Lecture: 32 min
N2224B3R
Citer l'article
Créer un lien vers ce contenu
par Farid Bouguettaya, Avocat associé, cabinet Kalder
le 07 Mai 2025
Le présent article est issu d’un dossier spécial consacré au droit du travail et aux données personnelles, publié dans l’édition n° 1012 du 7 mai 2025 de la revue Lexbase Social. Le sommaire de ce dossier est à retrouver en intégralité ici N° Lexbase : N2231B3Z.
Mots-clés : données personnelles • droit d’accès RGPD • relation de travail • droits des salariés • CNIL • preuve • contentieux prud’homal • stratégie probatoire
L’usage du droit d’accès au titre du RGPD par les salariés connaît une évolution notable : conçu comme un outil de transparence, il est devenu un vecteur d’accès à la preuve en contexte précontentieux ou contentieux. Cette évolution soulève des interrogations sur sa finalité, sa portée réelle, et les moyens d’encadrement envisageables pour limiter les abus.
Alors que le monde du travail génère un volume croissant de données personnelles et a recours à de plus en plus d’outils informatiques (badgeuses électroniques, intelligence artificielle, accès par reconnaissance biométriques, etc.), la protection des données personnelles est devenue un enjeu de conformité essentiel pour les entreprises.
À cet égard, les droits des personnes, matérialisation du principe d’autodétermination informationnelle [1], s’imposent comme principe structurant [2].
Ils participent à l’effectivité du droit fondamental à la protection des données personnelles, reconnu par le RGPD [3], la Charte des droits fondamentaux de l’Union européenne [4], et l’article 16 du Traité sur le fonctionnement de l’Union européenne [5]. En France, ce droit est garanti par la loi « Informatique et libertés », adoptée en 1978 et modifiée à plusieurs reprises depuis [6].
Parmi les droits protégés, le droit dont dispose toute personne à accéder aux données personnelles la concernant est central. Dans l’entreprise et dans la relation de travail, ce droit d’accès soulève des enjeux spécifiques. En effet, tout au long de son parcours et dans l’exercice de ses missions, le salarié fait l’objet d’un ensemble de traitements liés à l’organisation du travail.
Le droit d'interroger sur les données le concernant semble alors parfaitement légitime. Cependant, une tendance émergente mérite une attention particulière : le droit d’accès est utilisé comme levier stratégique et outil contentieux puissant par les salariés.
Ce glissement vers un outil de stratégie contentieuse, s'éloigne de son objectif initial de transparence.
La pratique, analysée par certains auteurs comme une forme d’« instrumentalisation procédurale » [7], soulève de nombreuses questions : quels objectifs sert le droit d’accès et quelle est sa portée ? Peut-il être utilisé à des fins purement probatoires ? Quelle frontière tracer entre l’usage légitime d’un droit fondamental et son invocation stratégique ? Et jusqu’où l’entreprise peut-elle légitimement opposer des limites pour éviter un exercice abusif ou déconnecté de sa finalité première ?
Ces interrogations invitent à explorer, dans un premier temps, les fondements et les modalités d’exercice du droit d’accès dans le cadre de la relation de travail (I.), avant d’examiner les limites juridiques et les mécanismes d’encadrement envisageables lorsque ce droit tend à être exercé dans une perspective contentieuse (II.).
I. Le droit d’accès en entreprise : entre protection des données personnelles et outil contentieux
A. Un outil de transparence au service des personnes
Dans la relation de travail, le droit d’accès apparaît à la croisée des enjeux de transparence et des stratégies contentieuses. Rappelons ses fondements et objectifs initiaux (A.), avant d’analyser son évolution vers une utilisation à des fins probatoires (B.).
1) Fondements, objectifs et modalités d’exercice
Bien qu’il existait avant le RGPD, le droit d’accès s’est trouvé renforcé par le règlement européen. Il revêt une telle importance pour le législateur européen, qu’il est expressément mentionné à l’article 8 de la Charte des droits fondamentaux qui précise, que « toute personne a le droit d'accéder aux données collectées la concernant et d'en obtenir la rectification » [8]. Il est également reconnu comme une modalité d’exercice du droit à la protection des données par le Conseil de l’Europe [9]. En France, c'est l’article 49 de la loi « Informatique et libertés » qui l'énonce et renvoie au RGPD.
Le droit d’accès comporte deux volets [10]. Il comprend un droit d’interrogation, permettant à la personne de demander au responsable du traitement s’il existe des données la concernant, et un droit de communication, lui permettant d’en recevoir une copie.
