Accueil Actualités juridiques du village Droit Social TIC et Droit du travail

RGPD : Salariés et cadres, comment faire valoir votre droit d’accès à vos données personnelles ? Maître Frédéric Chhum, Avocat et Marion Simone, Elève-avocate.

L’article 15 du Règlement Général de Protection des Données (RGPD) prévoit le droit d’obtenir une copie des données à caractère personnel faisant l’objet d’un traitement. [1]
L’article 70-19 de la loi n°2018-493 du 20 juin 2018 reprend cette disposition en précisant que « la personne concernée a le droit d’obtenir du responsable de traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, le droit d’accéder auxdites données ». [2]
Par conséquent, les salariés peuvent exercer leur droit d’accès pour obtenir de nombreux documents. Mais qu’en est-il de l’effectivité de ce droit ? Quels arguments l’employeur peut-il leur opposer ? Et comment les contourner ?

A la fin du présent article, nous proposons, pour les salariés, deux lettres-types de demande de droit d’accès à vos données personnelles.

1) Étendue du droit d’accès aux données personnelles pour les salariés (art 15 RGPD et article 70-19 de la loi du 20 juin 2018).

L’article 4 du RGPD définit « les données à caractère personnel » comme toute information se rapportant à une personne physique identifiée ou identifiable. [3]

Aux termes de l’article 4 du RGPD est réputée être une personne physique identifiable, toute personne qui peut être identifiée :

  • directement : o nom, prénom, o image, o vidéo
  • indirectement : o numéro d’identification, o données de localisation, o des données de connexion de son poste de travail (dès lors qu’elles permettent d’identifier le salarié, par exemple, les connexions à une boîte mail professionnelle nominative)

En conséquence, un salarié ou ancien salarié peut obtenir en vertu de l’article 15 du RGPD, un droit d’accès à l’ensemble des données le concernant, peu importe le support de conservation (numérique ou papier).

Ainsi, un salarié a droit d’accéder aux données relatives à :

  • son recrutement ;
  • son historique de carrière ;
  • sa rémunération ;
  • l’évaluation de ses compétences professionnelles (entretiens annuels d’évaluation, notation) ;
  • son dossier disciplinaire.
  • tout élément ayant servi à prendre une décision à son égard (exemple : une promotion, une augmentation, un changement d’affectation, une sanction). [4]

2) Contourner les limitations au droit d’accès à vos données personnelles que pourrait vous opposer l’employeur.

Le salarié pourra, se voir opposer un certain nombre de limites par l’employeur afin de refuser la transmission des documents demandés.

2.1) Le droit d’accès ne peut porter atteinte aux droits des tiers (art 15 § 4 RGPD).

L’employeur pourra légitimement refuser de transmettre un document contenant les données personnelles de plusieurs personnes.

L’article 15 paragraphe 4 du RGPD prévoit expressément que « le droit d’obtenir une copie […] ne porte pas atteinte aux droits et liberté d’autrui ».

En conséquence :

  • L’employeur pourra, par exemple, refuser de transmettre un e-mail, ou une correspondance impliquant un des collègues du salarié.

Conseil pour obtenir vos documents : demandez à votre employeur de supprimer les noms et prénoms des personnes en copie ou signataire ; ainsi anonymisé, il ne s’agira plus d’une atteinte à leurs données personnelles.

  • Il pourra refuser de transmettre une vidéo dans laquelle un salarié apparaît entouré de tiers.

Conseil pour obtenir vos documents : demandez à votre employeur de réaliser un floutage des visages des autres personnes concernés pour ne garder en clair que votre visage.

Par ailleurs, le droit d’accès ne pourrait porter atteinte au secret des correspondances garantie par les articles 11 de la Déclaration des droits de l’homme et du citoyen de 1789 et 8 de la Convention Européenne de sauvegarde des droits de l’homme et des libertés fondamentales.

Le secret des correspondances constitue une liberté fondamentale reconnue à tous les citoyens.

Dès lors, un salarié ne saurait, en principe, exiger l’obtention d’emails entre l’employeur et le service RH le concernant.

En effet, leur avis sur le salarié est protégé au titre du secret des correspondances.

2.2) Le droit d’accès ne peut porter atteinte au secret des affaires (considérant n°63 RGPD).

