Cour de justice de la République et canton de Genève, arrêt ACJC/​1388/​2025 du 7 octobre 2025

Introduction

Un entre­pre­neur, admi­nis­tra­teur unique et action­naire indi­rect d’une société de services comp­tables, fiscaux et de gestion d’entreprise, utilise son adresse e‑mail à la fois pour sa corres­pon­dance profes­sion­nelle et pour sa corres­pon­dance privée.

Suite à la vente des actions de la société inter­ve­nue en juillet 2020, couplée à de nombreux diffé­rends avec le repré­sen­tant de l’acquéreuse prési­dant désor­mais le conseil d’administration de la société, l’entrepreneur démis­sionne dudit conseil en date du 15 novembre 2021. Malgré sa démis­sion, une procu­ra­tion lui permet de termi­ner les dossiers dont il est en charge pour le compte de la société.

Le 24 décembre 2021, la société coupe son adresse e‑mail sans préavis, met en place un message auto­ma­tique infor­mant que l’adresse n’est plus valable, et redi­rige la corres­pon­dance vers l’administrateur-président de la société afin d’être trai­tée par celui-ci.

Après des procé­dures sur mesures super­pro­vi­sion­nelles et provi­sion­nelles, l’entrepreneur dépose une action au fond le 10 juin 2022 pour exer­cer son droit d’accès à ses données person­nelles. Il conclut à ce que le Tribunal de première instance de la République et canton de Genève (le « TPI ») ordonne à la société de lui donner gratui­te­ment accès à son ancienne adresse e‑mail pour pouvoir sauve­gar­der les données person­nelles qui y sont conte­nues, en parti­cu­lier le carnet de contacts et les cour­riels entrants et sortants, puis de suppri­mer défi­ni­ti­ve­ment son ancienne adresse.

Le TPI retient que les messages entrants et sortants, ainsi que le carnet de contacts, sont bien des données person­nelles au sens de l’art. 5 let. a LPD, et que la prise de connais­sance de la corres­pon­dance consti­tue un trai­te­ment. La société aurait dû permettre l’exercice du droit d’accès (art. 25 LPD) en appli­quant par analo­gie les recom­man­da­tions du Préposé fédé­ral à la protec­tion des données et à la trans­pa­rence (PFPDT) rela­tives à l’accès à la messa­ge­rie d’un colla­bo­ra­teur ou d’une colla­bo­ra­trice (les « Recommandations du PFPDT »), et ainsi donner à l’ancien admi­nis­tra­teur la possi­bi­lité de faire une copie de ses données privées et de les suppri­mer avant que ses accès ne soient bloqués. Seule la corres­pon­dance posté­rieure au 15 novembre 2021 (date de la démis­sion) rela­tive aux rela­tions d’affaires entre la société et des tiers est exclue du droit d’accès.

Insatisfaite, la société inter­jette un appel contre le juge­ment du TPI.

Cadre procé­du­ral

Bien que l’accès à la boîte e‑mail profes­sion­nelle ait été coupé avant l’entrée en vigueur de la LPD, cette dernière est bien appli­cable à la présente affaire en l’absence de déci­sion anté­rieure à l’entrée en vigueur de la LPD révi­sée (art. 70 LPD).

La Cour de justice (la « CJ ») rappelle en outre que les litiges rela­tifs au droit d’accès sont des affaires non pécu­niaires, de sorte que la rece­va­bi­lité de l’appel ne présup­pose pas une valeur liti­gieuse mini­male de CHF 10’000.- (art. 308 al. 2 CPC).

Enfin, la CJ souligne que la procé­dure simpli­fiée (art. 243 al. 2 let. d CPC) et la maxime inqui­si­toire sont appli­cables (art. 247 al. 2 let. a cum art. 243 al. 2 let. d CPC). Cela étant, lorsque les parties sont repré­sen­tées par un avocat – comme c’est le cas en l’espèce –, le tribu­nal peut, voire doit, faire preuve de rete­nue, comme il le ferait dans un procès soumis à procé­dure ordi­naire (et donc à la maxime des débats, cf. art. 55 al. 1 CPC).

Restrictions au droit d’accès en raison d’une demande abusive ou procédurière

Les parties ne remettent en cause ni la quali­fi­ca­tion de la boîte e‑mail comme données person­nelles au sens de l’art. 5 let. a LPD, ni celle de la conser­va­tion et de la consul­ta­tion de ladite boîte en tant que trai­te­ment au sens de l’art. 5 let. d LPD. Le prin­cipe du droit d’accès (art. 25 LPD) n’est donc pas contesté. En revanche, leur opinion diffère sur la licéité de la restric­tion au droit d’accès.