En exerçant ce droit, la personne concernée pourra connaître les finalités du traitement des données, si possible la durée du traitement, l'identité des destinataires de ces données, la logique qui sous-tend leur éventuel traitement automatisé et les conséquences que ce traitement pourrait avoir, au moins en cas de profilage [11].
C'est ainsi dans une logique de transparence, que s'inscrit ce droit, permettant la prise de connaissance des informations qu’un responsable de traitement détient et traite sur une personne.
La CJUE confirme cette finalité en rappelant que « c’est afin de pouvoir exercer les vérifications nécessaires que la personne concernée dispose d’un droit d’accès aux données la concernant qui font l’objet d’un traitement. Ce droit d’accès est nécessaire notamment pour permettre à la personne concernée d’obtenir, le cas échéant, de la part du responsable de traitement, la rectification, l’effacement ou le verrouillage de ses données » [12].
Par ailleurs, outil de transparence, le droit d’accès joue indéniablement un rôle structurant et ouvre la voie vers l’exercice d’autres droits prévus par le RGPD, tels que les droits de rectification d’effacement ou encore d’opposition [13].
Afin d'en faciliter l'exercice, les autorités nationales comme la CNIL rappellent que ce droit ne doit pas faire l’objet d’obstacles injustifiés [14]. ll doit pouvoir s’exercer simplement et en principe gratuitement, sans avoir à spécifier l’objectif poursuivi [15].
2) La spécificité du contexte salarié
Pour un salarié, le droit d’accès revêt une importance particulière en raison du déséquilibre informationnel avec l’employeur, seul ce dernier maîtrisant l’étendue des traitements. Ce faisant, il vise à permettre aux personnes de reprendre une part de contrôle sur leurs données [16] et équilibrer cette asymétrie d’informations.
Car si le salarié a normalement été informé au préalable des traitements réalisés, cette information n’est pas toujours reçue avec la plus grande attention au moment où elle est délivrée. En tout état de cause, elle ne permet pas de connaître à l’avance l’étendue des traitements effectifs, qui dépend de la réalité des activités de traitements postérieurement à l’information fournie.
Mais la spécificité du droit d’accès dans l’entreprise tient aussi au volume des données potentiellement concernées. Rappelons que le salarié, et en amont le candidat au recrutement, est concerné par une quantité importante d’informations personnelles : dossiers de candidatures, parcours professionnel, suivi des horaires, messageries électroniques, rapports d’évaluation, ou encore fichiers partagés ou outils collaboratifs internes [17].
L’essentiel de ces informations constitue des données personnelles, dès lors qu’elles permettent d’identifier, directement ou indirectement, le salarié concerné [18]. Par ailleurs, s’agissant des données personnelles auxquelles le salarié peut avoir accès, la lecture de la CNIL est particulièrement extensive [19]. La CNIL a pu, par exemple, considérer que le droit d'accès du salarié couvre tant le contenu, que les métadonnées de sa messagerie professionnelle [20].
Dans ce contexte, l’exercice du droit d’accès peut devenir un outil contentieux particulièrement puissant, ce qui n’a pas échappé à certains avocats.
B. Vers un usage du droit d’accès dans un contexte contentieux
1) Un glissement vers l’usage probatoire du droit d’accès
Initialement conçu comme outil de transparence, le droit d’accès est de plus en plus mobilisé à des fins probatoires dans la sphère professionnelle. Il est devenu un outil stratégique pour obtenir des preuves en amont ou en parallèle d’une procédure prud’homal [21].
Aussi, les informations d’accès aux locaux ou les pointages horaires peuvent servir pour réclamer le paiement d’heures supplémentaires, alors que des images de vidéosurveillance ont pu être demandées pour permettre la reconnaissance d’un accident du travail [22].
La simplicité du mécanisme et l’absence de filtrage juridictionnel en font une alternative efficace pour le salarié qui l’utilise à des fins autres que la transparence. Cette réalité est confirmée par la doctrine, qui observe une utilisation croissante du RGPD dans les stratégies de preuve [23]. Mais cet usage n’est pas sans conséquences. Il peut en effet heurter les droits de l’employeur, tenu de communiquer des documents normalement inaccessibles (enquêtes disciplinaires, courriels internes, etc.) et potentiellement à charge contre l’entreprise en cas de litige [24].
Le professeur Grégoire Loiseau relève ainsi, à juste titre, que le droit d’accès « est ostensiblement instrumentalisé puisqu’il est le moyen de mettre la main sur des documents dans le but d’étayer des prétentions qui n’ont pas de rapport avec la protection des données personnelles qu’ils renferment » [25].
