Une note de la Cnil du 18 novembre 2020 évoquait cette question du droit d’accès des salariés à leurs données personnelles recueillies par leur employeur. La note du 5 janvier 2022 maintient cette possibilité et le salarié n’a pas à fournir de motif à sa demande, même si l’employeur lui en demande un. Le salarié a un droit d’accès, de rectification et de retrait (opposition ou effacement) de ses données personnelles. Il peut aussi demander la liste des traitements de ces données personnelles. Le droit de retrait du salarié est limité par les obligations légales de l’employeur, notamment vis-à-vis des organismes sociaux. L’employeur a le droit de vérifier l’identité de la personne qui demande cet accès, en particulier s’il s’agit d’un ancien salarié qui ne fait plus partie des effectifs. La note de la Cnil interdit cependant de demander des pièces justificatives abusives, non pertinentes et disproportionnées par rapport à la demande. Si l’employeur reçoit une demande par courrier, il peut, s’il a encore son numéro de téléphone, appeler son ancien salarié et ainsi procéder à cette vérification d’identité. Lorsque l’entreprise exerce son activité dans un secteur particulier ou que les données personnelles sont associées à des données sensibles, l’employeur peut procéder, en cas de doute raisonnable, à une vérification plus poussée et demander la carte d’identité. L’entreprise dispose d’un délai pour transmettre les données à partir de la réception de la demande : une semaine pour les données médicales, un mois pour les « demandes simples » et trois mois pour les « demandes complexes ».

L’un des points délicats pour les services RH tient à ce que le salarié a un droit d’accès à ses données personnelles et non à des documents. En pratique, en particulier pour les courriels, identifier les données et retranscrire la source des données, leur date et heure de production ainsi que l’extrait où elles figurent sera ingérable. Le plus simple sera de fournir les documents où se trouvent les données personnelles, mais c’est à l’employeur de veiller à ne pas porter une atteinte disproportionnée aux droits des tiers mentionnés dans les documents. Le plus simple sera d’anonymiser les noms des tiers cités. Si les données personnelles du salarié sont citées dans un mail dont il n’est ni l’expéditeur, ni le destinataire, il faudra anonymiser ces tiers afin de ne pas porter une atteinte disproportionnée à leurs droits. C’est à l’entreprise ou au service RH, s’il existe, de déterminer quelle atteinte est portée aux droits des tiers lors de la transmission des documents au salarié ou ex-salarié. Mais elle ne pourra toutefois pas refuser de satisfaire de manière générale à la demande d’accès.

Un ex-salarié peut demander à se voir communiquer des mails sans avoir à fournir de justification. Cela peut être le cas s’il veut contester son licenciement ou démontrer l’existence d’heures supplémentaires. Les données que doit fournir l’entreprise présentent d’autant plus d’intérêt que la Cnil précise que l’horodatage fait partie des données à transmettre. Dans le cas d’une demande portant sur l’existence d’heures supplémentaires, les mails horodatés peuvent être un élément important. Les services RH doivent garder à l’esprit que la Cnil peut contraindre l’entreprise à fournir les données. Par ailleurs, faire la sourde oreille aux demandes du salarié peut avoir des conséquences. Dans le cadre d’une contestation de licenciement, selon les circonstances, le juge peut être amené à considérer que l’entreprise prive le salarié des capacités d’apporter les preuves appuyant ses affirmations. Les services RH doivent aussi être attentifs à la question de l’atteinte aux droits des tiers. Elle ne doit pas être « disproportionnée », or c’est une notion difficile à apprécier. La mise en œuvre d’une politique RSE dans le cadre de l’entreprise, invitant les salariés à vider régulièrement leur boîte mails permettra d’alléger la masse de données à devoir éventuellement transmettre aux salariés qui les demandent.