Selon l’art. 26 al. 1 let. c LPD, le respon­sable du trai­te­ment peut refu­ser, restreindre ou diffé­rer la commu­ni­ca­tion des rensei­gne­ments lorsque :

« la demande d’accès est mani­fes­te­ment infon­dée notam­ment parce qu’elle pour­suit un but contraire à la protec­tion des données ou est mani­fes­te­ment procédurière. »

La demande d’accès pour­sui­vant un but contraire à la protec­tion des données équi­vaut à un abus de droit (art. 2 al. 2 CC). Le fardeau de la preuve incombe au respon­sable du trai­te­ment, qui doit rendre vrai­sem­blable que la demande d’accès cherche à lui nuire, consti­tue une tenta­tive d’espionnage écono­mique ou vise unique­ment à obte­nir des moyens de preuve dans la pers­pec­tive d’un procès futur sans lien avec la protec­tion des données (cf. notam­ment ATF 141 III 119, consid. 7.1.1 ; 138 III 425, consid. 5).

La demande d’accès est procé­du­rière lorsqu’elle est formu­lée dans un dessein pure­ment chica­nier, notam­ment si la personne concer­née multi­plie les demandes d’accès alors qu’elle sait perti­nem­ment qu’aucune donnée person­nelle n’est traitée.

Cela étant, toutes les restric­tions au droit d’accès doivent être inter­pré­tées restrictivement.

État des lieux sur la problé­ma­tique de l’accès à la messa­ge­rie professionnelle

La CJ se penche ensuite sur les Recommandations du PFPDT concer­nant l’accès à la messa­ge­rie élec­tro­nique (cour­riels, messages sur le télé­phone, messages vocaux, etc.) d’un colla­bo­ra­teur en cas de rési­lia­tion des rapports de travail. En substance, le travailleur sortant doit trans­fé­rer les dossiers et les cour­riels profes­sion­nels en suspens à sa suppléance ou à sa hiérar­chie et certi­fier avoir remis à l’employeur tous les docu­ments profes­sion­nels. En paral­lèle, l’employeur doit lui donner la possi­bi­lité de copier les données privées sur un support privé, puis de les suppri­mer des serveurs de l’entreprise. Le dernier jour des rapports de travail au plus tard, l’accès à la messa­ge­rie profes­sion­nelle doit être coupé.

La CJ relève en outre que la doctrine (en parti­cu­lier Rémy Wyler/​Boris Heinzer/​Aurélien Witzig, Droit du travail, 5^ème éd., Berne 2024, p. 446 ss) distingue selon que l’employeur a inter­dit, auto­risé ou toléré l’utilisation de la messa­ge­rie profes­sion­nelle à des fins privées pour déter­mi­ner si la procé­dure préci­tée doit être suivie. Cependant, même lorsque l’employeur a inter­dit l’utilisation privée des moyens de commu­ni­ca­tion, il doit s’abstenir de consul­ter les commu­ni­ca­tions que le travailleur a expres­sé­ment dési­gnées comme étant « privées » ou « person­nelles », même si cela signi­fie que le travailleur a violé les direc­tives internes de l’employeur. Par une telle indi­ca­tion, l’employé commu­nique son refus quant à la prise de connais­sance de sa commu­ni­ca­tion privée par des tiers.

Il existe fina­le­ment des circons­tances où l’employeur doit distin­guer entre la corres­pon­dance privée « inno­cente » et celle suscep­tible de tomber sous le coup de la loi pénale. Dans ce dernier cas, la CJ consi­dère comme légi­time que l’employeur traite les données person­nelles du travailleur, mais l’oblige toute­fois à préa­la­ble­ment clari­fier la situa­tion avec lui. Si cela n’est pas possible au motif que le travailleur est absent ou en conflit avec l’employeur, la protec­tion de la person­na­lité de l’employeur commande de confier une éven­tuelle enquête à une personne neutre. En revanche, toujours selon la doctrine préci­tée, les cour­riels liés à l’exécution du travail n’ont, en prin­cipe, pas de carac­tère person­nel, de sorte que l’employeur peut en prendre connais­sance libre­ment (cf. ég. Wyler/​Heinzer/​Witzig, p. 447).

