L’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) en mai 2018 a entraîné des répercussions significatives dans divers domaines, y compris le droit du travail. Parmi les droits conférés par le RGPD, le droit d’accès permet aux salariés et ex-salariés de demander l’accès à leurs données personnelles détenues par l’employeur, y compris les contenus de leur messagerie professionnelle. Cet article examine comment les employeurs doivent répondre aux demandes d’accès des salariés et ex-salariés concernant leur messagerie professionnelle et les emails contenant des informations les concernant, en tenant compte des obligations du RGPD et des spécificités du droit du travail.
Le RGPD accorde à toute personne le droit d’accéder à ses données personnelles. Ce droit est stipulé à l’article 15 du règlement, qui permet à tout individu de demander :
1. La confirmation que des données personnelles le concernant sont traitées.
2. L’accès auxdites données personnelles.
3. Des informations complémentaires sur les finalités du traitement, les catégories de données concernées, les destinataires des données, etc.
Dans le cadre professionnel, ce droit s’applique également aux contenus des emails professionnels qui contiennent des informations personnelles sur le salarié.
Lorsqu’un salarié ou un ex-salarié exerce son droit d’accès à sa messagerie professionnelle, l’employeur doit répondre à cette demande en respectant plusieurs principes :
Tout d’abord, il est essentiel de déterminer quelles informations contenues dans la messagerie professionnelle constituent des données personnelles. Selon le RGPD, une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Cela inclut, par exemple, les échanges d’emails qui mentionnent le salarié, ses évaluations, ses demandes de congé, etc. La CNIL recommande de fournir une copie des emails demandés lorsque ceux-ci contiennent des données personnelles concernant le demandeur. L’employeur doit distinguer entre les courriels dont le salarié est l’expéditeur ou le destinataire et ceux où il est simplement mentionné.
Pour les courriels où le salarié est l’expéditeur ou le destinataire, leur communication est généralement présumée respectueuse des droits des tiers, et l’employeur n’est pas obligé de les anonymiser, sauf si cela porte atteinte aux droits des tiers. Pour les courriels où le salarié est mentionné, l’employeur doit évaluer si leur communication ne porte pas atteinte de manière disproportionnée aux droits des autres salariés.
L’employeur doit fournir une réponse à la demande d’accès dans un délai d’un mois, comme prévu par l’article 12 du RGPD. Ce délai peut être prolongé de deux mois supplémentaires en cas de demande complexe, mais l’employeur doit informer le demandeur de cette prolongation et des raisons de celle-ci.
La réponse de l’employeur doit inclure une copie des données personnelles demandées ainsi que des informations sur le traitement de ces données, telles que les finalités du traitement et les destinataires éventuels. Il est important que les informations soient fournies de manière concise, transparente, intelligible et aisément accessible.
Les emails professionnels peuvent contenir des informations sensibles ou confidentielles concernant l’entreprise. Dans de tels cas, l’employeur peut être amené à expurger certaines informations qui ne sont pas pertinentes pour la demande de l’employé, tout en veillant à respecter le droit d’accès de ce dernier.
Lorsqu’un salarié demande l’accès à des emails contenant des informations personnelles le concernant, il peut arriver que ces emails contiennent également des informations sur des tiers (par exemple, des collègues). L’exercice du droit d’accès ne doit pas porter atteinte aux droits des tiers. L’employeur doit donc s’assurer que la communication des données personnelles ne viole pas le secret des affaires, les droits de propriété intellectuelle, le droit à la vie privée ou le secret des correspondances. L’employeur doit alors trouver un équilibre entre le droit d’accès du salarié et les droits des autres personnes concernées. Cela peut impliquer la suppression des parties d’emails qui concernent des tiers avant de fournir les copies demandées.
Pour faciliter la gestion des demandes d’accès et garantir la conformité au RGPD, les employeurs peuvent adopter plusieurs bonnes pratiques :
1. Mettre en place une Politique de Gestion des Emails : Une politique claire sur l’utilisation des emails professionnels et la gestion des demandes d’accès peut aider à structurer le processus et à informer les salariés de leurs droits et des procédures en place.
2. Former le Personnel : Les employés chargés de traiter les demandes d’accès doivent être formés aux exigences du RGPD et à la manière de traiter ces demandes de manière appropriée.
3. Utiliser des Outils de Gestion des Données : Des outils de gestion des données peuvent aider à identifier, extraire et fournir les informations demandées de manière efficace et sécurisée.
L’articulation entre le RGPD et le droit du travail en matière d’accès à la messagerie professionnelle pose des défis importants pour les employeurs. Cependant, en respectant les principes du RGPD et en adoptant des pratiques appropriées, les employeurs peuvent répondre de manière efficace et conforme aux demandes d’accès de leurs salariés et ex-salariés. Il est également crucial pour les salariés de comprendre leurs droits et de savoir comment les exercer, afin de garantir la protection de leurs données personnelles dans le cadre professionnel. C’est pour cela qu’il sera très important de sensibiliser et former le personnel quant aux exigences du RGPD très régulièrement. Le fait pour l’employeur de créer puis de communiquer sa politique de protection des données concernant les salariés sera également un moyen très efficace d’être transparent avec ces derniers et de leur rappeler qu’ils disposent de droits et de moyens de les exercer. En fin de compte, une gestion transparente et respectueuse des données personnelles contribue à renforcer la confiance entre employeurs et salariés.
Source : https://www.cnil.fr/sites/cnil/files/atoms/files/droit_dacces_aux_courriels_professionnels_0.pdf
