En 2024, la CNIL fait du droit d'accès l'une de ses thématiques prioritaires de contrôle.
Dans une société de l’information où l’utilisation des outils de communication électronique est quasi-incontournable, l’e-mail est devenu le témoin préféré du justiciable.
Pour un salarié comme pour un employeur, la boîte mail professionnelle peut regorger d’informations précieuses révélant l’historique de leur relation de travail.
Et il pourrait en être dit autant des conversations téléphoniques, des échanges SMS ou des réseaux sociaux publics ou d’entreprise (LinkedIn, Slack, etc.).
Le RGPD et la loi informatiques et libertés prévoient la possibilité pour le salarié d’accéder à ses données personnelles, en ce incluses les informations contenues dans des e-mails professionnels.
Ce droit d’accès est souvent discuté, car il permet aux salariés de se constituer des preuves dans le cadre d’un contentieux, lorsque l’accès à leurs e-mails leur a été coupé. A l’opposé, il impose parfois de lourdes obligations aux employeurs.
L’imagination permet de concevoir que le droit d’accès peut être utilisé ou refusé dans de nombreux cas de figure.
Or, pour la CNIL, le droit d'accès est l'une des thématiques prioritaires de contrôle pour l'année 2024.
Le présent article est l’occasion d’évoquer les considérations d’ordre général dont il faut tenir compte lors de la mise en œuvre du droit d’accès.
1 Qu’est-ce que le droit d’accès ?
Le droit d’accès est défini à l’article 15 du RGPD. Il est composé :
· d’un droit de curiosité, permettant, en substance, au salarié de connaître l’étendue des catégories de ses données personnelles traitées par l’employeur, ce que l’employeur en fait et pour quelles finalités,
· Le droit d’accéder à ses données personnelles,
· Le droit d’obtenir une copie de ses données personnelles.
Selon la CNIL, le droit d’accès aux informations contenues dans les e-mails professionnels peut porter sur les e-mails dont le salarié est émetteur, destinataire ou dans lesquels il est simplement mentionné.[1]
2 Comment solliciter l’accès au contenu de ses e-mails professionnels ?
Il suffit d’écrire un courrier ou un e-mail à l’employeur agissant en qualité de responsable de traitement des données personnelles, afin d’exercer son droit d’accès.
Les termes de ce courrier devront cependant être choisis, afin de ne pas commettre d’impair.
Le droit d’accès, au sens du RGPD, ne porte que sur les données personnelles et ne peut, en principe, être exercé que par le salarié auquel se rapportent ces données.
Par exception, le salarié peut se faire représenter par un mandataire pour exercer ce droit.[2]
3 Comment répondre à un droit d’accès aux e-mails professionnels ?
3.1 Demander des précisions en cas de demande évasive
A réception de la demande d’accès, l’employeur a la possibilité de demander au salarié de préciser sa demande, s’il traite une grande quantité de données et que celle-ci lui semble évasive. C’est ce que précise le considérant 63 du RGPD.
Toutefois, il s’évince des lignes directrices du Comité européen à la protection des données qu’une demande portant sur l’ensemble des e-mails professionnels dont le salarié a été émetteur et destinataire est suffisamment précise.[3]
La demande de précisions permet de reporter le point de départ du délai dont dispose l’employeur pour répondre.[4]
3.2 Respecter les délais de réponse
Une fois la demande précisée, l’employeur doit y répondre dans les meilleurs délais, et au maximum sous un mois. Par exception, ce délai peut être prorogé de deux mois supplémentaires, compte tenu de l’éventuelle complexité et du nombre de demandes formulées. Le salarié devra être informé de la prorogation du délai.[5]
3.3 Un accès à distance ou sur place
Si la demande est formée par la voie électronique, l’employeur doit, en principe, permettre au salarié d’accéder à ses e-mails ou lui en communiquer une copie par la voie électronique. Il doit faciliter au mieux cet accès ou cette communication.
Ici, le droit des données personnelles se télescope parfois avec le droit du travail.
En effet, le droit d'accès ne doit pas porter atteinte aux droits des tiers, ce qui suppose que l'employeur accède à la messagerie professionnelle pour le vérifier avant de faire droit à la demande du salarié.
Or, en droit du travail, il est parfois requis que l’employeur demande au salarié d’être présent pour vérifier le contenu de la boîte e-mail, lorsque les courriels de la messagerie professionnelle sont expressément identifiés étant personnels (voir infra). [6]
Le Comité européen à la protection des données ne s'oppose pas à la possibilité d’inviter le salarié à se rendre dans les locaux de l’entreprise afin qu'il accède à ses courriels et en obtienne une copie. [7]
3.4 Un impératif de sécurisation des données
Quelle que soit la modalité choisie par l’employeur, celui-ci demeure tenu à un impératif de sécurisation du traitement des données personnelles, que la mise en œuvre du droit d’accès ne peut compromettre.[8]
Il conviendra donc, notamment au regard du contexte particulier de la communication des e-mails et des risques qu’elle présente, du coût de sa mise en œuvre, des moyens à disposition et de l’état des connaissances, de choisir la modalité de mise en œuvre du droit d’accès la plus pertinente.
