Un salarié anticipe un contentieux.
Il transfère des emails professionnels vers sa messagerie personnelle.
Objectif : conserver des preuves.
Réflexe compréhensible.
Risque largement sous-estimé.
👉 Ce comportement n’a rien de marginal.
Il existe déjà dans de nombreuses organisations souvent sans que la direction en ait conscience.
Le Conseil d’État, dans une décision du 20 février 2026, vient fixer une limite claire.
⚖️ Le droit à la défense n’est pas un blanc-seing
Le principe est constant : le salarié peut conserver des éléments nécessaires à sa défense.
Toutefois, la limite est désormais explicitée ➡️ uniquement ce qui est strictement nécessaire et proportionné
Transférer quelques documents ciblés peut se justifier. Extraire des centaines d’emails sans tri ne le peut pas.
⚖️ Trois critères qui font basculer dans la faute
Le raisonnement du Conseil d’État repose sur un faisceau d’indices précis :
- Le volume : transfert massif de courriels
- La nature : données sensibles (notamment couvertes par le secret professionnel)
- La conscience : salarié informé de ses obligations
Pris ensemble, ces éléments caractérisent une faute disciplinaire d’une gravité suffisante.
⚖️ Le point décisif : le risque suffit
Ce qui est sanctionné, ce n’est pas l’usage des données, mais le fait d’avoir créé un risque de divulgation.
➡️ Dès lors que des données sensibles quittent le système d’information,
➡️ pour être envoyées vers une messagerie externe (Gmail, Outlook personnel, etc.)
le manquement est constitué.
L’absence d’intention malveillante devient inopérante.
⚖️ Le statut protégé ne change rien au fond
Même dans le cadre d’un salarié protégé, la gravité de la faute peut justifier une autorisation de licenciement.
➡️ Le statut ne neutralise ni l’obligation de confidentialité
➡️ ni les exigences liées au secret professionnel
⚖️ Le vrai sujet : la maîtrise des flux d’information
Cette décision dépasse largement le cas d’espèce.
Elle pose une question structurante pour les dirigeants ➡️ vos données sont-elles réellement sous contrôle ?
Car le risque ne naît pas au moment où une donnée est exploitée. Il naît dès qu’elle sort de votre périmètre.
Cela renvoie directement à :
- vos chartes informatiques
- vos mécanismes de traçabilité
- vos politiques de sensibilisation
- votre capacité à détecter les signaux faibles précontentieux
🔭 Le Conseil d’État trace une ligne claire :
le droit à la défense ne peut pas servir de fondement à une extraction massive et incontrôlée de données sensibles, mais au fond, cette décision dit autre chose.
Source : https://www.legifrance.gouv.fr/ceta/id/CETATEXT000053524950
