La Commission Nationale de l’Informatique et des Libertés (CNIL) vient de publier le 5 janvier 2022 une nouvelle fiche thématique sur l’exercice par le salarié de son droit d’accès aux données personnelles que détient l’employeur sur lui.
La publication de cette fiche détaillée permet de rappeler les principes du droit d’accès inscrit au RGPD et son application à la sphère professionnelle, notamment l’obtention de la copie des e-mails.
Nous vous proposons une revue des préconisations énoncées par la CNIL à destination des employeurs.

 

 

Par Hugues Wedrychowski

 

 

La CNIL vient de mettre en ligne une nouvelle fiche thématique qui revient sur « le droit d’accès des salariés à leurs données et aux courriers professionnels ».

 

La Commission rappelle tout d’abord que toute personne peut demander à un organisme la communication des données qu’il détient sur elle et en obtenir une copie.

 

Un salarié peut ainsi demander à son employeur l’accès et la communication des données personnelles qu’il a en sa possession.

 

 

Le Droit d’accès prévu par le RGPD

 

Le Règlement Général sur la Protection des Données (RGPD) issu du Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 prévoit à son article 15 que toute personne concernée par la collecte de données à caractère personnel a le droit d’obtenir du responsable de traitement, informatique ou papier :

 

  • la confirmation que des données personnelles le concernant sont ou ne sont pas traitées

et, lorsqu’elles le sont :

  • l’accès à ces données, gratuitement (sauf exception) et dans un format compréhensible ;
  • l’accès à certaines informations comme les finalités du traitement (à savoir, les raisons pour lesquelles les données personnelles sont traitées, comme la gestion des recrutements, des paies, des clients), les catégories de données concernées, les destinataires des données, la durée de conservation des données, etc.

 

La personne concernée peut ainsi contrôler l’exactitude des données et, au besoin, les faire rectifier ou effacer en application du « droit à l’oubli » (articles 16 et 17).

 

 

Les règles du droit d’accès par le salarié

 

    1. La vérification de l’identité du salarié demandeur

 

En principe, si l’organisme a des doutes raisonnables sur l’identité de la personne souhaitant exercer son droit d’accès, il peut lui demander de prouver son identité (article 12.6), sous réserve de rester pertinent et proportionné par rapport à la demande.

 

Ainsi, la CNIL rappelle que si un salarié demande à son employeur l’accès et la communication des données personnelles qu’il détient sur lui via sa messagerie électronique professionnelle ou l’intranet de l’entreprise, la présentation d’une carte nationale d’identité ou d’un passeport n’est a priori pas nécessaire pour s’assurer de son identité.

 

Toujours selon la CNIL, un ancien salarié souhaitant exercer son droit d’accès pourra, en principe, prouver son identité en fournissant son ancien identifiant professionnel.

 

 

    1. Le droit d’accès est gratuit

 

Les personnes concernées doivent pouvoir exercer le droit d’accès gratuitement.

 

Toutefois, dans certaines situations exceptionnelles, notamment en cas de demande d’une copie supplémentaire, des frais raisonnables liés au traitement du dossier peuvent être demandés.

 

 

    1. Le droit d’accès porte sur des données personnelles et non sur des documents

 

Le droit d’accès porte uniquement sur les données personnelles et non pas sur des documents.

 

Une personne ne peut donc pas réclamer la communication d’un document sur le fondement du droit d’accès.

 

Cependant, il n’est pas interdit à l’organisme de communiquer des documents plutôt que les seules données, s’il estime que c’est plus pratique.

 

 

La communication d’une copie des emails

 

Pour le salarié qui souhaite exercer son droit d’accès à des courriels, et dans l’hypothèse où l’employeur peut y répondre favorablement, il doit fournir :

  • Les métadonnées (horodatage, destinataires…)
  • Le contenu des courriels.

 

La CNIL souligne que, dans cette situation, la communication d’une copie des mails apparaît comme la solution la plus aisée pour que l’employeur puisse satisfaire la demande, mais n’est pas obligatoire.

 

La CNIL recommande à l’employeur d’établir une distinction selon que :

  • le salarié demandeur est l’expéditeur ou le destinataire des mails professionnels
  • ou seulement mentionné dans le contenu des mails.

