Le droit d’accès des salariés à leurs données et aux courriels professionnels
Toute personne peut demander à un organisme la communication des données qu’il détient sur elle et en obtenir une copie. Un salarié peut ainsi demander à son employeur l’accès et la communication des données personnelles qu’il a en sa possession, y compris celles contenues dans les courriels. Ce droit connaît cependant des limites.
À quoi sert le droit d’accès ?
L'exercice du droit d’accès permet à une personne de savoir si des données qui la concernent sont traitées puis d’en obtenir, si elle le souhaite, la communication dans un format compréhensible. Cette démarche permet notamment de contrôler l'exactitude des données et, au besoin, de les faire rectifier ou effacer.
L’organisme auprès duquel une personne souhaite exercer son droit d’accès doit également être en mesure de lui fournir divers renseignements, par exemple les objectifs poursuivis par l’utilisation des données, les catégories de données traitées, les autres organismes ayant obtenu la communication des données, etc.
- Salariés : en savoir plus sur le droit d’accès
- Employeurs : comment répondre à une demande de droit d’accès ?
Les règles du droit d’accès
L’organisme doit s’assurer de l’identité du demandeur
Si l’organisme a des doutes raisonnables sur l’identité de la personne souhaitant exercer son droit, il peut demander certaines informations pour prouver son identité. Il ne peut pas, en revanche, demander des pièces justificatives qui seraient abusives, non pertinentes et disproportionnées par rapport à la demande.
Exemples :
- si un salarié demande à son employeur l’accès et la communication des données personnelles qu’il détient sur lui via sa messagerie électronique professionnelle ou l’intranet de l’entreprise, la présentation d’une carte nationale d’identité ou d’un passeport n’est à priori pas nécessaire pour s’assurer de l’identité du demandeur.
- De la même manière, un ancien salarié souhaitant exercer son droit d’accès pourra, en principe, prouver son identité en fournissant des renseignements connus de son ancien employeur, notamment son ancien identifiant professionnel.
L’organisme doit en principe répondre gratuitement à la demande
Les personnes concernées doivent pouvoir exercer le droit d’accès gratuitement. Toutefois, dans certaines situations exceptionnelles, notamment en cas de demande d’une copie supplémentaire, des frais raisonnables liés au traitement du dossier pourront être demandés.
Le droit d’accès porte sur des données personnelles et non sur des documents
Le droit d’accès porte uniquement sur les données personnelles et non pas sur des documents. Cependant, l’organisme ne doit pas faire preuve de formalisme dans l’expression de la demande. Ainsi :
- lorsqu’un régime spécifique d’accès aux documents s’applique (par exemple pour les administrations publiques), la personne doit spécifier s’il demande un accès à des documents ou à des données personnelles ;
- dans les autres cas, l’organisme doit donner un effet utile à la demande : si celle-ci fait référence à des documents concernant le demandeur, il doit l’interpréter comme une volonté d’exercer un droit d’accès aux données personnelles. Un rejet de la demande au seul motif que le demandeur utilise le mot « document » peut s’avérer fautif.
Si « document » et « donnée personnelle » sont deux notions différentes, il n’est pas interdit à l’organisme de communiquer les documents contenant les données plutôt que les seules données, si rien n’y fait obstacle et si c’est plus pratique.
La Cour de justice de l’UE a rappelé que, si la fourniture d’une copie d’extraits de documents voire de documents entiers est indispensable pour permettre à la personne concernée d’exercer effectivement ses droits, alors le droit d’obtenir la copie implique qu’il soit remis à la personne concernée une reproduction fidèle et intelligible de l’ensemble de ces données étant souligné qu’il doit être tenu compte, à cet égard, des droits et libertés d’autrui. (CJUE, 4 mai 2023, Österreichische Datenschutzbehörde et CRIF, C‑487/21, EU:C:2023:369, point 45).
Exemple : lorsqu’une personne concernée souhaite exercer son droit d’accès à des courriels, l’employeur doit fournir tant les métadonnées (horodatage, destinataires…) que les données personnelles contenues dans les courriels. Dans cette situation, la communication d’une copie des courriels peut apparaître comme la solution la plus aisée pour que l’organisme puisse satisfaire la demande. Cependant, cette solution ne saurait être obligatoire. Ainsi l’envoi d’un tableau contenant les métadonnées et les données personnelles contenues dans les différents courriels est également une solution.
