Droit d'accès et de copie du travailleur : comment réagir en tant qu'employeur ?

Les employeurs sont de plus en plus confrontés à des demandes émanant de travailleurs visant l’accès aux données à caractère personnel traitées par l'employeur. Comment l'employeur doit-il réagir ?

Les travailleurs ont-ils un droit d'accès et de copie ?

Oui, les travailleurs peuvent à tout moment demander à l'employeur si des données à caractère personnel les concernant sont traitées et, le cas échéant, sur la base du GDPR (RGPD), demander l'accès et une copie des données à caractère personnel que l'employeur traite à leur sujet (par exemple, accès à leur dossier personnel, accès aux logs-IT, accès aux e-mails, etc.)

La fourniture d'une copie des données à caractère personnel est en principe gratuite. Si la demande du travailleur est excessive en raison de son caractère répétitif, le paiement de frais raisonnables peut être exigé.

Dans la pratique, les travailleurs demandent souvent l'accès ou une copie des données à caractère personnel traitées à leur sujet à la suite d'une décision de l'employeur de les licencier ou à la suite de la perte d'une promotion.

Ce droit d’accès et de copie peut-il être refusé ?

En principe oui, l'autorité de protection des données (APD) reconnaît en effet que ce droit n'est pas absolu. Comme l'indique explicitement le RGPD, il doit être tenu compte des droits et libertés d'autrui lors de l'évaluation du droit d'accès et de copie du travailleur. Toutefois, les droits et libertés d'autrui ne doivent pas aboutir à ce que les travailleurs soient privés de toute information.

Le risque de violation des données à caractère personnel des anciens supérieurs hiérarchiques et du responsable des ressources humaines, par exemple, ne peut conduire à refuser le droit de consulter les annotations et commentaires figurant dans le dossier du personnel. L'employeur doit, dans la mesure du possible, préalablement supprimer ou rendre anonymes les données à caractère personnel des tiers.

De même, la demande d'un travailleur d'accès aux logs-IT ne peut pas être simplement refusée en raison des droits et libertés d'autrui. La préférence devrait être donnée à l'anonymisation des logs-IT. Toutefois, l'exercice du droit d'accès du travailleur doit être mis en balance avec l'éventuelle charge de travail administratif élevée que l'obligation de donner suite au droit d'accès entrainerait. Par exemple, l'APD a accepté que l'employeur n'accède pas à la demande du travailleur d'accéder aux logs-IT vu la charge de travail disproportionnée que cela lui imposerait.

Un travailleur peut également demander à tout moment à son employeur d'avoir accès à ses e-mails et d'en obtenir une copie. Le simple fait que le travailleur aurait encore accès à ses e-mails ne fait pas obstacle à cette demande. Le risque de violation des données à caractère personnel des expéditeurs ou des destinataires des e-mails ne constitue pas davantage un argument pour refuser la demande d'accès aux e-mails ou à une copie de ceux-ci, étant donné la possibilité de rendre les e-mails anonymes.

En principe, l'employeur peut toutefois refuser l'accès et la copie des données à caractère personnel en raison du caractère excessif ou manifestement infondé de la demande (par exemple, si plusieurs demandes ont été faites à court terme).

En outre, il est également possible pour l'employeur de refuser l'accès et la copie des données à caractère personnel en raison de la confidentialité des informations de l'entreprise qui y sont contenues. L'employeur doit cependant être en mesure de démontrer à suffisance que le fait d'accéder à la demande équivaudrait à une violation du secret d'affaires ou de la propriété intellectuelle, puisque les documents ou les dossiers, tels que les e-mails par exemple, contiennent des informations potentiellement sensibles sur l'entreprise.

L'employeur doit-il réagir à la demande ?

Oui, l'employeur doit en tous cas réagir à la demande du travailleur.

L'employeur doit informer le travailleur, dans le mois suivant la réception de la demande, de la suite donnée à celle-ci. En fonction de la complexité de la demande, l'employeur a également la possibilité, dans le même délai d'un mois, d'informer le travailleur que la période sera prolongée de deux mois au maximum.

L'employeur peut également demander au travailleur de préciser sa demande dans ce délai d'un mois si le responsable du traitement traite un grand nombre de données sur la personne en question et si la demande est formulée de manière très générale.

Si l'employeur estime qu'il ne peut pas donner suite à la demande, il doit en informer la personne concernée dans le mois qui suit la demande. Comme nous l'avons vu plus haut, cela est défendable lorsque, par exemple, il existe un risque de violation du secret d'affaires (et que cela peut être démontré de manière suffisante), la demande est excessive, ou elle donne lieu à une situation manifestement déraisonnable, ou à une charge de travail disproportionnée pour l'entreprise.

L'absence de réponse de l'employeur dans le mois suivant la réception de la demande revient à ne pas donner suite à la demande du travailleur et à une violation du RGPD.

L'employeur doit-il se préparer aux demandes ?

Oui, l'employeur a l'obligation de préparer et de faciliter les demandes d'exercice des droits.

En cas de demande effective d'accès ou de copie, l'entreprise peut prendre les mesures suivantes pour s'assurer qu'il sera donné suite à la demande dans les temps (dans un délai d'un mois à compter de sa réception) :

• demander au travailleur de préciser davantage sa demande ;
• procéder à l'anonymisation ou à la suppression des données à caractère personnel de tiers dans la mesure du possible ;
• vérifier que le fait de donner suite à la demande ne conduirait pas à une situation disproportionnée ;
• recueillir des preuves qui démontrent que le fait de donner suite à la demande créerait un risque de violation du secret d'affaires ou d'autres droits de l'entreprise.

Il est conseillé que l'employeur prévoit dans sa police vie privée (privacy policy) une procédure pratique en cas d'exercice des droits prévus par le RGPD, dont le droit d'accès et de copie, afin que les travailleurs qui souhaitent en faire usage soient mieux informés des obligations de l'employeur, des éventuelles limitations de ce droit et dans quels délais légaux les suites nécessaires à ces demandes doivent être données.

Amélie Desmadryl (avocate Claeys & Engels)