Selon la juris­pru­dence du Tribunal fédé­ral (le « TF ») rela­tive à l’art. 328 b CO, qui concré­tise les prin­cipes de propor­tion­na­lité et de fina­lité (art. 4 al. 2 et 3 aLPD, désor­mais art. 6 al. 2 et 3 LPD), le trai­te­ment des données person­nelles des travailleurs concer­nant l’aptitude à remplir leur cahier des charges ou néces­saire à l’exécution du contrat de travail est présumé licite. Il doit toute­fois respec­ter les prin­cipes géné­raux de la LPD (art. 4 aLPD, désor­mais art. 6 LPD). Un trai­te­ment de données sortant de ce cadre est présumé illi­cite, et doit repo­ser sur un autre motif justi­fi­ca­tif au sens de l’art. 13 aLPD, désor­mais, art. 31 LPD (ATF 130 II 425, consid. 3.3 ; TF, arrêt 4A_​518/​2020 du 25 août 2021, consid. 4.2.4).

En l’espèce, la société n’apporte pas la preuve que la déci­sion du TPI vient consa­crer un abus de droit de l’ancien admi­nis­tra­teur. Au moment où ses accès ont été coupés, celui-ci ne dispo­sait plus du moindre pouvoir déci­sion­nel au sein de la société. Il aurait donc fallu lui appli­quer par analo­gie les prin­cipes appli­cables aux travailleurs et lui offrir la possi­bi­lité de copier ses données person­nelles avant que les accès ne soient coupés. L’argument, selon lequel l’ancien admi­nis­tra­teur aurait eu suffi­sam­ment de temps pour le faire de sa propre initia­tive, n’y change rien.

Par ailleurs, l’argument selon lequel l’ancien admi­nis­tra­teur aurait sciem­ment mélangé des données privées et profes­sion­nelles ne modi­fie pas non plus ce constat – cela d’autant plus que celui-ci était au contrôle de la société, et que ce mélange ne viole aucune dispo­si­tion contrac­tuelle ni aucune direc­tive interne. Partant, la demande d’accès n’est pas abusive et l’art. 26 al. 1 let. c LPD n’est pas applicable.

Restrictions au droit d’accès en raison d’intérêts prépondérants

La société dénonce égale­ment une mauvaise appli­ca­tion de l’art. 26 al. 2 let. a LPD par le TPI. Cette dispo­si­tion permet au respon­sable du trai­te­ment privé de refu­ser, de restreindre ou de diffé­rer la commu­ni­ca­tion des rensei­gne­ments lorsque (1) ses inté­rêts prépon­dé­rants l’exigent et (2) qu’il ne commu­nique pas les données person­nelles à un tiers.

La protec­tion des secrets d’affaires ou de fabri­ca­tion, la confi­den­tia­lité de la stra­té­gie interne de l’entreprise pour un litige passé ou futur, l’existence d’inventaires (p. ex. : inven­taire de biens volés par la personne soup­çon­née) ou encore des inté­rêts finan­ciers sont suscep­tibles de consti­tuer des inté­rêts prépon­dé­rants au sens de l’art. 26 al. 2 let. a LPD. Peut aussi être invo­quée la néces­sité, pour le respon­sable du trai­te­ment, de se proté­ger contre des efforts de recherche dispro­por­tion­nés, l’espionnage écono­mique ou la mise en danger de droits de la personnalité.

En l’espèce, le TPI n’avait fait aucune distinc­tion entre la corres­pon­dance profes­sion­nelle et la corres­pon­dance privée pour la période anté­rieure au 15 novembre 2021 (date de la démis­sion). Or, la CJ estime que l’ancien admi­nis­tra­teur n’a pas de droit à accé­der à la corres­pon­dance profes­sion­nelle. Elle admet donc partiel­le­ment le recours de la société sur ce point et limite l’accès à la corres­pon­dance privée et au carnet de contacts.

À notre connais­sance, cet arrêt est défi­ni­tif, puisqu’il n’a pas fait l’objet d’un recours auprès du TF.

