La Commission nationale informatique et libertés (Cnil) a publié le 5 janvier 2022 une fiche pratique relative au droit d’accès des salariés à leurs données personnelles et à leurs courriels professionnels [1]. A travers cette fiche, la Cnil explique aux employeurs comment réagir face à un salarié exerçant son droit d’accès. L’occasion pour tous les employeurs de mettre à jour leurs process et procédures de réponse aux demandes d’accès exercés par leurs (anciens) salariés !
Qu’est-ce que le droit d’accès ?
L’article 15 du Règlement général sur la protection des données à caractère personnel (RGPD) confère un droit d’accès sur ses données personnelles à toute personne dont les données sont collectées et traitées [2].
Toute personne peut donc demander à un organisme responsable de traitement la communication des données qu’il détient sur elle, et en obtenir une copie, dans un format compréhensible, accompagnée de divers renseignements, tels que les objectifs poursuivis par l’utilisation des données, les catégories de données traitées, ou encore les autres organismes ayant obtenu la communication des données.
Un salarié peut-il exercer son droit d’accès auprès de son employeur ?
La protection des données personnelles et les règles édictées par le RGPD s’appliquent également au contexte professionnel.
Ainsi, un salarié peut demander à son employeur l’accès et la communication des données personnelles qu’il a en sa possession concernant ledit salarié.
Quelles sont les obligations de l’employeur pour répondre à une demande de droit d’accès d’un de ses salariés ?
L’employeur qui se retrouve confronté à une demande de droit d’accès émanant d’un de ses salariés est tenu de respecter certaines obligations.
L’employeur doit d’abord vérifier l’identité du demandeur. En cas de doute raisonnable, il peut demander au salarié demandeur certaines informations pour qu’il prouve son identité. Néanmoins, il ne peut pas demander de pièces justificatives qui seraient abusives, non pertinentes ou disproportionnées par rapport à la demande.
Ensuite, l’employeur doit répondre gratuitement à la demande du salarié.
En outre, le droit d’accès ne peut porter sur des documents. Il ne concerne que les données à caractère personnel. Cependant, l’employeur peut communiquer des documents comme support des données dans un souci pratique.
Enfin, le droit d’accès ne doit pas porter atteinte aux droits des tiers. En effet, l’exercice de ce droit ne doit pas se faire au détriment des autres personnes dont l’employeur traite les données. L’employeur a donc la possibilité de restreindre la communication des données personnelles du demandeur pour protéger ces droits, tels que le secret des affaires et la propriété intellectuelle, le droit à la vie privée ou encore le secret des correspondances. Toutefois, la protection des droits des tiers ne doit pas mener à refuser de satisfaire à une demande d’accès de manière générale, et il convient d’envisager des modalités de réponse qui permettraient de répondre de manière la plus exhaustive possible sans pour autant porter atteinte aux droits des tiers (par exemple, occulter certaines données de certains supports peut permettre de communiquer ses données au demandeur sans laisser subsister de données de tiers).
Un salarié peut-il demander l’accès à ses courriels professionnels ?
Les courriels professionnels peuvent contenir des données personnelles (nom et prénom de l’expéditeur et du destinataire, horodatage, etc.).
Un salarié peut donc demander l’accès à des courriels professionnels, et l’employeur aura l’obligation de lui communiquer les métadonnées, ainsi que les contenus de ces courriels s’ils comportent des données à caractère personnel relatives au salarié demandeur.
Mais, pour ne pas porter atteinte aux droits des tiers, l’employeur devra faire le tri entre les courriels communicables et ceux qui ne le sont pas.
En conséquence, deux situations sont à envisager :
- si le salarié demandeur est l’expéditeur ou le destinataire des courriels ;
- si le salarié demandeur est mentionné dans le contenu des courriels.
Si le salarié demandeur est l’expéditeur ou le destinataire des courriels :
La communication des courriels est alors présumée respectueuse des droits des tiers. Il n’est donc pas obligatoire de procéder à l’anonymisation ou à la pseudonymisation des données des tiers (étant précisé qu’il s’agit tout de même d’une bonne pratique), sauf s’il existe un risque pour leurs droits. Dans le cas où les mesures de suppression, d’anonymisation ou de peudonymisation au bénéfice des tiers ne suffiraient pas à supprimer tout risque pour les droits des tiers, l’employeur pourra refuser la communication de ses courriels au salarié demandeur en motivant sa décision (un courriel portant atteinte à la sécurité nationale ou à un secret industriel par exemple).
Si le salarié demandeur est mentionné dans le contenu des courriels :
Alors il existe un risque d’atteinte au secret des correspondances. Il appartient donc à l’employeur de trouver le juste équilibre entre la satisfaction du droit d’accès du salarié et le respect des droits des tiers.
L’employeur doit donc d’abord s’assurer que les moyens à mettre en œuvre pour identifier les courriels demandés n’entraînent pas d’atteinte disproportionnée aux droits de l’ensemble des salariés de l’organisme. Ainsi, ces moyens ne doivent pas être trop intrusifs, comme le serait le scan de l’ensemble des messageries de tous les salariés par exemple. Pour éviter de telles pratiques, le demandeur doit être invité à préciser sa demande. Si ce dernier s’y oppose, l’employeur peut invoquer dans une telle situation, le respect les droits des tiers pour refuser de lui répondre favorablement.
En revanche, si les indications fournies par le demandeur permettent d’identifier les courriels demandés sans emporter d’atteinte disproportionnée au secret de la correspondance des salariés, le responsable de traitement doit alors étudier le contenu des courriels demandés et apprécier la portée de l’atteinte aux droits des tiers que représenterait leur communication, afin de déterminer quelles données peuvent être communiquées.
Le cas des courriels personnels :
S’agissant des courriels identifiés comme personnels ou dont le contenu s’avère être privé malgré l’absence de la mention de caractère personnel, l’employeur ne pourra prendre connaissance du contenu, et devra fournir le contenu du courriel en l’état. Il ne pourra occulter aucune informations.
En conclusion, le salarié a le droit demander à son employeur l’accès à ses données personnelles, y compris les courriels professionnels. Il appartiendra par la suite à l’employeur responsable de traitement d’apprécier s’il existe une atteinte disproportionnée aux droits des tiers s’il communique ces courriels professionnels, et de prendre toutes les mesures nécessaires pour préserver ces droits. Les procédures des entreprises en matière de gestion et de réponse aux demandes d’exercice de leurs droits par les personnes concernées, notamment aux demandes d’exercice de leur droit d’accès par les (anciens) salariés, doivent donc désormais intégrer un tel process.
AGIL’IT se tient à votre disposition pour vous accompagner dans le cadre de la mise et/ou du maintien en conformité de vos pratiques en matière de droit d’accès au regard notamment de la règlementation en matière de protection des données à caractère personnel mais également des dispositions législatives et réglementaires applicables en droit du travail.
Par AGIL’IT – Pôle IT & Data Protection
Laure LANDES-GRONOWSKI, Avocate associée
[1] Fiche de la Cnil “Le droit d’accès des salariés à leurs données et aux courriels professionnels”, 5 janvier 2022 : Le droit d’accès des salariés à leurs données et aux courriels professionnels | CNIL
[2] RGPD, art.15 : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article15
