Il faut avoir à l’esprit que le droit d’accès porte uniquement sur les données personnelles et non pas sur des documents, cela concerne le droit d’accès mail.
Une personne ne peut donc pas réclamer la communication d’un document sur le fondement du droit d’accès. Cependant, il n’est pas interdit à la société de communiquer des documents plutôt que les seules données, si elle estime que c’est plus pratique.
Exemple : lorsqu’une personne concernée souhaite exercer son droit d’accès à des courriels, l’employeur doit fournir tant les métadonnées (horodatage, destinataires…) que le contenu des courriels. Dans cette situation, la communication d’une copie des courriels apparaît comme la solution la plus aisée pour que l’organisme puisse satisfaire la demande, mais n’est pas obligatoire.
Demande de communication des données personnelles qu’elle pourrait être la stratégie du salarié en utilisant son droit d’accès mail ?
Un salarié peut dès lors utiliser ses mails pour démontrer la réalité de ses horaires de travail, de la dénonciation d’une situation particulière, de l’exercice d’un droit ou de l’existence même de son appartenance à l’entreprise (en matière de requalification par exemple).
Que faut-il apporter comme réponse à une demande de droit d’accès mail ?
Lorsque la société (le responsable de traitement) répond à une demande de droit d’accès d’un salarié à des courriels professionnels, l’employeur doit apprécier l’atteinte au droit des tiers et droit des affaires que représenterait cette communication : il va ainsi devoir faire un tri entre les messages communicables et ceux qui ne le sont pas.
Pour cela, l’employeur doit distinguer deux situations, selon que le salarié demandeur est :
L’expéditeur ou le destinataire des courriels ;
Lorsque le salarié a déjà eu, ou est supposé avoir eu connaissance des informations contenues dans les messages visés par la demande, la communication des courriels est présumée respectueuse des droits des tiers.
Dans ce contexte, l’anonymisation ou la pseudonymisation des données relatives aux tiers constitue une bonne pratique, et non une condition préalable à la transmission des courriels.
Toutefois, dans des cas exceptionnels, l’accès ou la communication de courriels pourtant connus du demandeur peut représenter un risque pour les droits des tiers, par exemple du fait de la nature des données susceptibles d’être communiquées. Il appartient alors à l’employeur de :
- essayer de supprimer, anonymiser ou pseudonymiser les données concernant des tiers ou portant atteinte à un secret pour pouvoir faire droit à la demande
- si, et seulement si ces mesures s’avèrent insuffisantes, refuser de faire droit à la demande d’accès en motivant et justifiant sa décision auprès de la personne concernée.
Le salarié est seulement mentionné dans le contenu des courriels ;
L’employeur s’assure d’abord que les moyens à mettre en œuvre pour identifier les courriels demandés n’entraînent pas d’atteinte disproportionnée aux droits de l’ensemble des salariés de l’organisme. Il étudie ensuite le contenu des courriels demandés et apprécie la portée de l’atteinte aux droits des tiers que représenterait leur communication.
Pour ses courriels « PERSONNEL ET CONFIDENTIEL », l’employeur ne pourra pas prendre connaissance du contenu même en vue d’occulter des informations et devra fournir au demandeur le courriel en l’état, à condition que ce dernier soit l’expéditeur ou le destinataire.
Le RGPD vous impose de protéger les données de vos collaborateurs et la CNIL vous propose une fiche détaillée.
DPO Partage vous accompagne afin de répondre à votre demande de droit d’accès
Comments 1