Droit d’accès des salariés : levier ou dérive ?

Le droit d’accès aux données personnelles, principe fondamental du RGPD, semble devenir un outil stratégique pour les salariés en litige avec leur employeur. Fréquemment invoqué en réponse à un licenciement, il permet d’obtenir des preuves, de déstabiliser l’employeur et d’exercer une pression dans les négociations, notamment lorsque l’entreprise n’est pas conforme au RGPD. Face à cette pratique, certains magistrats français et européens s’interrogent sur la nécessité de limiter cet usage et d’ériger de nouvelles conditions afin d’éviter les abus et protéger les employeurs.

Un droit utilisé au-delà de sa finalité initiale

Le droit d’accès, principe clé du RGPD, permet à chacun de savoir si ses données personnelles sont traitées, d’y accéder et d’en vérifier la légalité. L’exercice de ce droit n’exige aucune justification, comme l’a récemment rappelé la CJUE, y compris lorsque la demande poursuit un objectif étranger aux finalités initiales du RGPD (CJUE, C-307/22, 26 octobre 2023). Cela signifie que les salariés peuvent invoquer librement ce droit, obligeant ainsi l’employeur à y répondre sans possibilité de limiter ou refuser l’accès.

Des garde-fous déjà prévus par les textes et en pratique

Si le droit d’accès aux données personnelles n’a pas à être motivé, il n’est pas pour autant absolu.

Le RGPD prévoit déjà des restrictions pour protéger les droits et libertés d’autrui, tels que le secret des affaires, la confidentialité des échanges et la correspondance privée et permettre aux responsables de traitement de refuser de répondre aux demandes « manifestement infondées ou excessives »notamment en raison de leur caractère répétitif.

Certaines juridictions étrangères commencent à recourir à ces limites. Deux décisions étrangères récentes illustrent cette évolution :

- Une demande de droit d’accès à un assureur pour obtenir des informations afin de contester des primes a été jugée hors du cadre du droit d’accès. L’assureur a ainsi pu légitimement refuser de répondre à la demande de son assuré d’obtenir les     éléments demandés (Cour d’appel de Hamm, Allemagne, 3 mai 2023)

- Un ancien salarié ne pouvait pas obtenir la communication de courriels et prises de position le concernant liés à un litige en cours car le secret de l’entreprise et la confidentialité des échanges prévalant sur son droit d’accès (Tribunal administratif fédéral autrichien, 8 juillet 2024)

Cette tendance jurisprudentielle pourrait marquer un tournant en limitant l’usage du droit d’accès lorsqu’il est détourné de son objectif initial.

Le cas particulier des demandes d’accéder à l’ensemble des emails

Dans le cadre de la troisième édition de l’action coordonnée du Comité européen de la protection des données (CEF 2024),la CNIL et ses homologues ont mené des contrôles auprès d’organismes publics et privés afin d’évaluer la mise en œuvre du droit d’accès. Ces investigations ont mis en évidence que de nombreux organismes fournissent une réponse partielle aux demandes, notamment lorsque celles-ci concernent l’ensemble des données détenues.

Face à ce constat, la CNIL a mis à jour en janvier ses recommandations pour accompagner les entreprises dans la gestion des demandes massives d’accès aux emails des salariés. Elle recommande notamment de fournir un tableau récapitulatif des courriels envoyés ou reçus, sans en divulguer le contenu intégral. Par ailleurs, lorsqu’une extraction de données représente une charge disproportionnée pour l’employeur, la CNIL consacre la pratique consistant à demander des précisions de la part du salarié avant d’y répondre.

Une décision récente illustre cette approche pragmatique : les juges français ont considéré qu’un employeur n’a pas à fournir l’ensemble des emails d’un salarié licencié si sa boîte de messagerie a été supprimée, conformément à la politique de conservation des données de l’entreprise (Cour d’appel de Paris, 12 mai 2022).

Que retenir de ces évolutions ?

Pour concilier respect du RGPD et préservation des intérêts de l’entreprise, les employeurs ont tout intérêt à adopter des mesures organisationnelles claires. Nous recommandons les suivantes :

- Définir une politique de conservation et de suppression des données personnelles, notamment des emails professionnels, en fixant une durée précise après le départ d’un salarié.

- Mettre en place un processus interne structuré pour gérer efficacement les demandes d’accès et garantir le respect des délais réglementaires.

- Encadrer l’usage du droit d’accès en contentieux en proposant au juge prud’homal d’interroger le salarié sur la finalité de sa demande d’accès, afin de pouvoir démontrer un éventuel abus de droit.

Ces mesures permettront ainsi aux entreprises de répondre à leurs obligations légales tout en limitant les risques liés à des demandes détournées de leur objectif initial.

 

Pour toute question ou accompagnement, n’hésitez pas à nous solliciter en écrivant à cbeaussier@squairlaw.com.

Clémentine Beaussier, avocate associée chez Squair

Lire l'article
Ecouter l'épisode
Lire le communiqué
Voir la vidéo
En savoir plus
17 février 2025
Say, hi !
Cta Arrow
Saturday - Thursday :
8:30 am - 10:45 pm
Call for an appointment

hello@libertylaw.com

Brand logo

© 2024

Squair

Pages
Accueil
Activités
Équipe
Actualités
Contact
Informations Légales
Mentions Légales
Conditions générales d'utilisation
Politique de confidentialité