Ce que la Cour a réellement décidé

Le litige à l'origine de l'arrêt était assez ordinaire. Une entreprise de Basse-Saxe a poursuivi un ancien salarié qu'elle accusait de revendre du matériel de la société via un compte eBay privé, et elle a construit son dossier sur des données extraites de ce compte sans autorisation. Cet accès constituait lui-même une violation du RGPD. La juridiction de renvoi, le LAG Niedersachsen, a posé à la CJUE une question plus pointue que ce que les parties attendaient: une juridiction viole-t-elle elle-même le droit de la protection des données du simple fait d'examiner des preuves recueillies de manière illicite.

La CJUE a répondu par la négative. Dans son arrêt du 18 juin 2026 (C-484/24), elle a rejeté une interdiction générale d'utiliser des données personnelles obtenues illicitement et a jugé qu'une juridiction peut s'appuyer sur de telles données lorsqu'elles sont requises et déterminantes pour la décision. Les juges se sont fondés sur le devoir propre de la juridiction d'établir les faits et sur le droit à un procès équitable au titre de l'article 47 de la Charte, tout en exigeant que la minimisation des données soit respectée et que l'anonymisation soit envisagée avant toute divulgation. Il s'agit de savoir si une preuve entre dans un dossier civil, et non de culpabilité pénale.

Pourquoi cela inverse une hypothèse confortable

De nombreux dirigeants et leurs conseils fonctionnaient sur une règle empirique non dite: si l'autre partie a obtenu son matériel de manière irrégulière, il peut être écarté, de sorte qu'une faute en matière de protection des données constitue un bouclier fiable. L'arrêt affaiblit ce bouclier. Une juridiction qui apprécie les faits est désormais invitée à mettre en balance l'intérêt du procès équitable et l'atteinte à la vie privée plutôt qu'à écarter la preuve par principe, de sorte que le document gênant, le message récupéré ou l'extrait de compte peut se retrouver devant le juge quelle que soit la manière dont il a été obtenu.

Cela tranche dans les deux sens, et c'est le second tranchant qu'il faut surveiller. La même logique qui permet à un demandeur d'utiliser une preuve imparfaitement obtenue permet à un adversaire d'utiliser la vôtre. Une enquête interne qui va trop loin, un journal de surveillance recueilli sans base appropriée, ou la boîte de réception d'un ancien partenaire consultée trop librement ne devient pas inoffensif parce qu'il a été mal collecté. Il peut toujours atterrir au dossier contre vous, tandis que la violation sous-jacente reste exposée séparément aux autorités de contrôle. Veuillez considérer ceci comme un compte rendu plutôt que comme un conseil juridique, et vérifiez l'arrêt et sa portée au regard de vos propres faits.

Ce qu'il faut envisager avant le prochain litige

La réponse pratique n'est pas de chercher des failles mais de partir du principe que la plupart des données pertinentes seront à terme admissibles, quel que soit leur détenteur et quelle qu'ait été la manière dont elles ont été recueillies. Cela reconfigure l'hygiène de la preuve comme un risque d'entreprise plutôt que comme une note de bas de page de conformité. Il vaut la peine de réexaminer la manière dont vos enquêtes internes sont menées, la manière dont les données des salariés et des contreparties sont consultées pendant un litige, et les points où vos propres pratiques de collecte pourraient être transformées en pièces à conviction par l'autre partie.

Il vaut tout autant la peine de cartographier, avant que le contentieux ne se profile, quelles données existent sur vos opérations, où elles résident et qui pourrait les obtenir. La portée de cet arrêt est encore en train de se stabiliser et son application variera selon l'État membre et le type de procédure, de sorte que tout élément spécifique relève de votre propre conseil au regard de vos propres faits. Pour un décideur, le point est plus simple: le vieux pari selon lequel les données irrégulières disparaissent n'est plus sûr à prendre.