L’accès à son dossier professionnel
Le RGPD donne le droit à toute personne de demander directement à un organisme d’accéder aux données personnelles qui la concernent : c’est le droit d’accès direct.
Ainsi, tout salarié ou ancien salarié a le droit d’accéder aux données de son dossier professionnel en s’adressant au service concerné qui peut être, selon les cas, le service chargé de la gestion des ressources humaines ou encore le délégué à la protection des données (DPO).
Un droit d’accès à quelles données ?
Il peut obtenir l’accès et la communication de l’ensemble des données le concernant, qu’elles soient conservées sur support informatique ou papier.
Il a ainsi le droit d’accéder aux données relatives à :
- son recrutement ;
- son historique de carrière ;
- l’évaluation de ses compétences professionnelles (entretiens annuels d’évaluation, notation) ;
- ses demandes de formation et les éventuelles évaluations de celles-ci ;
- son dossier disciplinaire ;
- l’utilisation de son badge de contrôle d’accès aux locaux ;
- ses données issues d’un dispositif de géolocalisation ;
- tout élément ayant servi à prendre une décision à son égard (une promotion, une augmentation, un changement d’affectation, etc.). Il peut s’agir des valeurs de classement annuel, parfois appelées « ranking », ou de potentiel de carrière ;
- etc.
Les codes, sigles et abréviations figurant dans les documents communiqués doivent être explicités, si nécessaire à l’aide d’un lexique ou d’icônes normalisées.
Concrètement, comment l’exercer ?
Le droit d’accès est par principe gratuit et peut s’exercer sur place ou par écrit, y compris par voie électronique.
Lorsque la demande est présentée sur place et ne peut être satisfaite immédiatement, un avis de réception daté et signé est délivré à son auteur.
Afin d’aider les personnes à exercer leurs droits, la CNIL propose des modèles de courrier.
L’employeur doit faciliter l’exercice des droits des salariés. Si la demande ne comporte pas l’ensemble des éléments permettant de la traiter, l’employeur invite le demandeur à les lui fournir. De même, en cas de « doute raisonnable » sur l’identité du demandeur, il peut lui demander de joindre tout autre document permettant de prouver son identité, comme par exemple, si cela est nécessaire, une photocopie d’une pièce d’identité. En revanche, l’employeur ne peut pas exiger systématiquement de telles pièces justificatives, lorsque le contexte ne le justifie pas.
Une copie des données est délivrée au salarié à sa demande sans qu’aucun coût ne puisse lui être exigé, sauf si les demandes sont manifestement infondées ou excessives (exemple : demandes répétitives).
Quel est le délai de réponse ?
L’employeur doit répondre à la demande dans les meilleurs délais sans dépasser un délai d’un mois à compter de la réception de la demande.
Au besoin, compte tenu de la complexité et du nombre de demandes qui devra être justifiée par l’organisme, ce délai peut être prolongé de deux mois supplémentaires. Dans ce cas, le salarié ou ancien salarié doit être informé de cette prolongation et de ses motifs dans le délai d’un mois à compter de la réception de la demande.
Si l’organisme ne donne pas suite à la demande d’accès, le salarié devra être informé des motifs le justifiant, ainsi que de la possibilité d’introduire une réclamation auprès de la CNIL et de former un recours juridictionnel.
En cas de défaut de réponse dans ce délai (1 ou 3 mois selon le cas), la personne peut en effet introduire une réclamation auprès de la CNIL et/ou de former un recours juridictionnel à l’encontre de l’organisme.
Les limites au droit d’accès
Un salarié ou un ancien salarié peut uniquement accéder aux données qui le concernent. C’est un droit personnel qui ne doit pas porter atteinte aux droits des tiers (exemple : autre salarié, visiteur, etc.).
Par exemple, dans le cas d’un droit d’accès portant sur un rapport circonstancié établi à la suite d’un dysfonctionnement, l’identité des personnes mentionnées dans le document, autres que la personne exerçant son droit, devra être occultée.
Dans certaines situations, le droit d’accès peut également faire l’objet de certaines restrictions, par exemple si les données sont protégées par le secret des affaires, la propriété intellectuelle ou encore par le secret des correspondances.