Mais pour autant qu’il est critiquable, ce phénomène n’est pas contraire à la position des autorités et des tribunaux. La CNIL rappelle que le droit d’accès peut être exercé « même en cas de différend », sans condition liée à l’intention du demandeur [26]. Cette lecture, conforme aux articles 12, § 2 et 15 du RGPD, qui ne prévoient aucune condition liée à l’intention du demandeur, se retrouve dans plusieurs décisions de justice qui ont confirmé que l’existence d’un contentieux ne fait pas obstacle à l’exercice du droit d’accès [27].
La CJUE souligne ainsi qu’il n’est pas requis de fournir un motif et que « ni le libellé de l'article 12, paragraphe 5, du RGPD ni celui de l'article 15, paragraphes 1 et 3, de ce règlement ne conditionnent la fourniture, à titre gratuit, d'une première copie des données à caractère personnel à l'invocation, par ces personnes, d'un motif visant à justifier leurs demandes. Ces dispositions ne donnent donc pas au responsable du traitement la possibilité d'exiger de motifs de la demande d'accès présentée par la personne concernée » [28].
À titre d’exemple, dans une affaire de droit social qui portait sur l’accès à des images de vidéosurveillance par un salarié, la cour d’appel d’Amiens a rappelé que le droit d’accès « est garanti par les textes précités indépendamment de la contestation du bien-fondé d’une sanction disciplinaire ou d’un licenciement reposant sur des faits que ce dispositif aurait permis de capter » [29]. Le détournement de ce droit à des fins probatoires semble donc admis.
Cette évolution soulève des interrogations tant le droit d’accès devient un outil stratégique. Elle invite à réfléchir aux risques d’abus en raison du détournement procédural [30].
2) Une alternative aux mécanismes classiques de preuve ?
Le droit d’accès offre, dans certains cas, une alternative redoutablement efficace aux procédures d'instruction classiques. En particulier, il peut être perçu comme une alternative à la procédure prévue à l'article 145 du Code de procédure civile N° Lexbase : L1497H49 [31].
Or, comme le souligne la doctrine, le salarié peut s’appuyer sur le RGPD pour contourner les exigences procédurales du droit commun [32], sans contrôle préalable du juge ni exigence de proportionnalité [33]. En effet, l'article 145 du Code de procédure civile impose au demandeur de démontrer l'existence d’un motif légitime pour solliciter des mesures d’instruction in futurum, en déposant une requête ou une assignation en référé. Cette procédure implique l’intervention du juge, qui peut refuser la mesure [34], et entraîne nécessairement un débat contradictoire en cas de référés.
À l’inverse, pour le droit d’accès, ni juge ni contradictoire, et la demande ne requiert aucune justification. On comprend pourquoi cette procédure suscite autant d’intérêt.
Mais notons toutefois que, contrairement à la procédure de l’article 145, dont la portée est plus large, le droit d’accès reste borné aux seules données personnelles relatives à la personne concernée.
Cela étant, cette évolution ne va pas sans susciter un débat doctrinal [35] et plusieurs auteurs soulignent que, dans ces cas, le droit d’accès se détache de sa fonction d’information et de transparence pour devenir un instrument de collecte de preuve, sans encadrement procédural [36].
Si cet usage n’est pas illégal, il pose une question de loyauté : l’invocation d’un droit fondamental dans un but probatoire n’en altère-t-elle pas la finalité initiale ? Il semble également opportun d’envisager les moyens de limiter les abus. L’un des tempéraments se trouve dans les limites prévues par la réglementation, mais également dans la conformité que les entreprises peuvent mettre au service de leurs intérêts.
II. Encadrer l’usage du droit d’accès à des fins probatoires : limites et stratégies juridiques
A. Un droit non absolu : encadrement et limites
1) Les limites inhérentes à l’exercice du droit d’accès
Instrument central de la transparence, le droit d'accès n’est cependant pas sans limites.
L’employeur est tout d’abord invité à vérifier l’identité du salarié avant de donner suite à la demande. Le plus souvent, ces vérifications sont une simple formalité. Cela étant, elles peuvent constituer un préalable nécessaire lorsque le contexte ne permet pas de s’assurer de l’identité du demandeur [37].
Le caractère infondé ou excessif d’une demande peut également justifier un refus, sous réserve que l’employeur en démontre le bien-fondé [38].
Aussi, si la demande est en principe gratuite, il reste possible d’exiger le paiement de frais dans certains cas. De tels frais, qui doivent rester raisonnables et limités aux coûts engendrés, peuvent réduire le nombre de demandes excessives qui se trouvent sans limite lorsqu’elles sont parfaitement gratuites. Cela étant, l’employeur devra toujours justifier son évaluation de la demande [39]. Mais encore une fois, cette limite ne peut s’appliquer que si la demande est infondée ou excessive et sa portée semble avoir un impact relatif.
