RGPD : ce que doit savoir l'employeur quand un salarié demande ses données personnelles

Un salarié vous écrit pour obtenir « toutes les données personnelles le concernant, y compris les emails ». Vous pensez d'abord à son dossier RH, sa fiche de paie, son contrat. Mais qu'en est-il de la messagerie professionnelle, des logs de connexion, des fichiers partagés sur le serveur, ou encore de la fiche de pointage ? Le Règlement général sur la protection des données (RGPD) impose à l'employeur un droit d'accès aux données qui va bien au-delà du simple dossier papier. La Cour de cassation vient de le rappeler dans un arrêt remarqué : même les e-mails professionnels contenant des données personnelles doivent être communiqués, sous réserve du respect du secret des affaires et de la protection des tiers. Cette décision redéfinit les contours pratiques du droit d'accès en entreprise et oblige tout employeur à revoir sa copie.

Cet article détaille les obligations concrètes de l'employeur, les pièges à éviter, les délais à respecter et les documents à produire pour se conformer au RGPD sans risquer l'amende ou le contentieux.

Pourquoi le RGPD s'applique pleinement à la messagerie professionnelle

La messagerie, un fichier de traitement de données personnelles

La messagerie électronique professionnelle n'échappe pas au RGPD. Dès lors qu'un e-mail contient le nom, le prénom, l'adresse mail, voire des informations sur la santé, la vie syndicale ou la performance d'un salarié, il relève de la définition de « donnée à caractère personnel » (article 4 du RGPD).

Concrètement :

• Un échange entre la direction et un manager au sujet d'un entretien annuel contient des données personnelles.
• Une copie d'e-mail où figure une adresse IP, une géolocalisation ou un historique d'activité est couverte par le RGPD.
• Même un message rédigé par un tiers (collègue, client, fournisseur) peut contenir des données sur le salarié demandeur.

Le principe du droit d'accès : article 15 du RGPD

Le RGPD reconnaît à toute personne concernée le droit d'obtenir du responsable de traitement la confirmation que des données la concernant sont ou ne sont pas traitées et, le cas échéant, l'accès à ces données.

L'employeur, en tant que responsable de traitement, doit donc :

1. Confirmer l'existence (ou non) de données.
2. Fournir une copie des données traitées.
3. Indiquer les finalités du traitement, les catégories de données, les destinataires, la durée de conservation.

Aucune dérogation générale pour la messagerie professionnelle n'est prévue par le texte.

L'arrêt de la Cour de cassation : les e-mails doivent être communiqués

Les faits et la décision

Dans une décision récente, la Cour de cassation a censuré une cour d'appel qui avait refusé de communiquer à un salarié les e-mails le concernant, au motif que la messagerie n'était pas un fichier structuré.

La Cour rappelle que :

• Le droit d'accès s'applique à tous les fichiers, structurés ou non, dès lors qu'ils contiennent des données personnelles.
• L'employeur doit transmettre une copie des e-mails contenant des données personnelles relatives au demandeur, sauf exception légale (secret des affaires, protection de tiers).
• Le refus de communiquer sans motif légitime caractérise une entrave au droit d'accès, sanctionnée par le RGPD et susceptible d'entraîner une condamnation judiciaire.

Ce que cela change pour l'employeur

Jusqu'à présent, de nombreux employeurs estimaient que le droit d'accès se limitait aux bases RH (SIRH, fichiers Excel, dossier papier). L'arrêt impose désormais d'étendre l'inventaire à l'ensemble des supports numériques : messagerie, serveurs de fichiers, outils collaboratifs (Teams, Slack, SharePoint), logs de connexion, badges, caméras, géolocalisation.

Attention : cette obligation ne s'applique qu'aux données personnelles concernant le salarié demandeur. Il ne s'agit pas de livrer l'intégralité de la messagerie de l'entreprise, ni de transmettre des documents couverts par le secret des affaires ou mettant en cause des tiers de manière disproportionnée.

