Autorité belge de protec­tion des données, déci­sion de la Chambre conten­tieuse 15/​2021 du 9 février 2021

L’affaire oppose une société belge active dans le secteur de la consul­ta­tion infor­ma­tique face à l’un de ses anciens employés. Ce dernier y a travaillé de 2008 à 2019. Les dernières années de leur rela­tion contrac­tuelle de travail étaient conflic­tuelles. À ce titre, l’employé était régu­liè­re­ment absent à partir d’octobre 2015. Une procé­dure prud’hommale a même été intro­duite par la société en 2017. La procé­dure s’est soldée en juin 2018 par un échec, forçant la société à réin­té­grer son employé en son sein. Leur rela­tion contrac­tuelle s’est toute­fois éteinte en janvier 2019, après la conclu­sion d’une tran­sac­tion privée.

Quelques jours après le juge­ment prud’hommale, l’employé a exercé son droit d’accès contre la société (art. 15 RGPD). Il a exigé de la société la commu­ni­ca­tion de toutes les données person­nelles enre­gis­trées à son sujet, et spécifiquement :

• les anno­ta­tions ou commen­taires faisant partie de son dossier RH ;
• les logs IT le concernant ;
• les évalua­tions le concernant ;
• la copie de ses cour­riels conte­nus dans sa boîte élec­tro­nique (qu’il en soit l’expéditeur ou le destinataire) ;
• les photos sur lesquelles il pouvait être identifié.

Le 19 septembre 2018, la société a donné suite à la requête du plai­gnant en lui four­nis­sant la carto­gra­phie de ses données person­nelles, leur contenu, les CV le concer­nant ainsi que les photos d’identité enre­gis­trées. Insatisfait par la réponse, l’employé a inter­pellé la société le 24 septembre 2018 pour qu’elle lui remette encore les docu­ments spéci­fi­que­ment souhai­tés. La société esti­mant que l’affaire était close, l’employé a intro­duit une récla­ma­tion auprès de l’autorité confor­mé­ment à l’art. 77 RGPD, ayant débou­ché sur une déci­sion l’Autorité belge de protec­tion des données (ci-après : l’Autorité).

À titre limi­naire, nous mention­nons que l’Autorité recon­naît que le droit d’accès couvre néces­sai­re­ment le droit de copie, en ce qu’il en est un prére­quis. Elle insiste égale­ment au long de son argu­men­ta­tion sur l’importance du droit d’accès, qui est pour elle un des fonde­ments du droit à la protec­tion des données. Il consti­tue en effet la porte d’entrée qui permet l’exercice des autres droits que le RGPD confère à la personne concer­née. Ainsi, toute limi­ta­tion au droit d’accès doit être inter­pré­tée de façon restrictive.

En ce qui concerne les points évoqués par l’employé, nous nous borne­rons à limi­ter notre analyse aux anno­ta­tions, aux logs IT ainsi qu’à la copie des courriels.

Annotations dans le dossier RH

La société refuse d’octroyer au plai­gnant l’accès aux anno­ta­tions faisant partie de son dossier RH en vertu de l’art. 15 par. 4 RGPD. Selon la société, l’accès à ces données viole­rait la protec­tion des données des anciens supé­rieurs hiérar­chiques du plai­gnant, auteurs de ces anno­ta­tions ou commen­taires. L’Autorité n’est pas convain­cue par cette argumentation.

Premièrement, elle souligne que, confor­mé­ment à l’arrêt Nowak de la Cour de justice de l’Union euro­péenne, la notion de données person­nelles englobe les cas d’évaluations qui peuvent reflé­ter un avis ou une appré­cia­tion concer­nant une personne, notam­ment en lien sur ses performances.

Deuxièmement, l’Autorité insiste sur le fait que la mise en balance du droit à l’obtention d’une copie avec les droits et liber­tés d’autrui ne peut abou­tir auto­ma­ti­que­ment à l’absence de toute commu­ni­ca­tion d’information, une mesure plus adéquate pouvant être trou­vée. En l’espèce, puisque l’art. 15 par. 3 RGPD ne requiert pas qu’une copie du docu­ment origi­nal soit four­nie à la personne concer­née, il appar­tient à la société d’anonymiser le nom ou toute donnée person­nelle des auteurs des annotations.

Logs IT

La société refuse ensuite de trans­mettre au plai­gnant les logs IT le concer­nant en raison de la quan­tité de travail dispro­por­tion­née que cela lui deman­de­rait, notam­ment au vu de l’énorme quan­tité de données à vérifier.