L’exercice du droit d’accès ne doit pas porter atteinte aux droits des tiers
Facteur de transparence, le droit d’accès est un droit important accordé par le RGPD à l’ensemble des individus. Cependant, l’exercice de ce droit ne peut pas se faire au détriment des autres personnes dont les données sont traitées.
Ainsi, l’organisme doit permettre un accès aux seules données dont la communication ne porte pas une atteinte disproportionnée aux droits d’autrui, sans toutefois refuser de satisfaire à la demande de manière générale.
Les droits des tiers (secret des affaires et à la propriété intellectuelle, droit à la vie privée, secret des correspondances, etc.) peuvent donc venir restreindre l’éventail des données accessibles ou communicables.
Exemple : en matière de droit d’accès à des données contenues dans des courriels professionnels, le respect du droit à la vie privée, le secret des affaires et le secret des correspondances peuvent parfois faire obstacle à la communication de certaines données personnelles au demandeur.
Comment répondre à un salarié qui souhaite accéder ou obtenir la copie de courriels professionnels ?
Lorsqu’il répond à une demande de droit d’accès d’un salarié à des courriels professionnels, l’employeur peut tout d’abord rappeler que le droit d’accès ne porte que sur les données à caractère personnel contenues dans les courriels.
Il doit ensuite apprécier l’atteinte au droit des tiers que représenterait cette communication : il va ainsi devoir faire un tri entre ce qui communicable et ce qui n’est pas.
Cette analyse peut être effectuée au cas par cas, message par message.
Cependant, pour faciliter cette analyse et accélérer la réponse à la demande, l’employeur peut également choisir de distinguer deux situations, selon que le salarié demandeur est :
- l’expéditeur ou le destinataire des courriels ;
- ou seulement mentionné dans le contenu des courriels.
Lorsque le salarié a déjà eu, ou est supposé avoir eu connaissance des informations contenues dans les messages visés par la demande, la communication des données personnelles contenues dans les courriels, voire des courriels eux-mêmes, apparait pouvoir être présumée respectueuse des droits des tiers.
Dans cette hypothèse, en l’absence présumée d’atteinte aux droits des tiers, l’anonymisation ou la pseudonymisation des données relatives aux tiers constitue une bonne pratique, et non une condition préalable à la transmission des courriels.
Toutefois, si l’employeur estime que l’accès ou la communication de courriels, pourtant connus du demandeur, peut représenter un risque pour les droits des tiers (par exemple du fait de la nature des données susceptibles d’être communiquées) il lui appartient alors :
- dans un premier temps, essayer de supprimer, anonymiser ou pseudonymiser les données concernant des tiers ou portant atteinte à un secret pour pouvoir faire droit à la demande ;
- puis, seulement si ces mesures s’avèrent insuffisantes, refuser de faire droit à la demande d’accès, en motivant et justifiant sa décision auprès de la personne concernée.
Exemple : un employeur pourra refuser de faire droit à une demande de communication de données personnelles du demandeur figurant dans des courriels contenant des informations qui porteraient atteinte, par exemple, à la sécurité nationale ou à un secret industriel. Ces arguments ne pourront pas être invoqués par l’employeur sans justification étayée auprès du demandeur.
Lorsqu’un salarié souhaite obtenir la communication de données personnelles contenues dans des courriels dans lesquels il est mentionné, l’employeur doit trouver un équilibre entre la satisfaction du droit d’accès du salarié et le respect des droits et libertés des autres salariés, notamment le secret des correspondances.
Pour cela, l’employeur peut procéder en deux temps :
- Il s’assure d’abord que les moyens à mettre en œuvre pour identifier les courriels demandés n’entraînent pas d’atteinte disproportionnée aux droits de l’ensemble des salariés de l’organisme.
Lorsque l’identification des courriels visés par la demande suppose la mise en œuvre de moyens particulièrement intrusifs (tels que le scan de l’ensemble des messageries des salariés de l’organisme), le demandeur doit être invité à préciser sa demande. Si ce dernier s’y oppose, l’employeur peut invoquer dans une telle situation, le respect les droits des tiers pour refuser de lui répondre favorablement pour ce qui concerne ces messages. Il devra cependant bien répondre au droit d’accès pour les données contenues dans des courriels ne nécessitant pas de tels moyens particulièrement intrusifs.
En revanche, si les indications fournies par le demandeur permettent d’identifier les courriels demandés sans emporter d’atteinte disproportionnée au secret de la correspondance des salariés, le responsable de traitement doit procéder à la deuxième étape du raisonnement.
