Le droit d’accès des salariés à leurs données et aux courriels professionnels
Toute personne peut demander à un organisme la communication des données qu’il détient sur elle et en obtenir une copie. Un salarié peut ainsi demander à son employeur l’accès et la communication des données personnelles qu’il a en sa possession.
À quoi sert le droit d’accès ?
L'exercice du droit d’accès permet à une personne de savoir si des données qui la concernent sont traitées puis d’en obtenir, si elle le souhaite, la communication dans un format compréhensible. Cette démarche permet notamment de contrôler l'exactitude des données et, au besoin, de les faire rectifier ou effacer.
L’organisme auprès duquel une personne souhaite exercer son droit d’accès doit également être en mesure de lui fournir divers renseignements, par exemple les objectifs poursuivis par l’utilisation des données, les catégories de données traitées, les autres organismes ayant obtenu la communication des données, etc.
- Salariés : en savoir plus sur le droit d’accès
- Employeurs : comment répondre à une demande de droit d’accès ?
Rappel : Les principes relatifs à la protection des données s’appliquent à toutes les données personnelles collectées par un organisme, même dans un contexte professionnel : un salarié peut donc exercer son droit d’accès auprès de son employeur.
Les règles du droit d’accès
L’organisme doit s’assurer de l’identité du demandeur
Si l’organisme a des doutes raisonnables sur l’identité de la personne souhaitant exercer son droit, il peut demander certaines informations pour prouver son identité. Il ne peut pas, en revanche, demander des pièces justificatives qui seraient abusives, non pertinentes et disproportionnées par rapport à la demande.
Exemples :
- si un salarié demande à son employeur l’accès et la communication des données personnelles qu’il détient sur lui via sa messagerie électronique professionnelle ou l’intranet de l’entreprise, la présentation d’une carte nationale d’identité ou d’un passeport n’est à priori pas nécessaire pour s’assurer de l’identité du demandeur.
- De la même manière, un ancien salarié souhaitant exercer son droit d’accès pourra, en principe, prouver son identité en fournissant son ancien identifiant professionnel.
L’organisme doit répondre gratuitement à la demande
Les personnes concernées doivent pouvoir exercer le droit d’accès gratuitement. Toutefois, dans certaines situations exceptionnelles, notamment en cas de demande d’une copie supplémentaire, des frais raisonnables liés au traitement du dossier pourront être demandés.
Le droit d’accès porte sur des données personnelles et non sur des documents
Le droit d’accès porte uniquement sur les données personnelles et non pas sur des documents. Cependant, l’organisme ne doit pas faire preuve de formalisme dans l’expression de la demande. Ainsi :
- lorsqu’un régime spécifique d’accès aux documents s’applique (par exemple pour les administrations publiques), la personne doit spécifier s’il demande un accès à des documents ou à des données personnelles ;
- dans les autres cas, l’organisme doit donner un effet utile à la demande : si celle-ci fait référence à des documents concernant le demandeur, il doit l’interpréter comme une volonté d’exercer un droit d’accès aux données personnelles. Un rejet de la demande au seul motif que le demandeur utilise le mot « document » peut s’avérer fautif.
Si « document » et « donnée personnelle » sont deux notions différentes, il n’est pas interdit à l’organisme de communiquer les documents contenant les données plutôt que les seules données, si rien n’y fait obstacle et si c’est plus pratique.
Exemple : lorsqu’une personne concernée souhaite exercer son droit d’accès à des courriels, l’employeur doit fournir tant les métadonnées (horodatage, destinataires…) que le contenu des courriels. Dans cette situation, la communication d’une copie des courriels apparaît comme la solution la plus aisée pour que l’organisme puisse satisfaire la demande mais n’est pas obligatoire.
L’exercice du droit d’accès ne doit pas porter atteinte aux droits des tiers
Facteur de transparence, le droit d’accès est un droit important donné par le RGPD à l’ensemble des individus. Cependant, l’exercice de ce droit ne peut pas se faire au détriment des autres personnes dont les données sont traitées.
Ainsi, l’organisme doit permettre un accès aux seules données dont la communication ne porte pas une atteinte disproportionnée aux droits d’autrui, sans toutefois refuser de satisfaire à la demande de manière générale.
Les droits des tiers (secret des affaires et à la propriété intellectuelle, droit à la vie privée, secret des correspondances, etc.) peuvent donc venir restreindre l’éventail des données accessibles ou communicables.
Exemple : en matière de droit d’accès à des données contenues dans des courriels professionnels, le respect du droit à la vie privée, le secret des affaires et le secret des correspondances sont régulièrement invoqués par les employeurs pour refuser de répondre favorablement à des salariés.
Comment répondre à un salarié qui souhaite accéder ou obtenir la copie de courriels professionnels ?
