Les entreprises sont régulièrement confrontées à des demandes de droit d’accès de leurs salariés, lesquelles apparaissent parfois dans un contexte contentieux ou précontentieux, potentiellement pour se ménager des éléments de preuve ou de négociation.
Le traitement de la demande de droit d’accès du salarié aux courriels professionnels peut représenter un travail considérable pour l’entreprise.
La Commission Nationale Informatique et libertés (CNIL) admet l’importance de ce travail, et fixe quelques points de repères pour la réponse à apporter, en particulier sur les demandes volumineuses à travers une décision en date du 31 janvier 2025.
Un droit d’accès limité :
Le droit d’accès ne peut porter que sur les données personnelles du salarié contenues dans les documents, et non sur l’accès aux documents eux-mêmes.
Dès lors, lorsque la demande porte sur des mails, l’employeur n’a pas l’obligation de donner au salarié la copie de ceux-ci, son obligation étant de donner accès aux données personnelles du salarié contenues dans ces correspondances.
L’employeur peut naturellement remettre au salarié une copie des mails, ce qui apparait comme la solution la plus simple mais dans ce cas, il convient de s’assurer que l’envoi d’une copie de ces mails ne porte pas atteinte aux droits des tiers.
La CNIL précise que l’employeur peut parfaitement répondre par l’envoi d’un tableau mentionnant les métadonnées (horodatage, destinataires …) et les données personnelles contenues dans ces courriels.
Le droit d’accès aux données personnelles contenues dans les courriels professionnels n’est donc pas un droit d’accès aux courriels eux-mêmes.
Le mode opératoire préconisé par la CNIL :
La CNIL propose une méthode permettant d’éviter aux entreprises une longue analyse, message par message, de ce qui peut être communiqué en réponse à la demande du salarié.
Elle distingue selon les cas:
Le salarié est auteur ou destinataire des mails: ces derniers bénéficient d’une présomption simple du respect du droit des tiers (puisque le salarié est déjà partie à ces échanges) ;
Le nom du salarié est mentionné dans des mails échangés entre d’autres personnes:
Des précautions plus importantes doivent alors être prises, notamment sur les moyens d’identification des courriels et sur l’absence d’atteinte aux droits des tiers ;
Cette approche pratique cherche à équilibrer le droit d’accès du salarié avec les droits des tiers (secret des affaires, propriété intellectuelle, droit à la vie privée, secret des correspondances, etc.) lesquels peuvent restreindre les données accessibles ou communicables.
L’anonymisation des éléments transmis est de nature à concilier ces droits lorsqu’ils entrent en opposition.
Il est donc indispensable de bien analyser chaque situation.
Rappelons que la CNIL peut prononcer de lourdes sanctions financières qui peuvent représenter jusqu’à 4% du chiffre d’affaires avec un montant maximum de 20 millions d’euros.
A lire aussi :
Pas de contribution, soyez le premier