Contact
Nous contacter

Mise à jour de la CNIL et Droit d’accès aux données des salariés: les recommandations à mettre en place

  • Publié le: 21 février 2025

Le 31 janvier 2025, la Commission nationale de l’informatique et des libertés (CNIL) a actualisé sa fiche sur le droit d’accès des salariés1 à leurs données personnelles et aux courriels professionnels.

Cette mise à jour intervient après une intensification des sanctions en 20242, alors que le droit d’accès constituait une thématique de contrôle prioritaire de la CNIL3. De nombreuses entreprises ont signalé des difficultés pratiques face à des demandes d’accès impliquant des volumes considérables de courriels, soulevant des enjeux de faisabilité et de protection des droits des tiers.

À la lumière de ces constats, la CNIL a ajusté sa doctrine en donnant plus d’outils aux employeurs, pour mieux gérer ces demandes tout en garantissant aux salariés l’exercice effectif de leurs droits. Notre analyse et nos conseils ci-dessous, à la suite de notre dernier article sur les obligations des employeurs en matière de protection des données (RGPD : Quelles obligations pour les employeurs ? – Aumans Avocats).

Droit d’accès des salariés encadré par le RGPD

Le Règlement Général sur la Protection des Données (RGPD) accorde à toute personne le droit de demander l’accès aux données personnelles la concernant4. Dans le cadre professionnel, cela signifie qu’un salarié – actuel ou ancien – peut exiger de son employeur la communication de ses données, y compris celles présentes dans des courriels professionnels.

Dans le cadre professionnel, les salariés, qu’ils soient en poste ou anciens collaborateurs, peuvent exercer leur droit d’accès à leurs informations conservées par leur employeur.

Cette demande peut inclure :

  • Les données RH (contrats de travail, bulletins de paie, entretiens professionnels) ;
  • Les données issues de leur messagerie professionnelle ;
  • Toute autre information les concernant, collectée et stockée par l’entreprise.

L’accès aux données personnelles est gratuit pour la première copie et l’entreprise doit répondre sous un mois, avec une possibilité d’extension de deux mois en cas de complexité.

Modalités d’exercice du droit d’accès

L’exercice du droit d’accès suppose que l’organisme vérifie l’identité du demandeur par un moyen proportionné et non intrusif, comme la fourniture d’un ancien identifiant professionnel (la carte d’identité est considérée comme une preuve disproportionnée par rapport à la demande). Ce droit peut être exercé sans justification de motif5 et l’accès aux données doit être gratuit pour la première copie6. Toutefois, lorsque la demande porte sur un volume important de données, elle doit être suffisamment précise. À défaut, cela peut justifier un refus7

L’entreprise, en tant que responsable de traitement, doit vérifier l’identité du demandeur. Toutefois, cette identification doit être proportionnée : demander une carte d’identité est souvent considéré comme excessif, tandis qu’un ancien identifiant professionnel peut suffire.

Si la demande est trop large ou imprécise, l’employeur peut exiger une précision supplémentaire pour s’assurer de la faisabilité du traitement des données sans compromettre les droits des tiers.

Mails professionnels et données personnelles

Concernant la messagerie, la CNIL recommande à l’employeur d’informer le salarié de la date de fermeture de son compte afin qu’il puisse trier ses messages et transférer ses courriels privés vers sa messagerie personnelle8. Cette mesure vise également à faciliter l’exercice du droit d’accès. Lors de l’exercice de son droit d’accès, les courriels strictement personnels doivent être transmis tels quels à l’ancien salarié, sans que l’employeur puisse en prendre connaissance ou en modifier le contenu, même pour masquer certaines informations.

Jusqu’à présent, la CNIL adoptait une approche stricte, imposant la communication quasi-systématique des courriels envoyés ou reçus par le salarié. Bien qu’alignée sur le principe de transparence, cette position s’est révélée particulièrement contraignante pour les entreprises, notamment face aux volumes des demandes ou à la nécessité de préserver les droits des tiers (secret des affaires, la propriété intellectuelle, droit à la vie privée, secret des correspondances, etc.).

Droit d’accès aux courriels professionnels

Le droit d’accès a pour objectif de permettre à une personne d’obtenir les données personnelles la concernant, et non d’accéder systématiquement aux documents qui les contiennent.

La Cour de justice de l’Union européenne (CJUE) a d’ailleurs mis en avant que la communication d’une copie ou d’un extrait de document n’est requise que si elle est indispensable pour garantir l’accès effectif aux données personnelles9.

La CNIL illustre ce principe, dans sa fiche, avec l’exemple des courriels professionnels : lorsqu’un salarié exerce son droit d’accès à ses courriels, seules les informations personnelles le concernant doivent être communiquées (métadonnées, horodatage, destinataires, discussion) et non l’ensemble des documents ou échanges. Cependant, dans les faits, la solution la plus aisée à mettre en œuvre pour répondre à la demande est la transmission de l’intégralité du mail, donc du document.

Mise à jour des recommandations de la CNIL

L’objectif de la CNIL est de trouver un équilibre entre le droit d’accès des salariés, la protection des tiers et les contraintes des employeurs face aux demandes massives. Elle vise à garantir un accès effectif aux données personnelles tout en préservant les droits des tiers.

Cette approche s’inscrit dans la lignée de la jurisprudence de la CJUE, qui souligne la nécessité d’une mise en balance10 entre l’exercice du droit d’accès et le respect des droits des tiers.

1. Une alternative à la transmission d’un volume important de courriels

Désormais, lorsqu’une demande de droit d’accès porte sur un grand volume de courriels, la CNIL recommande que l’employeur puisse choisir de ne pas transmettre directement les messages, mais plutôt de fournir un tableau récapitulatif indiquant :

  • La liste des messages envoyés par le salarié ;
  • La liste des messages reçus par le salarié ;
  • La liste des courriels où son nom est mentionné.

