L’article 15 du Règlement général sur la protection des données (UE) n°2016/679 dit « RGPD » permet à toute personne d’avoir accès et d’obtenir une copie des données personnelles la concernant :
« 1. La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations suivantes:
a) les finalités du traitement;
b) les catégories de données à caractère personnel concernées;
c) les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales;
d) lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée;
e) l’existence du droit de demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s’opposer à ce traitement;
f) le droit d’introduire une réclamation auprès d’une autorité de contrôle;
g) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source;
h) l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.
2. Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d’être informée des garanties appropriées, en vertu de l’article 46, en ce qui concerne ce transfert.
3. Le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement. Le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée. Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement.
4. Le droit d’obtenir une copie visé au paragraphe 3 ne porte pas atteinte aux droits et libertés d’autrui. »
L’article 15 du RGPD offre, dès lors, à la personne concernée, le droit d’obtenir de celui qui traite ses données, communication et copie de ses données à caractère personnel.
Le droit d’accès comporte également un droit plus large d’information sur le traitement en question, à savoir : les finalités du traitement, les catégories de données traitées, les destinataires ou catégories de destinataires de ces données, leur durée de conservation ou les critères pour déterminer cette durée, l’existence des droits du salariés, le cas échéant, la source auprès de laquelle les données ont été collectées et l’existence d’une prise de décision automatisée.
L’objet du droit d’accès est notamment de permettre à celui qui l’exerce de prendre connaissance du traitement et d’en vérifier la licéité.
Ce droit d’accès s’exerce sans qu’il soit nécessaire, pour la personne concernée, de justifier d’un motif légitime.
– Quelles informations doivent être communiquées au salarié au titre de l’exercice de son droit d’accès ?
Il s’agit de toutes les données qui sont collectées et traitées par l’employeur concernant celui qui en fait la demande, notamment les données relatives à son recrutement, sa carrière, sa rémunération, l’évaluation de ses compétences professionnelles, ses antécédents disciplinaires et tout élément ayant servi à prendre une décision à son égard (promotion, augmentation, changement d’affectation, sanction…).
– Le droit d’accès est-il absolu ou l’employeur peut-il opposer au salarié certaines limites ?
Si le droit d’obtenir une communication des données semble sans limite (sous réserve des demandes manifestement abusives : infondées ou excessives), il en va différemment du droit d’obtenir une copie des données, dont l’exercice ne doit pas porter atteinte aux droits et libertés d’autrui.
Cela implique notamment que, n’ont pas à être communiquées par l’employeur :
- les données protégées par le secret des affaires ;
- les données protégées par des droits de propriété intellectuelle ;
- les données protégées par le secret des correspondances.
En revanche, il est bien évident que l’employeur n’est pas tenu de communiquer des données qui ont été effacées, dans la mesure où leur communication au salarié n’est plus possible (exemple : les enregistrements réalisés par un dispositif de vidéosurveillance conservés normalement 30 jours maximum puis détruits).
– Quels sont les modalités d’exercice du droit d’accès ?
Le droit d’accès peut être exercé par le salarié sur place ou par écrit, y compris par voie électronique.
Si le droit d’accès s’exerce gratuitement, l’employeur est néanmoins en droit d’exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire de ses données demandée par le salarié.
En cas de « doute raisonnable » sur l’identité de la personne formulant la demande, l’employeur peut lui demander de joindre tout document permettant de prouver son identité, comme par exemple une photocopie d’une pièce d’identité. En revanche, l’employeur ne peut pas exiger systématiquement de telles pièces justificatives, lorsque le contexte ne le justifie pas.
– Quels sont les modalités de réponse à une demande de droit d’accès ?
L’employeur doit répondre dans les meilleurs délais à une demande relative au droit d’accès, et aux termes de l’article 12.3 du RGPD, dans un délai maximum d’un mois suivant la réception de la demande. Ce délai de réponse d’un mois peut être prolongé de deux mois « compte tenu de la complexité et du nombre de demandes». L’employeur doit, dans cette hypothèse, informer le salarié de la prolongation du délai et du motif du report avant l’expiration du délai initial d’un mois.
Si l’employeur ne donne pas suite à la demande de droit d’accès, le salarié devra être informé des motifs le justifiant, ainsi que de la possibilité d’introduire une réclamation auprès de la CNIL et de former un recours juridictionnel.
Les modalités de communication des données sont susceptibles de différer selon la forme prise par la demande du salarié :
- Si la demande est formulée sur place et que l’employeur ne peut pas y apporter une réponse immédiatement, il doit remettre au salarié un avis de réception daté et signé.
- Si la demande est formulée par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que le salarié ne demande qu’il en soit autrement. Dans ce dernier cas, l’employeur doit rester attentif aux modalités de transmission des informations qui doivent se faire de manière sécurisée.
En cas de défaut de réponse dans les conditions et délais (un ou trois mois selon le cas) légaux, ou en cas de réponse incomplète, le salarié se voit reconnaitre la possibilité d’introduire une réclamation auprès de la CNIL et/ou de former un recours juridictionnel à l’encontre de son employeur. Le salarié peut également utiliser les voies judiciaires pour contraindre le responsable du traitement de s’exécuter.
A défaut de procéder à une communication complète des données traitées, l’employeur commettrait un manquement aux dispositions de l’article 15 du RGPD, lequel expose son auteur à une amende administrative pouvant s’élever jusqu’à 20 000 000 euros ou 4% du chiffre d’affaire annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.