Nous préci­sons ici que les logs IT sont des fichiers conte­nant des données de jour­na­li­sa­tion. Il s’agit donc d’une mesure tech­nique qui consiste à enre­gis­trer les infor­ma­tions perti­nentes (p. ex. date, heure, auteur, motifs, etc.) concer­nant les événe­ments d’un système infor­ma­tique (p. ex. accès au système ou à un de ses fichiers, modi­fi­ca­tion d’un fichier, suppres­sion d’un fichier, etc.). Le log IT est donc en quelque sorte le procès-verbal de la jour­na­li­sa­tion. L’Autorité souligne d’ailleurs l’importance de la jour­na­li­sa­tion à l’aune du prin­cipe de sécu­rité (art. 5 par. 1 let. f RGPD).

L’Autorité recon­naît qu’il faille trou­ver un juste équi­libre entre l’intérêt de la personne concer­née à proté­ger sa vie privée et la charge que l’obligation repré­sente pour le respon­sable du trai­te­ment. En l’espèce, une fouille systé­ma­tique des logs IT concer­nant le plai­gnant (allant de son entrée en fonc­tion à la cessa­tion de son contrat de travail) repré­sen­te­rait effec­ti­ve­ment une charge de travail dispro­por­tion­née. En outre, le plai­gnant n’a pas démon­tré d’intérêt parti­cu­lier à sa demande.

Copie des courriels

La société refuse fina­le­ment la trans­mis­sion de copie des cour­riels dont le plai­gnant est le desti­na­taire ou l’expéditeur. Selon la société, une telle trans­mis­sion contre­vien­drait au secret des corres­pon­dances élec­tro­niques et ne serait pas néces­saire puisque le plai­gnant avait, lors de la demande, accès à ses courriels.

L’Autorité n’est pas convain­cue par les argu­ments. D’abord, le secret des corres­pon­dances élec­tro­niques s’applique unique­ment envers les tiers aux commu­ni­ca­tions élec­tro­niques concer­nées, et non pas à une personne partie aux commu­ni­ca­tions. Ensuite, le fait d’avoir accès aux données en ques­tion n’exclut pas le droit d’en obte­nir une copie. De même, le fait d’avoir connais­sance des données trai­tées ne consti­tue pas non plus une raison valable pour en refu­ser l’accès.

En dernier lieu, la société soulève que la trans­mis­sion des cour­riels viole­rait son droit à la protec­tion du secret d’affaire. L’Autorité rappelle tout d’abord l’importance d’analyser une restric­tion au droit d’accès de façon limi­tée. En l’espèce, le risque de la viola­tion du secret d’affaires est clai­re­ment démon­tré. En effet, le plai­gnant occupe une fonc­tion diri­geante au sein de la société, ce qui lui donne accès à de nombreuses infor­ma­tions sensibles sur les affaires de la société. Il s’agit par exemple de l’identité des clients, des montants des commandes ou encore des montants des factures. L’Autorité ajoute toute­fois que si le risque n’avait pas été démon­tré, l’anonymisation des données aurait pu être envisagée.

À toutes fins utiles, nous préci­sons qu’une solu­tion simi­laire avait été rete­nue par le Berliner Beauftragte für Datenschutz und Informationsfreiheit dans le cadre d’une affaire assez iden­tique (Rapport d’activités 2019, pp. 119–120). Celle-ci concer­nait le cas d’un ancien cadre d’une banque qui deman­dait à son ancien employeur de lui remettre une copie de tous ses cour­riels. L’Autorité berli­noise avait là aussi retenu l’intérêt de la banque à proté­ger ses secrets d’affaires, tout en recon­nais­sant que les cour­riels envoyés à titre privé devaient être remis au requérant.

Notes

En Europe comme en Suisse, le droit d’accès à ses données person­nelles est consi­déré comme une insti­tu­tion clef de la protec­tion des données. Comme le rappe­lait l’Autorité belge, il permet à toute personne concer­née de savoir si des données la concer­nant sont trai­tées et, cas échéant, d’y avoir accès. Cela permet à la personne d’en véri­fier le contenu (et a fortiori d’en véri­fier l’exactitude), tout en s’assurant que les données sont trai­tées de manière licite. Dans cette optique, le droit d’accès est facile à exer­cer et ne demande pas de moti­va­tion ou de justification.

