Le 31 janvier 2025, la CNIL a mis à jour sa fiche intitulée « Le droit d’accès des salariés à leurs données et aux courriers professionnels ». La précédente version datait du 5 janvier 2022.
Le droit d’accès des salariés à leurs courriels professionnels
Les entreprises sont régulièrement confrontées à des demandes de droit d’accès de leurs salariés, lesquelles apparaissent parfois dans un contexte contentieux ou précontentieux, potentiellement pour se ménager des éléments de preuve ou de négociation. Ce contexte ne permet toutefois pas à refuser de répondre à la demande d’un salarié, et partant d’échapper à une sanction de la CNIL. Les sanctions pécuniaires de la CNIL sont très dissuasives : jusqu’à 4% du chiffre d’affaires mondial de la société ou 20 millions d’euros !
Le traitement de la demande de droit d’accès du salarié aux courriels professionnels peut représenter un travail considérable pour l’entreprise. La CNIL reconnait l’importance de ce travail, et fixe quelques points de repères pour la réponse à apporter, en particulier sur les demandes volumineuses (nouveauté de la récente mise à jour).
Rappelons préalablement que le droit d’accès a pour finalité de permettre d’interroger le responsable de traitement sur les données traitées afin d’en vérifier la licéité et d’exercer un éventuel droit de rectification (article 15 RGPD). Un salarié peut ainsi demander à son employeur l’accès et la communication des données personnelles qu’il détient, y compris celles contenues dans des courriels professionnels. Ce droit connaît toutefois des limites.
Un droit d’accès strictement limité aux données personnelles
Le droit d’accès porte uniquement sur les données personnelles du salarié contenues dans les documents, et non sur l’accès aux documents eux-mêmes. Par conséquent, lorsque la demande porte sur des courriels, l’employeur n’a pas l’obligation de donner au salarié la copie des courriels, son obligation étant de donner accès aux données personnelles du salarié contenues dans ces correspondances.
L’employeur peut naturellement remettre au salarié une copie des courriels, ce qui apparait comme la solution la plus simple. Dans ce cas, il est néanmoins recommandé de s’assurer que l’envoi d’une copie de ces courriels ne porte pas atteinte aux droits des tiers. Mais, plutôt que de remettre au salarié une copie de ses courriels, la CNIL précise que l’employeur peut répondre par l’envoi d’un tableau mentionnant les métadonnées (horodatage, destinataires …) et les données personnelles contenues dans ces courriels.
Le droit d’accès aux données personnelles contenues dans les courriels professionnels n’est donc pas un droit d’accès aux courriels eux-mêmes.
La méthode proposée par la CNIL
La CNIL propose une méthode pratique permettant d’éviter aux entreprises une longue analyse, message par message, de ce qui peut être communiqué en réponse à la demande du salarié. Elle distingue les cas suivants :
- Le salarié est auteur ou destinataire des courriels : ces derniers bénéficient d’une présomption simple du respect du droit des tiers (puisque le salarié est déjà partie à ces échanges) ;
- Le nom du salarié est mentionné dans un courriel échangé entre d’autres personnes : des précautions plus importantes doivent être prise, notamment sur les moyens d’identification des courriels et sur l’absence d’atteinte aux droits des tiers ;
Le cas des demandes portant sur de très nombreux courriels est également abordé. Ce cas peut faire l’objet d’une demande de précisions sur la base d’un tableau récapitulatif des éléments adressé au salarié. A noter que la politique de durée de conservation des données permet de cantonner la réponse.
Cette approche pratique cherche à concilier le droit d’accès du salarié avec les droits des tiers (secret des affaires, propriété intellectuelle, droit à la vie privée, secret des correspondances, etc.) lesquels peuvent restreindre les données accessibles ou communicables. L’anonymisation ou la pseudonimisation des éléments transmis est une bonne pratique pour concilier ces droits lorsqu’ils entrent en opposition.
Mais l’accord entre des droits opposés n’est pas toujours possible. L’atteinte au droit des tiers peut conduire à un refus de l’employeur de transmettre certains éléments. Il faudra alors motiver sa réponse sur ce point, et pourvoir en justifier dans le cadre d’un éventuel contrôle de la CNIL.
Si la CNIL ne cite pas la théorie de l’abus de droit, il est clair que le droit d’accès ne peut pas s’écarter de sa finalité pour porter atteinte aux droits d’autres salariés, auteurs ou destinataires des courriels, aux droits des clients et fournisseurs de l’entreprise ni aux droits de l’entreprise elle-même. Celle-ci est en droit d’assurer la protection de ses savoirs faire, de la confidentialité de ses données et du secret de ses affaires (on pense notamment à la nécessité de se défendre d’actions relevant de la concurrence déloyale, du détournement de données confidentielles et de l’abus de confiance).
A l’employeur d’analyser avec attention la demande du salarié pour apporter une réponse adaptée et motivée le cas échéant sur le respect des droits des tiers et les restrictions apportées à la réponse.
Crédit photo : iStock.com
