RGPD : à quelles données personnelles vos salariés peuvent-ils avoir accès ?

La Commission nationale de l’informatique et des libertés (CNIL) a précisé, début janvier, les droits d’accès des salariés à leurs données personnelles, dans un contexte où de plus en plus de collaborateurs exercent ce droit auprès de leur employeur. L’occasion de faire le point sur les documents qui peuvent être portés à la connaissance de vos employés.

Données personnelles, de quoi parle-t-on ?

Si on se réfère à la définition de la CNIL une donnée personnelle est « toute information se rapportant à une personne physique identifiée ou identifiable ». Elle désigne donc à la fois le nom et le prénom, l’identifiant, le numéro de téléphone, le numéro de Sécurité sociale, la voix, l’image de la personne, son adresse, sa localisation, son âge, ses goûts et habitudes de consommation ou un élément spécifique propre à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Dans quel cadre les entreprises utilisent-elles ces données ?

Les services RH ont besoin de collecter des données personnelles auprès de leurs collaborateurs pour mener à bien différentes missions :

• Lors du recrutement, l’entreprise recueille les informations personnelles du collaborateur, notamment celles présentes sur son CV (nom, prénom, numéro de téléphone…) et celles collectées au cours de l’entretien d’embauche ;
• D’autres informations sont nécessaires à la gestion du personnel : le RIB et le numéro de Sécurité sociale pour la rémunération et les déclarations sociales obligatoires, le type de permis de conduire et les coordonnées de la personne à prévenir en cas d’urgence pour la gestion administrative du personnel, les informations concernant les ayants-droits de l’employé pour la mutuelle d’entreprise.

Les entreprises sont tenues de respecter le Règlement Général sur la Protection des Données (RGPD) pour traiter les données personnelles de leurs collaborateurs. Elles doivent notamment ne demander que les informations visant à répondre à l’objectif poursuivi.

Que dit le RGPD sur l’accès aux données personnelles ?

Entré en vigueur en mai 2018, le RGPD s’inscrit dans la lignée de la loi informatique et libertés de 1978. Son objectif est d’encadrer le traitement des données personnelles, en renforçant le contrôle par les citoyens de l’utilisation qui peut être faite de leurs informations personnelles, dans l’ensemble des pays de l’Union européenne.

L’article 15 du RGPD autorise chacun à recevoir une copie des données personnelles le concernant. Dans sa fiche publiée le 9 mai 2019, la CNIL explique que « tout salarié ou ancien salarié a le droit d’accéder aux données de son dossier professionnel en s’adressant au service concerné qui peut être, selon les cas, le service chargé de la gestion des ressources humaines ou encore le délégué à la protection des données. Il peut obtenir l’ensemble des données le concernant, qu’elles soient conservées sur support informatique ou papier, relatives à :

• Son recrutement ;
• Son historique de carrière ;
• L’évaluation de ses compétences professionnelles (entretiens annuels d’évaluation, notation…) ;
• Ses demandes de formation et les éventuelles évaluations de celles-ci ;
• Son dossier disciplinaire ;
• L’utilisation de son badge de contrôle d’accès aux locaux ;
• Ses données issues d’un dispositif de géolocalisation ;
• Tout élément ayant servi à prendre une décision à son égard (une promotion, une augmentation, un changement d’affectation, une sanction). »

Pourquoi les salariés demandent-ils l’accès à ces données ?

Chaque salarié a le droit de savoir comment ses données personnelles sont utilisées par l’entreprise et de demander à son employeur de les lui communiquer dans un format compréhensible. Cette demande peut avoir diverses motivations :

• Vérifier l’exactitude des données et, si nécessaire, les rectifier ou les faire effacer ;
• Récolter des éléments de preuve dans le cadre d’un contentieux l’opposant à son employeur ou ancien employeur. A titre d’exemple, un collaborateur souhaitant contester un licenciement ou une sanction peut solliciter l’accès à des données issues d’un dispositif de géolocalisation ou de vidéosurveillance de l’entreprise ou à des mails professionnels pour étayer sa version des faits.

Quelles limites à ce droit d’accès ?

Dans sa note du 5 janvier 2022, la CNIL précise que « le droit d’accès porte uniquement sur les données personnelles et non pas sur des documents : une personne ne peut donc pas réclamer la communication d’un document sur le fondement du droit d’accès ».

Cette décision a pour but d’éviter les abus, notamment en termes de demande d’accès à des mails internes mentionnant le nom du plaignant mais dont ce dernier n’était ni l’émetteur ni le destinataire. Concrètement, la CNIL distingue deux cas de figure :

• Si le demandeur est l’expéditeur ou le destinataire du mail, il est supposé avoir déjà eu connaissance de son contenu, l’entreprise est alors tenue d’accéder à sa demande ;
• S’il n’est que simplement mentionné dans le mail concerné, l’employeur aura le droit de s’assurer au préalable que le document n’« entraîne pas d’atteinte disproportionnée aux droits de l’ensemble des salariés de l’organisme ». Au regard de ce critère, il prendra ensuite la décision de communiquer le document ou non.

La CNIL rappelle aussi que les documents communiqués au salarié ne peuvent contenir des informations personnelles portant atteinte aux droits d’un tiers (autre collaborateur, supérieur, client…). Si c’est le cas, l’employeur devra effacer ces données avant de communiquer le contenu au demandeur. De la même manière, pour une vidéo, les visages autres que celui du demandeur devront être floutés.

L’étendue du droit d’accès est également limitée par le respect de la propriété intellectuelle, du secret des affaires et du secret des correspondances.