La CNIL a publié le 5 janvier 2022 sur son site une fiche pratique relative au droit d’accès des salariés à leurs données et aux courriels professionnels, en complément de sa fiche pratique du 18 novembre 2020 sur les réponses à une demande de droit d’accès.

La loi Informatique et Libertés permet à toute personne d’accéder aux données qui la concernent.

Ce droit est renforcé par le Règlement général sur la protection des données (RGPD) qui est entré en application en mai 2018.

Toute personne peut demander à un organisme la communication des données qu’il détient sur elle et en obtenir une copie.

Un salarié peut ainsi demander à son employeur l’accès et la communication dans un format compréhensible des données personnelles le concernant et qu’il a en sa possession afin notamment de contrôler l’exactitude des données et, au besoin, de les faire rectifier ou effacer.

L’employeur devra également être en mesure de lui fournir divers renseignements, par exemple les objectifs poursuivis par l’utilisation des données, les catégories de données traitées, les autres organismes ayant obtenu la communication des données, etc.

Lorsqu’un salarié demande à son employeur d’accéder ou obtenir la copie de courriels professionnels, ce dernier devra apprécier l’atteinte au droit des tiers que représenterait cette communication.

Un tri entre les messages communicables et ceux qui ne le sont pas devra alors être effectué en distinguant deux situations :

• • selon que le salarié demandeur est l’expéditeur ou le destinataire des courriels

• • ou seulement mentionné dans le contenu des courriels.

Dans la première situation, la communication des courriels est présumée respectueuse des droits des tiers puisque le salarié a déjà eu, ou est supposé avoir eu connaissance des informations contenues dans les messages.

Dès lors, l’anonymisation ou la pseudonymisation des données relatives aux tiers constitue une bonne pratique, et non une condition préalable à la transmission des courriels, sauf dans des cas exceptionnels, où la communication pourrait représenter un risque pour les droits des tiers (sécurité nationale, secret industriel etc.).

Il appartiendra alors à l’employeur soit d’essayer de supprimer, anonymiser ou pseudonymiser les données concernant des tiers ou portant atteinte à un secret et, seulement si ces mesures s’avèrent insuffisantes, refuser de faire droit à la demande d’accès, en motivant et justifiant sa décision auprès de la personne concernée.

Dans la seconde situation, lorsque le salarié est seulement mentionné dans le contenu des courriels, l’employeur doit trouver un équilibre entre le droit d’accès du salarié et le respect des droits et libertés des autres salariés, notamment le secret des correspondances.

Pour cela, l’employeur peut procéder en deux temps.

Il s’assure d’abord que les moyens à mettre en œuvre pour identifier les courriels demandés n’entraînent pas d’atteinte disproportionnée aux droits de l’ensemble des salariés de l’organisme (scan de l’ensemble des messageries des salariés de l’entreprise par exemple). Dans le cas contraire, le salarié doit être invité à préciser sa demande en fournissant les indications permettant d’identifier les courriels sans emporter d’atteinte disproportionnée au secret de la correspondance des salariés. S’il s’y oppose, l’employeur pourra invoquer le respect les droits des tiers pour refuser de lui répondre favorablement.

L’employeur étudiera ensuite le contenu des courriels demandés et appréciera la portée de l’atteinte aux droits des tiers que représenterait leur communication, notamment au regard du secret de la correspondance et de la vie privée de l’émetteur et des destinataires. Cette étape suppose une analyse au cas par cas, l’issue dépendant de la nature des informations contenues dans les courriels.

La CNIL rappelle que le « droit d’accès » ne doit pas être confondu avec les autres règles de communication de documents ou de pièces dans le cadre d’une procédure judiciaire, en cas de refus de l’employeur de faire suite à une demande de droit d’accès, le salarié pourra toujours obtenir d’un juge la production des courriels litigieux dans le cadre d’un contentieux, sous réserve que cette production soit nécessaire et que l’atteinte soit proportionnée au but poursuivi.

Enfin, les courriels identifiés comme étant personnels ou dont le contenu s’avère être privé malgré l’absence de la mention du caractère personnel, font l’objet d’une protection particulière, l’employeur n’étant pas autorisé à y accéder.

Pour ces courriels, l’employeur ne pourra pas prendre connaissance du contenu même en vue d’occulter des informations et devra fournir au demandeur le courriel en l’état, à condition que ce dernier soit l’expéditeur ou le destinataire.

Infographie – Le droit d’accès aux courriels professionnels