RGPD en France
Le droit d’accès des salariés à leurs données et aux courriels professionnels
Toute personne peut demander à un organisme la communication des données qu’il détient sur elle et en obtenir une copie. Un salarié peut ainsi demander à son employeur l’accès et la communication des données personnelles qu’il a en sa possession – article 15 RGPD.
Depuis l’entrée en vigueur du RGPD les litiges liés aux droits des salariés sur Internet ont considérablement augmenté, notamment dans les affaires prud’homales, dans lesquelles certains plaignants réclament à leur ancien employeur d’accéder à l’ensemble des informations les concernant.
À quoi sert le droit d’accès ?
L’exercice du droit d’accès permet à une personne de savoir si des données qui la concernent sont traitées puis d’en obtenir, si elle le souhaite, la communication dans un format compréhensible. Cette démarche permet notamment de contrôler l’exactitude des données et, au besoin, de les faire rectifier ou effacer.
L’organisme auprès duquel une personne souhaite exercer son droit d’accès doit également être en mesure de lui fournir des renseignements, tels que les objectifs poursuivis par l’utilisation des données, les catégories de données traitées, les autres organismes ayant obtenu la communication des données, etc.
Les règles du droit d’accès
L’organisme doit s’assurer de l’identité du demandeur
Il ne peut cependant pas demander des pièces justificatives qui seraient abusives et disproportionnées par rapport à la demande. Ainsi, il n’est pas nécessaire de demander copie d’un justificatif d’identité, s’il est possible de confirmer l’identité du demandeur sans cela.
L’organisme doit répondre gratuitement à la demande
Les personnes concernées doivent pouvoir exercer le droit d’accès gratuitement. Toutefois, dans certaines situations exceptionnelles, notamment en cas de demande d’une copie supplémentaire, des frais raisonnables liés au traitement du dossier pourront être demandés.
Le droit d’accès porte sur des données personnelles et non sur des documents
Le droit d’accès porte uniquement sur les données personnelles et non pas sur des documents. Cependant, il n’est pas interdit à l’organisme de communiquer des documents plutôt que les seules données, s’il estime que c’est plus pratique.
Exemple : lorsqu’une personne concernée souhaite exercer son droit d’accès à des courriels, l’employeur doit fournir tant les métadonnées (horodatage, destinataires…) que le contenu des courriels. Dans cette situation, la communication d’une copie des courriels apparaît comme la solution la plus aisée pour que l’organisme puisse satisfaire la demande mais n’est pas obligatoire.
Quelles sont les données accessibles ?
Les données à caractère personnel courantes :
- Etat-civil, identité, données d’identification ;
- Vie personnelle (par exemple, les habitudes de vie, la situation familiale) ;
- Vie professionnelle (par exemple, le CV, la scolarité, la formation professionnelle, les distinctions) ;
- Informations d’ordre économique et financier (par exemple, les revenus, la situation financière ou la situation fiscale) ;
- Données de connexion (adresse IP, journaux d’événements) et de localisation (déplacements, données GPS) ;
- Informations déduites (score, mention relative à la segmentation).
Les données à caractère personnel sensibles :
- Numéro de sécurité sociale
- Données biométriques
- Données bancaires
- Opinions philosophiques, politiques, religieuses ou syndicales, vie sexuelle
- Données relatives à la santé, à la vie sexuelle, aux origines raciales ou ethnique
- Données relatives aux infractions, aux condamnations et aux mesures de sûreté
L’exercice du droit d’accès ne doit pas porter atteinte aux droits des tiers
Facteur de transparence, l’exercice du droit d’accès ne peut pas se faire au détriment des autres personnes dont les données sont traitées.
Ainsi, l’organisme doit permettre un accès aux seules données dont la communication ne porte pas une atteinte disproportionnée aux droits d’autrui, sans toutefois refuser de satisfaire à la demande de manière générale.
Les droits des tiers (secret des affaires et à la propriété intellectuelle, droit à la vie privée, secret des correspondances, etc.) sont donc autant d’obstacles qui peuvent restreindre le droit d’accès aux données accessibles ou communicables.
L’employeur pourra s’appuyer sur ces facteurs pour refuser légitimement de fournir des documents confidentiels ou internes concernant un salarié en s’appuyant sur le respect du droit à la vie privée, le secret des affaires et le secret des correspondances
Comment répondre à un salarié qui souhaite accéder ou obtenir la copie de courriels professionnels ?
Lorsque l’employeur répond à une demande de droit d’accès d’un salarié à des courriels professionnels, il doit apprécier l’atteinte au droit des tiers que représenterait cette communication : il va ainsi devoir faire un tri entre les messages communicables et ceux qui ne le sont pas.
Pour cela, l’employeur doit distinguer deux situations :
Le demandeur est le destinataire ou l’expéditeur des courriels visé par la demande
Le salarié a déjà eu, ou est supposé avoir eu connaissance des informations contenues dans les messages visés par la demande, la communication des courriels est alors présumée respectueuse des droits des tiers.