Lorsqu’il répond à une demande de droit d’accès d’un salarié à des courriels professionnels, l’employeur doit apprécier l’atteinte au droit des tiers que représenterait cette communication : il va ainsi devoir faire un tri entre les messages communicables et ceux qui ne le sont pas.
Pour cela, l’employeur doit distinguer deux situations, selon que le salarié demandeur est :
- l’expéditeur ou le destinataire des courriels ;
- ou seulement mentionné dans le contenu des courriels.
Lorsque le salarié a déjà eu, ou est supposé avoir eu connaissance des informations contenues dans les messages visés par la demande, la communication des courriels est présumée respectueuse des droits des tiers.
Dans ce contexte, l’anonymisation ou la pseudonymisation des données relatives aux tiers constitue une bonne pratique, et non une condition préalable à la transmission des courriels.
Toutefois, dans des cas exceptionnels, l’accès ou la communication de courriels pourtant connus du demandeur peut représenter un risque pour les droits des tiers, par exemple du fait de la nature des données susceptibles d’être communiquées. Il appartient alors à l’employeur de :
- dans un premier temps, essayer de supprimer, anonymiser ou pseudonymiser les données concernant des tiers ou portant atteinte à un secret pour pouvoir faire droit à la demande ;
- puis, seulement si ces mesures s’avèrent insuffisantes, refuser de faire droit à la demande d’accès, en motivant et justifiant sa décision auprès de la personne concernée.
Exemple : un employeur pourra refuser de faire droit à une demande de communication de courriels contenant des informations qui porteraient atteinte à la sécurité nationale ou à un secret industriel. Ces arguments ne pourront pas être invoqués par l’employeur sans justification étayée auprès du demandeur.
Lorsqu’un salarié souhaite obtenir la communication de données contenues dans des courriels dans lesquels il est mentionné, l’employeur doit trouver un équilibre entre la satisfaction du droit d’accès du salarié et le respect des droits et libertés des autres salariés, notamment le secret des correspondances.
Pour cela, l’employeur peut procéder en deux temps :
- Il s’assure d’abord que les moyens à mettre en œuvre pour identifier les courriels demandés n’entraînent pas d’atteinte disproportionnée aux droits de l’ensemble des salariés de l’organisme.
Lorsque l’identification des courriels visés par la demande suppose la mise en œuvre de moyens particulièrement intrusifs tels que le scan de l’ensemble des messageries des salariés de l’organisme, le demandeur doit être invité à préciser sa demande. Si ce dernier s’y oppose, l’employeur peut invoquer dans une telle situation, le respect les droits des tiers pour refuser de lui répondre favorablement.
En revanche, si les indications fournies par le demandeur permettent d’identifier les courriels demandés sans emporter d’atteinte disproportionnée au secret de la correspondance des salariés, le responsable de traitement doit procéder à la deuxième étape du raisonnement.
- Il étudie ensuite le contenu des courriels demandés et apprécie la portée de l’atteinte aux droits des tiers que représenterait leur communication, notamment au regard du secret de la correspondance et de la vie privée de l’émetteur et des destinataires. Cette étape suppose une analyse au cas par cas, l’issue dépendant de la nature des informations contenues dans les courriels.
Exemple : un employeur pourra refuser de donner suite à une demande de communication de courriels portant sur une enquête disciplinaire et dont le contenu, même caviardé, pourrait permettre au demandeur l’identification de personnes dont il ne devrait pas avoir connaissance.
Rappel : Le droit d’accès ne doit pas être confondu avec les autres règles de communication de documents ou de pièces dans le cadre d’une procédure judiciaire ou d’une demande de document administratif (CADA).
L’exercice du droit d’accès n’est pas conditionné. Cela signifie qu’une personne n’a pas à motiver sa demande et qu’elle peut exercer son droit d’accès en parallèle d’une procédure contentieuse (devant le conseil de prud’hommes par exemple) ou administrative en cours, sous réserve de ne pas porter atteinte au droit des tiers. Le refus de communication sur ce fondement ne serait pas valable.
Ainsi, même si l’employeur refuse de faire suite à la demande de droit d’accès d’un salarié, celui-ci pourra toujours obtenir d’un juge la production des courriels litigieux dans le cadre d’un contentieux, sous réserve que cette production soit nécessaire et que l'atteinte soit proportionnée au but poursuivi.
Le cas particulier des courriels personnels
Les courriels identifiés comme étant personnels ou dont le contenu s’avère être privé malgré l’absence de la mention du caractère personnel, font l’objet d’une protection particulière, l’employeur n’étant pas autorisé à y accéder.
Pour ces courriels, l’employeur ne pourra pas prendre connaissance du contenu même en vue d’occulter des informations et devra fournir au demandeur le courriel en l’état, à condition que ce dernier soit l’expéditeur ou le destinataire.