La loi Informatique et Libertés permet à toute personne d’accéder aux données qui la concernent. Ce droit est renforcé par le Règlement général sur la protection des données (RGPD) publié le 4 mai 2016 et entré en vigueur en mai 2018. Un salarié peut donc demander à son employeur de lui communiquer les données personnelles le concernant.
L’article premier du RGPD stipule : «La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental». Le RGPD permet à un individu de demander à un organisme s’il détient des données sur lui (site web, magasin, banque…) et si c’est effectivement le cas, demander alors à ce que l’on les lui communique pour en vérifier le contenu. L’organisme devra lui envoyer une copie des données détenues et le renseigner sur :
- les finalités d’utilisation de ces données,
- les catégories de données collectées,
- les destinataires ou catégories de destinataires qui ont pu accéder à ces données,
- la durée de conservation des données ou les critères qui déterminent cette durée,
- l’existence des autres droits (droit de rectification, d’effacement, de limitation, d’opposition),
- la possibilité de saisir la CNIL,
- toute information relative à la source des données collectées si celles-ci n’ont pas directement été récoltées auprès de lui,
- l’existence d’une prise de décision automatisée, y compris en cas de profilage, et la logique sous-jacente, l’importance et les conséquences pour vous d’une telle décision,
- l’éventuel transfert de ses données vers un pays tiers (non-membre de l’UE) ou vers une organisation internationale.
Cette démarche permet notamment de contrôler l’exactitude des données et, le cas échéant, exercer son droit de rectification ou son droit à l’effacement suivant les cas.
Le droit d’accès dans un contexte professionnel
«Les principes relatifs à la protection des données s’appliquent à toutes les données personnelles collectées par un organisme, même dans un contexte professionnel : un salarié peut donc exercer son droit d’accès auprès de son employeur.»
Les règles du droit d’accès
L’organisme doit s’assurer de l’identité du demandeur
En cas de doute sur l’identité de la personne souhaitant avoir accès à ses données, on peut demander certaines informations pour prouver son identité, mais on ne peut pas, en revanche, demander des pièces justificatives qui seraient abusives, non pertinentes et disproportionnées par rapport à la demande.
L’organisme doit répondre gratuitement à la demande
Les personnes concernées doivent pouvoir exercer le droit d’accès gratuitement. Toutefois, dans certaines situations exceptionnelles, notamment en cas de demande d’une copie supplémentaire, des frais raisonnables liés au traitement du dossier pourront être demandés.
Le droit d’accès porte sur des données personnelles et non sur des documents
Le droit d’accès porte uniquement sur les données personnelles et non pas sur des documents : une personne ne peut donc pas réclamer la communication d’un document sur le fondement du droit d’accès. Cependant, il n’est pas interdit à l’organisme de communiquer des documents plutôt que les seules données, s’il estime que c’est plus pratique (par exemple, envoyer la copie d’un courriel plutôt que le détailler)
L’exercice du droit d’accès ne doit pas porter atteinte aux droits des tiers
Le droit à l’accès concerne les données dont la «communication ne porte pas une atteinte disproportionnée aux droits d’autrui».
Appréciation de la requête par l’employeur
L’employeur doit juger si cette communication de données peut porter ou non atteinte aux droits d’un tiers selon deux critères :
- Le demandeur est l’expéditeur ou le destinataire des courriels visés par la demande.
- Le demandeur est mentionné dans le contenu des courriels.
Dans le premier cas, où le demandeur a envoyé ou reçu des courriels, il est supposé avoir eu connaissance des informations contenues dans les messages visés par la demande, «la communication des courriels est présumée respectueuse des droits des tiers.» Dans ce contexte, l’anonymisation qui rendra impossible son identification ou ou la pseudonymisation des données grâce à un alias, un numéro séquentiel… semblent les meilleures solutions.
Dans le cas où le demandeur est mentionné, l’employeur devra apprécier la portée de l’atteinte aux droits des tiers que représenterait leur communication. L’employeur peut refuser le droit à l’accès des données si celles-ci représentent un danger pour les droits d’une tierce personne mais en expliquer les raisons au demandeur. Celui-ci pourra toujours obtenir d’un juge la production des courriels litigieux dans le cadre d’un contentieux, sous réserve que cette production soit nécessaire et que l’atteinte soit proportionnée au but poursuivi.
Le cas particulier des courriels personnels
Les courriels identifiés comme étant personnels ou dont le contenu s’avère être privé malgré l’absence de la mention du caractère personnel, font l’objet d’une protection particulière; dans ce cas, «l’employeur ne pourra pas prendre connaissance du contenu» même en vue d’occulter des informations et «devra fournir au demandeur le courriel en l’état», à condition que ce dernier soit l’expéditeur ou le destinataire.