Le droit d’accès des salariés à leurs données personnelles : un cadre juridique clair… une mise en œuvre beaucoup moins

Le droit d’accès des salariés à leurs données personnelles : un cadre juridique "clair"… une mise en œuvre beaucoup moins.

Introduction

Le droit d’accès des salariés à leurs données personnelles, prévu par l’article 15 du RGPD, constitue un droit fondamental en matière de protection des données. Il permet à tout salarié d’obtenir de son employeur la confirmation que des données le concernant sont traitées, ainsi que l’accès à ces données et à une copie.

En pratique, la gestion d’une demande de droit d’accès salarié en entreprise s’avère toutefois bien plus complexe qu’il n’y paraît. Entre identification des données, protection des tiers, secret des affaires et usages contentieux, l’employeur doit concilier des exigences juridiques et opérationnelles souvent difficiles à articuler.

Cet article propose un éclairage concret sur le droit d’accès RGPD des salariés, ses limites et les obligations de l’employeur, à la lumière des évolutions récentes de la jurisprudence et des pratiques de terrain.

I. Le droit d’accès des salariés : un droit large en matière de données personnelles

Le droit d’accès du salarié permet d’obtenir la confirmation que des données à caractère personnel le concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, d’y accéder ainsi que d’en obtenir une copie. Il inclut également la communication d’un ensemble d’informations relatives aux traitements mis en œuvre (notamment les finalités, les catégories de données, les destinataires, les durées de conservation, ainsi que les droits dont il dispose).

Dans le cadre de la relation de travail, ce droit d'accès RGPD peut couvrir un périmètre particulièrement étendu. Sont notamment communicables les éléments contenus dans le dossier du salarié (ex : évaluations, rémunération, évolution de carrière), les données issues des dispositifs de contrôle (ex : badgeage, géolocalisation), ainsi que les données de connexion ou d’utilisation des outils informatiques.

Les courriels professionnels constituent également une source majeure de données personnelles. La jurisprudence et la pratique admettent que le salarié puisse accéder tant au contenu des messages qu’à leurs métadonnées (date, heure, objet, expéditeur, destinataire(s)). S’agissant des courriels identifiés comme personnels, le respect du secret des correspondances impose une protection renforcée : l’employeur ne peut en prendre connaissance, mais doit néanmoins les communiquer au salarié lorsque celui-ci en est l’expéditeur ou le destinataire.

CNIL — Sanction pour refus de communiquer des données de géolocalisation : La CNIL a sanctionné un employeur qui avait refusé de transmettre à un ancien salarié les données de géolocalisation de son véhicule professionnel, données pourtant nécessaires à la reconnaissance d'un accident du travail. Ce cas illustre l'étendue réelle du droit d'accès et le risque de sanction en cas de refus injustifié.

Une confusion (et difficulté pratique) fréquente réside dans l’assimilation du droit d'accès aux données personnelles à un droit d'accès aux documents. Ces deux droits sont distincts et n'obéissent pas aux mêmes règles. Cependant, la CNIL rappelle qu'un rejet de la demande au seul motif que le salarié utilise le mot « document » plutôt que « données personnelles » peut s'avérer fautif. L'employeur doit interpréter la demande de manière raisonnable et demander des précisions si nécessaire, sans opposer un refus purement formel.

II. Les limites du droit d’accès des salariés : une nécessaire conciliation d’intérêts

Si le droit d’accès des salariés constitue un droit fondamental, il n’en demeure pas moins encadré. L’article 15, paragraphe 4, du RGPD prévoit expressément que son exercice ne doit pas porter atteinte aux droits et libertés d’autrui. Cette exigence impose à l’employeur une analyse fine des données sollicitées.

A. La protection des droits des tiers

La communication de données personnelles ne peut conduire à révéler des informations relatives à d’autres salariés ou à des tiers. En pratique, les documents professionnels (courriels, comptes rendus de réunion, outils collaboratifs) contiennent fréquemment des données imbriquées concernant plusieurs personnes, rendant l’exercice particulièrement complexe.

Dans ce contexte, l’employeur doit mettre en œuvre des mesures appropriées telles que l’anonymisation, ou l’occultation des informations relatives aux tiers. Lorsque ces opérations altèrent substantiellement la compréhension du document, une communication partielle ou une restitution synthétique des données peut être envisagée.

Au-delà de ces principes, la gestion opérationnelle des demandes d’accès salariés suppose une véritable organisation interne. Le traitement de telles demandes peut en effet s’avérer particulièrement lourd, notamment en présence de volumes importants de données ou d’outils collaboratifs multiples. Il est dès lors, recommandé d’anticiper ces situations en mettant en place des processus dédiés (cartographie des sources de données possibles, instructions internes, circuits de validation), ainsi que des outils, permettant de faciliter l’extraction et, le cas échéant, l’occultation ou anonymisation des données concernées.

Cette exigence de proportionnalité implique une approche pragmatique, consistant à isoler les données strictement personnelles du salarié sans porter atteinte aux droits des autres personnes concernées, tout en assurant la faisabilité opérationnelle su traitement de la demande.

B. La protection du secret des affaires

Le droit d’accès peut également se heurter à la nécessité de préserver le « secret des affaires ». Sont notamment concernées : savoir-faire technique, données stratégiques, projections financières, codes sources ou plans de développement, dès lors qu’ils présentent une valeur économique et font l’objet d’une protection appropriée(clauses de confidentialité, classification des documents, restriction d’accès etc …).

