Violation du RGPD en entreprise : la Cour de cassation confirme l’absence de réparation automatique

Contact
Arrow Icon

La chambre sociale de la Cour de cassation poursuit la consolidation de sa jurisprudence relative à l’abandon du « préjudice nécessaire ».

Dans un arrêt du 24 juin 2026, elle confirme que la seule violation du règlement général sur la protection des données (RGPD) par l’employeur ne suffit pas, à elle seule, à ouvrir droit à réparation au profit du salarié.

Cette décision s’inscrit dans une évolution désormais bien établie du contentieux social, fondée sur le retour aux principes classiques de la responsabilité civile.

La violation du RGPD ne constitue pas un préjudice automatiquement indemnisable

Dans cet arrêt, la Cour de cassation rappelle que la méconnaissance des dispositions du règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des données personnelles n’emporte pas, par elle-même, droit à indemnisation.

Autrement dit, le salarié ne peut obtenir des dommages-intérêts au seul motif qu’un traitement de données personnelles aurait été irrégulier. Il lui appartient de démontrer l’existence d’un dommage, qu’il soit matériel ou moral, ainsi que le lien de causalité avec le manquement invoqué.

Cette solution est conforme à l’interprétation de l’article 82 du RGPD, qui subordonne le droit à réparation à la démonstration d’un préjudice subi.

Confirmation de l’abandon du « préjudice nécessaire »

Par cette décision, la chambre sociale confirme l’abandon progressif de la jurisprudence dite du « préjudice nécessaire », selon laquelle certaines violations du droit du travail étaient présumées causer un dommage indemnisable, dispensant ainsi le demandeur d’en rapporter la preuve.

Désormais, la Cour de cassation impose une approche unifiée : toute demande indemnitaire suppose la réunion des conditions classiques de la responsabilité civile, à savoir :

  • une faute ou un manquement ;
  • un préjudice ;
  • un lien de causalité entre les deux.

Cette évolution a été amorcée depuis plusieurs années et trouve ici une application explicite en matière de protection des données personnelles dans la relation de travail.

Une exigence probatoire renforcée pour le salarié

En pratique, cette jurisprudence impose au salarié demandeur une démonstration précise et circonstanciée du préjudice invoqué.

La seule constatation d’un manquement au RGPD, tel qu’un défaut d’information, une collecte excessive de données ou une surveillance non conforme, ne suffit plus à caractériser un dommage indemnisable.

Le salarié devra notamment établir :

  • la réalité d’un préjudice personnel, matériel ou moral ;
  • son caractère direct et certain ;
  • le lien de causalité avec le manquement reproché à l’employeur.

Cette exigence s’inscrit dans une volonté de la Cour de cassation de recentrer le contentieux indemnitaire sur la preuve effective du dommage, et non sur la seule illégalité du comportement.

Cour de cassation, chambre sociale, 24 juin 2026, n° 24-22.792