Droit d’accès du salarié licencié à ses données personnelles
Rappel des récentes décisions rendues par le Conseil d’État sur ce sujet
Toute entreprise doit, s’agissant des données personnelles, se limiter à celles qui sont strictement nécessaires, assurer leur protection et sécuriser leur accès et respecter le droit des salariés à consulter et à rectifier celles qui les concernent personnellement.
Les droits des personnes concernées par le RGPD sont variés :
- droit à l’information, lequel sera assuré par le responsable de traitement (l’employeur), au moment de la collecte de la donnée (RGPD, art. 12, 13 et 14) ;
- droit d’accès (RGPD, art. 15) ;
- droit de rectification et à l’effacement (RGPD, art. 16 et 17) ;
- droit à la limitation du traitement (RGPD, art. 18) ;
- droit à la portabilité des données (RGPD, art. 20) ;
- droit d’opposition au traitement (RGPD, art. 21) ;
- droit d’introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés (Cnil) et droit d’obtenir les coordonnées de la commission (RGPD, art. 13) ;
- droit de définir des directives relatives au sort de ses données à caractère personnel après sa mort (L. no 78-17, 6 janv. 1978, art. 48).
Les droits des salariés sur la gestion de leurs données personnelles
Concernant le droit d’accès, rappelons que le RGPD donne le droit à toute personne de demander directement à un organisme d’accéder aux données personnelles qui la concernent.
Ainsi, tout salarié ou ancien salarié a le droit d’accéder aux données de son dossier professionnel en s’adressant au service concerné : il peut s’agir du service chargé de la gestion des ressources humaines ou du délégué à la protection des données (DPO). Le demandeur n’a pas à justifier de motif à l’appui de sa demande.
Le droit d’accès comprend :
- un droit d’interrogation : tout salarié a le droit d’obtenir la confirmation que des données à caractère personnel le concernant font ou ne font pas l’objet d’un traitement ;
- un droit de communication : tout salarié a le droit d’obtenir la communication des données à caractère personnel qui le concerne, qu’elles soient conservées sur support informatique ou sur support papier.
Contentieux post-licenciement et droit d’accès
Que retenir des décisions rendues par le Conseil d’État en la matière, lorsque le salarié licencié exerce son droit d’accès ?
Dans le cas d’espèce, c’est après son licenciement et après avoir saisi le Conseil de prud’hommes, qu’un salarié exerce un droit d’accès et de limitation de ses données personnelles à l’encontre de son ancien employeur. Estimant ne pas avoir été rempli de ses droits par la réponse apportée, le salarié porte alors sa réclamation devant la CNIL.
Le salarié saisit ensuite le Conseil d’Etat de deux recours en excès de pouvoir :
- un premier pour contester une décision de rejet implicite de sa réclamation par la CNIL,
- un second en annulation de la décision explicite intervenue postérieurement et ayant rejeté sa réclamation.
Analyse des Décisions du Conseil d’État
Le Conseil d’État rejette les deux recours dans un arrêt du 24 juillet 2023 (CE, 24 juillet 2023, n°465529 et 468923) qui apporte plusieurs enseignements.
1. Tout d’abord, la CNIL n’a pas à statuer sur la réclamation dans un délai de 3 mois, sous peine de rejet implicite
La CNIL respecte ses obligations en adressant dans ce délai un courrier informant le réclamant de l’état d’avancement et de ce qu’il sera tenu informé de l’issue de sa réclamation (articles 77, 78 du RGPD, article 8 de la loi n°78-17 du 6 janvier 1978 et 10 du décret n°19-536 du 29 mai 2019).
Puis, sur l’instruction de la réclamation, le Conseil d’État précise le rôle de la CNIL : elle doit procéder à l’examen des faits et décider des suites à leur donner.
La haute juridiction précise que la CNIL « dispose, à cet effet, d’un large pouvoir d’appréciation et peut tenir compte de la gravité des manquements allégués au regard de la législation ou de la réglementation qu’elle est chargée de faire appliquer, du sérieux des indices relatifs à ces faits, de la date à laquelle ils ont été commis, du contexte dans lequel ils l’ont été et, plus généralement, de l’ensemble des intérêts généraux dont elle a la charge ».
2. La CNIL dispose d’un large pouvoir d’appréciation sur les demandes relevant du droit d’accès
Le Conseil d’État précise ensuite l’étendue de son contrôle juridictionnel, en deux temps.
- D’abord, l’auteur d’une réclamation à la CNIL peut déférer la décision au juge de l’excès de pouvoir.
Outre le contrôle de la légalité externe, le juge contrôle le bien-fondé de la décision et censure en cas d’erreur de fait ou de droit, d’erreur manifeste d’appréciation ou de détournement de pouvoir. - Puis, lorsque la plainte porte sur la méconnaissance par un responsable de traitement des droits garantis par la loi à l’égard des données à caractère personnel le concernant, notamment les droits d’accès, de rectification, d’effacement, de limitation et d’opposition, le pouvoir d’appréciation de la CNIL pour décider des suites à y donner s’exerce sous l’entier contrôle du juge de l’excès de pouvoir.
3. Le droit d’accès est placé sous l’entier contrôle du juge de l’excès de pouvoir
Une fois ces principes posés, le Conseil d’État se prononce sur les demandes du requérant. Il contrôle le moyen tiré du caractère illicite, déloyal et non transparent du traitement de données à caractère personnel figurant dans une pièce utilisée par l’employeur dans le contentieux prud’homal.
L’argument est ici rejeté et les demandes du réclamant d’injonctions à la CNIL et à l’ancien employeur du salarié ne prospèrent pas.
Le Conseil d’État juge encore que le responsable de traitement pouvait transmettre les pièces en réponse à la demande de droit d’accès par voie de téléchargement et rejette la demande de limitation des données archivées après le licenciement du salarié, dont le traitement avait pour seule finalité de permettre la défense des droits de la société dans le contentieux prud’homal.