Vous le savez, tout employeur est tenu de respecter le fameux Règlement Général européen de Protection des Données (RGPD) puisqu’il « traite » (collecte, stocke, transmet, etc.) des données à caractère personnel de ses collaborateurs (noms, prénoms, rémunérations, etc.). Ces collaborateurs bénéficient d’ailleurs d’un certain nombre de droits, parmi lesquels figure le droit d’accès.
Qu’est-ce que le droit d’accès ?
En substance, il s’agit, pour un collaborateur, d’obtenir de son employeur la confirmation que des données personnelles le concernant sont, ou ne sont pas, traitées. Lorsqu’elles le sont, l’employeur doit y donner accès et fournir un certain nombre d’informations, dont les finalités poursuivies et les catégories de destinataires de ces données, à l’instar d’un secrétariat social. Il appartient même à l’employeur de fournir une copie de ces données. De surcroît, il s’agit de pouvoir exercer ce droit « facilement et à des intervalles raisonnables”, voire, si possible, à distance via un système sécurisé. En outre, l’employeur ne peut pas y satisfaire n’importe comment, mais bien d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples.
En pratique, comment ça se passe ?
La procédure à suivre figure normalement dans la « notice vie privée » (ou tout autre document équivalent) qui a été communiquée aux collaborateurs et qui renseigne la personne de contact, ainsi que certaines modalités pratiques (par exemple la nécessité, ou non, de joindre une pièce d’identité, en fonction du système mis en place en interne). L’employeur doit répondre à cette demande dans les meilleurs délais et au plus tard dans un délai d’1 mois à compter du moment où il l’a reçue. Ce délai peut être prolongé si la demande est complexe ou si l’employeur reçoit de nombreuses demandes.
Est-ce un droit absolu ?
Non, la logique première est de permettre aux personnes concernées de « reprendre le contrôle » sur leurs propres données. Pour autant, tout n’est pas permis.
Le RGPD lui-même reconnaît que l’exercice de ce droit ne devrait “pas porter atteinte aux droits ou libertés d’autrui, y compris [mais donc pas seulement] au secret des affaires ou à la propriété intellectuelle”. Également, un employeur « qui traite une grande quantité de données » peut demander à un collaborateur de préciser au préalable sur quelles données/opérations de traitement sa demande porte, ce qui permet de réfréner certaines formes de « fishing expedition » qui ne répondent pas vraiment à la logique sous-jacente de ce droit. Par ailleurs, il peut refuser de donner suite aux demandes qui sont « manifestement infondées ou excessives, notamment [mais donc pas seulement] en raison de leur caractère répétitif”.
A l’étranger, plusieurs décisions de justice ont déjà été rendues depuis l’entrée en vigueur du RGPD, notamment en ce qui concerne l’accès à un dossier disciplinaire. De même, pour l’autorité française de protection des données, « c’est un droit personnel qui ne doit pas porter atteinte aux droits des tiers (exemple : autre salarié, visiteur, etc.). Par exemple, dans le cas d’un droit d’accès portant sur un rapport circonstancié établi à la suite d’un dysfonctionnement, l’identité des personnes mentionnées dans le document, autres que la personne exerçant son droit, devra être occultée » L’Autorité belge de Protection des Données elle-même a indiqué que ce droit ne justifiait pas la remise à un ancien collaborateur d’une copie de l’ensemble des emails qui se trouvaient dans sa messagerie électronique au moment de son départ et dans lesquels il était simplement l’auteur de ces emails ou l’un de leurs destinataires.
Malheureusement, sur plusieurs aspects pratiques il y a encore des divergences de vue entre autorités et il faudrait donc qu’un arrêt de la Cour de Justice de l’Union Européenne intervienne rapidement sur la question pour y mettre bon ordre.
Tout est une question d’équilibre
En résumé, ce droit d’accès n’est pas absolu, mais, en pratique, la tâche peut s’avérer complexe lorsqu’il s’agit de satisfaire à la fois au droit d’une personne de « récupérer le contrôle » sur ses propres données et les intérêts légitimes d’un employeur de ne pas révéler davantage d’informations que nécessaire, notamment lorsqu’il convient de protéger les droits et libertés d’autrui, en ce compris les siens.