(Extraits de Chambre Contentieuse de l’Autorité belge de protection des données, Décision quant au fond 15/2021 du 09 février 2021, N° de dossier : DOS-2018-0612) :

A titre liminaire, la Chambre rappelle que le droit d’accès est une des exigences majeures du droit à la protection des données, il constitue la « porte d’entrée » qui permet l’exercice des autres droits que le RGPD confère à la personne concernée. La personne concernée a le droit d’obtenir du responsable de traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées. Lorsque c’est le cas, la personne concernée a le droit d’obtenir l’accès aux dites données à caractère personnel ainsi qu’à une série d’informations listées à l’article 15.1 a) – h) telles que la finalité du traitement de ses données, les destinataires éventuels de ses données ainsi que des informations relatives à l’existence de ses droits dont celui de demander la rectification ou l’effacement de ses données ou encore celui de déposer plainte.

Aux termes de l’article 15.3 du RGPD, la personne concernée a en outre le droit d’obtenir une copie des données à caractère personnel qui font l’objet du traitement. L’article 15.4 du RGPD prévoit que ce droit à la copie ne peut porter atteinte aux droits et libertés d’autrui.

 L’article 12 du RGPD relatif aux modalités d’exercice de leurs droits par les personnes concernées prévoit quant à lui notamment que le responsable du traitement doit faciliter l’exercice de ses droits par la personne concernée (article 12.2 du RGPD) et lui fournir des informations sur les mesures prises à la suite de sa demande dans les meilleurs délais et au plus tard dans le délai d’un mois à compter de sa demande (article 12.3 du RGPD). Lorsque le responsable de traitement n’a pas l’intention de donner suite à la demande, il doit notifier son refus dans un délai d’un mois accompagné de l’information selon laquelle un recours contre ce refus peut être introduit auprès de l’autorité de contrôle de protection des données (12.4 du RGPD).

Quant au refus du droit d’accès aux annotations ou commentaires dans le dossier des ressources humaines du plaignant

Dans la mesure où il n’est pas contesté ni contestable que des annotations d’évaluation concernant un employé sont des données personnelles, le RGPD est bien d’application.

La Chambre Contentieuse rappelle à cet égard que la notion de donnée à caractère personnel englobe n’importe quel type d’informations : informations privées (intimes), publiques, professionnelles ou commerciales, informations objectives ou subjectives.

Dans l’arrêt Nowak [Arrêt de CJEU, 20 décembre 2017, C-434/16, Nowak, ECLI:EU:C:2017:994], la CJUE énonce clairement que la notion de données à caractère personnel couvre tant les données qui résultent d’éléments objectifs, vérifiables et contestables que des données subjectives qui contiennent une évaluation ou un jugement porté sur la personne concernée. C’est ainsi le cas des annotations d’un examen qui reflètent l’avis ou l’appréciation de l’examinateur sur les performances individuelles d’un candidat, ou des données d’évaluation des employés, que cette évaluation soit exprimée sous la forme de points, d’une échelle de valeurs ou par le biais d’autres paramètres d’évaluation. Au-delà du cas d’espèce de l’arrêt Nowak (soit l’accès à un examen), l’arrêt vise tout avis ou appréciation concernant la personne en cause.

Dans le cas d’espèce, la Chambre Contentieuse considère que l’argument de la défenderesse selon lequel le droit à l’accès porterait atteinte à la protection des données et à la vie privée des anciens supérieurs hiérarchiques et membres des ressources humaines auteurs des annotation dans le dossier des ressources humaines du plaignant, ne peut être retenu. En effet, il était loisible à la défenderesse de communiquer au plaignant, en réponse à sa demande, les données traitées qui le concernent en anonymisant le nom ou toute donnée à caractère personnel des auteurs de telles annotations.

Par. 99. « Dans la mesure où la jurisprudence de la CJUE enseigne que le fait de rendre illisible les données à caractère personnel concernant les tiers avant de permettre l’exercice de son droit d’accès à la personne concernée satisfait l’exigence de l’article 15.4 de ne pas porter atteinte aux droits des tiers, et dans la mesure où il n’existe pas en droit belge de disposition législative visant à limiter le droit d’accès d’un employé à ses données personnelles traitées par son (ex) employeur,  l’argument de la défenderesse selon lequel l’accès par le plaignant à ses données violerait la protection des données à caractère personnel des anciens supérieurs hiérarchiques et responsable des ressources humaines du plaignant, auteurs de ces notes ou commentaires, est rejeté. »

Dès lors, en refusant de donner suite à la demande d’accès du plaignant aux annotations contenues dans son dossier des ressources humaines, la défenderesse a violé l’article 15.1 et 3 RGPD.

La Chambre souligne par ailleurs qu’en exécution du principe de responsabilité (articles 5.2. et 24 du RGPD), il appartient au responsable de traitement de développer les procédures internes destinées à permettre un exercice effectif de leurs droits par les personne concernées. Il lui incombe également, en application de l’article 25 du RGPD, d’intégrer le nécessaire respect des règles du RGPD en amont de ses actes et procédures.

