Newsflash
Protection des données et de la vie privée

L’Autorité de protection des données (APD) a rappelé dans une décision récente, l’importance que revêt le droit d’accès de la personne concernée, dont le respect permet de rencontrer l’une des exigences majeures du droit de la protection des données en ce qu’il constitue « la porte d’entrée » à l’exercice des autres droits conférés par le RGPD. Si l’APD reconnait que le droit d’accès ne présente aucun caractère absolu, il ne peut purement et simplement céder le pas face aux droits et libertés d’autrui en manière telle que toute communication d’informations à la personne concernée soit refusée.

Les faits

Un travailleur a intégré une entreprise, active dans le secteur de la consultation informatique. L’travailleur dont il est question a introduit auprès de son employeur, une demande relative à l’exercice de son droit d’accès et/ou copie à toutes les données à caractère personnel recueillies à son sujet. A son estime, la réponse fournie par son employeur était insuffisante, il dépose dès lors une plainte auprès de l’APD. A l’occasion de sa plainte, le travailleur a également soulevé le fait que l’entreprise prendrait des photos de ses travailleurs lors d’évènements de l’entreprise, les publierait ensuite sur l’intranet de l’entreprise et ce, sans avoir obtenu leur consentement.

Décision de la chambre contentieuse de l’APD

L’APD clarifie le niveau de précision des réponses à fournir par l’employeur quant à la demande de droit d’accès et/ou de copie de la personne concernée notamment lorsque ces droits entrent en conflit avec les droits et libertés d’autrui. Selon l’APD, la mise en balance du droit d’accès/et ou de copie avec les droits et libertés d’autrui, ne peut conduire au refus de toute communication d’informations à la personne concernée.

Tout d’abord, l’APD énonce les trois principes repris à l’article 15 du RGPD :

  • La personne concernée a le droit d’obtenir confirmation par le responsable de traitement que des données à caractère personnel sont traitées ou non ;
  • Si tel est le cas, la personne concernée a le droit d’obtenir l’accès aux dites données ainsi qu’aux informations énumérées à l’article 15.1 a) - h) du RGPD ;
  • La personne concernée a le droit d’obtenir une copie gratuite de ses données à caractère personnel.

Ensuite, l’APD détermine dans quelle mesure, il peut être satisfait aux exigences du droit d’accès/copie et ses limites au travers de certains types de données à caractère personnel :

1. Droit d’accès aux annotations ou commentaires dans le dossier des ressources humaines

L’APD reconnait l’existence d’une limitation au droit d’accès et/ou copie qui ne peut porter atteinte aux droits et libertés d’autrui. Cependant, le risque d’atteinte, en l’espèce aux données à caractère personnel (les annotations) des anciens supérieurs hiérarchiques et responsable des ressources humaines du’ travailleur, argument invoqué par l’employeur, ne peut suffire à entrainer tout refus de communication d’informations à la personne concernée. En effet, l'APD indique qu’il est possible de satisfaire aux exigences du droit d’accès et de ses limites en anonymisant les données des tiers contenues dans ses annotations ou commentaires.

En l’espèce, l’APD estime qu’il y a eu violation par l’employeur de article 15.1 et 15.3 du RGPD.

2. Droit d’accès au logs IT

L’APD recommande dans un premier temps fortement la tenue de registres de logs afin de garantir l’effectivité de la protection des données à caractère personnel.

Le risque invoqué par l’employeur de porter atteinte au droit à la vie privée des auteurs des logs IT en accédant à la demande de droit d’accès du travailleur ne peut aboutir à son refus. Ainsi, dans le même ordre d’idées que pour le droit d’accès aux annotations ou commentaires dans le dossier des ressources humaines, il faut privilégier la règle de l’anonymisation, en l’espèce des données à caractère personnel des auteurs des logs IT afin de satisfaire aux exigences du droit d’accès et de ses limites.

