La collecte des données par l’employeur étant constante et régulière, jusqu’où s’exerce le droit d’accès des salariés à leurs données ?
L’étendue du traitement des données personnelles des salariés place l’employeur dans la position de responsable de traitement, ce qui confère à la personne concernée, à la fois, la possibilité de s’informer sur ses données personnelles qui font l’objet d’un traitement, et d’en obtenir l’accès (article 15 du RGPD) (1).
Naturellement, des sanctions associées au non-respect de ce droit sont prévues.
A titre d’illustration, dans sa délibération 2017-008 du 18 mai 2017, la Cnil a prononcé une sanction de 10.000 euros à l’encontre d’un responsable du traitement pour non-respect du droit d’accès et non-coopération.
Jusqu’où s’exerce le droit d’accès des salariés à leurs données ? La Cnil répond aux interrogations des employeurs dans une Note du 5 janvier 2022 (2).
La collecte des données des salariés par l’employeur étant constante et régulière (L’impact du RGPD sur la gestion des données personnelles des salariés)
- Les salariés bénéficient-t-il d’un droit d’accès à leurs données ?
- Dans quelles conditions s’exerce-t-il ?
- Quelles en sont les limites ?
Un droit d’accès a priori limité aux données personnelles
En principe limité aux données personnelles et à certaines informations limitativement énumérées par l’article 15 du RGPD, le droit d’accès est encadré par les règles suivantes :
- l’organisme doit s’assurer de l’identité du demandeur,
- l’organisme doit répondre gratuitement à la demande,
- l’exercice du droit d’accès ne doit pas porter atteinte aux droits des tiers.
La troisième condition est mise en exergue par le considérant 63 du RGPD, aux termes duquel « le droit ne devrait pas porter atteinte aux droits et libertés d’autrui ».
Quelles sont les données accessibles ?
Les données personnelles accessibles aux salariés sont les suivantes :
D’une part, les données à caractère personnel courantes :
- Etat-civil, identité, données d’identification ;
- Vie personnelle (par exemple, les habitudes de vie, la situation familiale) ;
- Vie professionnelle (par exemple, le CV, la scolarité, la formation professionnelle, les distinctions) ;
- Informations d’ordre économique et financier (par exemple, les revenus, la situation financière ou la situation fiscale) ;
- Données de connexion (adresse IP, journaux d’événements) et de localisation (déplacements, données GPS) ;
- Informations déduites (score, mention relative à la segmentation).
D’autre part, les données à caractère personnel sensibles :
Numéro de sécurité sociale, données biométriques, données bancaires, opinions philosophiques, politiques, religieuses ou syndicales, vie sexuelle, données relatives à la santé, à la vie sexuelle, aux origines raciales ou ethnique, données relatives aux infractions, aux condamnations et aux mesures de sûreté.
Exception : un droit d’accès ouvert à la communication de documents
Un exemple concret permet d’illustrer la distinction à opérer entre droit d’accès aux données personnelles et communication de documents.
Un salarié qui exercerait son droit d’accès, demande à son employeur la communication de l’ensemble des courriels professionnels contenus dans la ou les boîtes de réception de l’entreprise ayant un lien avec l’exécution de son contrat de travail, lesquels peuvent par ailleurs avoir été enregistrés dans des dossiers spécifiques.
Il suffit à l’employeur de communiquer au salarié son adresse de messagerie professionnelle et les éventuelles données personnelles le concernant, telles que ses dates d’embauche et d’arrivée échangées par courriel professionnel pour les besoins de fonctionnement de l’entreprise entre les ressources humaines et un chef de service.
Toutefois, l’employeur peut préférer la communication de documents s’il l’estime plus adaptée.
La communication de courriels professionnels
Tout d’abord, l’employeur doit apprécier les risques d’atteinte aux droits des tiers que représenterait cette communication.
Si le demandeur est expéditeur ou destinataire du courriel, l’appréciation est simple dans la mesure où il a déjà eu connaissance du document. La communication des courriels est alors présumée respectueuse des droits des tiers.
Si le demandeur est simplement mentionné dans le contenu des courriels, l’employeur doit cette fois-ci apprécier les risques liés :
- d’une part, à la mise en œuvre des moyens pour identifier les courriels demandés, et,
- d’autre part, à l’atteinte aux droits de l’ensemble des salariés dans la mise en œuvre de moyens pour identifier les courriels demandés.
La communication de courriels personnels
Enfin, la communication de courriels personnels fait l’objet d’une protection particulière. L’employeur n’y a pas accès et doit le fournir en l’état. Un schéma est prévu à cet effet par la Cnil.
Virginie Bensoussan-Brulé
Tess Muckensturm
Morgane Ammar, élève avocat
Lexing Pôle contentieux numérique
- Règlement sur la protection des données personnelles (RGPD) du 27 avril 2016.
- Cnil, « Le droit d’accès des salariés à leurs données et aux courriels professionnels », 5 janvier 2022.