Le Réglement Général sur la Protection des Données (RGPD) confère aux personnes concernées le droit d’accéder aux données personnelles traitées par un responsable de traitement (article 15).
En pratique, la personne concernée peut demander à un organisme d’accéder et de lui fournir une copie des données qu’il détient sur elle.
Lorsque la personne concernée est un salarié, le fait de savoir si on peut lui transmettre toutes les données est plus complexe notamment du fait que certaines données peuvent être contenues dans des emails professionnels ou autre fichiers confidentiels.
La CNIL a fait part de ses recommandations sur l’applications du droit d’accès aux données des salariés. Cet article a donc pour objectif de faire le point sur les différentes questions qui peuvent se poser, notamment lorsque la demande concerne des emails.
1. Qu’est ce que le droit d’accès ?
Le droit d’accès, prévu à l’article 15 du RGPD, permet à une personne, y compris un salarié, de savoir si des données qui la concernent sont traitées par un organisme responsable du traitement, y compris l’employeur.
Si elle le souhaite, la personne concernée peut obtenir la copie de ses données dans un format compréhensible.
2. Forme de la demande et identification du salarié
2.1. Formulation de la demande
Le RGPD ne prévoit pas de forme particulière de la demande et l’employeur doit donc ne pas être inutilement exigeant sur la forme.
Ainsi, bien que le droit d’accès ne s’applique qu’aux données personnelles et non au docuement, il ne doit pas mener l’employeur à exiger des formulations précises pour faire ou non suite à la demande d’un salarié. Ainsi,
- lorsqu’un régime spécifique d’accès aux documents s’applique (par exemple pour les administrations publiques), la personne doit spécifier s’il demande un accès à des documents ou à des données personnelles ;
- dans les autres cas, un rejet de la demande au seul motif que le demandeur utilise le mot « document » peut s’avérer fautif. Il conviendra de préciser la demande ou d’interpréter la demande comme une demande de droit d’accès aux données.
2.2 Mode d’ identification du salarié à l’origine de la demande
Le responsable du traitement doit s’assurer de l’identité de la personne exerçant son droit d’accès.
S’il a des doutes sur l’identité de la personne concernée, il peut demander des informations pour prouver son identité. Toutefois, la demande d’information complémentaire doit être proportionnée.
Ainsi, dans le cas d’un salarié la CNIL considère qu’il n’est pas nécessaire de demander une copie de la pièce d’identité dans les cas suivants :
- si la demande du salarié est soumise via sa messagerie électronique professionnelle ou l’intranet de l’organisme,
- Un ancien salarié pourra également prouver son identité en fournissant son ancien identifiant professionnel.
En pratique, il semble qu’en fonction de la sensibilité des données à fournir et de la taille de la société, le niveau d’identification doivent être adapté.
En effet, si un ancien salarié donne son identifiant personnel via son email personnel, cela pourrait paraître insuffisant si des informations sensibles sont demandées.
Bien qu’il s’agisse d’une approche pragmatique qui fonctionne pour la plupart des demandes, il ne faut pas oublier l’obligation de sécurité. Par exemple, l’accès à des informations relatives aux salaires, maladies etc. devrait faire l’objet d’une approche au cas par cas.
A priori, ces informations sont accessibles via un intranet très sécurisée dans les grands groupes d’entreprises, il ne faudrait donc pas que la procédure de droit d’accès permette de contourner les mesures de sécurité mises en place. Il serait dans ce cas, nécessaire de renvoyer le salarié à l’intranet.
2.3. Finalité de la demande
Le droit d’accès n’a pas besoin d’être motivé ou d’avoir un finalité quelconque. Il ne doit pas être confondu avec les autres règles de communication de documents ou de pièces dans le cadre d’une procédure judiciaire ou d’une demande de document administratif (CADA).
Dans le cas d’une demande soumise par un salarié, la démarche est souvent pré-contentieuse ou contentieuse, en vue d’obtenir des emails ou autres documents.
Il n’est pas possible de refuser la demande de droit d’accès du fait qu’il y a une procédure en cours ou sur la base d’un détournement des règles procédurales. Il sera toutefois nécessaire de faire attention aux données communiquées car l’exercice d’un droit d’accès ne doit pas être confondu avec l’exercice d’un droit d’accès à des documents. (voir point 4 sur le périmètre du droit pour plus de détails)
3. La réponse
3.1. Délai, copie des données et informations complémentaire
En plus de la copie des données du salarié, le responsable du traitement doit également fournir des informations complémentaires dans le cadre de sa réponse tels que les objectifs poursuivis par le traitement des données, les catégories de données traitées, les autres organismes ayant obtenu la communication des données, etc.
La réponse doit être effectuée sans délai et au plus tard dans le mois de la demande. Le délai peut être prolongé dans certaines circonstances.
3.2. La réponse est, en principe, gratuite
Il arrive souvent que les demandes des salariés soient complexes et demandes des heures de travail et de recherches notamment lorsqu’il s’agit d’emails ou autres informations difficiles à trouver ou à trier.
Il est donc tentant dans ces cas, de demander le paiement des frais de recherche, de tri voire d’avocat au salarié à l’origine de la demande.
En principe, l’exercice des droits est gratuit.
Le RGPD prévoit que lorsque les demandes sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif ou pour la demande d’une copie supplémentaire, il est possible de demander des frais raisonnables tenant compte des frais admnistratifs.
