Fermer
Fermer
Contactez-nous Contactez-nous
Français
Anglais
Linkedin

Étiquette : #donnéespersonnelles

Droit d’accès aux courriels professionnels : une nouvelle décision qui renforce les droits des salariés

Posted on by maha

Contexte

Le 31 janvier 2025, la CNIL actualisait sa fiche « Droit d’accès des salariés à leurs données et courriels professionnels ». Elle y rappelait que les salariés peuvent demander la communication des métadonnées et données personnelles contenues dans les courriels, en suivant une méthode graduée : tableau récapitulatif, invitation à préciser la demande, puis fourniture ciblée.

Les précisions de la cour

Dans un arrêt du 18 juin 2025 (n°23-19.022), la Cour de cassation vient confirmer sans ambiguïté que les courriels professionnels envoyés ou reçus par un salarié constituent bien des données à caractère personnelles au sens du RGPD.

En conséquence, tout salarié peut demander à son employeur l’accès intégral à ces courriels, c’est-à-dire leur contenu et les métadonnées associées. Seule limite à ce droit : la nécessité de ne pas porter atteinte aux droits des tiers.

La Cour s’aligne ainsi sur la position de la CNIL, tout en allant plus loin sur un point central : elle sanctionne expressément le fait de ne pas transmettre l’intégralité des courriels demandés, lorsqu’aucun motif légitime n’est avancé.

Elle rappelle ainsi que la réponse de l’employeur ne peut être partielle, incomplète ou évasive, sauf à démontrer une atteinte aux droits d’autrui.

Même si la Cour ne précise pas les modalités concrètes (tableau, copie intégrale, etc.), sa position clarifie les obligations : l’employeur doit être en mesure de remettre l’ensemble des données, sous peine de sanctions.

Ce faisant, la Haute juridiction met fin à une incertitude jurisprudentielle et renforce l’effectivité du droit d’accès, qui devient quasi automatique dans son exercice.

Concrètement, que pouvez-vous faire ?

Vous êtes salarié ou ex-salarié et vous souhaitez accéder à vos courriels professionnels

Vous pouvez adresser une demande écrite simple (email ou courrier) à votre employeur, en sollicitant la communication :

➢ De l’ensemble des messages que vous avez envoyés, reçus ou dans lesquels vous êtes mentionné(e);

➢ Des métadonnées associées : dates d’envoi, destinataires, objets, etc.

Si votre employeur ne répond pas ou refuse sans justification valable :

  • Vous avez la possibilité de déposer une plainte auprès de la CNIL ;
  • Vous pouvez saisir le conseil de prud’hommes ;
  • Et vous pouvez obtenir, comme dans l’affaire jugée, des dommages-intérêts pour non-respect de vos droits.

Et du côté des employeurs, quelles obligations concrètes ?

À la suite de cette décision, voici les actions clés à mettre en œuvre pour éviter tout risque contentieux :

  • Mettre en place une procédure interne pour traiter les demandes d’accès dans le délai d’un mois prévu par le RGPD ;
  • Former les équipes RH et les managers à la gestion des demandes de droit d’accès ;
  • Analyser les emails demandés pour évaluer s’ils contiennent des éléments sensibles pouvant limiter le droit d’accès (secret des affaires, vie privée de tiers, propriété intellectuelle) ;
  • Justifier clairement tout refus ;
  • Tracer et documenter les décisions prises, pour pouvoir démontrer la bonne foi en cas de contentieux ;
  • Actualiser la charte informatique, en précisant les conditions d’accès aux données personnelles, y compris les courriels professionnels.

Notre Cabinet est à votre service pour tout renseignement complémentaire sur le droit d’accès, et ses modalités d’exercice.

Droit d’accès des salariés à leurs données et courriels professionnels

Posted on by maha

CONTEXTE

En date du 31 janvier 2025, la Commission nationale de l’informatique et des libertés (CNIL) a mis à jour sa fiche « Le droit d’accès des salariés à leurs données et aux courriels professionnels ».

Essentielle pour les employeurs, et plus largement tout acteur confronté à des demandes de droit d’accès de la part de leurs salariés et anciens salariés, cette fiche n’avait pas été actualisée depuis janvier 2022.

La mise à jour découle des constats faits lors des contrôles menés par la CNIL et le Comité européen de la protection des données (CEPD), notamment sur l’instrumentalisation du droit d’accès par certains salariés, ainsi que des demandes trop larges.

NOUVEAUX POINTS CLÉS DE LA MISE À JOUR
 
L’actualisation de la fiche traite spécifiquement des demandes d’accès de salariés ou anciens salariés aux courriels dont ils sont expéditeurs, destinataires, en copie ou dans lesquels ils sont uniquement cités ou visés, ce qui représente un très grand nombre de courriels.  
 
La CNIL rappelle qu’en cas de demande d’accès d’un salarié ou ancien salarié, les employeurs doivent impérativement fournir :  

  • les métadonnées des courriels (horodatage, destinataires) ;
  • les données personnelles contenues dans ces courriels (pour rappel : toute information se rapportant à une personne physique identifiée ou identifiable).

Il est à noter que cette position diverge de celle de la CJUE, qui ne considère pas les métadonnées comme relevant du droit d’accès (CJUE, n° C-487/21, Arrêt de la Cour, F.F. contre Österreichische Datenschutzbehörde, 4 mai 2023).  

MÉTHODOLOGIE RECOMMANDÉE PAR LA CNIL

Par cette mise à jour, la CNIL fournit une méthodologie pour les employeurs devant répondre à des demandes d’accès ayant pour objet un nombre considérable de messages : 

1. Transmission d’un tableau récapitulatif listant les messages conservés dont le salarié (ou ancien salarié) est l’expéditeur, le destinataire et ceux où son nom apparaît ; 
2. L’employeur peut inviter le demandeur à préciser sa demande, en indiquant que l’extraction de ses données et métadonnées représente une charge importante ;  
3. Selon la réponse du salarié (ou ancien salarié), fournir les données personnelles contenues dans les courriels.  

Il est à noter que cette méthodologie reste floue, notamment sur la conduite à tenir si le salarié refuse de préciser sa demande.
De même, la charge de travail pour extraire les données personnelles des courriels pourrait être tout aussi lourde qu’un caviardage intégral.  
 
Enfin, la CNIL rappelle que la communication d’une copie de l’intégralité des courriels peut sembler être la solution la plus aisée à mettre en œuvre, mais n’est pas obligatoire pour autant. 
 
CONCLUSION
 
Grâce à cette mise à jour, la CNIL rappelle le principe fondamental selon lequel un employeur se doit de répondre à toute demande d’accès de son salarié ou ancien salarié, tout en donnant une méthodologie de réponse à la demande, qui a certes le mérite d’exister mais reste complexe et source de lourdeurs administratives. 
 
Des clarifications de la CNIL sont attendues par les professionnels pour une mise en application pratique et pragmatique de cette méthodologie.