Comment traiter une demande d'accès : les 5 étapes opérationnelles

Étape 1 : Identifier la personne et qualifier la demande

Qui ? Toute personne concernée (salarié, candidat, stagiaire, prestataire, ancien salarié) peut exercer son droit d'accès.

Quand ? Aucun délai minimum entre deux demandes n'est imposé par le RGPD, sauf demande manifestement abusive ou répétitive (article 12.5 du RGPD).

Document à produire : Accusé de réception de la demande (email ou courrier recommandé), mentionnant la date de réception et le délai de réponse (1 mois).

Preuve : Conserver l'historique de l'échange (mail, courrier AR, ticket support).

Étape 2 : Cartographier les données à communiquer

Où chercher ?

• Dossier RH : contrat, avenants, bulletins de paie, entretiens annuels, courriers disciplinaires, certificats médicaux, attestations.
• Messagerie : e-mails envoyés ou reçus par le salarié, e-mails le concernant (ex. : échange entre RH et manager sur son évaluation).
• Serveurs de fichiers : documents nominatifs stockés sur SharePoint, Google Drive, serveur interne.
• Outils de gestion : logs de connexion, historiques de pointage (badgeuse, logiciel de gestion du temps), données de géolocalisation (si applicable).
• Outils collaboratifs : mentions dans Teams, Slack, Trello, Notion, tickets Jira portant son nom.

Point de vigilance : Ne pas omettre les données issues de prestataires tiers (ex. : plateforme de formation, mutuelle, service de gestion de la paie externalisé). L'employeur reste responsable de traitement pour ces données.

Étape 3 : Appliquer les exceptions autorisées

Le RGPD prévoit des limites au droit d'accès :

• Protection du secret des affaires : ne pas transmettre des informations stratégiques couvertes par la loi n° 2018-670 du 30 juillet 2018 (ex. : projet de réorganisation confidentiel, stratégie commerciale non publique).
• Protection des tiers : caviarder ou anonymiser les données d'autres salariés mentionnés dans un e-mail, sauf si leur présence est indispensable à la compréhension (ex. : témoin dans une procédure disciplinaire).
• Données couvertes par le secret professionnel : correspondances avec un avocat, avis médical du médecin du travail (sauf consentement du salarié).

Document à produire : Note interne justifiant chaque refus ou caviardage, avec référence au texte légal applicable.

Preuve : Copie des documents caviardés, fichier de suivi des exceptions appliquées.

Étape 4 : Fournir une copie complète et lisible

Format : Le RGPD n'impose pas de format précis, mais recommande un format structuré, couramment utilisé et lisible par machine (article 20 pour la portabilité). En pratique : PDF pour les documents, PST ou EML pour les e-mails, CSV ou Excel pour les données structurées.

Contenu minimal à transmettre :

• Copie des données personnelles.
• Finalités du traitement (ex. : gestion administrative du personnel, suivi du temps de travail).
• Catégories de données traitées (identité, vie professionnelle, données de connexion).
• Destinataires ou catégories de destinataires (ex. : DRH, manager, prestataire paie, URSSAF).
• Durée de conservation ou critères de détermination (ex. : 5 ans après la fin du contrat pour les bulletins de paie).
• Information sur le droit de rectification, d'effacement, de limitation, d'opposition et de réclamation auprès de la CNIL.

Document à produire : Courrier de réponse + annexes (fichiers ZIP sécurisés, clé USB remise en main propre, espace de téléchargement sécurisé).

Preuve : Accusé de réception ou preuve de remise en main propre.

Étape 5 : Respecter le délai d'un mois (prorogeable de deux mois)

Délai légal : 1 mois à compter de la réception de la demande (article 12.3 du RGPD).

Prorogation possible : + 2 mois si la demande est complexe ou multiple, à condition d'informer le demandeur dans le premier mois et de motiver le délai supplémentaire.

Sanction du non-respect : Amende administrative pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial (article 83 du RGPD). En pratique, la CNIL sanctionne surtout les retards injustifiés ou les refus abusifs.

Document à produire : Courrier de prorogation motivé (envoyé avant la fin du premier mois).

Preuve : AR postal ou accusé de lecture e-mail.

