C’est dans une note publiée sur son site officiel le 5 janvier dernier que la CNIL a pris la décision de préciser l’un des points de la loi informatique et libertés de 1978. Depuis l’entrée en vigueur du Règlement général sur la protection des données (RGPD) en mai 2018, il faut dire que les cas de litiges autour des droits des salariés sur Internet ont considérablement augmenté. Un constat qui se retrouve notamment dans les affaires prud’homales, pendant lesquelles certains plaignants réclament de leur ancien employeur d’accéder à l’ensemble des informations les concernant, y compris les plus confidentielles.
Une zone d’ombre surexploitée
Jusqu’à présent, le droit d’accès prévu par le RGPD permettait ainsi à des salariés de demander devant le tribunal des Prud’hommes, l’ensemble des documents sur lesquels ils apparaissaient. Une demande qui pouvait aller jusqu’à concerner des courriels internes mentionnant le nom du plaignant, alors même qu’il n’était ni destinataire ni émetteur de ces derniers. Un détournement du droit qui se heurtait à la limite du secret des correspondances, et sur lequel la CNIL s’était toujours montrée discrète, refusant jusqu’alors d’ajuster ou de préciser le cadre du droit d’accès.
En mai 2019 notamment, le régulateur de l’informatique français avait rédigé une fiche expliquant : “le salarié peut obtenir l’accès et la communication de l’ensemble des données le concernant, qu’elles soient conservées sur support informatique ou papier. Il a ainsi le droit d’accéder aux données relatives à son recrutement, son historique de carrière, l’évaluation de ses compétences professionnelles (entretiens annuels d’évaluation, notation), ses demandes de formation et les éventuelles évaluations de celles-ci, son dossier disciplinaire, (…) ses données issues d’un dispositif de géolocalisation, tout élément ayant servi à prendre une décision à son égard”. Un texte facilement extrapolable donc.
La CNIL précise
Face à ce flou juridique, la CNIL a donc tenu à préciser quelques points du texte en question. En plus d’être gratuit et obligatoire, le droit d’accès exercé par un salarié (ou ancien salarié) ne porte ainsi que “sur des données personnelles et non sur des documents”, précise le gendarme français. De plus, “l’exercice du droit d’accès ne doit pas porter atteinte aux droits des tiers”. Le secret des affaires et des correspondances, ou le droit à la vie privée, sont donc autant d’obstacles qui peuvent restreindre le droit d’accès. Un employeur pourra désormais s’appuyer sur ces facteurs pour refuser légitimement de fournir des documents confidentiels ou internes concernant un salarié.
Concrètement, la CNIL distingue ainsi deux cas : si le demandeur est l’expéditeur ou le destinataire d’un mail, et qu’il est déjà supposé avoir eu connaissance du document visé, l’entreprise sera ainsi tenue de répondre favorablement à la demande. Elle pourra cependant choisir d’anonymiser certaines données. Dans le cas où le demandeur serait simplement mentionné dans le mail visé en revanche, l’employeur pourra au préalable s’assurer que le document “n’entraîne pas d’atteinte disproportionnée aux droits de l’ensemble des salariés de l’organisme”. Il prendra ensuite une décision après examen du contenu du mail, en s’assurant que ce dernier ne porte pas atteinte aux droits ou à la divulgation de l’identité d’un collaborateur de l’entreprise. Le cas des courriers personnels reste quant à lui un cas particulier, puisque l’employeur n’est, théoriquement, pas en mesure d’y accéder.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