Par ailleurs, dans la cadre d’un détournement du droit d’accès à des fins purement probatoires, sans aucun rapport avec les données personnelles, la question du caractère abusif d’une demande d’accès, dont le seul objectif serait probatoire, se pose. Or, ni la CNIL, ni le CEPD [40], ni la jurisprudence française ne semblent considérer que le simple objectif probatoire suffise à qualifier une demande d'abusive.
Pourtant, cdes auteurs ont pu relever que certaines juridictions allemandes ont validé des refus lorsque la finalité apparaissait manifestement étrangère à la protection des données [41].
D’autres limites visent plus directement les informations communicables.
À cet égard, rappelons que le droit d’accès ne vise que les données de la personne concernée. L’employeur n’est donc pas tenu de transmettre des éléments relatifs à d’autres personnes, en particulier d’autres salariés, sauf à procéder à leur anonymisation dans des conditions parfois complexes [42]. Il est ainsi recommandé de ne se limiter qu’aux données du demandeur, au risque de s’exposer à des manquements vis-à-vis des tiers [43].
De plus, le droit d’accès vise les données personnelles, non les documents eux-mêmes. L’employeur ne devrait alors fournir que les informations identifiables comme personnelles, extraites si nécessaire, sans être contraint de transmettre un document dans son ensemble. Cette distinction est soulignée par la jurisprudence et par la CNIL, qui rappellent que la demande d’accès ne saurait être détournée pour obtenir des documents dans leur intégralité [44]. Si le salarié souhaite obtenir des documents complets à des fins probatoires, la procédure de l'article 145 du Code de procédure civile pourra être envisagée [45].
Autre limite notable : les données supprimées ou arrivées à échéance de conservation échappent également à l'obligation de communication. L’entreprise doit en effet conserver les données pour une durée déterminée, conformément au principe de limitation des durées de conservation. À cet égard, la cour d’appel de Paris a jugé qu'une salariée ne pouvait obtenir la récupération de sa messagerie professionnelle supprimée, conformément à la politique interne de conservation [46]. Dans une autre affaire, le Conseil d’État a considéré, s’agissant des demandes d’un agent de la RATP d’accéder à l'ensemble de ses bulletins mensuels de pointage de juin 2005 à juin 2016, qu’il ne pouvait pas être imposé au responsable de traitement de communiquer les bulletins antérieurs à 2008 dont la durée de conservation était échue à la date de sa demande [47].
Pour autant, il ne suffit pas de supprimer les données pour échapper au droit d’accès et seul un cadre clair et prédéfini relatif aux durées de conservation permet d’entrer dans cette hypothèse. D’ailleurs, la loi « Informatique et libertés » envisage l’hypothèse de suppressions anticipées de données et prévoit une intervention possible du juge, y compris en référé, qui pourra ordonner toutes mesures utiles « en cas de risque de dissimulation ou de disparition des données à caractère personnel » [48].
Le refus de satisfaire une demande d’accès ne peut se fonder que sur des circonstances exceptionnelles, dont la charge de la preuve incombe entièrement au responsable de traitement et doit être particulièrement motivé.
2) La protection des intérêts et droits concurrents
Au-delà de ces limites applicables au droit d’accès en tant que tel, il convient de tenir compte des atteintes éventuelles aux autres droits, en particulier les droits des tiers, auxquels il ne peut être porté atteinte [49].
Ce principe s’applique à de nombreux secrets et d’abord à la protection des données personnelles de tiers [50]. Ainsi, un salarié ne peut obtenir des documents contenant des informations identifiables sur d’autres collaborateurs, sans qu’une mise en balance ne soit opérée. La CNIL recommande de limiter l’accès aux documents dans lesquels le salarié est acteur (expéditeur ou destinataire), et de recourir à des mesures d’occultation ou d’anonymisation lorsque d’autres personnes sont mentionnées [51]. La raison est que, dans un tel cas, le salarié a déjà eu connaissance du contenu [52] et donc que leur communication est présumée respectueuse des droits des tiers.
La protection du secret des correspondances peut également limiter la portée du droit d’accès, un employeur ne pouvant pas communiquer à un salarié des échanges qui seraient couverts par un tel secret.