Il fait d’ailleurs écho à une déci­sion rendue par l’Autorité de protec­tion belge de protec­tion des données du 6 janvier 2026, dans laquelle elle retient qu’une adresse e‑mail person­na­li­sée (p. ex. : prénom.nom@société.com) est une donnée person­nelle (Hervé Chevalley, Adresse e‑mail profes­sion­nelle et licen­cie­ment : ne pas traî­ner pour couper le cordon, in : www​.swiss​pri​vacy​.law/​328). Même lorsqu’une fonc­tion infor­ma­tique supprime auto­ma­ti­que­ment les cour­riels entrant dans la boîte e‑mail d’un ex-travailleur sans qu’ils ne soient lus par quiconque, des méta­don­nées sont trai­tées, en parti­cu­lier l’identité des expé­di­teurs. Or, de telles acti­vi­tés de trai­te­ment près de deux ans après la fin des rapports de travail ne peuvent pas repo­ser sur un inté­rêt légi­time de l’employeur au sens de l’art. 6 par. 1 let. f RGPD. Faute de base légale, ce trai­te­ment est contraire au prin­cipe de licéité (art. 5 par. 1 RGPD). Selon nous, la situa­tion est la même en droit suisse où un tel trai­te­ment devrait vrai­sem­bla­ble­ment aussi être consi­déré comme contraire au prin­cipe de licéité au sens de l’art. 6 al. 1 LPD (cum art. 328b CO et art. 30 s. LPD).

Les ensei­gne­ments : anti­ci­per, c’est la clé

Cet arrêt rappelle une nouvelle fois que la gestion des adresses e‑mail profes­sion­nelles mises à dispo­si­tion des travailleurs, des organes et parfois même des manda­taires, consti­tue un défi pour les socié­tés et autres orga­ni­sa­tions, puisque leurs inté­rêts et ceux des travailleurs divergent. D’une part, les travailleurs, organes et manda­taires pour­raient être tentés d’effacer toutes leurs données person­nelles, y compris les cour­riels de nature stric­te­ment profes­sion­nelle, afin de proté­ger leur person­na­lité, ce qui serait de nature à compro­mettre la conti­nua­tion des acti­vi­tés de l’employeur. D’autre part, l’employeur pour­rait être tenté de privi­lé­gier son inté­rêt à assu­rer la bonne marche des affaires, notam­ment en accé­dant à la corres­pon­dance à l’insu des personnes concer­nées ou en main­te­nant le fonc­tion­ne­ment de leur adresse e‑mail en dépit de la fin des rapports contrac­tuels, cela au détri­ment de la protec­tion de leur personnalité.

Pourtant, contrai­re­ment à certaines idées reçues, ces deux impé­ra­tifs ne sont pas néces­sai­re­ment incom­pa­tibles. La clé réside dans la capa­cité à anti­ci­per les situa­tions suscep­tibles de se présen­ter et à défi­nir clai­re­ment le cadre qui leur est applicable.

Premièrement, avant même de débu­ter leur acti­vité, les socié­tés et autres orga­ni­sa­tions seraient bien avisées de mettre en œuvre une poli­tique de réten­tion des données person­nelles et non-person­nelles. Ce docu­ment doit prévoir les prin­cipes appli­cables en matière de réten­tion, fixer les durées de réten­tion appli­cables à chaque caté­go­rie de données person­nelles ou non person­nelles, défi­nir les procé­dures et dési­gner les personnes en charge de la mise en œuvre de ladite politique.

Deuxièmement, un employeur a, en sa qualité de respon­sable du trai­te­ment, l’obligation légale d’informer ses travailleurs lors de la collecte de données (art. 19 LPD), ce qu’il fera via une décla­ra­tion de protec­tion des données appli­cable aux employés (y compris les stagiaires et les inté­ri­maires) et aux candi­dats à l’emploi.

En paral­lèle, il serait judi­cieux de mettre en place des direc­tives régis­sant l’utilisation des moyens élec­tro­niques mis à la dispo­si­tion des travailleurs (cf. art. 321d CO), de sorte à dimi­nuer la proba­bi­lité de conflits liés à une utili­sa­tion de ces moyens non conforme aux attentes de l’employeur. Ces direc­tives, auxquelles les employés devront être rendus atten­tifs dans le cadre de la procé­dure d’intégration des nouveaux employés (onboar­ding), devront notam­ment régir si les moyens élec­tro­niques peuvent être utili­sés à des fins privées, comment signa­ler le contenu de nature privée – auquel l’employeur ne devra, en prin­cipe, pas accé­der – et la présomp­tion de quali­fi­ca­tion des cour­riels dont la nature profes­sion­nelle ou privée n’est pas clai­re­ment percep­tible en tant que cour­riels profes­sion­nels (cf. Recommandations du PFPDT).