- Il étudie ensuite le contenu des courriels demandés et apprécie la portée de l’atteinte aux droits des tiers que représenterait la communication des données personnelles qui y sont contenues, notamment au regard du secret de la correspondance et de la vie privée de l’émetteur et des destinataires. Cette étape suppose une analyse au cas par cas, l’issue dépendant de la nature des informations contenues dans les courriels.
Exemple : un employeur pourra refuser de donner suite à une demande de communication de courriels portant sur une enquête disciplinaire et dont le contenu, même caviardé, pourrait permettre au demandeur l’identification de personnes dont il ne devrait pas avoir connaissance.
Rappel : Le droit d’accès ne doit pas être confondu avec les autres règles de communication de documents ou de pièces dans le cadre d’une procédure judiciaire ou d’une demande de document administratif (CADA).
L’exercice du droit d’accès aux données personnelles n’est, comme le droit d’accès aux documents administratifs, pas conditionné. Cela signifie qu’une personne n’a pas à motiver sa demande et qu’elle peut exercer son droit d’accès en parallèle d’une procédure contentieuse (devant le conseil de prud’hommes par exemple) ou administrative en cours, sous réserve de ne pas porter atteinte au droit des tiers. Le refus de communication sur ce fondement ne serait pas valable.
Par ailleurs, même si en parallèle d’un contentieux l’employeur refuse de faire suite à la demande de droit d’accès d’un salarié en raison de l’atteinte aux droits des tiers, le salarié pourra demander au juge la production des courriels litigieux dans le cadre d’un contentieux, sous réserve que cette production soit nécessaire et que l'atteinte soit proportionnée au but poursuivi.
Le cas particulier des courriels personnels
Les courriels identifiés comme étant personnels ou dont le contenu s’avère être privé malgré l’absence de la mention du caractère personnel, font l’objet d’une protection particulière liée au secret des correspondances, l’employeur n’étant pas autorisé à y accéder.
Pour ces courriels, l’employeur ne pourra pas prendre connaissance du contenu même en vue d’occulter des informations et devra fournir au demandeur le courriel en l’état, à condition que ce dernier soit l’expéditeur ou le destinataire.
A noter : les tribunaux ont rappelé que l’employeur peut saisir le juge afin qu’il ordonne l’ouverture de messages « personnels » suspectés, par exemple, de récupérer des documents confidentiels ou couverts par un secret. Il appartient dans ce cas au juge d’apprécier l’utilité d’une telle mesure, la demande devant être fondée sur un motif légitime (ex : concurrence déloyale). Cette mesure doit également être nécessaire à la protection des droits de la personne qui la sollicite.
Le cas des demandes portant sur de très nombreux courriels
Les employeurs saisissent régulièrement la CNIL de difficultés pratiques liées au fait de pouvoir collecter, trier, puis communiquer des données personnelles potentiellement contenues dans un nombre considérable de messages. L’examen du contenu des messages peut alors, en pratique, constituer une charge particulièrement importante.
A titre liminaire, il convient de rappeler que les courriels sont des traitements de données à caractère personnel et qu’il convient donc de fixer des durées de conservation (qui prennent souvent la forme de limite de stockage et d’opération d’archivage des mail). Cela est de nature à diminuer la charge lorsqu’il faut répondre à une demande de communication.
Afin d’essayer de concilier le respect du droit d’accès et les difficultés pratiques des responsables de traitement, la CNIL recommande, lorsque le travail de tri est considérable, de procéder de la façon suivante :
- l’employeur peut communiquer au demandeur un tableau récapitulatif comprenant la liste des messages conservés dont le demandeur est expéditeur, celle dont il est destinataire, et celle où son nom apparaît. Pour cette dernière catégorie de messages, si l’employeur estime que cette seule information n’est pas communicable pour certains des messages, (cf. supra) il lui appartient de faire le tri et d’être en mesure de le justifier ;
- l’employeur indique à l’intéressé que l’extraction complémentaire de ses données personnelles de l’ensemble de ces documents représente une charge importante et peut l’inviter à préciser sa demande afin d’en accélérer le traitement ;
- en fonction de la réponse du demandeur, l’employeur communique les données contenues dans les courriels.
La jurisprudence
Plusieurs juridictions peuvent rendre des décisions qui permettent de préciser un point de droit relatif au droit d’accès : l’ensemble de ces décisions constitue la jurisprudence