 

    1. Le salarié demandeur est l’expéditeur ou le destinataire des e-mails visés par la demande

 

Lorsque le salarié a déjà eu, ou est supposé avoir eu connaissance des informations contenues dans les messages visés par la demande, la communication des e-mails est présumée respectueuse des droits des tiers.

 

Dans ce contexte, l’anonymisation ou la pseudonymisation des données relatives aux tiers constitue une bonne pratique, mais ne constitue pas selon la CNIL une condition préalable à la transmission des courriels.

 

Toutefois, dans des cas exceptionnels, l’accès ou la communication d’emails pourtant connus du demandeur peut représenter un risque pour les droits des tiers, par exemple du fait de la nature des données susceptibles d’être communiquées.

 

Il appartient alors à l’employeur de :

 

  • dans un premier temps, essayer de supprimer, anonymiser ou pseudonymiser les données concernant des tiers ou portant atteinte à un secret pour pouvoir faire droit à la demande ;
  • puis, seulement si ces mesures s’avèrent insuffisantes, refuser de faire droit à la demande d’accès, en motivant et justifiant sa décision auprès de la personne concernée.

 

 

    1. Le salarié demandeur est mentionné dans le contenu des e-mails

 

La CNIL considère que l’employeur doit trouver un équilibre entre la satisfaction du droit d’accès du salarié et le respect des droits et libertés des autres salariés, notamment le secret des correspondances.

 

La recommandation est de procéder en 2 temps :

 

  • Il s’assure d’abord que les moyens à mettre en œuvre pour identifier les e-mails demandés n’entraînent pas d’atteinte disproportionnée aux droits de l’ensemble des salariés de l’organisme.

 

Lorsque l’identification des e-mails visés par la demande suppose la mise en œuvre de moyens particulièrement intrusifs tels que le scan de l’ensemble des messageries des salariés de l’organisme, le demandeur doit être invité à préciser sa demande.

 

Si ce dernier s’y oppose, l’employeur peut invoquer dans une telle situation, le respect les droits des tiers pour refuser de lui répondre favorablement.

 

En revanche, si les indications fournies par le demandeur permettent d’identifier les e-mails demandés sans emporter d’atteinte disproportionnée au secret de la correspondance des salariés, le responsable de traitement doit procéder à la deuxième étape du raisonnement.

 

  • Il étudie ensuite le contenu des e-mails demandés et apprécie la portée de l’atteinte aux droits des tiers que représenterait leur communication, notamment au regard du secret de la correspondance et de la vie privée de l’émetteur et des destinataires.

 

Cette étape suppose une analyse au cas par cas, l’issue dépendant de la nature des informations contenues dans les e-mails.

 

Schéma récapitulatif 

 

 

Le droit d’accès est distinct des règles de communication de pièces en procédure judiciaire

 

Si l’employeur refuse de faire suite à la demande de droit d’accès d’un salarié, celui-ci pourra toujours obtenir d’un juge la production des courriels litigieux dans le cadre d’un contentieux, sous réserve que cette production soit nécessaire et que l’atteinte soit proportionnée au but poursuivi.

 

 

Le cas particulier des e-mails personnels

 

Les e-mails identifiés comme étant personnels ou dont le contenu s’avère être privé malgré l’absence de la mention du caractère personnel, font l’objet d’une protection particulière, l’employeur n’étant pas autorisé à y accéder.

 

La Cour de cassation a en effet posé de longue date ce principe de l’interdiction d’accès par l’employeur aux e-mails personnels du salarié, dans un arrêt du 2 octobre 2001 (N°99-42.942), non démenti depuis :

 

« Le salarié a droit, même au temps et au lieu de travail, au respect de l’intimité de sa vie privée ; que celle-ci implique en particulier le secret des correspondances ; que l’employeur ne peut dès lors sans violation de cette liberté fondamentale prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail et ceci même au cas où l’employeur aurait interdit une utilisation non professionnelle de l’ordinateur ».

 

Pour ces courriels, l’employeur ne pourra donc pas prendre connaissance du contenu, même en vue d’occulter des informations, et devra fournir au demandeur le courriel en l’état, à condition que ce dernier soit l’expéditeur ou le destinataire.

 

 

Pour lire la fiche détaillée publiée par la CNIL sur le droit d’accès des salariés à leurs données : cliquez ici

Nous restons évidemment à votre disposition pour tout complément d’information et pour vous accompagner dans le suivi de ce sujet.