Bien qu’essentiel, le droit d’accès peut s’avérer être un outil utilisé à mauvais escient. Tel est le cas lorsque le deman­deur est unique­ment motivé par un senti­ment de « repré­sailles » vis-à-vis du respon­sable du trai­te­ment, l’objectif étant là de recou­rir au droit d’accès comme une « forme de nuisance ». Cette affir­ma­tion est parti­cu­liè­re­ment vraie dans le cadre d’une rela­tion de travail conflic­tuelle. À l’aune de ces consi­dé­ra­tions, et avec comme point d’ancrage le droit suisse actuel et futur, nous souhai­tons soule­ver plusieurs aspects de la déci­sion qui suscitent, selon nous, le questionnement.

Premièrement, il nous semble justi­fié de consi­dé­rer que le droit d’accès recouvre néces­sai­re­ment le droit de rece­voir copie des docu­ments dans lesquels figurent des données person­nelles. Le requé­rant qui exerce son droit d’accès à un inté­rêt évident à obte­nir une copie des données person­nelles, puisque cela lui permet de les consul­ter n’importe où et n’importe quand, faci­li­tant ainsi une possible compa­rai­son avec d’autres données en sa posses­sion. Si la juris­pru­dence en la matière reste rare, nous souli­gnons que le Tribunal fédé­ral semble toute­fois déduire du droit d’accès le droit à rece­voir copie (ATF 141 III 119, consid. 7.3).

Ce lien entre droit d’accès et droit de rece­voir copie semble connu du légis­la­teur fédé­ral. En effet, lors de la récente révi­sion totale de la LPD, le droit d’accès (art. 25 nLPD) a fait l’objet d’une modi­fi­ca­tion maté­rielle. Cette dernière porte sur les infor­ma­tions qui devront être commu­ni­quées par le respon­sable du trai­te­ment au requé­rant. Parmi ces infor­ma­tions, le respon­sable du trai­te­ment devra notam­ment trans­mettre « les données person­nelles trai­tées en tant que telles » (art. 25 al. 2 let. b nLPD).

Cette notion a été intro­duite par la Commission des insti­tu­tions poli­tiques du Conseil natio­nal et appelle à la réflexion. Selon les débats parle­men­taires (BO 2020 N 150), cette notion a pour objec­tif de limi­ter le droit d’accès en excluant que soit trans­mise « toute la docu­men­ta­tion qui peut conte­nir les données person­nelles », acte que le légis­la­teur juge dispro­por­tionné. Cette expres­sion n’apporte toute­fois pas de clarté au problème soulevé par le droit de rece­voir copie. Selon nous, même à l’aune du nouveau droit, les docu­ments conte­nant des données person­nelles ne pouvant être extraites ou au prix d’un travail dispro­por­tionné devraient conti­nuer à être commu­ni­qués. Dans le cas contraire, le droit d’accès se retrou­ve­rait vidé de sa substance.

Deuxièmement, il nous semble impor­tant de nuan­cer la déci­sion belge à l’égard des logs IT. Le droit fédé­ral actuel oblige le respon­sable du trai­te­ment de jour­na­li­ser les trai­te­ments auto­ma­ti­sés de données sensibles ou de profils de la person­na­lité, confor­mé­ment à l’art. 10 al. 1 OLPD. Le PFPDT peut par ailleurs recom­man­der la jour­na­li­sa­tion pour d’autres trai­te­ments, notam­ment ceux qui présentent un risque élevé d’atteinte à la vie privée et aux droits des personnes concer­nées. Selon le commen­taire de l’Office fédé­ral de la justice à l’appui de l’OLPD, tel est le cas notam­ment lorsque le trai­te­ment présente un certain degré de sensi­bi­lité, soit en raison du domaine (p. ex. assu­rances, agences de rensei­gne­ments), soit en raison de la confi­gu­ra­tion du système d’informations.

Mesure tech­nique inti­me­ment liée à la gestion d’un système infor­ma­tique, les procès-verbaux de jour­na­li­sa­tion ne devraient être conser­vés que durant une année selon l’art. 10 al. 2 OLPD. Ce délai de conser­va­tion d’une année est égale­ment repris au sein de l’art. 16 al. 1 OPDC. Si la durée d’une année nous semble légè­re­ment courte, le cas belge repré­sente l’autre extré­mité puisque le plai­gnant deman­dait l’accès à des logs IT remon­tant aux prémices de la rela­tion de travail, soit 2009. Le prin­cipe de propor­tion­na­lité exige en effet la suppres­sion des données dès qu’elles ne sont plus néces­saires. Il est regret­table que la déci­sion belge n’aborde pas ce point.

