Le droit d’accès des salariés à leurs données et aux courriels professionnels (Note CNIL du 5 janvier 2022)
L’article 15 du RGPD permet aux salariés et anciens salariés de bénéficier du droit d’ accès et de la communication de leurs données personnelles (notamment les mails professionnels), et ce, afin de contrôler leur exactitude et, le cas échéant, de les faire rectifier ou effacer.
Qu’est-ce qu’une donnée personnelle ?
Selon la CNIL, une donnée est considérée comme personnelle dès lors qu’elle se rapporte à une « personne physique susceptible d’être identifiée, directement ou indirectement », tels que le nom de famille, un numéro de téléphone, une adresse e-mail, l’âge, l’image d’une personne, …
Comment peut s’exercer le droit d’accès des salariés à leurs données et aux courriels professionnels ?
De manière concrète, le droit d’accès ne porte, a priori, que sur les données personnelles (ce que notamment rappelle la CNIL). Ainsi, un salarié « ne peut pas réclamer la communication d’un document sur le fondement du droit d’accès ».
Face à une demande d’accès, l’employeur devra :
- S’assurer de l’identité du demandeur en cas de « doutes raisonnables »,
- Répondre gratuitement à la demande sauf en cas de demandes excessives et répétitives,
- S’assurer que l’exercice du droit d’accès ne porte pas atteinte aux droits des tiers.
Dans les faits, l’employeur pourra, cependant, préférer transmettre des documents au lieu des seules données.
La communication de courriels professionnels
Si le salarié entend exercer son droit d’accès à des courriels professionnels, l’employeur doit apprécier les risques d’atteinte aux droits des tiers que représenterait cette communication.
Ainsi, il y a lieu de distinguer entre plusieurs situations :
- Le salarié est expéditeur ou destinataire du courriel : la communication des courriels est présumée être respectueuse des droits des tiers (le salarié ayant déjà eu connaissance de ces documents).
Exception : en cas de risques pour les tiers (ex : sécurité nationale ou secret industriel) l’employeur pourra :
- Supprimer, anonymiser ou pseudonymiser les données concernant des tiers ou portant atteinte à un secret
- Si les précautions ci-dessus sont insuffisantes, refuser de faire droit à la demande sous réserve de motivation et de justification de sa décision.
- Le salarié est uniquement mentionné dans les courriels : l’employeur doit :
- S’assurer que « les moyens à mettre en œuvre pour identifier les courriels demandés n’entraînent pas d’atteinte disproportionnée aux droits de l’ensemble des salariés » de l’entreprise
- Étudier le contenu des courriels et « apprécier la portée de l’atteinte aux droits des tiers que représenterait leur communication » (secret de la correspondance et de la vie privée notamment).