CJUE | CONCLUSIONS DU 16 OCTOBRE 2025 | C-484/24 | NTH HAUSTECHNIK │
RGPD & PREUVE AU TRAVAIL | L’AG SPIELMANN (C-484/24) CLARIFIE
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
I.
L’affaire C-484/24, NTH Haustechnik, en cours devant la Cour de justice de l’Union européenne, est une affaire à surveiller avec la plus grande attention par toutes les entreprises employant du personnel en Union européenne. Les conclusions de l’Avocate générale, présentées le 16 octobre 2025, posent en effet une question fondamentale pour la gestion des ressources humaines : un employeur peut-il utiliser, dans le cadre d’une procédure prud’homale, des données à caractère personnel qu’il a collectées et conservées au-delà des durées permises par le RGPD pour prouver une faute ou un manquement grave de son salarié ?
La réponse à cette question n’est pas simple, et c’est précisément là que réside l’intérêt de cette affaire pour les praticiens. Le RGPD exige que les données personnelles ne soient pas conservées plus longtemps que nécessaire au regard de leur finalité initiale. Un employeur qui conserve des données de surveillance, de contrôle d’activité ou de gestion RH au-delà de ces délais viole le principe dit de « limitation de la conservation ». La question est alors de savoir si ces données, obtenues en violation du RGPD, peuvent néanmoins être produites comme preuves devant le conseil de prud’hommes ou le tribunal du travail.
II.
Ce que dit l’Avocate générale
L’Avocate générale propose une solution équilibrée qui rejette les deux extrêmes. Elle estime qu’on ne peut ni admettre systématiquement toutes les preuves obtenues en violation du RGPD (ce qui viderait le règlement de son sens), ni les exclure systématiquement (ce qui pourrait conduire à des injustices en permettant à des salariés ayant commis des fautes graves d’échapper à leurs conséquences).
Sa proposition est celle d’une mise en balance proportionnée : la juridiction nationale doit peser, d’un côté, la gravité de la violation commise par l’employeur au regard du RGPD (durée excessive de conservation, absence d’information du salarié, absence de base juridique) et, de l’autre, la gravité du manquement allégué du salarié et la disponibilité d’autres moyens de preuve. Plus la violation RGPD de l’employeur est grave, plus les exigences pour admettre les preuves seront strictes. Plus le manquement du salarié est sérieux et plus les preuves RGPD-conformes font défaut, plus l’admission pourrait être justifiée.
III.
Les points de vigilance pour les employeurs
DIRECTION GÉNÉRALE
La décision finale de la Cour dans l’affaire C-484/24 est susceptible de transformer substantiellement l’économie probatoire des contentieux prud’homaux. Une entreprise qui n’aura pas mis en place des politiques de conservation des données RH conformes au RGPD se trouvera dans une position procédurale défavorable : non seulement elle s’exposera à des sanctions de l’autorité de contrôle pour violation du règlement, mais elle risquera en outre de voir ses preuves écartées par le juge prud’homal, se privant ainsi de tout moyen de défense effectif.
DIRECTION DES RESSOURCES HUMAINES
Trois catégories de données RH sont particulièrement concernées par les enjeux soulevés par cette affaire. Les données issues des systèmes de contrôle d’accès et de gestion du temps de travail, qui doivent être purgées selon des délais définis et documentés. Les données issues des outils de surveillance et de contrôle de l’activité informatique des salariés, soumises à des règles strictes de conservation et d’information préalable. Les données relatives aux évaluations et aux manquements disciplinaires, pour lesquelles des durées de conservation spécifiques doivent être établies en lien avec les délais légaux de prescription des actions prud’homales.
IV.
Les actions à mettre en œuvre sans délai
En anticipation de la décision de la Cour — qui devrait intervenir dans le courant de l’année 2026 —, les directions générales et les directions des ressources humaines doivent engager, avec l’appui de leur DPO et de leur conseil juridique, une revue complète de leurs politiques de gestion des données RH. Cette revue doit porter en priorité sur la définition et le respect de durées de conservation documentées pour chaque catégorie de données, l’information des salariés sur la possibilité d’utilisation des données collectées à des fins disciplinaires ou judiciaires, la mise en place de procédures de purge automatique et traçable, et l’analyse des dispositifs de surveillance existants au regard des exigences du RGPD.
Il convient également d’associer systématiquement le service juridique et le DPO à toute décision de conservation de données dans un contexte de contentieux potentiel. La conservation ciblée de données en vue d’un contentieux est une pratique à encadrer rigoureusement, car elle peut être qualifiée de détournement de finalité et exposer l’entreprise à une double sanction : RGPD et procédurale.
V.
Ce qu’il faut retenir
L’affaire C-484/24 n’est pas encore tranchée par la Cour, et seules les conclusions de l’Avocate générale sont à ce jour disponibles. Ces conclusions ont néanmoins une valeur doctrinale significative et annoncent avec un degré raisonnable de certitude l’orientation que prendra la décision. Le message central est clair : la conformité RGPD en matière de gestion des données RH n’est pas une contrainte administrative accessoire, mais une condition de la capacité de l’employeur à défendre ses intérêts en justice. Une entreprise qui viole les principes de limitation de la conservation et de licéité du traitement prend le risque concret de se retrouver désarmée dans un contentieux prud’homal.
POINTS ESSENTIELS
26.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats