, l’alerter. Elle peut vous contrôler, vous mettre en demeure de vous régulariser, et prononcer une amende. La mauvaise publicité s’ajoute à la facture.
– Le préjudice prouvé reste dû. Si le salarié démontre un vrai tort — des images diffusées, une vie privée exposée, un fichier qui le suit —, l’indemnité, elle, est bel et bien à payer.
– Dans les cas graves, le pénal n’est pas loin. Détourner ou utiliser des données personnelles de façon malveillante dépasse la simple irrégularité et peut entraîner des poursuites.
Bref : l’arrêt supprime l’indemnité réflexe, pas le risque. La conformité reste votre meilleure assurance.
Le réflexe à retenir
– Gardez vos traitements de données en règle (caméras, géolocalisation, badges, fichiers RH) : la conformité reste votre meilleure protection.
– Face à une demande d’indemnité « RGPD », posez une question simple : quel préjudice concret est démontré ? Le seul manquement ne suffit plus.
– Ne prenez pas cet arrêt pour un permis : une preuve obtenue de façon irrégulière peut toujours être écartée, et un préjudice prouvé reste indemnisable.
⚖️ Le quiz en pratique
La situation : un de vos salariés découvre que la caméra de l’entrepôt n’avait pas été déclarée comme elle aurait dû l’être. Il réclame 3 000 € « pour violation du RGPD », sans expliquer ce que cela lui a coûté. Doit-il être indemnisé ?
Réponse : non, pas sur ce seul fondement. Depuis l’arrêt du 24 juin 2026, le simple manquement ne suffit plus : le salarié doit prouver un préjudice réel — par exemple des images utilisées à tort contre lui, ou une atteinte démontrée à sa vie privée. S’il ne démontre rien, sa demande d’indemnité doit être rejetée. Attention quand même : la caméra non déclarée reste irrégulière, et les images qu’elle a filmées pourraient, elles, être écartées des débats.
Qui a dit que le droit social était facile à comprendre ?
Information générale : ce décryptage ne remplace pas un conseil personnalisé adapté à votre situation.


