Demande d’accès aux données personnelles RH et aux courriels : comment réagir ?

La perspective de devoir délivrer à un collaborateur en poste ou parti de l’entreprise une copie de ses données personnelles traitées par l’entreprise est toujours un exercice contraignant et délicat, notamment quand un contentieux prud’homal est à l’horizon …

Vu sous cet angle, l’exercice du droit d’accès présente même certains risques d’être détourné à des fins de discovery, ce qui appelle à la vigilance.

La stratégie de réponse opérationnelle doit être appropriée sur le plan juridique, sachant que le droit d’accès aux données personnelles est  un principe essentiel bien ancré (cf. RGPD art. 12 et 15, et loi « LIL » art. 49).

Rappelons au préalable que ce droit doit donner lieu à une information des personnes au stade de la collecte directe ou indirecte des données.

Le droit d’accès présente un double visage puisqu’au-delà de permettre une information post-collecte sur les caractéristiques du/des traitements concernés (finalités, catégories de données, durées de conservation, etc.) afin de pouvoir en contrôler l’exactitude et demander la rectification ou l’effacement, il permet également l’obtention d’une copie des données traitées.

Ce n’est toutefois pas un droit absolu.

Face à une demande d’accès, le responsable de traitement doit :

• Vérifier si besoin d’identité du demandeur en cas de doute raisonnable (ce qui au passage peut en soi constituer un traitement spécifique) ;
• Vérifier que les données demandées ne portent pas atteinte aux droits des tiers ou aux secrets d’affaires (le RGPD indique notamment dans son considérant n° 63 que « ce droit ne devrait pas porter atteinte aux droits ou libertés d’autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d’auteur protégeant le logiciel« ) ;
• S’organiser pour répondre au demandeur dans les meilleurs délais et en tout état de cause sous 1 mois (ou 8 jours concernant les données de santé), pour accuser réception et l’informer des suites données, et en cas d’inaction ou de fin de non-recevoir, de la possibilité d’introduire une réclamation auprès de la CNIL et de former un recours juridictionnel ;
• Le cas échéant, communiquer une copie des données sur le périmètre demandé, quel qu’en soit le support, et en principe gratuitement et sous un format compréhensible. Si la demande est faite par voie électronique, les informations ont lieu d’être fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement. Selon le mode de transmission utilisé, certaines règles de précaution sont nécessaires pour en éviter la perte ou la captation par un tiers -chiffrement, etc.).

Concernant les salariés, la CNIL vient de compléter ses recommandations au travers d’une publication du 5 janvier 2022, et précise notamment que le droit d’accès porte uniquement sur les données personnelles, en sorte qu’une personne ne peut pas réclamer la communication d’un document en particulier sur le fondement du droit d’accès. Toutefois, « qui peut le plus peut le moins », et il n’est pas interdit au responsable de traitement de communiquer des documents plutôt que les seules données si cela est plus commode.

S’agissant du cas particulier de l’accès aux courriels, des règles spéciales sont prévues : tout d’abord, la CNIL indique que l’employeur doit fournir aussi bien les métadonnées (horodatage, destinataires…) que le contenu des courriels. Il conserve toutefois le choix du support le plus adapté.

Ensuite, la CNIL distingue :

Des cas de refus sont donc autorisés si le demandeur refuse de préciser le champ de sa demande, ou si la communication des contenus est de nature à porter atteinte excessive aux droits des tiers ou aux secrets d’affaires et que la suppression, l’anonymisation ou la pseudonymisation n’est pas une mesure de protection suffisante.

Si la demande n’a pas à être particulièrement motivée, le responsable de traitement peut plus généralement refuser d’y donner suite également en cas d’abus (demande manifestement infondée ou excessive notamment en raison de leur caractère répétitif, sachant que le RGPD vise l’exigence de demandes exercées à « des intervalles raisonnables« ) ; ou si les données concernées ont été régulièrement effacées au terme des délais de conservation prévus dans le registre des activités de traitement.

En tout état de cause, le délai de réponse peut être porté à 3 mois maximum en cas de demande complexe ou nombreuses (par exemple si une personne demande une copie de l’intégralité de ses données), d’où la nécessité de bien faire préciser l’objet et l’étendue de la demande.

A titre exceptionnel (cf. demande de copie supplémentaires ou en cas de demande manifestement infondée ou excessive), des frais de gestion administrative peuvent être appliqués, à condition d’être raisonnables.

Cela nécessite un process organisationnel adapté, tant en interne qu’auprès des sous-traitants, afin de pouvoir gérer correctement ce type de demande, ce qui peut considérablement mobiliser les ressources internes de l’entreprise …

S’agissant enfin de l’articulation avec le droit périphérique d’effacement ou de suppression, celui-ci peut s’exercer dans certains cas, mais peut donner lieu à un refus, notamment lorsque le traitement en cause est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice (cf. RGPD, art. 17, 3, e). Pas de possibilité donc de détourner ce droit pour priver l’employeur d’éléments de preuve nécessaires à sa défense.

En cas de litige sur un refus de communication total ou partiel, c’est en définitive au juge compétent qu’il reviendra de trancher la question.