Droit d’accès des salariés à leurs données et aux courriels professionnels : les précisions de la CNIL
7 janvier 2022
La CNIL a publié le 5 janvier 2022 sur son site une fiche pratique relative au droit d’accès des salariés à leurs données et aux courriels professionnels, en complément de sa fiche pratique du 18 novembre 2020 sur les réponses à une demande de droit d’accès.
La loi Informatique et Libertés permet à toute personne d’accéder aux données qui la concernent.
Ce droit est renforcé par le Règlement général sur la protection des données (RGPD) qui est entré en application en mai 2018.
Toute personne peut demander à un organisme la communication des données qu’il détient sur elle et en obtenir une copie.
Un salarié peut ainsi demander à son employeur l’accès et la communication dans un format compréhensible des données personnelles le concernant et qu’il a en sa possession afin notamment de contrôler l’exactitude des données et, au besoin, de les faire rectifier ou effacer.
L’employeur devra également être en mesure de lui fournir divers renseignements, par exemple les objectifs poursuivis par l’utilisation des données, les catégories de données traitées, les autres organismes ayant obtenu la communication des données, etc.
Lorsqu’un salarié demande à son employeur d’accéder ou obtenir la copie de courriels professionnels, ce dernier devra apprécier l’atteinte au droit des tiers que représenterait cette communication.
Un tri entre les messages communicables et ceux qui ne le sont pas devra alors être effectué en distinguant deux situations :
-
- selon que le salarié demandeur est l’expéditeur ou le destinataire des courriels
-
- ou seulement mentionné dans le contenu des courriels.
Dans la première situation, la communication des courriels est présumée respectueuse des droits des tiers puisque le salarié a déjà eu, ou est supposé avoir eu connaissance des informations contenues dans les messages.
Dès lors, l’anonymisation ou la pseudonymisation des données relatives aux tiers constitue une bonne pratique, et non une condition préalable à la transmission des courriels, sauf dans des cas exceptionnels, où la communication pourrait représenter un risque pour les droits des tiers (sécurité nationale, secret industriel etc.).
Il appartiendra alors à l’employeur soit d’essayer de supprimer, anonymiser ou pseudonymiser les données concernant des tiers ou portant atteinte à un secret et, seulement si ces mesures s’avèrent insuffisantes, refuser de faire droit à la demande d’accès, en motivant et justifiant sa décision auprès de la personne concernée.
Dans la seconde situation, lorsque le salarié est seulement mentionné dans le contenu des courriels, l’employeur doit trouver un équilibre entre le droit d’accès du salarié et le respect des droits et libertés des autres salariés, notamment le secret des correspondances.
Pour cela, l’employeur peut procéder en deux temps.
Il s’assure d’abord que les moyens à mettre en œuvre pour identifier les courriels demandés n’entraînent pas d’atteinte disproportionnée aux droits de l’ensemble des salariés de l’organisme (scan de l’ensemble des messageries des salariés de l’entreprise par exemple). Dans le cas contraire, le salarié doit être invité à préciser sa demande en fournissant les indications permettant d’identifier les courriels sans emporter d’atteinte disproportionnée au secret de la correspondance des salariés. S’il s’y oppose, l’employeur pourra invoquer le respect les droits des tiers pour refuser de lui répondre favorablement.
L’employeur étudiera ensuite le contenu des courriels demandés et appréciera la portée de l’atteinte aux droits des tiers que représenterait leur communication, notamment au regard du secret de la correspondance et de la vie privée de l’émetteur et des destinataires. Cette étape suppose une analyse au cas par cas, l’issue dépendant de la nature des informations contenues dans les courriels.
La CNIL rappelle que le « droit d’accès » ne doit pas être confondu avec les autres règles de communication de documents ou de pièces dans le cadre d’une procédure judiciaire, en cas de refus de l’employeur de faire suite à une demande de droit d’accès, le salarié pourra toujours obtenir d’un juge la production des courriels litigieux dans le cadre d’un contentieux, sous réserve que cette production soit nécessaire et que l’atteinte soit proportionnée au but poursuivi.
Enfin, les courriels identifiés comme étant personnels ou dont le contenu s’avère être privé malgré l’absence de la mention du caractère personnel, font l’objet d’une protection particulière, l’employeur n’étant pas autorisé à y accéder.
Pour ces courriels, l’employeur ne pourra pas prendre connaissance du contenu même en vue d’occulter des informations et devra fournir au demandeur le courriel en l’état, à condition que ce dernier soit l’expéditeur ou le destinataire.
DOCUMENT A TELECHARGER
Infographie – Le droit d’accès aux courriels professionnels
A lire également
Pas de sanction de la CNIL à l’encontre de Microsoft... 1 août 2017 | CMS FL
Alertes professionnelles et protection des données personnelles : Mise à jour ... 22 septembre 2023 | Pascaline Neymond
Où en est le projet de règlement ePrivacy ?... 6 novembre 2017 | CMS FL
Enfants stars des réseaux sociaux : adoption d’une loi protectrice visant... 22 décembre 2020 | Pascaline Neymond
Vidéosurveillance : la difficile conciliation de la protection des salariés et... 21 janvier 2022 | Pascaline Neymond
Rappels sur l’utilisation de la vidéosurveillance par l’employeur... 24 février 2020 | CMS FL Social
Recruteurs : la CNIL publie un guide afin de se mettre en conformité avec le RG... 31 janvier 2023 | Pascaline Neymond
Les référents dans l’entreprise : de nouveaux interlocuteurs à ne pas négl... 23 mai 2019 | CMS FL
Articles récents
- L’action en nullité d’un accord collectif est ouverte au CSE
- Complémentaire santé : vigilance sur la rédaction des dispenses d’adhésion
- Précisions récentes sur la portée de l’obligation de sécurité de l’employeur dans un contexte de harcèlement
- La jurisprudence pragmatique du Conseil d’Etat en matière de PSE unilatéral : Délimitation du périmètre du groupe (Partie I)
- Détachement, expatriation, pluriactivité : quelques nouveautés en matière de mobilité internationale
- Avenant de révision-extinction d’un accord collectif : « Ce que les parties ont fait, elles peuvent le défaire »
- Dialogue social et environnement : la prise en compte des enjeux environnementaux à l’occasion des négociations collectives d’entreprise
- L’accès de l’expert-comptable du CSE aux informations individuelles relatives aux salariés lors de la consultation sur la politique sociale de l’entreprise
- Conférence : Sécuriser vos pratiques pour limiter les risques juridiques dans l’entreprise (risque pénal, congés payés, RPS)
- Le recours à un client mystère : une méthode de contrôle loyale à condition d’être transparente
Commentaires