RGPD (Règlement général sur la protection des données) : la simple violation ne justifie pas une indemnisation
02/07/2026
La Cour de cassation apporte une précision importante : le simple non-respect du RGPD ne donne pas automatiquement droit à des dommages et intérêts.
Dans cette affaire, un salarié contestait son licenciement en reprochant à son employeur d’avoir utilisé, en violation du RGPD, les données personnelles recueillies lors d’une campagne interne de sensibilisation au phishing. Après avoir volontairement cliqué sur plusieurs faux courriels et saisi des identifiants comportant des termes injurieux, il avait été identifié puis licencié pour faute simple.
Estimant que ces données avaient été utilisées de manière irrégulière pour justifier son licenciement, il sollicitait des dommages et intérêts. La cour d’appel lui avait accordé 5 000 € d’indemnisation, considérant que la seule violation du RGPD lui avait nécessairement causé un préjudice.
La Cour de cassation n’est pas de cet avis. Dans un arrêt du 24 juin 2026, elle rappelle qu’une indemnisation n’est possible que si la personne concernée prouve qu’elle a subi un préjudice, matériel ou moral, en lien avec la violation du RGPD. En d’autres termes, la seule constatation d’une violation du règlement ne suffit pas à ouvrir droit à réparation.