Cependant ces frais raisonnables, ne sauraient, a priori couvrir des frais d’avocats, de recherche ou de tri dans le cadre d’une demande de copie supplémentaire.
S’il s’agit d’une demande infondée ou excessive, il est également possible de refuser d’y donner suite. Il est donc important de prendre en compte cette option avant de mettre en avant le coût de la demande pour refuser.
En effet, le droit d’accès est un droit fondammental, tout refus doit être justifié et le montant des frais, qui doivent être raisonnables, ne devrait pas être un moyen déguisé de refuser de donner suite sans avoir à donner de justification.
4. Le périmètre du droit d’accès du salarié / contenu de la réponse
En pratique, les salariés demandent souvent des copies de documents contenant leur données personnelles.
Il est important de rappeler que le droit d’accès porte sur des données personnelles et non sur des documents.
4.1. L’envoie de copie des documents est possible mais pas obligatoire
Si « document » et « donnée personnelle » sont deux notions différentes, il n’est pas interdit à l’organisme de communiquer les documents contenant les données plutôt que les seules données, si rien n’y fait obstacle et si c’est plus pratique.
Il faudra toutefois faire attention aux droits des tiers.
4.2. Cas des courriels professionnels
4.2.1. Principe : communication des emails Selon la CNIL, lorsque la demande de droit d’accès concerne des courriels, l’employeur doit fournir les métadonnées (horodatage, destinataires…) et le contenu des courriels.
L’employeur peut dans ce cas communiquer une copie des courriels. Cependant, ce principe a des limites dans la mesure où la divulgation des emails peut avoir des conséquences sur les tiers.
4.2.2. Limites : l’exercice du droit d’accès ne doit pas porter atteinte aux droits des tiers
Les droits des tiers correspond essentiellement au secret des affaires, à la propriété intellectuelle, au droit à la vie privée et au secret des correspondances.
L’accès aux emails doit donc être limté aux seules données dont la communication ne porte pas une atteinte disproportionnée aux droits d’autrui, sans toutefois refuser de satisfaire à la demande de manière générale.
L’employeur doit apprécier l’atteinte au droit des tiers que représenterait cette communication et doit distinguer deux situations, selon que le salarié demandeur est :
– expéditeur/destinataire du courriel ; ou
– simplement mentioné dans le contenu du courriel.
4.2.3. Le demandeur est expéditeur/destinataire du courriel
Dans ce cas, la communication des courriels est présumée respectueuse des droits des tiers.
Cependant, si la communication présente toujours un risque pour les droits des tiers, par exemple du fait de la nature des données susceptibles d’être communiquées, l’employeur doit supprimer, anonymiser ou pseudonymiser les données concernant des tiers ou portant atteinte à un secret pour pouvoir faire droit à la demande.
Si ces mesures s’avèrent insuffisantes, il peut alors refuser de donner suite à la demande d’accès, en motivant et justifiant sa décision auprès de la personne concernée. La CNIL précise que ces arguments ne pourront pas être invoqués par l’employeur sans justification étayée préalable auprès du demandeur.
Exemple : un employeur pourra refuser de faire droit à une demande de communication de courriels contenant des informations qui porteraient atteinte à la sécurité nationale ou à un secret industriel.
Commentaire : la CNIL donne des exemples dont l’application est assez rare en pratique. En effet, les salariés demande souvent la copie des emails en vue d’une procédure et ces emails contiennent parfois des informations relatives à des dossiers et autres projets commerciaux ou stratégique de l’organisme.
Il semble que ces cas précis, pourrait également justifier un refus.
4.2.4. Le salarié est simplement mentioné dans le contenu du courriel.
Si les moyens pour identifier les données sont excessivement intrusifs pour les autres salariés et tiers (ex : scan de toutes les boites emails de la société), il convient de demander au salarié de préciser sa demande afin de limiter la recherche à certains types d’emails.
Si le salarié refuse de préciser sa demande, la CNIL considère qu’il est possible de refuser la demande en justifiant du risque réel pour le droit des tiers.
Dans les autres cas et une fois les emails identifiés, il est nécessaire de s’interroger sur l’atteinte au droits des tiers (dont notamment le secret des correspondance, la vie privée de l’émetteur ou expéditeur des emails). Voir le point précédent pour les mesures à appliquer.
4.3. Cas des courriels personnels
La CNIL considère que lorsque l’email est identifié comme personnel ou dont le contenu est personnel s’avère être privé malgré l’absence de la mention du caractère personnel, l’employeur n’est pas autorisé à y accéder.
L’employeur ne pourra donc pas prendre connaissance du contenu et devra fournir l’email en l’état, à condition que le demandeur soit l’expéditeur ou le destinataire de l’email.
La formule de la CNIL ne semble pas suffisamment précise dans la mesure où la jurisprudence de la Chambre sociale de la Cour de cassation précise qu’un email est présumé professionnel sauf mention contraire.
Ainsi, en pratique, il semble simplement préférable de ne pas modifier les emails « privés/personnels » ou considérés comme tels au vu de leur contenu et de les transférer au demandeur, s’il en était le destintataire ou l’expéditeur.
5. Divers
La CNIL s’est essentiellement concentrée sur l’accès aux emails mais on pourrait appliquer les mêmes principes à tout autre document contenant les informations du salarié.
Besoin d’aide ?
N’hésitez pas à contacter Arnaud Blanc, Avocat à la Cour
Cette publication est également disponible en en_GB.