Après son licenciement et après la saisine du Conseil de prud’hommes, un salarié exerce un droit d’accès et de limitation de ses données personnelles à l’encontre de son ancien employeur. Estimant ne pas avoir été rempli de ses droits par la réponse apportée, le salarié porte alors sa réclamation devant la CNIL.
Le salarié saisit ensuite le Conseil d’Etat de deux recours en excès de pouvoir : un premier pour contester une décision de rejet implicite de sa réclamation par la CNIL, un second en annulation de la décision explicite intervenue postérieurement et ayant rejeté sa réclamation.
Le Conseil d’Etat rejette les deux recours dans un arrêt du 24 juillet 2023 (CE, 24 juillet 2023, n°465529 et 468923) qui apporte plusieurs enseignements.
Tout d’abord, la CNIL n’a pas à statuer sur la réclamation dans un délai de 3 mois, sous peine de rejet implicite. La CNIL respecte ses obligations en adressant dans ce délai un courrier informant le réclamant de l’état d’avancement et de ce qu’il sera tenu informé de l’issue de sa réclamation (articles 77, 78 du RGPD, article 8 de la loi n°78-17 du 6 janvier 1978 et 10 du décret n°19-536 du 29 mai 2019).
Puis, sur l’instruction de la réclamation, le Conseil d’Etat précise le rôle de la CNIL : elle doit procéder à l’examen des faits et décider des suites à leur donner. La haute juridiction précise que la CNIL « dispose, à cet effet, d’un large pouvoir d’appréciation et peut tenir compte de la gravité des manquements allégués au regard de la législation ou de la réglementation qu’elle est chargée de faire appliquer, du sérieux des indices relatifs à ces faits, de la date à laquelle ils ont été commis, du contexte dans lequel ils l’ont été et, plus généralement, de l’ensemble des intérêts généraux dont elle a la charge ».
La CNIL dispose d’un large pouvoir d’appréciation sur les demandes relevant du droit d’accès.
Le Conseil d’Etat précise ensuite l’étendue de son contrôle juridictionnel, en deux temps.
Premièrement, l’auteur d’une réclamation à la CNIL peut déférer la décision au juge de l’excès de pouvoir. Outre le contrôle de la légalité externe, le juge contrôle le bien-fondé de la décision et censure en cas d’erreur de fait ou de droit, d’erreur manifeste d’appréciation ou de détournement de pouvoir.
Deuxièmement, lorsque la plainte porte sur la méconnaissance par un responsable de traitement des droits garantis par la loi à l’égard des données à caractère personnel le concernant, notamment les droits d’accès, de rectification, d’effacement, de limitation et d’opposition, le pouvoir d’appréciation de la CNIL pour décider des suites à y donner s’exerce sous l’entier contrôle du juge de l’excès de pouvoir.
Le droit d’accès est placé sous l’entier contrôle du juge de l’excès de pouvoir
Une fois ces principes posés, le Conseil d’Etat se prononce sur les demandes du requérant. Il contrôle le moyen tiré du caractère illicite, déloyal et non transparent du traitement de données à caractère personnel figurant dans une pièce utilisée par l’employeur dans le contentieux prud’homal. L’argument est ici rejeté et les demandes du réclamant d’injonctions à la CNIL et à l’ancien employeur du salarié ne prospèrent pas.
La Conseil d’Etat juge encore que le responsable de traitement pouvait transmettre les pièces en réponse à la demande de droit d’accès par voie de téléchargement et rejette la demande de limitation des données archivées après le licenciement du salarié, dont le traitement avait pour seule finalité de permettre la défense des droits de la société dans le contentieux prud’homal.
