CNIL : Le droit d’accès du salarié à ses données personnelles
Dans une note publiée le 5 janvier 2022 sur son site internet, la CNIL rappelle les contours du droit d’accès du salarié à ses données personnelles.
Le droit d’accès permet à une personne de savoir si des données qui la concernent personnellement son traitées et d’en obtenir la communication afin d’en contrôler l’exactitude et, le cas échéant, en demander la modification ou la suppression.
La CNIL apporte des précisions utiles sur la procédure que l’employeur doit respecter lorsqu’un salarié/ancien salarié exerce son droit d’accès.
- L’employeur doit s’assurer de l’identité du salarié : cette exigence ne doit toutefois pas tourner en abus, l’employeur devant exiger une pièce justificative pertinente et proportionnée, la CNIL considère par exemple qu’une pièce d’identité doit être considérée comme suffisante.
- L’employeur doit répondre gratuitement à la demande : l’entreprise ne peut pas subordonner le traitement de la demande du salarié au paiement de frais administratifs. En revanche, la CNIL précise que « dans certaines situations exceptionnelles, notamment en cas de demande d’une copie supplémentaire, des frais raisonnables liés au traitement du dossier pourront être demandés ».
- L’employeur n’a pas l’obligation de communiquer l’ensemble des documents : la CNIL rappelle que le droit d’accès porte uniquement sur les données personnelles et non les documents. Dans certaines situations, la communication des documents peut toutefois s’avérer nécessaire, s’agissant précisément des courriels, la CNIL précise que « l’employeur doit fournir tant les métadonnées (horodatage, destinataires …) que le contenu des courriels. »
- L’employeur doit préserver les droits des tiers : La CNIL souligne que l’exercice du droit d’accès ne peut pas se faire au détriment des autres personnes dont les données sont traitées (secret des affaires, droit de la propriété intellectuelle, droit à la vie privée, secret des correspondances …)
Dans les entreprises, la plupart du temps le droit d’accès du salarié tourne autour de la production de mails professionnels. La CNIL donne donc des indications précises sur leur traitement.
L’employeur est tout d’abord invité à opérer une distinction selon que le salarié est l’expéditeur ou le destinataire des mails ou lorsqu’il est uniquement mentionné dans le contenu.
- Le salarié est l’expéditeur/destinataire du mail : puisqu’il en a déjà eu connaissance, la CNIL considère que la communication du mail est présumée respectueuse des droits des tiers. Ce n’est qu’à titre exceptionnel que l’employeur pourra refuser la communication du mail s’il démontre que cela représenterait un risque pour les droits des tiers (ex : atteinte à la sécurité nationale ou au secret industriel) et que l’anonymisation ou la suppression de certains passages du mail est insuffisante.
- Le salarié est simplement mentionné dans le mail : La communication est ici plus délicate puisque le salarié n’est pas censé avoir déjà eu connaissance du mail. Dans un premier temps, l’employeur doit s’assurer que les moyens à mettre en oeuvre pour identifier les courriels demandés n’apportent pas d’atteinte disproportionnée aux droits des personnes (le scan de l’ensemble des boites de messagerie des salariés serait par exemple trop intrusif). Pour voir sa demande prospérer, le salarié devra donc apporter des informations précises sur les courriels recherchés. Dans un second temps, l’employeur doit s’assurer que la communication du contenu des courriels ne porte pas atteinte aux droits des tiers (ex : la transmission de mails serait susceptible de révéler l’identité de personnes ayant participé à une enquête disciplinaire).
Enfin, concernant les mails identifiés personnels, la CNIL précise que le salarié ne pourra en demander la communication qu’à la condition d’en être l’expéditeur ou le destinataire et que l’employeur devra fournir les mails sans même prendre connaissance de leur contenu.