L’employeur doit, d’ailleurs, vérifier l’identité de la personne demandant l’accès, au besoin en sollicitant une copie de sa pièce d’identité.
4 L’employeur peut-il opposer un refus au salarié ?
Lorsque les demandes d'un salarié sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, l’employeur peut :[9]
a) exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées ;
b) ou refuser de donner suite à ces demandes.
Il existe donc deux cas de refus consacrés par le RGPD. Il s’agit des demandes :
· manifestement excessive,
· manifestement infondée.
Le caractère manifestement excessif ou infondé d’une demande n’est pas défini par le RGPD.
Selon le Comité européen à la protection des données, une demande peut-être manifestement infondée lorsqu’elle concerne des informations non traitées au titre du RGPD.
La demande peut encore être infondée lorsqu’elle ne répond pas aux conditions du droit d’accès.
Il s’agira, en substance, de cas où une demande est formulée par une personne qui n’est pas concernée par les données en question et qui n’a pas de mandat pour représenter la personne concernée.
Il pourra, également, s’agir d’e-mails qui ne sont pas ou plus traités par l’employeur.
Dans ce dernier cas, l’éventuelle suppression des données doit être valablement intervenue, ce qui suppose en principe que les durées de conservation aient été correctement définies au préalable. La CNIL recommande d’ailleurs, sur son site internet, que le salarié soit informé préalablement à la suppression de ses e-mails, afin qu’il puisse exercer ses droits.
Ces exemples ne sont pas exhaustifs.
S’agissant du caractère manifestement excessif de la demande, la Comité européen à la protection des données précise qu’il peut s’agir, notamment[10] :
· d’un salarié qui introduit une demande, mais propose dans le même temps de la retirer en échange d’une forme ou d’une autre de prestation du responsable du traitement ;
· d’une demande intentionnellement malveillante servant à harceler l’employeur ou ses employés dans le seul but de provoquer des perturbations de l’entreprise.
4.1 Quid de l’atteinte aux droits des tiers ?
Enfin, l’employeur peut limiter, voire refuser l’accès et la communication d’informations issues des e-mails du salarié lorsqu’elle portent atteinte au droit des tiers.
Ce sera notamment le cas en vue de respecter les informations couvertes par un secret légalement protégé.
La CNIL précise cependant logiquement que les droits des tiers sont présumés respectés, lorsque le salarié avait été destinataire ou émetteur des e-mails.
Il en va autrement lorsque le salarié demande l’accès à des e-mails dans lesquels il est seulement mentionné…
Attention, cependant, l’employeur ne peut vérifier le contenu de la messagerie professionnelle identifiée comme « personnelle » par le salarié qu’en sa présence ou, à défaut, après lui avoir demandé d’être présent, sauf urgence.[11]
L’employeur ne peut pas, en revanche, consulter la messagerie strictement personnelle du salarié, que ce dernier soit présent ou non lors de cette consultation (ex. boîte e-mail personnelle).
En tous les cas, le refus de l’employeur devra être motivé, avec indication des voies de recours, selon les exigences de l’article 12 du RGPD.
5 Un recours juridictionnel ou auprès de la CNIL
En cas de refus injustifié ou d’absence de réponse, le salarié pourra exercer un recours auprès de la CNIL.
Il pourra également et notamment exercer un recours juridictionnel, y compris en référé, notamment en cas de risque de dissimulation ou de disparition des données à caractère personnel. [12]
[1] https://www.cnil.fr/fr/le-droit-dacces-des-salaries-leurs-donnees-et-aux-courriels-professionnels
[2] article 77 de la loi informatique et libertés ; Délibération n° 2021-070 du 27 mai 2021 de la CNIL
[3] Lignes directrices 01/2022 sur les droits des personnes concernées — Droit d’accès ; Version 2.0 du 28 mars 2023
[4] Lignes directrices 01/2022 sur les droits des personnes concernées — Droit d’accès ; Version 2.0 du 28 mars 2023
[5] Article 12 du RGPD
[6] En ce sens, notamment : Soc., 17 mai 2005 n°03-40.017
[7] Lignes directrices 01/2022 sur les droits des personnes concernées — Droit d’accès ; Version 2.0 du 28 mars 2023
[8] Art. 32 du RGPD ; Lignes directrices 01/2022 sur les droits des personnes concernées — Droit d’accès ; Version 2.0 du 28 mars 2023
[9] Article 12 du RGPD
[10] Lignes directrices 01/2022 sur les droits des personnes concernées — Droit d’accès ; Version 2.0 du 28 mars 2023
[11] En ce sens, notamment : Soc., 17 mai 2005 n°03-40.017
[12] Art. 49 de la loi informatique et libertés