Au visa de l'article 15 du RGPD, les salariés peuvent demander à leur employeur et/ou ancien employeur afin d'avoir accès à leurs données personnelles.

Pour se faire, la CNIL a publié des fiches pratiques afin d'aider les justiciables à retrouver les coordonnées d'un organisme pour exercer leurs droits. Naturellement, l'employeur en fait partie et doit désormais informer chaque salarié, à l'embauche, de son droit d'accès/modification/suppression de ses données personnelles.

La demande de droit d’accès peut s'exercer par divers moyens : par voie électronique (formulaire, adresse mail, bouton de téléchargement etc.), ou par courrier par exemple. L'important étant de conserver une trace de la demande (imp-écran ou LRAR si voie postale). Si la demande est formulée par voie électronique, le responsable de traitement répondra par voie électronique, à moins que le demandeur souhaite obtenir une réponse par un autre moyen (ex. par papier). La communication est par principe, gratuite.

Le droit d’accès porte uniquement sur les données personnelles et non pas sur des documents : une personne ne peut donc pas réclamer la communication d’un document sur le fondement du droit d’accès. En clair : il n’est pas interdit à l’organisme de communiquer des documents plutôt que les seules données, s’il estime que c’est plus pratique.

Exemple : lorsqu’une personne concernée souhaite exercer son droit d’accès à des courriels, l’employeur doit fournir tant les métadonnées (horodatage, destinataires…) que le contenu des courriels. Dans cette situation, la communication d’une copie des courriels apparaît comme la solution la plus aisée pour que l’organisme puisse satisfaire la demande, mais n’est pas obligatoire.

Pourquoi une demande de communication des données personnelles peut s'avérer stratégique pour un salarié?

Un salarié peut dès lors utiliser ses mails pour démontrer la réalité de ses horaires de travail, de la dénonciation d'une situation particulière, de l'exercice d'un droit ou de l'existence même de son appartenance à l'entreprise (en matière de requalification par exemple).

Lorsqu’il répond à une demande de droit d’accès d’un salarié à des courriels professionnels, l’employeur doit apprécier l’atteinte au droit des tiers que représenterait cette communication : il va ainsi devoir faire un tri entre les messages communicables et ceux qui ne le sont pas.

Pour cela, l’employeur doit distinguer deux situations, selon que le salarié demandeur est :

• l’expéditeur ou le destinataire des courriels ;

Lorsque le salarié a déjà eu, ou est supposé avoir eu connaissance des informations contenues dans les messages visés par la demande, la communication des courriels est présumée respectueuse des droits des tiers.

Dans ce contexte, l’anonymisation ou la pseudonymisation des données relatives aux tiers constitue une bonne pratique, et non une condition préalable à la transmission des courriels. Toutefois, dans des cas exceptionnels, l’accès ou la communication de courriels pourtant connus du demandeur peut représenter un risque pour les droits des tiers, par exemple du fait de la nature des données susceptibles d’être communiquées. Il appartient alors à l’employeur de :

- dans un premier temps, essayer de supprimer, anonymiser ou pseudonymiser les données concernant des tiers ou portant atteinte à un secret pour pouvoir faire droit à la demande

- puis, seulement si ces mesures s’avèrent insuffisantes, refuser de faire droit à la demande d’accès, en motivant et justifiant sa décision auprès de la personne concernée.

• ou seulement mentionné dans le contenu des courriels.

Il s’assure d’abord que les moyens à mettre en œuvre pour identifier les courriels demandés n’entraînent pas d’atteinte disproportionnée aux droits de l’ensemble des salariés de l’organisme. Il étudie ensuite le contenu des courriels demandés et apprécie la portée de l’atteinte aux droits des tiers que représenterait leur communication (*)

( ! ) pour les mails identifiés comme personnels

Pour ces courriels, l’employeur ne pourra pas prendre connaissance du contenu même en vue d’occulter des informations et devra fournir au demandeur le courriel en l’état, à condition que ce dernier soit l’expéditeur ou le destinataire.

Certains fichiers sont particulièrement encadrés : Pour certains fichiers de police ou intéressant la sûreté de l'Etat, la loi n’autorise pas un particulier à accéder directement aux informations contenues dans le fichier. Il pourra cependant y accéder de manière indirecte par l’intermédiaire de la CNIL. Si l’organisme estime que la demande est infondée ou excessive, il peut ne pas y donner suite à condition d’être en mesure d’apporter la preuve de ce caractère « infondé » ou « excessif ».

Les droits ou libertés d’autrui sont également des limites : l’exercice du droit d’accès ne doit pas porter atteinte :

• au droit des tiers : seules vos données peuvent être communiquées au titre du droit d’accès (*),

• à la propriété intellectuelle : par exemple le droit d’auteur, lorsqu’il protège le logiciel,

• au secret des affaires,

• etc.

Si la réponse apportée par l’organisme à la demande d’accès semble incomplète, le demandeur peut adresser une plainte à la CNIL afin qu’elle intervienne à l’appui de sa demande. Toutefois, il est recommandé, avant de saisir la CNIL, de demander préalablement à l’organisme de compléter sa réponse avec les données que le demandeur considère comme manquantes. En cas d’absence de réponse ou de réponse insatisfaisante, une plainte auprès de la CNIL peut être déposée en joignant les justificatifs de vos démarches préalables.

...N'hésitez pas à contacter vos Avocates INVICTAE pour être conseillé que ce soit sur la formulation de la demande d'accès ou sur la réponse à y apporter lorsqu'elle est formulée.

Pour aller plus loin et pour avoir une vue d'ensemble de la question : Le site (très bien fait) de la CNIL (dont les informations supra sont issues).