Comment répondre à un salarié demandant d’accéder à ses données personnelles ?
Dans le cadre d’une relation de travail ou d’un processus de recrutement, un employeur collecte, traite et conserve nécessairement les données personnelles des candidats à l’embauche, de ses salariés et de ses anciens salariés.
Toute information permettant d’identifier, directement ou indirectement, une personne physique (nom, prénom, adresse, numéro de sécurité sociale, etc.) est une « donnée personnelle » au sens du Règlement Général sur la Protection des Données (RGPD).
Dès lors que ses données personnelles font l’objet d’un traitement, une personne physique bénéficie d'un droit d'accès à ces données (en demandant une copie, une rectification ou un effacement).
Pour un employeur, comment répondre à une demande de droit d’accès aux données personnelles d’un salarié ?
La CNIL recommande de procéder en 4 étapes :
1 - vérifier l’identité de la personne en cas de doute. – En cas de doutes raisonnables sur l’identité de la personne souhaitant exercer son droit, l’employeur peut lui demander de prouver son identité.
2 - demander des précisions si nécessaire. – En cas de demande portant sur l’ensemble des données traitées et donc sur une grande quantité de données, l'employeur peut demander que lui soient précisées les données ou opérations de traitement concernées par la demande.
3 - vérifier que la demande ne concerne pas un tiers. - Le droit d'accès ne portant que sur les données personnelles de l’auteur de la demande, un salarié ne peut pas obtenir des données relatives à un collègue. L’employeur doit également s’assurer que sa réponse au droit d’accès ne porte pas atteinte au secret des affaires et, plus généralement, à tous droits de tiers.
4 - répondre à la demande dans les délais. - Pour une demande simple, l'employeur doit répondre dans un délai maximum de 1 mois. Pour une demande complexe (ex. : demande de copie de l’intégralité de ses données), l'employeur a 3 mois maximum pour répondre, après en avoir informé la personne dans le mois suivant la réception de sa demande.
Enfin, rappelons que l'employeur peut refuser de donner suite à une demande d’accès aux données personnelles, dans le mois suivant sa réception et de façon motivée, lorsque la demande est infondée ou excessive (ex. : demandes répétées dans un temps rapproché) ou lorsque les données ne sont plus conservées ou ont été effacées (ex. : à l’issue du délai de conservation d’un dispositif de vidéosurveillance).