Qu'il s'agisse d'un travailleur·euse en fonction ou d'un ex-travailleur·euse à la suite de la rupture de son contrat de travail, les demandes d'accès aux dossiers du personnel, régies par le RGPD, imposent aux employeur·euses de respecter des règles strictes. Dans cet article, nous revenons brièvement sur les obligations principales incombant à l’employeur·euse et donnons quelques recommandations indispensables.
Le principe – le droit d'accès et de copie des données à caractère personnel
Le RGPD confère au travailleur·euse le droit de demander à l’employeur·euse si des données le concernant sont traitées, et dans l’affirmative, d’y avoir accès et d’en requérir une copie. Ce droit doit notamment permettre au travailleur·euse de vérifier l'exactitude des données à caractère personnel le concernant, collectées dans le cadre de la relation de travail.
Les limitations – la prudence est de mise
L’employeur·euse ne peut simplement refuser au travailleur l’accès à son dossier personnel mais certaines limites peuvent être invoquées.
1. Ne pas porter atteinte aux droits et libertés d'autrui (article 15(4) RGPD) : L'accès peut être restreint pour protéger entre autres les secrets d’affaires, la propriété intellectuelle et les données à caractère personnel des tiers.
2. La demande est manifestement infondée ou excessive (article 12(5) RGPD) : Une demande pourrait être considérée comme manifestement excessive si elle est répétée, utilisée pour harceler ou léser le responsable du traitement, ou encore présente une charge administrative disproportionnée.
3. Invoquer les limitations sur base du droit de l’Union ou du droit national (article 23(1)(f) RGDP) : Cette exception nécessite l’application d’un certain nombre de conditions spécifiques.
Le plus souvent, le principal motif d’un refus ou d’un accès limité sera lié à l’interdiction de porter atteinte aux droits et libertés d’autrui. Cependant, l’employeur·euse devra toujours être en mesure de démontrer, in concreto, le risque identifié et privilégier l’anonymisation ou la suppression des données sensibles plutôt qu'un refus pur et simple.
In fine, que faire en cas de demande d’accès et de copie ?
1. Identifier et qualifier les données concernées (données personnelles, concernant un tiers ou relevant du secret professionnel ?)
2. Limiter l'accès si nécessaire et privilégier l’anonymisation ou la suppression des données sensibles au refus
3. Informer le travailleur des limitations ou refus, et de la possibilité de saisir l’Autorité de protection des données ou introduire une action judiciaire
4. Respecter les délais (en principe un mois à compter de la demande, avec prolongation possible)
En dernier lieu, et pour résumer, en cas de demande d’accès au dossier du personnel, nous recommandons fortement de privilégier une approche prudente (éviter le refus), pragmatique (éviter la surcharge) mais également proactive (traitement rapide de la demande).
Cet article devrait aussi vous intéresser : CDD ou CDI, comment faire son choix ?
Anneleen Van de Meulebroucke, Sacha Henet et Catherine Lipski, Eubelius Avocats