L’exercice de son droit d’accès par le salarié pourrait ainsi porter sur des milliers de documents de toute sorte, ne faisant l’objet d’aucun classement, à identifier, trier, rassembler sur plusieurs années. L’idée a de quoi faire frémir plus d’un dirigeant d’entreprise …
Qu’en est-il vraiment ?
L’objet même du nouveau règlement européen est d’assurer une meilleure protection des citoyens européens sur leurs données, et notamment de leur en redonner le contrôle dans un environnement technologique qui favorise la dilution entre la vie privée et la vie publique.
A ce titre, ainsi que rappelé au considérant 63 du Règlement, il est apparu essentiel de reconnaître à chaque personne concernée « le droit d’accéder aux données à caractère personnel qui ont été collectées à son sujet et d’exercer ce droit facilement, (…) afin de prendre connaissance du traitement et d’en vérifier la licéité ».
L’article 15 du Règlement prévoit ainsi que « la personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données personnelles la concernant sont ou ne sont pas traitées » et que le responsable du traitement doit lui fournir « une copie des données à caractère personnel faisant l’objet d’un traitement ». Ce principe est repris à l’article 39 de la loi du 6 janvier 1978 modifiée par la loi du 20 juin 2018 de transposition du Règlement, lequel prévoit que « toute personne physique justifiant de son identité a le droit d’interroger le responsable d’un traitement de données à caractère personnel en vue d’obtenir : (…) 4° La communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l’origine de celles-ci ».
Rappelons qu’en France, le droit d’accès n’est pas nouveau et était reconnu aux personnes concernées dès la loi précitée de 1978. Disons plutôt que ce droit a surtout été mis en lumière par l’entrée en vigueur du RGPD.
Faut-il pour autant déduire de ces textes, comme semble le faire le Guardian, que le droit d’accès serait illimité et permettrait à tout salarié d’obtenir de son employeur la communication du moindre email dans lequel son nom serait mentionné ? L’aubaine paraît trop bonne.
Un droit d’accès encadré.
Aucune autorité de contrôle européenne ne s’est à ce jour officiellement prononcée sur cette question. Néanmoins, une telle affirmation semble très excessive et peu conforme à l’esprit du texte.
Reprenons le considérant 63 du Règlement. Il est expressément indiqué que le droit d’accès n’est pas illimité et que « ce droit ne devrait pas porter atteinte aux droits ou libertés d’autrui, y compris au secret des affaires ou à la propriété intellectuelle ». Il est également rappelé au considérant 4 que « le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité ».
L’exercice du droit d’accès se heurte ainsi à la mise en œuvre d’autres règles d’égale importance, dont le respect doit être apprécié au regard des différents intérêts en balance. Ce principe est notamment repris à l’article 23 du Règlement qui prévoit que différents motifs peuvent venir limiter l’ensemble des droits reconnus aux personnes concernées.
L’exercice du droit d’accès peut être limité par d’autres obligations.
Toute demande de communication par un salarié des données personnelles le concernant détenues par son employeur, devra être appréciée au regard notamment des règles suivantes :
Comme précédemment mentionné, le droit d’accès vise à permettre à chacun de vérifier les données détenues sur lui par telle ou telle autre entité et la licéité du traitement qui en est fait. Dans cette perspective, l’objectif poursuivi de protection de la vie privée ne saurait justifier, sans perdre tout son sens, qu’une personne concernée puisse obtenir, sur le fondement de son droit d’accès, la communication de données personnelles ne le concernant pas.
Il apparaît qu’un employeur pourrait légitimement refuser la communication à un salarié de documents contenant les données personnelles de plusieurs personnes, dès lors qu’une telle communication représenterait une violation des droits des tiers à cette demande.
Par ailleurs, la communication de tout document émis ou reçus par le salarié dans le cadre de ses fonctions pose en soit un sérieux problème de confidentialité.
D’une part, il est très fréquent qu’un salarié signe dans son contrat de travail une clause de confidentialité par laquelle il s’interdit de divulguer, conserver ou reproduire toute information en lien, directement ou indirectement, avec l’exercice de ses fonctions et l’activité de l’entreprise. La jurisprudence a d’ailleurs condamné à de nombreuses reprises des salariés pour avoir transférés des emails professionnels vers leur messagerie personnelle, en violation de leur clause de confidentialité, acte assimilé à un vol d’informations.
D’autre part, tout document contenant des informations commerciales non divulguées est susceptible d’être protégé par le secret des affaires, encadré par la toute récente loi du 30 juillet 2018. Le considérant 63 du Règlement, cité précédemment, mentionne d’ailleurs expressément au titre des limites à l’exercice du droit d’accès, la violation du secret des affaires.
Il en découle qu’un employeur serait en conséquence parfaitement légitime à refuser de communiquer à un salarié tout document contenant des données personnelles le concernant, dès lors que ce document contiendrait également des informations couvertes par une obligation de confidentialité ou le secret des affaires.
