Le droit d’accès est l’un des droits fondamentaux reconnus par le RGPD aux personnes concernées. L’article 15 du RGPD permet à tout salarié de demander à son employeur l’accès à l’ensemble des données personnelles le concernant. Ce droit est de plus en plus exercé, notamment dans les contextes de contentieux prud’homal.
Le fondement juridique
L’article 15 du RGPD dispose que la personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données ainsi qu’aux informations suivantes :
- Les finalités du traitement
- Les catégories de données
- Les destinataires
- La durée de conservation prévue
- L’existence des droits (rectification, effacement, opposition)
- La source des données si elles n’ont pas été collectées auprès du salarié
- L’existence d’une prise de décision automatisée (profilage)
La procédure de traitement de la demande
- Réception de la demande : le salarié peut formuler sa demande par tout moyen (courrier, email, oral)
- Vérification de l’identité : l’employeur doit s’assurer de l’identité du demandeur
- Délai de réponse : 1 mois à compter de la réception (prolongeable de 2 mois si complexité)
- Communication des données : sous forme électronique si la demande est faite par voie électronique
- Gratuité : la première copie est gratuite (des frais raisonnables peuvent être facturés pour les copies supplémentaires)
Les données communicables
Le droit d’accès couvre toutes les données personnelles du salarié détenues par l’employeur :
- Dossier administratif (contrat, avenants, courriers)
- Données de paie (bulletins, déclarations sociales)
- Évaluations et entretiens professionnels
- Données de formation
- Données de temps de travail (badgeuse, planning)
- Données de vidéosurveillance le concernant
- Emails professionnels le mentionnant
- Données de géolocalisation
- Notes internes le concernant
Les limites du droit d’accès
- Secret des affaires : l’employeur peut occulter les informations couvertes par le secret des affaires
- Droits des tiers : les données concernant d’autres personnes doivent être anonymisées
- Demandes manifestement excessives : l’employeur peut refuser ou facturer si la demande est répétitive ou manifestement abusive
Le cabinet DAIRIA Avocats accompagne les employeurs sur ces problématiques. Notre plateforme DAIRIA IA permet d’automatiser votre veille juridique en droit social.
FAQ — Questions fréquentes
L’employeur peut-il refuser une demande de droit d’accès ?
Uniquement si la demande est manifestement infondée ou excessive (répétitive). Le refus doit être motivé et le salarié informé de la possibilité de saisir la CNIL.
Le droit d’accès inclut-il les emails échangés à propos du salarié ?
Oui. Les emails professionnels mentionnant le salarié (évaluations, discussions sur sa situation) font partie des données personnelles accessibles, sous réserve des droits des tiers.
Quelle sanction en cas de non-réponse ?
Le salarié peut saisir la CNIL qui peut prononcer une mise en demeure, puis une amende jusqu’à 20 millions d’euros ou 4 % du CA mondial (article 83 du RGPD).