Le secret des affaires et le respect de la propriété intellectuelle peuvent également constituer des limites opposables. Par exemple, une entreprise pourrait refuser de communiquer un document contenant des informations stratégiques (formules, algorithmes propriétaires, ou plans commerciaux confidentiels), si leur divulgation, même partielle, risquait de compromettre sa compétitivité. Le risque est d’autant plus évident lorsque le salarié à l’origine de l’exercice du droit d’accès rejoint une entreprise concurrente. Dans ce cas, il appartient au responsable du traitement de justifier concrètement pourquoi la communication porterait atteinte au secret des affaires et de s'assurer que le refus est proportionné : il doit, si possible, privilégier des solutions intermédiaires (occultation, communication partielle), plutôt qu'un refus global.
De manière générale, tout refus nécessite d’être dûment motivé [53]. À défaut, l’entreprise s’expose à un contrôle par la CNIL ou par le juge, qui peut apprécier la pertinence de la restriction au regard des circonstances de la demande.
En outre, si une demande s’avérait trop large, le responsable de traitement pourrait tout à fait demander des précisions. Cela peut logiquement être le cas d’une demande effectuée à des fins probatoires qui pourrait viser, de manière très large, tous types de données sur de grandes pérides. Mais là encore, les autorités invitent à agir avec mesure et, par exemple, à ne pas demander systématiquement de préciser le périmètre de la demande comme une étape préalable à la gestion du droit d’accès [54], mais seulement lorsque cette précision est nécessaire.
Tout l’équilibre auquel l’entreprise doit se livrer vise ainsi à respecter l’objectif de transparence tout en préservant les informations protégées par d'autres régimes juridiques.
En pratique, ces garde-fous constituent un moyen de limiter les conséquences d’un usage stratégique du droit d’accès, mais ne doivent pas priver le salarié de la communication des informations auxquelles il a droit. Tout cela ne peut être réalisé par l’employeur qu’en maintenant un niveau d’exigence élevé en matière de gouvernance documentaire et de traitement des demandes individuelles.
B. Vers un encadrement dans la pratique : conformité RGPD et autres perspectives
1) Anticiper et structurer la réponse en interne
En application du principe d’accountability [55], les entreprises doivent mettre en place une organisation interne rigoureuse pour garantir l’effectivité et la conformité du traitement des demandes d’accès [56]. Ces obligations, qui semblent parfois contraignantes pour certaines entreprises, peuvent en réalité devenir de véritables éléments de protection de leurs intérêts.
La formalisation d’une politique interne, sous l’impulsion du DPO [57] et en coordination avec les services juridiques et ressources humaines, ainsi que de la DSI [58], permettra de sécuriser la gestion des demandes. Elle pourra comprendre, par exemple, l’envoi d’un accusé de réception, les conditions d'analyse de la recevabilité de la demande, le traitement des documents accessibles, l'occultation éventuelle de certaines informations et la conservation d'une trace écrite du traitement de la demande.
Parallèlement, l'entreprise doit anticiper les risques en cartographiant ses traitements, en s'assurant de la clarté et de la loyauté des données restituées. Le registre des demandes, la documentation des refus partiels ou totaux, et des modèles de réponse adaptés peuvent utilement compléter ce cadre. Surtout, les entreprises sont invitées à mener des travaux relatifs à la détermination des durées de conservation et de s’y tenir strictement et ce d'autant que, dans l’hypothèse de l’exercice du droit d’accès, ces obligations pourront jouer dans leur intérêt.
L’employeur doit également appliquer le principe de minimisation des données, puisque seules les données « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités » doivent être traitées [59].
En observant ces principes de manière rigoureuse, l’entreprise limite naturellement le périmètre des informations communicables tout en se plaçant dans la conformité aux textes applicables. Cette conformité, si elle est bien pensée au sein de l’entreprise, constitue un levier essentiel pour limiter les abus potentiels [60].
L’ensemble de ces mesures doit permettre de respecter le délai d’un mois imposé par l’article 12, § 3 du RGPD, prorogeable de deux mois supplémentaires en cas de complexité avérée de la demande. C’est aussi un moyen de preuve si la gestion de la demande venait à être contestée.
Et cette conformité sécurise également l’entreprise et lui évite d’être en manquement. Rappelons que la mauvaise gestion d’une demande d’accès expose l’employeur à des sanctions de la CNIL, notamment en cas de refus injustifié ou de réponse partielle, sans motif légitime [61], et qu’en cas de contexte contentieux, le salarié ne se privera pas de dénoncer un manquement.
2) Quelles perspectives ?
La montée en puissance du droit d’accès dans le contentieux du travail invite à envisager plusieurs pistes d’évolution.
À court terme, les entreprises n’ont d’autre choix que de renforcer leurs processus internes de traitement des demandes d'accès. L'anticipation, la transparence documentaire et la structuration des réponses sont des leviers essentiels pour concilier l'exercice effectif du droit d'accès avec la maîtrise des risques contentieux.