En effet, le motif supérieur de protection des libertés individuelles ne saurait devenir un prétexte pour conserver voire obtenir des informations confidentielles essentielles pour l’entreprise, et rendre les obligations de confidentialité vides de sens ! Le contrat de travail repose sur un engagement mutuel fondé sur la confiance et la loyauté dont la préservation paraît tout aussi fondamental que la protection des personnes physiques sur leurs données.
De la même manière, il nous semble qu’un employeur pourrait également légitimement s’opposer à la communication des correspondances dans lesquelles il exprime son opinion sur le salarié, celles-ci étant considérées comme des correspondances privées protégées par le secret.
Ainsi que l’a précisé la CNIL à l’occasion de l’entrée vigueur de la loi du 7 octobre 2016 pour une République numérique, dont l’article 68 régit le secret des correspondances privées, doit être considérée comme privé « tout message exclusivement destiné à une ou plusieurs personnes physiques ou morales, déterminées et individualisées. L’exemple le plus concret est le courriel échangé entre deux ou plusieurs correspondants, depuis un service de messagerie ».
Le secret des correspondances découle, au même titre que le droit au respect de la vie privée, du principe de libre communication des pensées et des opinions, qui constitue une des libertés fondamentales reconnues à tous citoyens, ainsi qu’il ressort respectivement de l’article 11 de la Déclaration des droits de l’homme et du citoyen de 1789 et de l’article 8 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales.
Il en ressort qu’un employeur disposerait d’un certain nombre d’arguments pour refuser, ou à tout le moins limiter, toute demande de communication portant sur l’intégralité des données personnelles détenues sur un salarié.
L’exercice du droit d’accès ne peut être abusif.
En tout état de cause, et de manière plus générale, il est expressément prévu à l’article 39 de la loi du 6 janvier 1978 modifiée suite à la loi de transposition du Règlement que « le responsable du traitement peut s’opposer aux demandes manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique ».
Une demande d’accès portant sur l’intégralité des données détenues par son employeur pourrait semble-t-il caractériser un tel abus, compte tenu de la masse colossale de travail nécessaire pour identifier et réunir cette documentation, ainsi que de l’évidente inutilité de cette démarche. Comment en effet justifier une telle demande, si ce n’est par un certain ressentiment à l’encontre de son employeur ? Comment un salarié serait-il en mesure d’analyser des milliers de documents pour vérifier la licéité des traitements ?
Certes, la notion d’utilité du droit d’accès n’existe pas dans la règlementation. La personne concernée n’a pas à justifier d’un quelconque intérêt à sa demande. Néanmoins, l’idée de proportionnalité des droits de chacun est au cœur du Règlement qui prévoit dans son principe que l’exercice du droit d’accès doit toujours être mis en balance avec les autres droits en présence.
L’idée d’utilité et de proportionnalité ressortent également du considérant 63 du Règlement selon lequel « lorsque le responsable du traitement traite une grande quantité de données relatives à la personne concernée, il devrait pouvoir demander à celle-ci de préciser, avant de lui fournir les informations, sur quelles données ou quelles opérations de traitement sa demande porte ».
D’ailleurs, la jurisprudence des tribunaux français retient traditionnellement que l’exercice de tout droit se heurte à l’abus de droit, traditionnellement entendu comme le fait d’user d’un droit dans l’intention de nuire à autrui. Un employeur pourrait ainsi invoquer l’abus du droit d’accès pour justifier le refus de donner suite à une demande manifestement excessive très probablement justifiée par le désir de nuire à son employeur ou une curiosité malsaine.
De même, le droit d’accès ne saurait être détourné afin de donner au salarié les moyens de rechercher s’il ne pourrait faire valoir contre son employeur une éventuelle faute. En droit processuel français, une partie à un contentieux ne peux contraindre l’autre partie à lui communiquer des éléments permettant de rapporter la preuve de ses allégations que sur la démonstration d’un motif légitime à l’établissement de cette preuve. Utiliser le droit d’accès pour rechercher un éventuel motif pour engager la responsabilité de son employeur reviendrait à contrevenir aux principes fondamentaux de la procédure civile. Ici encore, un tel usage de ce droit paraît abusif au regard de sa finalité.
En conclusion.
Il nous semble que, si le RGPD renforce le droit d’accès de la personne concernée, son exercice n’en est pas moins encadré et susceptible d’abus, compte tenu de sa finalité et des autres obligations avec lesquelles il entre en conflit.
Il convient d’ailleurs de souligner qu’antérieurement au RGPD, la CNIL reconnaissait de manière constante au salarié le droit d’accéder aux données de son dossier professionnel, c’est-à-dire à l’ensemble des données en rapport avec la relation de travail entretenue avec son employeur et susceptibles d’avoir influées sur l’évolution de sa situation au sein de l’entreprise. De fait, les décisions de la CNIL se justifiaient par l’utilité de la communication de ces données au salarié, dès lors que leur traitement avait un impact sur sa situation professionnelle.
La raison voudrait que la jurisprudence rendue sous l’empire du RGPD reste dans cette même ligne et adopte une position mesurée vis-à-vis de demandes de communication ayant manifestement pour seul objet de nuire à leur employeur. Les textes lui en donne en tout état de cause les moyens juridiques …