Eric Barbry analyse un récent avis de la Cnil sur le droit d’accès des salariés à leurs données et courriers professionnels : si l’idée est bonne, notre chroniqueur dénonce les effets induits pour les entreprises.

La Cnil a publié un avis sur « Le droit d’accès des salariés à leurs données et aux courriels professionnels ». Suis-je le seul à l’avoir lu car je n’ai pas vu de critique sur ce texte. Et pourtant : l’idée est très bonne, l’analyse juridique est bonne, le résultat est désastreux!

L’idée est très bonne …

En effet, conformément à l’article 15 du Règlement général sur la protection des données (RGPD), le droit d’accès permet à une personne de savoir si des données qui la concernent sont traitées puis d’en obtenir, si elle le souhaite, la communication dans un format compréhensible.

Ce droit d’accès est un droit pour toute « personne concernée », interne ou externe. Tout le monde peut exercer ce droit qu’il soit client, prospect mais aussi salarié.

A lire aussi : Données personnelles : la Cnil fixe ses 3 priorités stratégiques

Le nombre de demandes de droit d’accès explose notamment dans le domaine prudhommal. Les salariés demandent tout et n’importe quoi : leurs données, les données de connexion, les « logs », leurs emails, leurs « documents » et même parfois les comptes rendus des réunions où leur nom apparait !

Le grand n’importe quoi… Il était donc temps de mettre un peu d’ordre dans tout cela et, en çà, l’avis de la Cnil est une très bonne idée.

Le raisonnement juridique est bon

La Cnil fait un raisonnement tout à fait juste en distinguant les « données » d’une part et les « documents » d’autre part. La position de principe est indiquée en titre gras « le droit d’accès porte sur des données personnelles et non sur des documents ».

La Cnil précise même que « le droit d’accès porte uniquement sur les données personnelles et non sur des documents : une personne ne peut donc pas réclamer la communication d’un document sur le fondement du droit d’accès. Cependant, il n’est pas interdit à l’organisme de communiquer des documents plutôt que les seules données s’il estime que c’est plus pratique».

A lire aussi : Cybersécurité : deux chercheurs mettent en garde les entreprises contre la collecte massive de données par des acteurs chinois

Il est clair que le RGPD, qui comme son nom l’indique, ainsi que la LIL 3 (loi informatique, fichiers et libertés) ne portent que sur les « données », c’est-à-dire les informations, et non les documents afférents à une personne.

En cela l’analyse juridique de la Cnil est parfaitement juste.

Le résultat est désastreux !

A la suite de cette analyse on aurait dû s’attendre à une conclusion logique : le salarié a le droit d’accès aux « données » qui le concernent. Ces données sont principalement issues du SIRH mais aussi d’autres traitements, tels que les données d’accès par badge, la vidéo ou encore les données de géolocalisation des véhicules de fonction.

La Cnil aurait dû écarter l’accès aux « documents » et donc aux lettres, comptes rendus ainsi qu’aux emails. Car qu’est-ce qu’un email sinon une lettre dématérialisée ? 

Or il ne serait venu à l’idée de personne, aux temps pas si ancien où les lettres existaient encore, de donner à un salarié, au bénéfice de son droit d’accès, toutes les lettres et fax professionnels qu’il avait reçu pendant ses 30 ans de carrière !

Les lettres et emails sont des documents et leur communication est d’autant plus critiquable qu’il s’agit de documents qui appartiennent à l’employeur et non au salarié (en dehors des emails personnels).

Si vous ne voulez pas me croire, rendez-vous dans le Larousse qui définit la donnée comme un « renseignement qui sert de point d’appui » et propose comme synonyme le terme « information ». La Cnil s’enlise même dans son avis au point de devoir faire un schéma sur l’accès aux emails.

L’erreur est d’autant plus grave que la Cnil distingue les emails dont la personne concernée est l’émetteur ou le destinataire mais aussi ceux où la personne est l’objet de l’email !

Donner accès aux salariés à leurs emails est une erreur de droit mais aussi une impossibilité juridique car l’email étant un échange entre au moins deux personnes, sa communication porte atteinte à l’article même du droit d’accès qui consacre le fait que le droit d’accès ne doit pas nuire aux droits des tiers.

Au demeurant, la Cnil préconise comme « bonne pratique » aux employeurs, dans le cas où l’email est émis ou reçu par le salarié, d’anonymiser ou de pseudonymiser les données. Dans le cas où la personne n’est pas émettrice ou destinataire, l’employeur DOIT – je dis bien DOIT – procéder à l’anonymisation des données relatives aux tiers ou au secret des affaires !

En pratique il faudrait donc communiquer les emails d’un salarié sur 42 annuités en caviardant les parties relatives au tiers ! Bon courage !

Résistance objective !

Selon moi, il faut respecter l’article 15 du RGPD et effectivement limiter l’accès aux données et non aux documents.

Les données sont celle du SIRH, les données d’accès à l’entreprise (badge par exemple), les données d’accès parking, les données de géolocalisation, les données log in et log out sur le réseau d’entreprise, les données de vidéosurveillance et j’avoue que je n’en vois pas beaucoup d’autres.

Sur les emails, si l’on veut considérer la partie « données » et « métadonnées » d’un email, bonne chance pour les DSI. L’employeur pourrait tout de même extraire du serveur de messagerie les « données » concernant les emails émis et reçus. On ne voit pourtant pas l’intérêt sauf à savoir combien le collaborateur, sur 30 ans, a reçu ou envoyé d’emails…Pourquoi pas.

Sur les comptes rendus où figure le nom du salarié, il s’agit de documents. Sur les lettres reçues ou envoyées, il s’agit là aussi de documents, notamment s’agissant des documents RH (contrat, bulletin de paye, …). Ces derniers peuvent être communiqués aux salariés, mais sur le fondement du droit du travail et non sur celui du droit des données personnelles.

Chronique co-écrite avec Sabina Topcagic juriste IT