D’un point de vue strictement juridique, si le phénomène continuait à prendre de l’ampleur, au point de mettre à mal les garanties procédurales, le législateur français pourrait, à l’instar de ce qui a été fait en Allemagne, utiliser l’article 23 du RGPD. Cette disposition permet de prévoir des limitations par la voie législative, par exemple, afin de garantir le respect des procédures judiciaires, comme celles prévues à l’article 145 du Code de procédure civile [60]. La question pourrait véritablement se poser si des abus plus systématiques venaient à se présenter.
D’autant que le droit d’accès peut être utilisé à des fins probatoires au-delà des contentieux sociaux, par exemple dans des conflits d’associés, ou encore dans des litiges relatifs aux créations réalisées par des personnes physiques. En réalité, cette problématique pourrait se poser dans tout conflit dont la connaissance des informations portant sur une personne serait clé, dès lors que les outils procéduraux classiques s’avéreraient peu adapté à la nature du litige.
Les questions relatives au recours au droit d’accès en tant qu’outil probatoire risquent ainsi de prendre de l’ampleur, et tant les positions de la CNIL que les évolutions jurisprudentielles ou législatives méritent à cet égard d’être suivies avec la plus grande attention.
[1] Ce droit a été formellement reconnu par la Cour constitutionnelle allemande dès les années 1980, puis progressivement intégré dans le corpus européen - BVerfG 15 décembre 1983, « Census Act ».
[2] L’article 1er, paragraphe 2, de la loi « Informatique et libertés » en pose le principe en prévoyant que : « Les droits des personnes de décider et de contrôler les usages qui sont faits des données à caractère personnel les concernant et les obligations incombant aux personnes qui traitent ces données s'exercent dans le cadre du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, de la Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 et de la présente loi ».
[3] Règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données N° Lexbase : L0189K8I, et abrogeant la Directive 95/46/CE (« RGPD »).
[4] Charte des droits fondamentaux de l'Union européenne, art. 8 (2016/C 202/02) (« Charte des droits fondamentaux de l’UE »).
[5] Versions consolidées du Traité sur l'Union européenne et du Traité sur le fonctionnement de l'Union européenne (2016/c 202/01) (« TFUE »). L’article 16 protège le droit à la protection des données dans son principe en disposant que « toute personne a droit à la protection des données à caractère personnel la concernant ».
[6] Loi n° 78-17 du 6 janvier 1978, relative à l'informatique, aux fichiers et aux libertés N° Lexbase : L8986H39) ( loi « Informatique et libertés »).
[7] V not. G. Loiseau, Le détournement du droit d’accès aux données personnelles, Bull. Joly Travail, juin 2022, n° BJT201o1 ; S. Joyeux et C. Pousset-Bougère L’utilisation croissante du RGPD dans le contentieux judiciaire, Dalloz IP/IT, 2024 ; J. Waszek, Le droit d’accès aux données personnelles est-il susceptible d’abus ? L’exemple des relations de travail, Dalloz IP/IT, 2024.
[8] Charte des droits fondamentaux de l’UE, art. 8, § 2 e.
[9] Convention 108 du Conseil de l’Europe sur la protection des données, art. 8 b) (modernisée par la convention 108+ qui garantit également le droit d’accès, mais n’est pas à ce jour applicable).
[10] V not. E. Dufour et M-C Diriart, Assurer le respect des droits des salariés, Les Cahiers du DRH, décembre 2024, n° 325.
[11] RGPD, art. 15 et considérant 63.
[12] CJUE, 17 juillet 2014, aff. C-141/12 et C-372/12, YS et a. N° Lexbase : A4753MUL.
[13] RGPD, art. 16, 17 et 21. Voir aussi CNIL, Fiche pratique, Le droit d’accès des salariés à leurs données et aux courriels professionnels, 5 janvier 2022, mise à jour le 31 janvier 2025 [en ligne].
[14] Cette position est largement partagée et se trouve réaffirmée par le CEPD, notamment dans ses Lignes directrices 01/2022 sur les droits des personnes concernées - Droit d’accès, version 2.1, adoptées le 28 mars 2023.
[15] V. infra.
[16] RGPD, considérant 63.
[17] J. Schwartz et F. Lefèvre, Exercice du droit d'accès par les salariés à leurs emails professionnels – Comment gérer ces demandes ?, Cahiers de droit de l’entreprise, sept.-oct. 2022, n° 5, prat. 25.
