L’APD PRECISE LES CONTOURS DU DROIT D’ACCÈS DANS LE CADRE DES RESSOURCES HUMAINES

L’APD PRECISE LES CONTOURS DU DROIT D’ACCÈS DANS LE CADRE DES RESSOURCES HUMAINES

Dans une récente décision, la Chambre Contentieuse est revenue sur les contours du droit d’accès dans le contexte des ressources humaines. En l’espèce, un employé désirait accéder et avoir une copie de différents éléments dont son dossier RH, y compris les annotations faites par ses supérieurs, ses logs de connexions et à tous ses mails. 

Les faits :

La partie défenderesse est une entreprise active dans le secteur de la consultance informatique et le plaignant est un employé de cette entreprise. 

En 2017, l’entreprise informatique décide d’entamer une procédure contre le plaignant devant le tribunal du travail, au motif qu’il publierait des informations sur un blog privé avant qu’elles ne soient rendues officielles par la partie défenderesse, pratique à laquelle il refuserait de mettre fin malgré demande de la défenderesse en ce sens. 

En 2018, la Cour du Travail estime que la défenderesse ne peut licencier le plaignant pour motifs grave, suite à quoi le plaignant réintègre ses fonctions au sein de la défenderesse. 

Peu de temps après sa réintégration, le plaignant exerce auprès de son employeur son droit d’accès et/ou copie à toutes les données personnelles enregistrées à son sujet. En l’occurrence, le plaignant exige de la défenderesse une communication de toutes les données personnelles enregistrées à son sujet, en précisant qu’il souhaitait être informé des raisons, objectifs, durée de conservation etc. pour chaque donnée à caractère personnel conservée. Il a aussi spécifié que sa demande vise tout particulièrement :

  • Toutes les évaluations le concernant ;
  • Toute photo sur laquelle il pourrait être identifié ; 
  • Copie de ses emails contenus dans sa boite mail ; 
  • Toute note, annotation, commentaire faisant partie de son dossier des ressources humaines ;
  • Les logs IT le concernant.

La défenderesse fait parvenir au plaignant : 

  • La cartographie de ses données à caractère personnel, reprenant notamment les finalités de traitement et les destinataires des données ; 
  • Le contenu des données à caractère personnel le concernant, traitées par la défenderesse ;  Les CV le concernant ; 
  • Ses photos d’identité enregistrées par la défenderesse. 

Or, le plaignant informe la défenderesse qu’il considère sa réponse incomplète, dans la mesure où certaines données ne lui ont pas été communiquées, et la met en demeure de lui communiquer ces autres données. Le plaignant identifie les données qu’il estime manquantes de la façon suivante : 

  • Les emails (dans lesquels il est soit destinataire soit expéditeur) ;
  • Les logs IT le concernant ;
  • Les annotations ou commentaires faisant partie de son dossier RH. 

La défenderesse répond au plaignant qu’ « une copie de toutes les données à caractère personnel auxquelles tu n’as pas accès et dont nous devions te remettre copie t’a été remise. Ce point est donc clos en ce qui nous concerne ».

Le plaignant décide donc de porter plainte à l’Autorité de protection des données (APD) estimant que la partie défenderesse n’a pas fait complètement fait suite à sa demande de droit d’accès. 

Décision de l’APD : 

Au cours de sa décision, la Chambre Contentieuse de l’autorité de protection des données personnelles est revenue sur les différents obstacles invoqués par la partie défenderesse dans l’exercice du droit d’accès du plaignant.


1. Les annotations dans le dossier des ressources humaines : 

Selon la partie défenderesse, l’accès par le plaignant à ces données violerait la protection des données à caractère personnel des anciens supérieurs hiérarchiques et responsable des ressources humaines du plaignant, auteurs de ces notes ou commentaires. 

La Chambre rappelle que le droit d’accès n’est limité aux propres données à caractère personnelle de la personne concernée. Ce faisant, afin de ne pas donner à la personne concernée l’accès à des informations autres que les données à caractère personnel la concernant, celle-ci peut obtenir une copie du document ou du fichier original dans lequel ces autres informations ont été rendues illisibles. En effet, le fait d’occulter les données à caractère personnel concernant les tiers avant de permettre l’exercice de son droit d’accès à la personne concernées satisfait ne porte pas atteinte aux droits des tiers. 

La Chambre Contentieuse rejette donc l’argument de la partie défenderesse. Cette dernière aurait dû communiquer au plaignant, en réponse à sa demande, les données traitées qui le concernait en anonymisant le nom ou toute donnée à caractère personnel des auteurs de telles annotations. 

2. Les logs :

L’Autorité belge a commencé par rappeler l’importance de la sécurité des données dans l’effectivité des droits à la protection des données à caractère personnel. La mise en place de la journalisation (log files) constitue une mesure technique et organisationnelle. Elle fait partie des bonnes pratiques, recommandées à tout responsable de traitement. Toujours selon l’APD, la journalisation permet d’assurer la matérialisation du principe de disponibilité, lui-même étroitement lié aux principes de confidentialité et d’intégrité des données. 

Concernant le refus de la remise d’une copie des logs au plaignant, la partie défenderesse avait invoqué deux arguments : Premièrement, la violation de la vie privée de tiers et deuxièmement, la quantité de travail disproportionnée pour fournir les logs au plaignant.

 
La Chambre contentieuse ne va pas retenir le première argument en se basant sur le même argumentaire concernant les annotations dans le dossier des ressources humaines. Toutefois, concernant la charge de travail disproportionné, la Chambre contentieuse va considérer que la mise en balance entre le droit d’accès du plaignant et l’ampleur de la charge pour satisfaire ce droit va bénéficier à la partie défenderesse. En effet, le plaignant exige une fouille systématique de tous les logs IT le concernant depuis son entrée en fonction en juin 2008, jusqu’à la cessation de son contrat de travail avec la défenderesse en 2019. Il n’apporte aucune explication quant à l’intérêt de cette demande. 

3. La copie des mails :

Concernant la demande du plaignant d’avoir les copies de ses mails, la défenderesse justifie son refus de faire droit à la demande de copie des emails sur base du droit à la vie privée des autres destinataires ou expéditeurs concernés par les emails en question. Elle ajoute à titre additionnelle son droit à la protection de son secret d’affaire.


C’est sur ce dernier point que la Chambre contentieuse va estimer que qu’au vu des informations potentiellement sensibles contenues dans les emails en question le risque pour le secret d’affaire de la défenderesse est suffisamment démontré. Effectivement, la défenderesse a explicité durant l’audition qu’en raison de sa fonction de cadre, le plaignant a connaissance de l’identité des clients de la défenderesse, des montants des commandes et des factures à ces clients, qui constituent des informations potentiellement sensibles sur les affaires de la défenderesse. 

Condamnation

Sur base de ces différents éléments, l’APD va condamner la partie défenderesse. En refusant de communiquer au plaignant ses données, la défenderesse a privé ce dernier de son droit d’accès mais plus largement, elle a porté atteinte à son autonomie informationnelle en ne lui permettant pas de prendre connaissance de ses données.

Toutefois, la Chambre contentieuse relève aussi que la défenderesse a réagi et a fait suite aux demandes du plaignant, dont certaines couvrent un large éventail de données, bien que de façon incomplète. Les efforts soulevés dans les conclusions de la défenderesse en terme de sécurité de l’information et de protection des données ont aussi été pris en compte. Dès lors, la Chambre Contentieuse a décidé de n’imposer ni amende, ni réprimande.