Cette alternative permet aux entreprises de réduire le travail de modification et d’anonymisation, tout en garantissant au salarié une vision d’ensemble des communications le concernant. Si le salarié souhaite accéder à un courriel spécifique, il pourra alors affiner sa demande.

2. Protection des tiers: le salarié est expéditeur ou destinataire

L’employeur doit s’assurer que l’accès aux courriels respecte un équilibre avec la protection des droits des tiers.

La CNIL distingue entre deux situations, selon que le salarié est expéditeur/destinataire ou simplement mentionné.

Si le salarié est expéditeur ou destinataire des courriels demandés :

  • L’accès reste en principe accordé.
  • Toutefois, si la communication de certains messages porte atteinte aux droits de tiers, l’employeur doit tenter d’anonymiser, pseudonymiser ou supprimer les données sensibles.
  • Si ces mesures ne suffisent pas, l’employeur pourra motiver un refus de transmission

Par exemple, un employeur pourra refuser une demande d’accès aux données personnelles si les courriels concernés contiennent des informations susceptibles de compromettre la sécurité nationale ou de révéler un secret industriel.

3. Protection des tiers: le salarié est mentionné dans le contenu du courriel

Dans la situation où le salarié est simplement mentionné dans le message du mail:

  • L’employeur peut plus facilement s’opposer à la demande.
  • Il doit d’abord s’assurer que le traitement nécessaire n’entraîne pas une atteinte disproportionnée aux droits des autres salariés.
  • Ensuite, il évalue le contenu des courriels demandés et l’éventuelle atteinte aux droits des tiers.

Par exemple, un employeur pourra refuser de communiquer des courriels liés à une enquête disciplinaire si leur contenu, même partiellement masqué, risque de révéler l’identité de personnes concernées.

La mise en balance au cœur des nouvelles recommandations de la CNIL

Cette mise à jour de la CNIL ne marque pas un revirement, mais une adaptation pragmatique. Elle s’inscrit dans une tendance plus large visant à intégrer, dans la gestion des données personnelles, des mises en balance documentées prenant en compte avec plus de justesse les droits et intérêts des personnes (voir par exemple le projet de lignes directrices du CEPD sur l’intérêt légitime11).

Désormais, la gestion des demandes d’accès repose davantage sur une analyse au cas par cas, permettant aux employeurs de mieux concilier droit d’accès et protection des autres droits fondamentaux. En offrant une alternative à la transmission brute des courriels, la CNIL reconnaît aussi les contraintes organisationnelles des entreprises tout en maintenant son objectif de protection des données. Toutefois la mise en place d’un tableau récapitulatif pour traiter un volume important de courriels reste une tâche complexe et potentiellement chronophage. Si les employeurs souhaitent automatiser une partie de ce processus, en tant que responsables de traitements des données personnelles, ils devront veiller à ce que les opérations respectent les droits des personnes concernées.

Ainsi, grâce à cette fiche, les employeurs disposent de nouveaux outils et doivent mettre à jour leurs processus afin d’assurer une mise en œuvre efficace et conforme du droit d’accès des salariés.

Aumans Avocats : spécialistes en IT/Data, protection des données et externalisation de DPO

En tant que cabinet d’avocats spécialisé dans la protection des données, nous sommes à votre disposition pour vous accompagner dans tous vos projets. Que vous soyez une startup, une PME ou un groupe de sociétés, notre expertise vous permettra de naviguer sereinement dans le paysage complexe de la réglementation et de la conformité. N’hésitez pas à nous contacter pour bénéficier de conseils personnalisés et sécuriser votre avenir numérique. Nous sommes également disponibles pour vous permettre de traiter vos demandes d’exercice de droits et de mettre en place les procédures appropriées. 

Sources : 

  1. https://www.cnil.fr/fr/le-droit-dacces-des-salaries-leurs-donnees-et-aux-courriels-professionnels ↩︎
  2. https://aumans-avocats.com/un-an-de-sanctions-de-la-cnil-bilan-et-points-dattention/ ↩︎
  3. https://www.cnil.fr/fr/les-controles-de-la-cnil-en-2024-donnees-des-mineurs-jeux-olympiques-droit-dacces-et-tickets-de ↩︎
  4. Article 15 du RGPD ↩︎
  5. CJUE, 26 OCTOBRE 2023, C-307/ § 52 ↩︎
  6. CJUE, 26 OCTOBRE 2023, C-307/22 §67 et 68 ↩︎
  7. CE, 5 DECEMBRE 2024, 488201 ↩︎
  8. https://www.cnil.fr/fr/cnil-direct/question/messagerie-professionnelle-quelles-precautions-avant-de-fermer-le-compte-dun ↩︎
  9. CJUE, 26 OCTOBRE 2023, C-307/22 ↩︎
  10. CJUE, 4 MAI 2023, ÖSTERREICHISCHE DATENSCHUTZBEHÖRDE ET CRIF, C-487/21 ↩︎
  11. https://www.edpb.europa.eu/system/files/2024-10/edpb_guidelines_202401_legitimateinterest_en.pdf ↩︎

AUMANS AVOCATS (anciennement FOUSSAT AVOCATS & DEROULEZ AVOCATS)
AARPI
Paris +33 (0)1 85 08 54 76 / Lyon +33 (0)4 28 29 14 92 /
Marseille +33 (0)4 84 25 67 89 / Bruxelles +32 (0)2 318 18 36

Nous contacter

Catégories

Partager

Articles associés

Tous nos articles sur le RGPD