La néces­sité de régir ces ques­tions au sein d’une direc­tive dépasse d’ailleurs le cadre des rapports de travail. En effet, la présente affaire démontre qu’un admi­nis­tra­teur unique, même lorsqu’il est le seul action­naire de sa société, a inté­rêt à adop­ter une telle direc­tive et de la respec­ter. À défaut, une perte de contrôle ou d’influence sur la société est suscep­tible d’engendrer des conflits.

Troisièmement, en cas d’absences prévi­sibles des travailleurs (p. ex. : en cas de vacances) et en cas de fin des rapports de travail, le PFPDT recom­mande de ne pas redi­ri­ger auto­ma­ti­que­ment la corres­pon­dance vers une personne suppléante, cela afin d’éviter tout trans­fert de commu­ni­ca­tions (privées ou profes­sion­nelles) contre la volonté de l’expéditeur. Il convient donc de favo­ri­ser l’activation d’un message auto­ma­tique d’absence, invi­tant l’expéditeur à trans­fé­rer le cour­riel vers la personne suppléante (cf. Recommandations du PFPDT).

Quatrièmement, l’employeur doit parfois mener une enquête au sein de son orga­ni­sa­tion afin de confir­mer ou d’infirmer des soup­çons de viola­tions du cadre légal et des direc­tives internes appli­cables à ses acti­vi­tés (p. ex. : soup­çons de harcè­le­ment sexuel, de viola­tions des normes en matière de protec­tion de l’environnement ou d’interdiction du travail des enfants, de compor­te­ments collu­sifs, d’actes de corrup­tion, de insi­der trading, etc.).

Lors d’une enquête interne, les moyens de commu­ni­ca­tion élec­tro­nique (en parti­cu­lier, les cour­riels) consti­tuent souvent, aux côtés de l’audition des travailleurs, le prin­ci­pal moyen de preuve. Le trai­te­ment de ces données devant se dérou­ler de façon conforme à la LPD, l’employeur doit s’abstenir de trai­ter les données rele­vant de la sphère privée si elles ne sont pas néces­saires au dérou­le­ment de l’enquête (Pierre Bydzovsky/​Fériel Adjabi, Contours et enjeux des enquêtes internes en entre­prise, Revue de l’avocat 2025 p. 126 ; Clara Poglia/​Michaël Jakubowski, Les enquêtes internes pour harcè­le­ment sexuel à l’ère (post ?)-MeToo, forum­poe­nale 3/​2024 p. 191). Or, si l’employeur ne sait pas si les moyens de commu­ni­ca­tion profes­sion­nels sont aussi utili­sés à des fins privées et, le cas échéant, comment iden­ti­fier ces données afin de les exclure du péri­mètre de l’enquête, il pourra diffi­ci­le­ment respec­ter les prin­cipes géné­raux de l’art. 6 LPD, s’exposant ainsi à une possible remise en cause de la vali­dité du rapport d’enquête produit à titre de moyen de preuve dans une procé­dure civile (cf. art. 152 al. 2 CPC) ou pénale (cf. juris­pru­dence déve­lop­pée par le TF en lien avec l’art. 141 CPP concer­nant les preuves collec­tées par des particuliers).

Enfin cinquiè­me­ment, l’arrêt commenté ici rappelle que la gestion de la fin des rapports de travail ne peut pas être lais­sée au hasard. L’employeur a inté­rêt à prévoir la procé­dure appli­cable à la fin des rapports de travail au sein d’une poli­tique dédiée à la procé­dure de départ des travailleurs (Offboarding Policy). Cette dernière doit notam­ment rappe­ler qu’à l’instar de ce qui prévaut en cas d’absences prévi­sibles, les travailleurs sortants doivent géné­ra­le­ment privi­lé­gier un message auto­ma­tique à une redi­rec­tion auto­ma­tique et indif­fé­ren­ciée de la corres­pon­dance trans­mise à l’adresse e‑mail profes­sion­nelle. En outre, le PFPDT recom­mande que le travailleur confirme, moyen­nant une décla­ra­tion, que tous les docu­ments profes­sion­nels ont bien été remis à l’employeur (cf. Recommandations du PFPDT). À notre sens, cette décla­ra­tion devrait faire partie de la procé­dure de offboar­ding, et devrait égale­ment couvrir l’exer­cice du droit à copier et à suppri­mer les données privées, de sorte à limi­ter les litiges sur la question.