La CNIL a publié des clarifications sur le droit d’accès des salariés à leurs données et mails professionnels.
📝 Qu’est-ce que le droit d’accès ?
L’exercice du droit d’accès permet à une personne :
- de savoir si des données qui la concernent sont traitées
- d’en obtenir la communication dans un format compréhensible.
📩 Demande d’accès de copies de mails professionnels par un salarié
Distinction entre 2 hypothèses :
➡️ Le salarié (le demandeur) est l’expéditeur ou le destinataire des mails visés par la demande
✅ Principe : quand le salarié a déjà eu, ou est supposé avoir eu connaissance des informations contenues dans les messages visés par la demande, la communication des mails est présumée respectueuse des droits des tiers.
Bonne pratique : l’anonymisation ou la pseudonymisation des données relatives aux tiers. La CNIL précise qu’il ne s’agit pas d’une condition préalable à la transmission des mails.
🚨 Exception : l’accès ou la communication de mails pourtant connus du salarié peut représenter un risque pour les droits des tiers, par exemple du fait de la nature des données susceptibles d’être communiquées.
Dans ce cas, l’employeur peut procéder en 2 temps :
- 🧼 essayer de supprimer, anonymiser ou pseudonymiser les données concernant des tiers ou portant atteinte à un secret pour pouvoir faire droit à la demande ;
- 🙅♀️ si ces mesures s’avèrent insuffisantes, refuser de faire droit à la demande d’accès, en motivant et justifiant sa décision auprès du salarié.
Exemple : un employeur pourra refuser de faire droit à une demande de communication de mails contenant des informations qui porteraient atteinte à la sécurité nationale ou à un secret industriel. Dans ce cas, l’employeur devra apporter une justification étayée au salarié.
➡️ Le salarié est mentionné dans le contenu des mails
⚖️ L’employeur doit trouver un équilibre entre la satisfaction du droit d’accès du salarié et le respect des droits et libertés des autres salariés, notamment le secret des correspondances.
Il peut procéder en 2 temps :
- 🔍 S’assurer d’abord que les moyens à mettre en œuvre pour identifier les mails demandés n’entraînent pas d’atteinte disproportionnée aux droits de l’ensemble des salariés de l’organisme.
Si l’identification des mails visés par la demande suppose la mise en œuvre de moyens particulièrement intrusifs tels que le scan de l’ensemble des messageries des salariés de l’organisme, le salarié doit être invité à préciser sa demande. S’il s’y oppose, l’employeur peut invoquer le respect les droits des tiers pour refuser de lui répondre favorablement.
- 🧐 Etudier le contenu des mails demandés et apprécier la portée de l’atteinte aux droits des tiers que représenterait leur communication, notamment au regard du secret de la correspondance et de la vie privée de l’émetteur et des destinataires.
Cette étape suppose une analyse au cas par cas. L’issue dépend de la nature des informations contenues dans les mails.
Exemple : un employeur pourra refuser de donner suite à une demande de communication de mails portant sur une enquête disciplinaire et, dont le contenu, même caviardé, pourrait permettre au salarié l’identification de personnes dont il ne devrait pas avoir connaissance.
💌 Cas des mails personnels
❓Champ d’application : mails identifiés comme étant personnels ou dont le contenu s’avère être privé malgré l’absence de la mention du caractère personnel,
🙅♀️ Principe : l’employeur n’est pas autorisé à y accéder.
Pour ces mails, l’employeur ne pourra pas prendre connaissance du contenu même en vue d’occulter des informations et devra fournir au salarié le mail en l’état
Condition pour fournir ces mails au salarié : le salarié doit en être l’expéditeur ou le destinataire.