Blog Données personnelles

La CNIL rappelle les règles applicables au droit d’accès des salariés à leurs données ainsi qu’aux courriels professionnels

La Commission Nationale de l’Informatique et des Libertés (ci-après désignée la « CNIL ») rappelle les règles applicables au droit d’accès des salariés à leurs données ainsi qu’aux courriels professionnels :

Le 5 janvier dernier, la CNIL a publié sur son site Internet un communiqué relatif au droit d’accès des salariés à leurs données et aux courriels professionnels. Une première fiche pratique avait déjà été publiée en novembre 2020, sur les bonnes pratiques à mettre œuvre par les professionnels confrontés à des demandes d’accès. Par le biais de ce communiqué, la CNIL vient préciser les conditions dans lesquelles un salarié peut demander à son employeur, l’accès et la communication des données personnelles qu’il a en sa possession.

A quoi sert le droit d’accès ?

Le droit d’accès permet à une personne de demander à un organisme s’il dispose de données la concernant et, le cas échéant, d’obtenir une copie de ces données dans un format compréhensible.

Quelles sont les conditions de mise en œuvre du droit d’accès ?

Si l’employeur est tenu de transmettre les informations listées à l’article 15 du RGPD et ce sous un format compréhensible, il doit néanmoins s’assurer de l’identité du demandeur. A cet égard, la CNIL rappelle qu’une simple authentification par messagerie professionnelle ou bien à l’aide d’un identifiant connu uniquement d’un ancien salarié peut suffire. Dès lors, la CNIL considère que le fait pour un professionnel d’exiger systématiquement la présentation d’une pièce d’identité au salarié serait disproportionné.

L’employeur doit en principe répondre gratuitement, sauf frais exceptionnels, mais n’est tenu qu’à la transmission des données se rapportant à la personne concernée et non à celle des documents les contenant. Bien qu’il s’agit de transmettre toutes données pertinentes, une telle communication ne devra pas porter atteinte aux droits des tiers en matière de propriété intellectuelle, secret des affaires, vie privée ou secret des correspondances.

Comment répondre à une demande émanant d’un salarié ou ancien salarié ?

La CNIL distingue deux cas de figure. Si le salarié demandeur est l’expéditeur ou le destinataire des courriels, il existe une présomption que la communication est respectueuse des droits des tiers. L’anonymisation ou la pseudonymisation ne sont véritablement exigées que dans le cas où l’employeur estime qu’un risque pour les droits de ces derniers persiste. Si et seulement si ces mesures se révèlent insuffisantes, l’employeur pourra, moyennant motivation et justification, refuser de faire droit à la demande.

Le salarié ou l’ancien salarié peut n’être que mentionné au sein des correspondances. Dans ce cas, la règlementation tendrait à favoriser davantage les droits des tiers. Si des moyens intrusifs pour les autres salariés doivent être mis en œuvre, l’employeur doit demander au salarié concerné de préciser sa demande. En cas de refus de ce dernier, il peut lui opposer les droits des tiers comme seule justification. Sinon, l’employeur est chargé d’évaluer au cas par cas le risque représenté par la communication des données demandées.