Toujours sur les logs IT, nous déplo­rons égale­ment que l’Autorité belge ne se soit pas penchée sur leur quali­fi­ca­tion juri­dique à propre­ment parler. Sans aucune préci­sion, l’Autorité belge part du prin­cipe que les logs IT sont (ou contiennent) des données person­nelles. Selon nous, les logs IT sont des mesures tech­niques qui permettent au respon­sable du trai­te­ment une forme de contrôle s’agissant du système infor­ma­tique. La voca­tion des logs IT n’est donc pas de faire partie du dossier d’un employé, elles consti­tuent toute­fois une ressource impor­tante en cas d’audit. Au vu de ce qui précède, les données issues des logs IT ne devraient tomber dans le champ du droit d’accès que si elles sont incor­po­rées au sein d’un dossier dans lequel se trouvent les données person­nelles du requérant.

Troisièmement, nous souhai­tons abor­der la ques­tion de la restric­tion au droit d’accès, spéci­fi­que­ment dans le cadre d’une rela­tion de travail conflic­tuelle. Selon nous, deux restric­tions peuvent poten­tiel­le­ment être soule­vées par l’employeur dans le cadre d’une demande de droit d’accès.

La première restric­tion pour­rait concer­ner l’abus de droit au sens de l’art. 2 al. 2 CC. Par exemple, une demande de droit d’accès qui ne vise qu’à se procu­rer des preuves en vue d’une procé­dure civile est contraire au but de l’art. 25 nLPD et consti­tue un abus de droit selon l’art. 2 al. 2 CC. Ce cas a d’ailleurs été récem­ment traité par le Tribunal fédé­ral (Arrêt 4A_​277/​2020 du 18 novembre 2020), et déjà résumé (Célian Hirsch, Le droit d’accès abusif, in : www​.swiss​pri​vacy​.law/45).

La seconde restric­tion concerne l’art. 26 al. 1 let. c nLPD qui prévoit qu’un respon­sable du trai­te­ment peut notam­ment refu­ser la commu­ni­ca­tion des rensei­gne­ments si la demande d’accès est mani­fes­te­ment infon­dée notam­ment parce qu’elle pour­suit un but contraire à la protec­tion des données ou est mani­fes­te­ment procé­du­rière. Il s’agit d’une nouvelle restric­tion inté­grée lors de la révi­sion totale de la LPD.

L’expression « mani­fes­te­ment procé­du­rière » est emprun­tée aux règles procé­du­rales, à l’instar des art. 42 al. 7 LTF ou 132 al. 3 CPC. Dans le cadre de ces règles, l’expression « procé­du­rier » s’entend comme le recours qui est intro­duit par pur esprit de chicane avec comme objec­tif de tracas­ser l’adversaire. Cela découle notam­ment de la multi­pli­ca­tion des procé­dures, de la dispro­por­tion évidente entre l’enjeu et les procé­dés utili­sés, voire des propos qui figurent dans le recours.

Un raison­ne­ment simi­laire doit valoir en ce qui concerne la demande de droit d’accès. En pratique, il arrive souvent qu’un employé qui vient d’être licen­cié fasse usage de son droit d’accès (lui-même, ou par l’intermédiaire de son avocat). Il est clair que la proxi­mité tempo­relle entre le licen­cie­ment et la demande de droit d’accès peut donner, dans une certaine mesure, un indice sur cet esprit de chicane.

Toutefois, toute restric­tion au droit d’accès doit s’analyser de manière restric­tive. Et une rela­tion conflic­tuelle de travail n’atteste pas auto­ma­ti­que­ment, en fait, de la volonté du requé­rant de faire usage du droit d’accès de manière contraire au but qui est le sien, pas plus qu’elle atteste auto­ma­ti­que­ment d’un esprit de chicane. L’employeur ne pour­rait, selon nous, soule­ver cette excep­tion que dans les cas parti­cu­liè­re­ment choquants et dûment avérés.

Dans l’absolu, et au vu des hypo­thèses susmen­tion­nées, l’employeur aura tout à gagner à ne pas refu­ser de commu­ni­quer les rensei­gne­ments, mais plutôt d’en diffé­rer l’envoi. Charge alors au requé­rant d’user de son droit d’introduire une action en exécu­tion du droit d’accès auprès du tribu­nal compé­tent. À cet égard, la procé­dure sera désor­mais exemp­tée de frais judi­caires (art. 113 al. 2 let. g et 114 let. g nCPC) et conti­nuera à se faire sous la forme d’une procé­dure simpli­fiée (art. 243 al. 2 let. d CPC, art. 243 al. 2 let. d nCPC).