
Article IT et données personnelles | 06/02/25 | 5 min. | Florence Chafiol Alexandra Antalis
La CNIL a mis à jour sa fiche intitulée « Le droit d’accès des salariés à leurs données et aux courriels professionnels » le 31 janvier 2025. Cette fiche, très largement utilisée par les organismes confrontés à des demandes de droit d’accès de la part de leurs salariés ou anciens salariés, n’avait pas été mise à jour depuis janvier 2022.
La CNIL, qui a par ailleurs publié le 20 janvier dernier le bilan des contrôles qu’elle a menés dans le cadre de l’action coordonnée européenne (coordinated enforcement framework) du Comité européen de la protection des données (CEPD), semble avoir désormais acquis une vision plus précise des pratiques en matière de gestion des demandes de droit d’accès, mais également des problématiques rencontrées par les organismes (demandes trop larges, instrumentalisation du droit d’accès, difficulté à caviarder les documents, etc.) à la suite des différents contrôles qu’elle a réalisés dans ce cadre mais également du traitement des nombreuses plaintes qu’elle reçoit quotidiennement à ce sujet.
La mise à jour de la fiche CNIL concerne essentiellement les demandes d’accès de salariés ou anciens salariés aux courriels dont ils sont expéditeurs, destinataires, en copie ou dans lesquels ils sont seulement cités ou visés, la demande visant par conséquent un très grand nombre de courriels.
Ces demandes d’accès sont extrêmement chronophages et coûteuses pour les employeurs et dépassent d’ailleurs bien souvent la finalité première du droit d’accès.
En effet, alors que les nombreux droits que le RGPD confère aux individus visent légitimement à leur permettre de conserver la maîtrise de leurs données et d’éviter toute utilisation excessive de leurs données, ces droits – tels que les droits d’opposition, d’effacement ou d’accès – sont désormais invoqués par des salariés à des fins étrangères à la protection de leurs données, dans le but d’entraver – ou de rendre plus complexe – le travail de recherche qui incombe à l’employeur, conduisant ainsi à une instrumentalisation de ces droits.
Toutefois, les employeurs se doivent de répondre à ces demandes d’accès sous peine au mieux de recevoir un courrier de la CNIL (en cas de plainte d’un salarié mécontent) ou au pire de se voir infliger une sanction.
La fiche initiale de la CNIL fournissait aux employeurs des clés face à des demandes formulées par des salariés ou anciens salariés portant sur les courriels (notamment ceux dont ils n’étaient pas destinataires ou en copie mais dans lesquels ils étaient cités), mais elle n’évoquait pas le cas des demandes portant sur un très grand nombre de courriels. C’est désormais chose faite puisque la CNIL prévoit une section dédiée aux « demandes portant sur de très nombreux courriels ».
La mise à jour de la fiche permet à la CNIL de rappeler que lorsque les courriels sont visés par la demande de droit d’accès, tant les métadonnées des courriels (horodatage, destinataires) que les données à caractère personnel contenues dans ces courriels doivent être fournies. À cet égard, la position de la CNIL diffère de celle de la CJUE précisée dans son arrêt du 4 mai 2023 (F.F. contre Österreichische Datenschutzbehörde, affaire C-487/21, points 46 et 53) dans lequel elle semble écarter les métadonnées des informations visées par le droit d’accès.
La CNIL fournit également une méthodologie pour les organismes qui doivent répondre à des demandes d’accès visant un nombre considérable de messages (le terme n’étant pas précisé par la CNIL, nous ne connaissons pas le seuil au-delà duquel la demande doit être considérée comme large, il s’agit à cet égard de faire preuve de bon sens et de bonne foi dans l’approche retenue) :
Bien qu’une méthodologie ait le mérite d’exister, elle manque cependant cruellement de clarté. En effet, la CNIL n’indique pas ce que l’organisme doit faire si le salarié ou ancien salarié refuse de préciser sa demande. À défaut de précision à ce sujet, il semblerait que dans un tel cas, il faille tout de même lui communiquer ses données à caractère personnel, mais que de telles données peuvent être extraites des courriels afin de ne pas avoir à communiquer des courriels dont le caviardage demanderait un travail trop important (voire pour certaines demandes impossible) pour l’organisme.
Il faut donc retenir de la nouvelle méthodologie de la CNIL que (1) la communication d’une copie des courriels peut apparaître comme la solution la plus aisée pour les organismes, mais que cela n’est pas obligatoire et (2) l’envoi d’un tableau contenant les métadonnées et les données à caractère personnel contenues dans les différents courriels est également une solution.
On peut s’interroger sur l’intérêt d’une telle solution qui sera très certainement tout aussi chronophage qu’un caviardage et des nouvelles clarifications de la part de la CNIL sont déjà les bienvenues.