L’entreprise sera ainsi tenue de répondre favorablement à la demande. Elle pourra cependant choisir d’anonymiser ou de pseudonymiser certaines données.
Toutefois, dans des cas exceptionnels, l’accès ou la communication de courriels pourtant connus du demandeur peut représenter un risque pour les droits des tiers, par exemple du fait de la nature des données susceptibles d’être communiquées. Il appartient alors à l’employeur d’essayer de supprimer, anonymiser ou pseudonymiser les données concernant des tiers ou portant atteinte à un secret pour pouvoir accéder à la demande, puis, seulement si ces mesures s’avèrent insuffisantes, refuser d’accéder à la demande d’accès, en motivant et justifiant sa décision auprès de la personne concernée.
Exemple : un employeur pourra refuser d’accéder à une demande de communication de courriels contenant des informations qui porteraient atteinte à la sécurité nationale ou à un secret industriel. Ces arguments devront être justifiés, par l’employeur
Rappel : Le droit d’accès ne doit pas être confondu avec les autres règles de communication de documents ou de pièces dans le cadre d’une procédure judiciaire ou d’une demande de document administratif (CADA).
Ainsi, même si l’employeur refuse de faire suite à la demande de droit d’accès d’un salarié, celui-ci pourra toujours obtenir d’un juge la production des courriels litigieux dans le cadre d’un contentieux, sous réserve que cette production soit nécessaire et que l’atteinte soit proportionnée au but poursuivi.
Le demandeur est cité dans le contenu des courriels
Lorsqu’un salarié souhaite obtenir la communication de données contenues dans des courriels dans lesquels il est mentionné, l’employeur doit trouver un équilibre entre la satisfaction du droit d’accès du salarié et le respect des droits et libertés des autres salariés, notamment le secret des correspondances.
Ainsi si le demandeur est simplement mentionné dans le mail visé, l’employeur devra au préalable s’assurer que le document “n’entraîne pas d’atteinte disproportionnée aux droits de l’ensemble des salariés de l’organisme”. Il prendra ensuite une décision après examen du contenu de chaque mail, en s’assurant que ce dernier ne porte pas atteinte aux droits ou à la divulgation de l’identité d’un collaborateur de l’entreprise.
Pour cela, l’employeur peut procéder en deux temps :
Il s’assure d’abord que les moyens à mettre en œuvre pour identifier les courriels demandés n’entraînent pas d’atteinte disproportionnée aux droits de l’ensemble des salariés de l’organisme.
Lorsque l’identification des courriels visés par la demande suppose la mise en œuvre de moyens particulièrement intrusifs tels que le scan de l’ensemble des messageries des salariés de l’organisme, le demandeur doit être invité à préciser sa demande. Si ce dernier s’y oppose, l’employeur peut invoquer dans une telle situation, le respect les droits des tiers pour refuser de lui répondre favorablement.
En revanche, si les indications fournies par le demandeur permettent d’identifier les courriels demandés sans emporter d’atteinte disproportionnée au secret de la correspondance des salariés, le responsable de traitement doit procéder à la deuxième étape du raisonnement.
Il étudie ensuite le contenu des courriels demandés et apprécie la portée de l’atteinte aux droits des tiers que représenterait leur communication, notamment au regard du secret de la correspondance et de la vie privée de l’émetteur et des destinataires.
Cette étape suppose une analyse au cas par cas, l’issue dépendant de la nature des informations contenues dans les courriels.
Exemple : un employeur pourra refuser de donner suite à une demande de communication de courriels portant sur une enquête disciplinaire et dont le contenu, même caviardé, pourrait permettre au demandeur l’identification de personnes dont il ne devrait pas avoir connaissance.
Rappel : Le droit d’accès ne doit pas être confondu avec les autres règles de communication de documents ou de pièces dans le cadre d’une procédure judiciaire ou d’une demande de document administratif (CADA).
Ainsi, même si l’employeur refuse de faire suite à la demande de droit d’accès d’un salarié, celui-ci pourra toujours obtenir d’un juge, la production des courriels litigieux dans le cadre d’un contentieux, sous réserve que cette production soit nécessaire et que l’atteinte soit proportionnée au but poursuivi.
Le cas particulier des courriels personnels
Les courriels identifiés comme étant personnels ou dont le contenu s’avère être privé malgré l’absence de la mention du caractère personnel, font l’objet d’une protection particulière, l’employeur n’étant pas autorisé à y accéder.
Pour ces courriels, l’employeur ne pourra pas prendre connaissance du contenu même en vue d’occulter des informations et devra fournir au demandeur le courriel en l’état, à condition que ce dernier soit l’expéditeur ou le destinataire.
Source : https://www.cnil.fr/fr/le-droit-dacces-des-salaries-leurs-donnees-et-aux-courriels-professionnels
https://www.journaldugeek.com/2022/01/24/selon-la-cnil-un-employeur-a-le-droit-de-garder-ses-secrets/