L’employeur pourra également opposer aux salariés :

  • La confidentialité des données, souvent l’objet d’une clause dans le contrat de travail du salarié.
  • Le secret des affaires, limite expresse prévue par le RGPD

En effet, le considérant n°63 du RGPD précise que le droit d’accès « ne devrait pas porter atteinte aux droits ou libertés d’autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d’auteur protégeant le logiciel. Cependant, ces considérations ne devraient pas aboutir à refuser toute communication d’informations à la personne concernée. » [5]

En conséquence, il est conseillé aux salariés de préciser, autant que possible, leurs demandes de droit d’accès, et de définir clairement les documents auxquels ils souhaitent accéder.

3) Rendre effectif votre droit d’accès à vos données personnelles.

3.1) Conseil aux salariés pour faire valoir votre droit d’accès à vos données personnelles.

Plusieurs conseils :

1. Avant tout, éviter que votre demande de droit d’accès puisse être qualifiée d’abusive.

Exemple : ne pas demander une copie de l’intégralité de vos données personnelles sur l’ensemble de votre carrière.

2. Circonstancier votre demande de droit d’accès, le principe d’utilité et de proportionnalité ressort du considérant n°63 du RGPD .
o Il est nécessaire d’être précis dans les documents demandés ;
o Un motif de demande de droit d’accès n’est pas exigé, toutefois il est recommandé de justifier sa demande, pour obtenir plus facilement les données.

L’employeur doit répondre dans les meilleurs délais à une demande de droit d’accès et dans un délai maximum d’un mois (article 12.3 RGPD). [6]

Une prolongation de deux mois est possible, « compte tenu de la complexité et du nombre de demandes », à condition d’en informer la personne concernée dans le délai d’un mois suivant la réception de la demande (article 12.3 RGPD).

En cas de refus, ou à défaut de réponse de l’employeur, il est possible d’adresser une plainte auprès de la CNIL avec les éléments attestant des démarches préalables.

Les sanctions sont aujourd’hui plus lourdes pour les employeurs, elles peuvent aller jusqu’à 4% du chiffre d’affaire mondial d’une entreprise, ce qui devrait pousser les entreprises à rendre effectif le droit d’accès aux données personnelles des salariés (art 83 RGPD).

A titre d’exemple, le 21 janvier 2019, la CNIL a condamné Google à une amende de 50 millions d’euros, la plus forte amende jamais prononcée.

Jusqu’ici, son record était de 400 000 euros, une sanction prononcée envers l’application de VTC Uber.

3.2) Salariés - Modèle de lettre droit d’accès à vos données personnelles.

Vous trouverez ci-dessous, pour les salariés, 2 modèles de lettres afin de faire valoir votre droit d’accès, auprès de votre employeur.


Exemple 1.

Objet : demande droit d’accès aux données personnelles

Madame, Monsieur,

En vue de la préparation de mon entretien de suivi annuel de forfait jours, je souhaiterais en vertu du droit d’accès à mes données personnelles (art 15 RGPD), obtenir une copie, en langage clair, dans un format compréhensible de l’ensemble de mes données de connexion à mon poste de travail sur les années 2018-2019.

Je vous remercie de me faire parvenir votre réponse dans les meilleurs délais et au plus tard dans un délai d’un mois à compter de la réception de ma demande (article 12.3 du RGPD).

Je vous prie d’agréer, Madame, Monsieur, l’expression de mes salutations distinguées.

COPYRIGHT ©chhumavocats

Exemple 2.

Objet : demande droit d’accès aux données personnelles

Madame, Monsieur,

Suite à mon licenciement, et au titre de l’article 15 du Règlement général sur la protection des données (RGPD), je souhaiterais en vertu du droit d’accès à mes données personnelles, obtenir une copie, en langage clair, dans un format compréhensible, les documents suivants :

Exemples :

  • Mon dossier disciplinaire sur les 3 dernières années (2019-2017) ;
  • La vidéo surveillance litigieuse du 27 janvier 2019. (Lister précisément les données souhaitées.)

Je vous remercie de me faire parvenir votre réponse dans les meilleurs délais et au plus tard dans un délai d’un mois à compter de la réception de ma demande (article 12.3 du RGPD).

Je vous prie d’agréer, Madame, Monsieur, l’expression de mes salutations distinguées.

COPYRIGHT ©chhumavocats

NB : Si vous envoyez votre demande par voie électronique, les informations vous seront fournies par la même voie, à moins de demander qu’il en soit autrement.

Maître Frédéric CHHUM Avocat à la Cour et Membre du Conseil de l’ordre des avocats de Paris
Marion SIMONE, élève avocate EFB Paris
CHHUM AVOCATS (Paris, Nantes)

Voir tous les articles
de cet auteur et le contacter.

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article : L’avez-vous apprécié ?

50 votes

Notes :