[18] Conformément à la définition de l’article 4, §1 du RGPD. En outre, sur ce point, la position des autorités de protection des données est constante : une information est rattachée à une personne dès lors qu’elle lui est attribuable, même dans un cadre professionnel. Voir notamment CNIL, Fiche pratique, Le droit d’accès des salariés à leurs données et aux courriels professionnels, 5 janvier 2022, mise à jour le 31 janvier 2025, préc..
[19] CNIL, Fiche pratique, Le droit d’accès des salariés à leurs données et aux courriels professionnels, 5 janvier 2022, mise à jour le 31 janvier 2025, préc. ; S. Joyeux et C. Pousset-Bougère L’utilisation croissante du RGPD dans le contentieux judiciaire, Dalloz IP/IT, 2024 ; B. Fiedler et O. Zubcevic, Le RGPD et l’accès aux données et aux documents détenus par l’employeur, Bull. Joly Travail, juin 2022, n° BJT201l2.
[20] CNIL, Fiche pratique, Le droit d’accès des salariés à leurs données et aux courriels professionnels, 5 janvier 2022, mise à jour le 31 janvier 2025, préc..
J. Waszek, Le droit d’accès aux données personnelles est-il susceptible d’abus ? L’exemple des relations de travail, Dalloz IP/IT, 2024.
[21] G. Loiseau, Le détournement du droit d’accès aux données personnelles, Bull. Joly Travail, juin 2022, n° BJT201o1 ; S. Joyeux et C. Pousset-Bougère, L’utilisation croissante du RGPD dans le contentieux judiciaire, Dalloz IP/IT, 2024 ; V. également B. Fiedler et O. Zubcevic, Le RGPD et l’accès aux données et aux documents détenus par l’employeur, Bull. Joly Travail, juin 2022, n° BJT201l2.
[22] B. Fiedler et O. Zubcevic, Le RGPD et l’accès aux données et aux documents détenus par l’employeur, Bull. Joly Travail, juin 2022, n° BJT201l2.
[23] S. Mraouahi, Preuve et données personnelles dans le procès prud’homal, Bull. Joly Travail, juin 2022, n° BJT201l7.
[24] J. Waszek, Le droit d’accès aux données personnelles est-il susceptible d’abus ? L’exemple des relations de travail, Dalloz IP/IT, 2024.
[25] G. Loiseau, Le détournement du droit d’accès aux données personnelles, Bull. Joly Travail, juillet - août 2024, n° BJT201o1.
[26] CNIL, Fiche pratique, Le droit d’accès des salariés à leurs données et aux courriels professionnels, 5 janvier 2022, mise à jour le 31 janvier 2025.
[27] CA Amiens, 8 avril 2021, n° 20/05672 N° Lexbase : A85964NP, citée dans B. Fiedler et O. Zubcevic, Le RGPD et l’accès aux données et aux documents détenus par l’employeur, Bull. Joly Travail, juin 2022, n° BJT201l2.
[28] V. not. CJUE, 26 octobre 2023, aff. C-307/22 N° Lexbase : A42371PM ; CJUE, 24 mai 2024, aff. C‑312/23, Addiko Bank d.d..
[29] CA Amiens, 8 avril 2021, n° 20/05672, préc..
[30] V. S. Mraouahi, Preuve et données personnelles dans le procès prud’homal, Bull. Joly Travail, juin 2022, n° BJT201l7, qui explore notamment les conditions dans lesquelles l’employeur peut faire valoir des éléments issus de traitements de données à caractère personnel dans le respect du RGPD.
[31] Aux termes de cette disposition, « s'il existe un motif légitime de conserver ou d'établir avant tout procès la preuve de faits dont pourrait dépendre la solution d'un litige, les mesures d'instruction légalement admissibles peuvent être ordonnées à la demande de tout intéressé, sur requête ou en référé ».
[32] B. Fiedler et O. Zubcevic, Le RGPD et l’accès aux données et aux documents détenus par l’employeur, Bull. Joly Travail, juin 2022, n° BJT201l2.
[33] G. Loiseau, Le détournement du droit d’accès aux données personnelles, Bull. Joly Travail, juillet - août 2024, n° BJT201o1.
[34] Ibid. ; voir également S. Mraouahi, Preuve et données personnelles dans le procès prud’homal, Bull. Joly Travail, juin 2022, n° BJT201l7.
[35] G. Loiseau, Le détournement du droit d’accès aux données personnelles, Bull. Joly Travail, juillet - août 2024, n° BJT201o1 ; S. Mraouahi, Preuve et données personnelles dans le procès prud’homal, Bull. Joly Travail, juin 2022, n° BJT201l7.
[36] V not. G. Loiseau, Bull. Joly Travail, n° BJT201o1 et S. Mraouahi, Bull. Joly Travail, n° BJT201l7.
