Recevez chaque jour toute l'actualité du numérique

x

L'employeur face au droit d'accès du salarié à ses données informatiques

Pour Isabelle Renard, docteur ingénieur et avocate au barreau de Paris, la loi Informatique et libertés encadre encore de manière floue  les relations employeurs/employés, notamment dans le cadre de l’accès au salarié à ses traces "informatiques". Elle recommande aux entreprises d’encadrer de façon explicite et précise dans leur charte informatique les modalités de ce droit d’accès, pour éviter les demandes abusives de la part de leurs employés. 
Twitter Facebook Linkedin Flipboard Email
×

L'employeur face au droit d'accès du salarié à ses données informatiques
L'employeur face au droit d'accès du salarié à ses données informatiques © dr.

La loi Informatique et libertés prévoit que toute personne dont les données personnelles sont traitées peut demander au responsable de traitement d’accéder à celles-ci, dans des conditions qui sont précisées par l’article 39 du texte.

Aux termes de ces dispositions, chacun peut obtenir l’ensemble des renseignements qui caractérisent le traitement dont ses données font l’objet : quelles sont les données traitées, dans quel but, à qui sont-elles transmises, le responsable s’appuie-t-il sur ces informations pour prendre des décisions personnelles à l’égard de la personne concernée ?

Le responsable du traitement des data est tenu de répondre à ces interrogations, sauf si celles-ci procèdent d’un abus manifeste, par leur nombre ou leur répétition trop systématique.

Ces dispositions sont entièrement applicables aux relations entre salariés et employeurs qui, avec les nouvelles technologies, sont en possession de données personnelles de plus en plus nombreuses concernant leurs employés : données de connexion Internet, gestion centralisée des compétences, données des badgeuses, géolocalisation, enregistrements vidéos et vocaux…

une fiche pratique de la Cnil

Les donées des employés doivent être collectées licitement, ce qui suppose que les employeurs aient déclaré à la Commission nationale de l'informatique et des libertés (Cnil) les traitements afférents, selon la procédure applicable (déclaration simplifiée, normale, ou demande d’autorisation), selon qu’il existe – ou non – un correspondant informatique et libertés dans l’entreprise. En cas de non déclaration ou de déclaration partielle par l’employeur d’un fichier, les données recueillies ne peuvent pas être opposées au salarié pour fonder une procédure disciplinaire. Ce principe posé par le Cour de cassation est rappelé de façon constante par la jurisprudence.

Mais ce n’est pas tout. Encore faut-il que l’employeur soit en mesure de répondre aux demandes d’accès à leurs données exercées par les salariés. La Cnil, dans la fiche pratique numéro 3 de son guide "pour les employeurs et les salariés", donne une liste des informations auxquelles le salarié a le droit d’accéder, sur simple demande :

- recrutement

- historique de carrière

- rémunération

- évaluation des compétences professionnelles (entretiens d’évaluation, notations)

- dossier disciplinaire

De façon générale, le salarié doit pouvoir accéder à l’ensemble des données de gestion de ressources humaines le concernant, dès lors que celles-ci ont servi de base à une décision à son égard. Ce critère manque singulièrement de clarté, et semble ne concerner que les données de ressources humaines.

S’agissant des traces informatiques, la Cnil ne met aucune condition à leur droit d’accès par le salarié. Par exemple, pour les données de géolocalisation, elle a prononcé une sanction de 10 000 euros à l’encontre de la société Nord Picardie, qui a refusé de transmettre à un employé une copie de ses données de géolocalisation, dont il avait besoin pour prouver qu’un accident de la circulation dont il avait été victime avait un caractère professionnel. De la même façon, l’employeur est tenu de mettre à disposition d’un salarié en faisant la demande ses données de vidéosurveillance, ses écoutes téléphoniques ou ses données de navigation web.

une charte informatique explicite

Confrontés à de telles requêtes l’employeur, même de bonne foi, a parfois du mal à savoir comment se positionner, surtout lorsque lesdites requêtes sont exercées par certains salariés uniquement par principe, pour obliger l’employeur à se plier à une exigence qu’ils estiment être de droit, et alors même que la fourniture de ces informations hors contexte peut se heurter à de réelles difficultés pratiques. Ne reste alors à l’employeur qu’à sortir le joker de la demande "manifestement abusive", et pour cela, il faut caractériser l’abus, ce qui n’est pas simple.

Le "droit d’accès" prévu de façon générale par la loi Informatique et libertés reste un sujet mal encadré dans les relations employeurs/employés, surtout s’agissant de l’accès au salarié à ses traces "informatiques", dont il est en tout état de cause informé de la collecte dès lors que celle-ci est clairement mentionnée dans la charte informatique. Le point n’est pas plus traité dans le projet de règlement européen sur la protection des données personnelles.

Faute d’attendre une amélioration des textes ou un positionnement de la Cnil, nous pensons que la meilleure façon pour les employeurs de se prévaloir de demandes abusives est d’encadrer de façon explicite et précise dans les chartes informatiques les modalités du droit d’accès, pour chaque type de trace "numérique", au lieu des dispositions génériques et floues qu’on y voit actuellement.

Isabelle Renard, docteur ingénieur et avocate au barreau de Paris

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media