Se rendre au contenu

Ai-je le droit de refuser une demande d'accès aux données personnelles d'un employé ?

Le droit d'accès aux données personnelles représente une composante essentielle du cadre juridique de protection des données en France. La CNIL a récemment mis à jour ses recommandations sur ce sujet en janvier 2025, apportant des précisions importantes pour les employeurs. Cet article examine en détail quand un employeur peut ou ne peut pas refuser une demande d'accès, les modalités pratiques de mise en œuvre de ce droit, et les nouvelles orientations de la CNIL face aux demandes volumineuses.


Un droit fondamental garanti par le RGPD

Conformément à l'article 15 du RGPD, tout salarié (ou ancien salarié) a le droit d'accéder aux données personnelles le concernant, qu'elles soient conservées sous format numérique ou papier. Ce droit permet au salarié de vérifier l'exactitude des données, de demander leur rectification ou suppression si nécessaire, et de comprendre les finalités de leur traitement.

La CNIL rappelle que toute personne peut demander à un organisme la communication des données qu'il détient sur elle et en obtenir une copie. Un salarié peut ainsi demander à son employeur l'accès et la communication des données personnelles qu'il a en sa possession, y compris celles contenues dans les courriels professionnels.


Quels types de données un salarié peut-il consulter ?

Le droit d'accès couvre un large éventail de données personnelles traitées par l'employeur, notamment:

  • Les données relatives au recrutement
  • L'historique de carrière du salarié
  • Les données de rémunération
  • Les évaluations de compétences professionnelles
  • Le dossier disciplinaire
  • Tout élément ayant servi à prendre une décision concernant le salarié

Il est important de noter que les principes de protection des données s'appliquent à toutes les données personnelles collectées par un organisme, même dans un contexte professionnel.


L'employeur doit obligatoirement répondre

L'employeur doit répondre à une demande d'accès aux données personnelles dans un délai d'un mois. Ce délai peut être prolongé de 2 mois si la demande est complexe, à condition d'en informer le salarié dans le premier mois.

Lorsque l'organisme reçoit la demande, il doit fournir gratuitement les informations suivantes:

  • La confirmation que des données sont ou non traitées
  • Les finalités du traitement
  • Les catégories de données concernées
  • Les destinataires des données
  • La durée de conservation des données
  • Les droits du salarié (rectification, effacement, etc.)

Vérification de l'identité du demandeur

L'organisme doit s'assurer de l'identité du demandeur par un moyen proportionné et non intrusif. La CNIL indique qu'il est souvent disproportionné de demander une carte d'identité, un ancien identifiant professionnel pouvant suffire. En cas de doute raisonnable sur l'identité de la personne, l'employeur peut néanmoins demander des informations supplémentaires.


Les limites au droit d'accès

L'employeur peut refuser une demande uniquement dans certaines circonstances bien définies:

Protection des droits des tiers

Le droit d'accès ne peut pas porter atteinte aux droits des tiers. L'employeur pourra légitimement refuser de transmettre un document contenant les données personnelles de plusieurs personnes sans anonymisation préalable. L'article 15, paragraphe 4 du RGPD stipule expressément que "le droit d'obtenir une copie ne doit pas porter atteinte aux droits et libertés d'autrui".

Demandes imprécises ou excessives

Lorsque la demande porte sur un volume important de données, elle doit être suffisamment précise. À défaut, cela peut justifier un refus. La CNIL a récemment ajusté sa doctrine en janvier 2025 pour mieux encadrer les demandes volumineuses.

Précisions concernant les demandes abusives

Les demandes répétitives sans motif légitime ou visiblement destinées à perturber le fonctionnement de l'entreprise peuvent être qualifiées d'abusives. Cependant, le contexte contentieux ou précontentieux ne permet pas à lui seul de refuser de répondre à la demande d'un salarié.

Alternative aux demandes volumineuses

Depuis la mise à jour de 2025, la CNIL recommande que l'employeur puisse, face à un grand volume de courriels demandés, proposer un tableau récapitulatif indiquant:

  • La liste des messages envoyés par le salarié
  • La liste des messages reçus
  • La liste des courriels où son nom est mentionné

Cette alternative permet aux entreprises de réduire le travail d'anonymisation tout en garantissant au salarié une vision d'ensemble des communications le concernant.


Cas spécifique des courriels professionnels

Le traitement des courriels mérite une attention particulière. La CNIL recommande à l'employeur d'informer le salarié de la date de fermeture de son compte afin qu'il puisse trier ses messages et transférer ses courriels privés vers sa messagerie personnelle.


Nouvelle approche de la CNIL (2025)

Jusqu'à récemment, la CNIL adoptait une approche stricte, imposant la communication quasi-systématique des courriels envoyés ou reçus par le salarié. Cette position s'est révélée contraignante pour les entreprises, notamment face aux volumes des demandes.

La mise à jour de janvier 2025 vise à trouver un équilibre entre le droit d'accès des salariés, la protection des tiers et les contraintes des employeurs face aux demandes massives.

Exemples de demandes valides et non valides

✅ Autorisé : Accès au dossier personnel, évaluations, relevés horaires, courriels envoyés ou reçus par le salarié.

❌ Non autorisé : Accès à des courriels impliquant d'autres collaborateurs sans justification légitime (ex. enquête disciplinaire).

Gratuité et vérification de l'identité

L'exercice du droit d'accès est gratuit pour la première copie. Toutefois, l'employeur peut demander des frais raisonnables pour des copies supplémentaires ou exiger une vérification de l'identité du demandeur si nécessaire.

Modalités pratiques de transmission

Lorsqu'une demande est adressée par email, les informations doivent être fournies par email. Toutefois, le demandeur peut solliciter un autre mode de communication (par exemple par courrier).


Quelles sont les sanctions en cas de non-respect ?

Les sanctions pécuniaires de la CNIL peuvent être très dissuasives: jusqu'à 4% du chiffre d'affaires mondial de la société ou 20 millions d'euros. 

Le rapport annuel de la CNIL de 2022 fait état de plus de 1500 plaintes dénonçant des manquements dans le traitement des demandes d'accès.

Les recours possibles du salarié

En l'absence de réponse ou en cas de réponse insatisfaisante, le salarié peut faire une réclamation auprès de la CNIL. Pendant ce délai, il peut également demander que ses données ne soient plus utilisées par l'organisme (droit à la limitation du traitement).


Une question sur les demande d'accès aux données personnelles?

Notre équipe chez Inkivari est à votre disposition pour toute interrogation concernant la gestion des données personnelles.

 


Par mail

Soumettre

En soumettant ce formulaire, j’accepte que les informations saisies soient exploitées par Inkivari SARL aux fins de gestion de réponse à votre demande. Pour en savoir plus sur la gestion de vos données à caractère personnel et sur vos droits, consultez notre politique de confidentialité