Les pièges à éviter pour l'employeur

Piège 1 : considérer que la messagerie est « privée » par défaut

Même si l'employeur doit respecter le secret des correspondances privées (Cass. soc., 2 octobre 2001, n° 99-42.942, dit « Nikon »), la messagerie professionnelle est présumée professionnelle sauf mention contraire explicite (objet « Personnel » ou dossier « Privé »).

Conséquence : L'employeur peut (et doit) accéder aux e-mails professionnels pour répondre à une demande RGPD, sans violer la vie privée du salarié.

Piège 2 : transmettre des données de tiers sans caviardage

Un e-mail mentionnant plusieurs salariés doit être anonymisé pour les tiers non concernés par la demande.

Exemple : Un mail du DRH au manager listant 5 salariés en difficulté ne doit être transmis au demandeur qu'avec les 4 autres noms caviardés.

Sanction : Violation du RGPD pour traitement illicite de données de tiers (article 5.1.a).

Piège 3 : facturer la copie au-delà du raisonnable

Le RGPD autorise la facturation en cas de demandes manifestement infondées ou excessives (article 12.5), mais la première copie doit être gratuite.

Concrètement : Si un salarié demande 10 fois en 6 mois la même extraction, l'employeur peut facturer à partir de la 3e demande, à condition de prouver le caractère excessif.

Document à produire : Barème de facturation validé par le DPO, mention des critères d'excès.

Piège 4 : ignorer les demandes formulées oralement ou par des canaux informels

Le RGPD n'impose aucun formalisme : une demande orale, par SMS ou via un formulaire intranet est valable.

Bonne pratique : Toujours accuser réception par écrit, même si la demande est orale, et inviter le demandeur à confirmer par e-mail ou courrier (pour tracer la date de démarrage du délai).

Les conséquences pratiques pour l'organisation RH et IT

Pour la DRH : structurer le dossier salarié

• Centraliser tous les documents personnels dans un espace unique (SIRH, GED).
• Indexer les documents par catégorie (contrat, paie, formation, discipline, santé).
• Archiver selon les durées légales (Code du travail, prescriptions pénales, fiscales, sociales).

Durées de conservation usuelles :

• Bulletin de paie : 5 ans (article L. 3243-4 du Code du travail) ou 50 ans (article 102 du Code de la sécurité sociale pour reconstitution de carrière).
• Contrat de travail : jusqu'à extinction des droits (prescriptions civiles et pénales).
• Document disciplinaire : 3 ans (article L. 1332-4 du Code du travail).
• Données de géolocalisation : 2 mois (CNIL, délibération n° 2015-165).

Pour la DSI : tracer et sécuriser les accès

• Logger les accès à la messagerie et aux serveurs de fichiers (qui a consulté quoi, quand).
• Segmenter les droits d'accès (principes de moindre privilège et de besoin d'en connaître).
• Chiffrer les exports de données personnelles avant transmission (ZIP protégé par mot de passe, espace sécurisé type Oodrive).

Document à produire : Politique de gestion des logs, procédure d'export sécurisé.

Pour le DPO (ou référent RGPD) : piloter et auditer

• Tenir un registre des demandes : date, demandeur, nature, délai, réponse, éventuelle prorogation.
• Former les RH et managers au périmètre du droit d'accès.
• Auditer annuellement les réponses fournies (taux de réponse dans le délai, taux de refus motivés, réclamations CNIL).

Document à produire : Tableau de bord trimestriel, support de formation interne.

Que faire en cas de litige ou de réclamation CNIL ?

Si le salarié saisit la CNIL

Le salarié insatisfait peut déposer une plainte en ligne sur le site cnil.fr. La CNIL peut :

1. Demander des explications à l'employeur (questionnaire, documents justificatifs).
2. Effectuer un contrôle sur pièces ou sur place.
3. Prononcer une sanction (avertissement, mise en demeure, amende).

Délai de réponse CNIL : Variable (3 mois à 18 mois selon la charge de travail).

Bonne pratique : Répondre exhaustivement à la CNIL dans le délai imparti, avec copie des échanges, accusés de réception, fichiers de logs.