[37] À l’inverse, lorsque le contexte de la demande ne laisse pas place au doute, la vérification de l’identité ne s’impose pas (par exemple, un salarié en poste qui formule sa demande en utilisant son adresse email professionnel).
[38] RGPD, art. 12, § 5.
[39] V. not. CEPD, Lignes directrices 01/2022 sur les droits des personnes concernées - Droit d’accès, version 2.1, adoptées le 28 mars 2023, préc..
[40] CEPD, Lignes directrices 01/2022 sur les droits des personnes concernées - Droit d’accès, version 2.1, adoptées le 28 mars 2023, préc..
[41] Voir notamment le tribunal supérieur du travail de Saxe, qui a approuvé l'employeur d'avoir rejeté sa demande d'accès au motif que : « L'objectif du droit d'accès visé à l'article 15, paragraphe 1, du RGPD n'est pas de renseigner le demandeur
sur ses horaires de travail, ce qu'il demande pourtant à plusieurs reprises. Ce n'est ni l'objet ni le but du RGPD [...] », cité par J. Waszek, Le droit d’accès aux données personnelles est-il susceptible d’abus ? L’exemple des relations de travail, Dalloz IP/IT, 2024.
[42] E. Dufour et F. Allier, Garantir le droit d’accès, Les Cahiers du DRH, 1er décembre 2024, n° 325.
[43] Mais la position de la CNIL invite à envisager un tempérament à cela, pour le cas des messages dont le salarié est acteur (expéditeur ou destinataire), voir infra.
[44] Si le droit d’accès porte sur les données personnelles et non pas sur les documents, rien n’interdit pour autant à l’employeur de communiquer des documents si cela est plus facile à gérer, dans le respect des droits des tiers. V. CNIL, Fiche pratique, Le droit d’accès des salariés à leurs données et aux courriels professionnels, 5 janvier 2022, mise à jour le 31 janvier 2025, préc..
[45] G. Loiseau, Le détournement du droit d’accès aux données personnelles, Bull. Joly Travail, juillet - août 2024, n° BJT201o1.
[46] Voir CA Paris, 6-2, 12 mai 2022, n° 21/02419 N° Lexbase : A77237WX, dans une affaire l’article 145 du Code de procédure civile a été mobilisé après l’exercice du droit d’accès.
[47] CE, 12 février 2020, n° 434473 N° Lexbase : A35343EM.
[48] Loi « Informatique et libertés », art. 49.
[49] RGPD, art. 15, § 4, qui précise que l’exercice du droit d’accès « ne porte pas atteinte aux droits et libertés d'autrui ».
[50] RGPD, art. 15.
[51] CNIL, Fiche pratique, Le droit d’accès des salariés à leurs données et aux courriels professionnels, 5 janvier 2022, mise à jour le 31 janvier 2025.
[52] LSQ, L’actualité, n° 18474, 24 janvier 2022 ; CNIL, Fiche pratique, Le droit d’accès des salariés à leurs données et aux courriels professionnels, 5 janvier 2022, mise à jour le 31 janvier 2025.
[53] RGPD, considérant 63.
[54] CEPD, Lignes directrices 01/2022 sur les droits des personnes concernées - Droit d’accès, version 2.1, adoptées le 28 mars 2023, préc..
[55] Ou « responsabilisation » (principe prévu à l'article 5, § 2 du RGPD).
[56] L’article 5, § 2 du RGPD prévoit que « le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité) ».
[57] Data Protection Officer, ou délégué à la protection des données.
[58] Direction des services informatiques.
[59] Pour des exemples récents concernant le principe de minimisation, voir CJUE, 9 janvier 2025, aff. C‑394/23, Mousse c/ CNIL, SNCF Connect N° Lexbase : A67846PX ; CJUE, 4 octobre 2024, aff. C-446/21, Maximilian Schrems c/ Meta Platforms Ireland Limited N° Lexbase : A0501583.
[60] E. Dufour et F. Allier, Garantir le droit d’accès, Les Cahiers du DRH, 1er décembre 2024, n° 325.
[61] À cet égard, l'article 83.5 du RGPD prévoit une amende administrative pouvant s'élever jusqu'à 20 000 000 € ou jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.
[62] G. Loiseau, Le détournement du droit d’accès aux données personnelles, Bull. Joly Travail, juillet - août 2024, n° BJT201o1 ; J. Waszek, Le droit d’accès aux données personnelles est-il susceptible d’abus ? L’exemple des relations de travail, Dalloz IP/IT, 2024.
© Reproduction interdite, sauf autorisation écrite préalable
newsid:492224
Parcours utilisateur
Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.
Données analytiques
Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.