L’employeur face au droit d’accès du salarié à ses données informatiques

La loi Informatique et libertés prévoit que toute personne dont les données personnelles sont traitées peut demander au responsable de traitement d’accéder à celles-ci, dans des conditions qui sont précisées par l’article 39 du texte.

Aux termes de ces dispositions, chacun peut obtenir l’ensemble des renseignements qui caractérisent le traitement dont ses données font l’objet : quelles sont les données traitées, dans quel but, à qui sont-elles transmises, le responsable s’appuie-t-il sur ces informations pour prendre des décisions personnelles à l’égard de la personne concernée ?

Le responsable du traitement des data est tenu de répondre à ces interrogations, sauf si celles-ci procèdent d’un abus manifeste, par leur nombre ou leur répétition trop systématique.

Ces dispositions sont entièrement applicables aux relations entre salariés et employeurs qui, avec les nouvelles technologies, sont en possession de données personnelles de plus en plus nombreuses concernant leurs employés : données de connexion Internet, gestion centralisée des compétences, données des badgeuses, géolocalisation, enregistrements vidéos et vocaux…

UNE FICHE PRATIQUE DE LA CNIL

Les données des employés doivent être collectées licitement, ce qui suppose que les employeurs aient déclaré à la Commission nationale de l’informatique et des libertés (Cnil) les traitements afférents, selon la procédure applicable (déclaration simplifiée, normale, ou demande d’autorisation), selon qu’il existe – ou non – un correspondant informatique et libertés dans l’entreprise. En cas de non déclaration ou de déclaration partielle par l’employeur d’un fichier, les données recueillies ne peuvent pas être opposées au salarié pour fonder une procédure disciplinaire. Ce principe posé par le Cour de cassation est rappelé de façon constante par la jurisprudence.

Mais ce n’est pas tout. Encore faut-il que l’employeur soit en mesure de répondre aux demandes d’accès à leurs données exercées par les salariés. La Cnil, dans la fiche pratique numéro 3 de son guide « pour les employeurs et les salariés », donne une liste des informations auxquelles le salarié a le droit d’accéder, sur simple demande :

• recrutement
• historique de carrière
• rémunération
• évaluation des compétences professionnelles (entretiens d’évaluation, notations)
• dossier disciplinaire

De façon générale, le salarié doit pouvoir accéder à l’ensemble des données de gestion de ressources humaines le concernant, dès lors que celles-ci ont servi de base à une décision à son égard. Ce critère manque singulièrement de clarté, et semble ne concerner que les données de ressources humaines.

S’agissant des traces informatiques, la Cnil ne met aucune condition à leur droit d’accès par le salarié. Par exemple, pour les données de géolocalisation, elle a prononcé une sanction de 10 000 euros à l’encontre de la société Nord Picardie, qui a refusé de transmettre à un employé une copie de ses données de géolocalisation, dont il avait besoin pour prouver qu’un accident de la circulation dont il avait été victime avait un caractère professionnel. De la même façon, l’employeur est tenu de mettre à disposition d’un salarié en faisant la demande ses données de vidéosurveillance, ses écoutes téléphoniques ou ses données de navigation web.

UNE CHARTE INFORMATIQUE EXPLICITE

Confrontés à de telles requêtes l’employeur, même de bonne foi, a parfois du mal à savoir comment se positionner, surtout lorsque lesdites requêtes sont exercées par certains salariés uniquement par principe, pour obliger l’employeur à se plier à une exigence qu’ils estiment être de droit, et alors même que la fourniture de ces informations hors contexte peut se heurter à de réelles difficultés pratiques. Ne reste alors à l’employeur qu’à sortir le joker de la demande « manifestement abusive », et pour cela, il faut caractériser l’abus, ce qui n’est pas simple.
Le « droit d’accès » prévu de façon générale par la loi Informatique et libertés reste un sujet mal encadré dans les relations employeurs/employés, surtout s’agissant de l’accès au salarié à ses traces « informatiques », dont il est en tout état de cause informé de la collecte dès lors que celle-ci est clairement mentionnée dans la charte informatique. Le point n’est pas plus traité dans le projet de règlement européen sur la protection des données personnelles.
Faute d’attendre une amélioration des textes ou un positionnement de la Cnil, nous pensons que la meilleure façon pour les employeurs de se prévaloir de demandes abusives est d’encadrer de façon explicite et précise dans les chartes informatiques les modalités du droit d’accès, pour chaque type de trace « numérique », au lieu des dispositions génériques et floues qu’on y voit actuellement.

Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.usine-digitale.fr/article/l-employeur-face-au-droit-d-acces-du-salarie-a-ses-donnees-informatiques.N330908

Par Isabelle Renard, docteur ingénieur et avocate au barreau de Paris