Si le salarié saisit le juge judiciaire

Le salarié peut parallèlement ou successivement saisir le Conseil de prud'hommes (pour demander communication des documents dans le cadre d'un litige prud'homal) ou le Tribunal judiciaire (pour faire respecter son droit d'accès RGPD).

Sanction possible : Dommages et intérêts pour préjudice moral, ordonnance de communication sous astreinte.

Document à produire devant le juge : Copie de la demande initiale, preuve de la réponse (ou du refus motivé), justification des exceptions appliquées.

Conseils pratiques pour anticiper et limiter les risques

1. Rédiger une procédure interne claire

Qui ? Désigner un référent unique (DPO, Responsable RH, Juriste) chargé de recevoir et traiter toutes les demandes RGPD.

Quoi ? Formaliser le circuit de validation : réception → cartographie → tri → caviardage → transmission.

Quand ? Dès l'embauche du premier salarié (ou dès la création du premier fichier RH).

Document à produire : Procédure interne validée par la direction, diffusée aux RH, managers, IT, DPO.

2. Former les équipes RH et IT

Contenu de la formation :

• Définition des données personnelles.
• Périmètre du droit d'accès.
• Exceptions légales.
• Délais et sanctions.
• Cas pratiques (e-mails, logs, géolocalisation).

Fréquence : Annuelle, avec mise à jour en cas de nouvelle jurisprudence.

Document à produire : Attestation de formation, support pédagogique.

3. Cartographier régulièrement les traitements

Le registre des activités de traitement (article 30 du RGPD) doit lister tous les traitements de données personnelles, y compris la messagerie, les logs, les outils collaboratifs.

Bonne pratique : Réviser le registre tous les 6 mois, à chaque mise en place d'un nouvel outil, ou à chaque mouvement RH significatif.

Document à produire : Registre RGPD à jour, signé par le DPO ou le responsable de traitement.

4. Prévoir un espace de dépôt sécurisé pour les réponses volumineuses

Plutôt qu'un envoi par e-mail (risque d'interception, taille limitée), utiliser :

• Un coffre-fort numérique (Digiposte, Oodrive, Kitry).
• Un espace FTP sécurisé avec authentification forte.
• Une remise en main propre sur clé USB chiffrée (contre décharge).

Document à produire : Preuve de mise à disposition (mail de notification + accusé de téléchargement ou décharge signée).

Références juridiques

Textes du RGPD :

• Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD), notamment articles 4 (définitions), 5 (principes), 12 (modalités d'exercice des droits), 15 (droit d'accès), 20 (droit à la portabilité), 83 (sanctions).

Code du travail :

• Article L. 1332-4 (conservation des sanctions disciplinaires : 3 ans).
• Article L. 3243-4 (conservation des bulletins de paie : 5 ans).

Code de la sécurité sociale :

• Article 102 (reconstitution de carrière : 50 ans).

Jurisprudence :

• Cass. soc., 2 octobre 2001, n° 99-42.942 (« Nikon » : présomption de caractère professionnel de la messagerie).
• (L'arrêt cité dans le contenu de travail n'étant pas formellement référencé avec numéro de pourvoi, il n'est pas mentionné ici conformément aux règles DAIRIA.)

Loi sur le secret des affaires :

• Loi n° 2018-670 du 30 juillet 2018 relative à la protection du secret des affaires.

CNIL :

• Délibération n° 2015-165 du 4 juin 2015 (durée de conservation des données de géolocalisation).

Conclusion opérationnelle : L'employeur qui reçoit une demande d'accès RGPD doit désormais inclure systématiquement la messagerie professionnelle, les logs et les outils collaboratifs dans son périmètre de recherche. Pour éviter tout contentieux, l'anticipation prime : cartographier les traitements, former les équipes, tracer chaque étape et respecter scrupuleusement le délai d'un mois. En cas de doute, mieux vaut transmettre trop que pas assez — quitte à caviarder les données sensibles ou couvertes par le secret des affaires — plutôt que de risquer une sanction CNIL ou une condamnation judiciaire.