Vous avez une question en droit du travail ?
Vous recherchez une information ?
Vous souhaitez travailler avec nous ?
Le règlement général sur la protection des données du 27 avril 2016 confère au salarié un ensemble de prérogatives lui permettant d’accéder aux informations le concernant détenues par l’employeur. L’articulation entre ces droits, les obligations corrélatives de l’entreprise et la protection des tiers soulève des questions pratiques et juridiques que la jurisprudence récente a contribué à clarifier.
1. Le cadre juridique du droit d’accès aux données personnelles
1.1. Les fondements textuels
Le droit d’accès du salarié à ses données personnelles repose sur un ensemble normatif articulant droit européen et droit interne. L’article 15 du règlement général sur la protection des données confère à toute personne le droit d’obtenir du responsable de traitement la confirmation que des données la concernant sont traitées, ainsi que l’accès à ces données et à diverses informations complémentaires (RGPD art. 15). En droit français, l’article 49 de la loi Informatique et libertés renvoie expressément à cette disposition européenne et prévoit la possibilité pour le juge d’ordonner des mesures conservatoires en cas de risque de dissimulation des données (Loi n° 78-17 du 6 janvier 1978, art. 49).
Le code du travail impose par ailleurs une obligation de transparence préalable à la charge de l’employeur. Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance (C. trav. art. L. 1222-4). Cette exigence s’articule avec le droit d’accès en ce qu’elle conditionne la licéité même de la collecte des données.
1.2. L’étendue des informations communicables
Le responsable de traitement doit mettre à disposition de la personne concernée un ensemble d’informations précises. Celles-ci comprennent l’identité du responsable, les finalités du traitement, la base juridique, les destinataires des données, la durée de conservation ainsi que l’existence des droits de rectification, d’effacement et d’opposition (Loi n° 78-17 du 6 janvier 1978, art. 104). Pour les données de santé détenues par l’employeur, le salarié peut choisir de les recevoir directement ou par l’intermédiaire d’un médecin qu’il désigne (Loi n° 78-17 du 6 janvier 1978, art. 64).
2. Les données accessibles au salarié
2.1. Les courriels professionnels
La jurisprudence a consacré une interprétation extensive du droit d’accès concernant la messagerie électronique professionnelle. Les courriels émis ou reçus par le salarié grâce à sa messagerie professionnelle constituent des données à caractère personnel au sens du RGPD (Cass. soc. 18-6-2025, n° 23-19.022). Le salarié dispose en conséquence du droit d’accéder tant aux métadonnées, incluant l’horodatage et l’identification des destinataires, qu’au contenu même des messages. L’employeur qui transmet uniquement des documents administratifs tels que le contrat de travail ou les bulletins de paie, sans communiquer les courriels demandés ni invoquer aucun motif de refus, méconnaît son obligation et s’expose à une condamnation à des dommages-intérêts (Cass. soc. 18-6-2025, n° 23-19.022).
2.2. Le dossier professionnel et les données de contrôle
L’employeur est tenu de fournir, sur simple demande, l’ensemble des éléments contenus dans le dossier personnel du salarié. Cette obligation porte sur les données relatives à la carrière, à la rémunération, aux évaluations, aux avis hiérarchiques, aux arrêts de travail et aux avis d’aptitude ou d’inaptitude (CA Paris, 23-3-2023, n° 21/09288). L’employeur ne saurait se réfugier derrière la possibilité d’une simple consultation sur place ou exiger que le salarié réalise lui-même des copies (CA Paris, 23-3-2023, n° 21/09305).
Les données issues des dispositifs de contrôle de l’activité entrent également dans le champ du droit d’accès. Le salarié peut ainsi obtenir communication des données de géolocalisation, de badgeage ou des enregistrements de présence dès lors qu’elles le concernent personnellement. La CNIL a sanctionné le refus de communiquer à un ancien salarié les données de géolocalisation de son véhicule professionnel, nécessaires à la reconnaissance d’un accident du travail.
3. Les limites tenant à la protection des tiers
3.1. L’articulation avec le droit à la preuve
La communication de documents contenant des données personnelles de tiers soulève des difficultés particulières. Une telle communication, lorsqu’elle est ordonnée par le juge dans le cadre d’une action en discrimination, constitue un traitement effectué dans une finalité différente de celle pour laquelle les données ont été initialement collectées (Cass. soc. 24-4-2024, n° 21-20.979). Elle doit donc être fondée sur le droit national et constituer une mesure nécessaire et proportionnée au sens de l’article 23 du RGPD.
Le juge prud’homal dispose ainsi du pouvoir de cantonner le périmètre des pièces communicables. Il peut ordonner l’occultation des données non indispensables à la comparaison, telles que les adresses personnelles, les numéros de sécurité sociale ou les motifs détaillés d’absence. Seules doivent demeurer apparentes les mentions strictement nécessaires à l’exercice du droit à la preuve (Cass. soc. 24-4-2024, n° 21-20.979, n°327916).
3.2. Le principe de minimisation
Le RGPD impose que les données traitées soient adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités poursuivies (RGPD art. 5, § 1, c). Ce principe de minimisation s’applique également aux communications ordonnées dans le cadre judiciaire. L’employeur doit veiller à ne transmettre que les informations indispensables, en procédant si nécessaire à une anonymisation partielle des documents concernant d’autres salariés.
4. Les enjeux pratiques pour l’employeur
La mise en œuvre effective du droit d’accès suppose une organisation rigoureuse. L’employeur doit répondre aux demandes dans un délai d’un mois, ce qui implique de disposer de procédures internes permettant d’identifier rapidement les sources de données concernant le demandeur. La dispersion des informations entre le système d’information des ressources humaines, la messagerie électronique et les outils de contrôle d’accès complexifie cette tâche.
L’obligation de sécurité constitue un corollaire du droit d’accès. L’employeur doit garantir la confidentialité des données par des mesures techniques appropriées, incluant le chiffrement, le contrôle des habilitations et la journalisation des accès (RGPD art. 32). Un manquement à ces obligations peut engager sa responsabilité tant devant la CNIL que devant les juridictions prud’homales.
Le droit d’accès peut être exercé de manière itérative. Le fait d’avoir déjà communiqué des données dans le cadre d’un précédent litige ne dispense pas l’employeur de répondre à une nouvelle demande (CE, 20-10-2010). Cette règle impose une vigilance permanente dans la gestion des demandes successives.
En définitive, le droit d’accès du salarié à ses données personnelles constitue un instrument dont l’exercice doit s’articuler avec les droits des tiers et les contraintes organisationnelles de l’entreprise. La jurisprudence dessine un équilibre entre transparence et protection, imposant à chaque partie une rigueur accrue dans la gestion des données à caractère personnel.
Xavier Berjot
Avocat associé
xberjot@sancy-avocats.com
Partager ?