Au moment où la Cnil dresse son bilan annuel, la question des demandes d’accès des salariés à leurs données reste un sujet prégnant pour les entreprises.
Cette chronique est proposée par Camille Raclet, avocate, fondatrice du cabinet Ledae Avocat.
L’article 15 du RGPD permet à toute personne d’obtenir la confirmation qu’un traitement la concerne, des informations sur celui-ci, et une copie de ses données personnelles.
Ce droit d’accès devient un outil stratégique utilisé par les salariés et anciens salariés, exercé parfois en amont d’un litige. L’entreprise doit répondre dans un cadre strict et selon un calendrier serré, en conciliant transparence et protection des données de tiers.
Il est désormais essentiel d’anticiper ces demandes qui ne sont plus rares, et de prévoir des méthodes permettant d’y répondre en conformité avec le RGPD.
Un périmètre possiblement très large
Le champ des données potentiellement concernées par la demande est vaste : vidéosurveillance, logs informatiques, tickets IT, etc.
Une des demandes récurrentes concerne l’accès à la messagerie professionnelle et aux emails échangés. Par un arrêt du 18 juin 2025, la Cour de cassation a récemment rappelé que « les courriels émis ou reçus par le salarié grâce à sa messagerie électronique professionnelle sont des données à caractère personnel (…) et (…) le salarié a le droit d’accéder à ces courriels, l’employeur devant lui fournir tant les métadonnées (…) que leur contenu, sauf si les éléments dont la communication est demandée sont de nature à porter atteinte aux droits et libertés d’autrui. ».
La Cour rappelle ici une limite importante. L’exercice du droit d’accès ne doit pas avoir pour effet de porter atteinte aux droits et libertés d’autrui. Dans un contexte salarial, cela peut désigner, par exemple, d’autres employés, ou encore des clients ou des tiers.
L’entreprise doit donc être en mesure de faire un tri entre les informations et d’identifier si les documents demandés contiennent des données personnelles de tiers qu’il faudrait protéger.
Lorsque la quantité de données à laquelle le salarié ou ex-salarié demande accès est importante (ce qui est très fréquemment le cas), la quantité de travail que cela implique peut s’avérer colossale.
De plus, l’employeur, en sa qualité de responsable de traitement, est tenu de répondre dans le délai d’un mois à cette demande. Ce délai peut être allongé de deux mois supplémentaires en cas de demande complexe.
L’anticipation, clé de voûte de la conformité
Afin de pouvoir répondre de façon exhaustive, dans les délais et en respectant les droits des tiers, il est donc nécessaire d’anticiper le possible exercice de ces droits et de mettre en place les process correspondants.
Il s’agit, d’abord de vérifier si nécessaire l’identité de la personne émettant la demande d’exercice des droits. Puis, il faut identifier et repérer l’ensemble des données personnelles des salariés, afin de pouvoir les lister auprès de celui qui en fait la demande. Cette démarche implique un travail préalable de cartographie des traitements de données.
Une fois toutes les données parfaitement répertoriées, il est indispensable de les filtrer. Cela sous-entend de revoir les documents et les informations susceptibles d’être communiqués pour répondre à la demande, afin de savoir si des données de tiers sont incluses et de faire le nécessaire afin de préserver leur confidentialité.
En parallèle, gardez bien en tête le respect des délais légaux en suivant le temps restant pour répondre à chaque demande d’exercice des droits.
Enfin, le registre de ces demandes doit être tenu à jour, en renseignant chaque demande et son détail et en conservant la preuve des recherches et arbitrages opérés.