Par contre, l’APD reconnait, à l’appui d’un arrêt rendu par la CJUE, qu’il faut procéder à une mise en balance entre l’exercice du droit d’accès du travailleur et la charge que représenterait  l’obligation de satisfaire à ce droit d’accès (second argument invoqué par l’employeur). Dans la mesure où, une fouille systématique de tous les logs IT relatifs à un travailleur impliquerait une charge de travail disproportionnée, l’employeur peut, sur cette base, refuser le droit d’accès aux logs IT de son travailleur. Pour reprendre les termes de l’APD « (…) faire droit à cette demande du plaignant lui imposerait une obligation disproportionnée à l’intérêt du plaignant à exercer son droit à la protection des données ».

En l’espèce, l’APD estime qu’il n’y a pas eu de violation par l’employeur de article 15.1 du RGPD.

3. Demande d’une copie des e-mails

L’APD souligne que le fait pour un travailleur d’avoir accès aux e-mails lors de sa demande, ne préjudicie pas son droit d’en obtenir copie de telle sorte que l’employeur n’est pas dispensé de son obligation pour cette raison (premier argument invoqué par l’employeur).

Par ailleurs, concernant le risque invoqué par l’employeur de porter atteinte au droit à la vie privée des autres expéditeurs ou destinataires dans les e-mails (deuxième argument de l’employeur), de nouveau, il est possible d’anonymiser les données à caractère personnel des autres destinataires ou expéditeurs des emails.

Le fait d’alléguer le secret d’affaires pour justifier le refus d’accéder à la demande de copie des e-mails d’un travailleur peut être retenu. L’APD a indiqué que bien qu’il convient d’interpréter le secret d’affaires de façon restrictive lorsque celui-ci constitue une limitation au droit fondamental de la protection des données, dans le cas d’espèce, elle a estimé qu’au vu des informations potentiellement sensibles dans les e-mails en question, le risque pour le secret d’affaire de l’employeur était suffisamment démontré. Attention : l'APD souligne toutefois que dans un autre cas d’espèce, où le risque ne serait pas démontré, il conviendrait d’anonymiser les données concernant les tiers pour ne pas porter atteinte aux droits de ceux-ci. En l’espèce, l’APD estime qu’il n’y a pas eu de violation par l’employeur de l’article 15.3 du RGPD.

Droit à l’image

Tout d’abord, il est important de signaler que l’APD ne se prononce que sur le droit à l’image.

Lorsqu’un travailleur invoque son droit à l’image, par rapport à des photos prises lors d’évènements comme en l’espèce, celui-ci est tenu de préciser avec clarté le caractère ciblé ou non des photos. En effet, seule la prise et diffusion de photos ciblées nécessite une base légale tel que le consentement. Or dans le cas d’espèce, le travailleur ne prouvait pas l’existence et/ou la diffusion de photos ciblées de lui, et n’indiquait pas que de telles photos auraient été prises lors d’événements d’entreprise organisés par l’employeur.

Par ailleurs, l’APD souligne que, dans le cas d’espèce, l’employeur invitait les travailleurs qui ne souhaitent pas que des photos sur lesquelles ils apparaissent soient enregistrées ou diffusées sur l’intranet, à prendre contact avec le DPR (Data Protection Representative) afin que celui-ci s’engage à les effacer.

En l’espèce, l’APD estime qu’il n’y a pas eu de violation par l’employeur du droit à l’image.

Point d'action

Il arrive que des (anciens) travailleurs exercent leur droit d’accès et/ou de copie de données à caractère personnel traitées à leur sujet et formulent une demande à l’employeur dans ce cadre. Cette décision de l’APD est intéressante dans la mesure où elle donne des indications quant à la réponse qui doit être apportée par un employeur.

Si vous estimez qu’en suivant la demande d’un travailleur de son droit d’accès et/ou de copie de ses données à caractère personnel, vous risquez de porter atteinte aux droits et libertés d’autrui, veillez à anonymiser les données à caractère personnel de ces tiers afin de satisfaire aux exigences du droit d’accès et de ses limites. Il est également possible, en tant qu’employeur, d’invoquer le risque d’atteinte au secret d’affaire mais à condition d’être en mesure de prouver ce risque (en cas d’informations potentiellement sensibles).

Il est également possible qu’une demande d’accès d’un travailleur implique une charge de travail disproportionnée pour un employeur (exemple : fouille systématique de tous les logs IT). Assurez-vous également de toujours obtenir le consentement préalable de vos travailleurs lors de la publication ou la diffusion de photos ciblées.