Dans une telle hypothèse, l’employeur doit procéder à une mise en balance entre le droit du salarié à accéder à ses données personnelles et la protection de ses intérêts légitimes. Cet exercice est particulièrement délicat en pratique, dans la mesure ou les données personnelles de salariés sont souvent imbriquées dans des contenus « sensibles ». La solution privilégiée consiste, là encore, à procéder à des occultations ciblées. Ce n’est qu’en cas d’impossibilité manifeste que l’employeur pourra refuser partiellement la communication, à condition de motiver précisément sa décision.

III. Droit d’accès des salariés et contentieux : une tension croissante

Le droit d'accès des salariés est fréquemment exercé dans un contexte contentieux, notamment pour constituer des preuves dans le cadre d'un litige prud'homal. Les lignes directrices du Comité européen de la protection des données (CEPD) sont claires sur ce point : le responsable de traitement ne doit pas évaluer les motifs de la demande, et le contexte contentieux ne prive pas le salarié de son droit d'accès. Le refus fondé sur l'usage probatoire de la demande n'est donc en principe pas valide.

Cependant, une jurisprudence récente tend à nuancer cette position, en introduisant la notion d'abus de droit lorsque la demande d'accès n'a pas pour finalité la vérification de la licéité du traitement, mais vise uniquement à obtenir des preuves ou à créer artificiellement les conditions d'une action en réparation.

CA Paris, 18 décembre 2025 : La Cour d'appel de Paris a jugé que le droit d'accès ne peut pas être utilisé pour procéder à une consultation générale et exhaustive de la messagerie professionnelle lorsque la demande a pour seul objectif la constitution de preuves et non l'accès aux données personnelles.

CJUE, 19 mars 2026 (aff. C-526/24, Brillen Rottler) : la Cour de justice a admis qu’une demande d’accès peut être qualifiée d’abusive, y compris lorsqu’il s’agit d’une première demande, si le responsable de traitement démontre qu’elle a été introduite non pas pour exercer le droit d’accès, mais dans le seul but de créer artificiellement les conditions d’une demande indemnitaire. La Cour précise que l’existence de pratiques répétées (inscriptions suivies de demandes d’accès puis de réparation) peut constituer un indice pertinent de cette intention.

⚠️Cet arrêt ne concerne toutefois pas le contexte des relations de travail, mais une situation de prospection commerciale. Il n’en demeure pas moins qu’il apporte des éléments d’interprétation généraux sur la notion d’abus de droit en matière de droit d’accès, susceptibles d’influencer l’appréciation des juridictions nationales, y compris en matière sociale.

Ces décisions restent très récentes, et aucune doctrine consolidée de la CNIL ou du CEPD ne limite formellement le droit d'accès à des fins probatoires à ce jour. Une divergence d'interprétation par les juridictions n'est donc pas à exclure. Par ailleurs, la proposition de Règlement « Digital Omnibus » publiée par la Commission européenne le 19 novembre 2025 envisage d'inscrire explicitement la notion d'abus de droit dans le cadre du droit d'accès, ce qui pourrait, si elle est adoptée, limiter les demandes émanant d'anciens salariés dans un contexte litigieux.

IV. Le rôle du délégué à la protection des données : garant de la conformité

Le délégué à la protection des données (DPO) occupe une place centrale dans la gestion des demandes d’accès. Chargé d’informer, de conseiller et de contrôler le respect de la réglementation, il intervient dans plusieurs étapes du processus.

Dans ce cadre, il apporte une analyse indépendante et objective visant à assurer une application conforme du RGPD et un équilibre entre droits des personnes concernées et les intérêts légitimes de l’organisation. Il n’a pas vocation à défendre les intérêts de l’employeur, mais à garantir le cadre juridique applicable, en veillant notamment à ce que les limitations apportées au droit d’accès soient strictement justifiées et proportionnées.Il contribue alors à sécuriser les arbitrages opérés, en s’assurant de leur conformité aux exigences du RGPD et à la doctrine applicable.

L’exercice de ces missions s’inscrit également dans un cadre strict de confidentialité. Le DPO est tenu au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de ses fonctions. Cette exigence revêt une importance particulière dans le traitement des demandes d’accès, qui peuvent porter sur des informations sensibles (évaluations professionnelles, procédures disciplinaires, échanges internes). Dans un environnement où les acteurs sont internes à l’organisation, le DPO doit veiller à garantir une stricte maîtrise de la circulation de l’information et à limiter l’accès aux seules personnes habilitées.

Le rôle du DPO doit être concilié avec son indépendance. Il ne saurait être le décisionnaire final quant à la communication des données, cette responsabilité relevant du responsable de traitement. Il intervient en quelque sorte en tant que tiers de confiance, garant de la conformité des pratiques et de la protection des droits des personnes concernées.

Au-delà du traitement des demandes individuelles, le DPO participe également à la structuration des processus internes, en contribuant à la mise en place de procédures dédiées, d’outils adaptés et de bonnes pratiques visant à anticiper les difficultés opérationnelles liées à l’exercice du droit d’accès. Cette approche permet de concilier les exigences juridiques avec les contraintes organisationnelles, dans une logique d’accountability et de maîtrise des risques.

En conclusion, le droit d’accès des salariés s’inscrit au cœur de la logique de transparence instaurée par le RGPD. S’il constitue un outil essentiel de contrôle des traitements de données, son exercice révèle, dans le cadre professionnel, des tensions inhérentes à la coexistence d’intérêts multiples.

Entre protection des droits individuels, préservation des intérêts économiques de l’entreprise et encadrement des usages contentieux, l’employeur doit adopter une approche équilibrée, fondée sur la proportionnalité et la rigueur procédurale.

L’évolution récente de la jurisprudence, en introduisant la notion d’abus du droit d’accès, témoigne d’une volonté de rééquilibrage. Elle appelle toutefois à la prudence, dans l’attente d’une clarification par les autorités de régulation et, le cas échéant, par le législateur européen.