103. « Dans la mesure où des notes prises par un employeur (ou des cadres ou membres des ressources humaines) concernant la gestion des employés sont dans la grande majorité des cas des données à caractère personnel, les garanties du RGPD doivent s’appliquer à leur égard. Ces données porteront souvent sur l’identité des employés, la formation, la gestion de la carrière, où l’évaluation professionnelle. Il revient donc, comme indiqué supra, à l’employeur de développer les procédures internes adéquates. »

Ces procédures internes dans le cadre de la gestion des ressources humaines peuvent être de nature différente.  On peut relever l’exemple des zones « commentaires » prévues dans le cadre de l’évaluation de salariés. Les informations qui y sont insérées doivent être objectives, pertinentes, adéquates et non excessives. Un système de menu déroulant, ou de filtrage de mots clés peut, par exemple, faciliter ceci. Les auteurs des annotations devraient par ailleurs garder à l’esprit que les employés peuvent accéder à tout moment aux informations les concernant. L’employeur reste par ailleurs, en tant que responsable du traitement, tenu par toutes les autres obligations du RGPD.

Quant au refus du droit d’accès aux logs IT concernant le plaignant

Sur base de l’article 5, 1, f RGPD, les données à caractère personnel doivent être traitées de façon à garantir une sécurité appropriée, « y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées». En l’absence de mesures appropriées pour sécuriser les données à caractère personnel des personnes concernées, l’effectivité des droits fondamentaux à la vie privée et à la protection des données à caractère personnel ne peut être garantie, à fortiori au vu du rôle crucial joué par les technologies de l’information et de la communication dans notre société.

Les obligations des responsables de traitement quant à la sécurité des traitements reposent dans les articles 32 et suivants du RGPD.

Les composantes classiques des recommandations en termes de sécurité de l’information, telles que préconisées par la suite ISO27xxx sont la confidentialité des données, leur intégrité et leur disponibilité. A celles-ci s’ajoute la notion d’imputabilité, « qui permet de pouvoir identifier, pour toutes les actions accomplies, les personnes, les systèmes ou les processus qui les ont initiées. L’imputabilité s’exprime notamment de façon concrète par la tenue d’un registre des log files selon le principe de journalisation des accès.

La journalisation consiste donc à l’enregistrement des informations pertinentes concernant les évènements d’un système informatique (accès au système ou à un de ses dossiers, modification d’un fichier, transfert de données…) dans des fichiers appelés « log files ». Les informations reprises sont entre autres les données consultées, la date, le type d’évènement, les données permettant d’identifier l’auteur de l’évènement, ainsi que le motif de cet accès. Ceci permet notamment d’identifier toute consultation des données personnelles abusive ou pour une finalité non légitime, ou encore de déterminer l’origine d’un accident.

Bien que la journalisation ne soit pas expressément mentionnée dans le RGPD, la tenue d’un journal des log files constitue une mesure technique et organisationnelle envisagée dans l’article 32 RGPD. Elle constitue une bonne pratique, recommandée à tout responsable de traitement. Ces mesures doivent être adaptées aux risques.

La Chambre rappelle que l’article 32 RGPD doit être lu en combinaison avec l’article 5.2 RGPD et l’article 24 RGPD, soumettant le responsable du traitement au principe de responsabilité. Il incombe au responsable du traitement de démontrer son respect des dispositions du RGPD, en prenant des mesures techniques et organisationnelles appropriées, de façon transparente et traçable, permettant en cas de contrôle d’apporter la preuve des garanties appliquées.

Le principe de responsabilité, lu en conjonction avec le principe de transparence (article 5.1.a RGPD), permet aux personnes concernées d’exercer leurs droits et de contrôler la conformité des traitements opérés sur leurs données à caractère personnel. Elle permet ainsi d’assumer la responsabilité.

Le considérant 63 du RGPD ajoute en outre à cela que ce droit d’accès doit être considéré comme un mécanisme de contrôle : « Une personne concernée devrait avoir le droit d’accéder aux données à caractère personnel qui ont été collectées à son sujet et d’exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d’en vérifier la licéité. »

Ces principes de responsabilité et de transparence s’articulent avec l’article 15 du RGPD, qui garantit le droit d’accès de la personne concernées à ses données personnelles traitées. Un fichier de journalisation incomplet et une absence de mention du motif de la consultation constituent une atteinte à l’exercice utile du droit d’accès et de contrôle dont dispose la personne concernée. Cela compromet également l’exercice des autres droits tels que le droit de rectification (article 16 du RGPD), le droit à l’oubli (article 17 du RGPD), et le droit à la limitation de l’utilisation de données traitées de façon illicite (article 18 du RGPD).

L’effectivité des droits fondamentaux à la vie privée et à la protection des données à caractère personnel dépend considérablement des mesures mises en place pour assurer la sécurité de celles-ci, la tenue d’un registre des logs est donc fortement recommandée par la Chambre Contentieuse, eu égard aux bonnes pratiques suivies par nombre d’entreprises.

Au sujet de la demande d’accès aux logs IT le concernant par le plaignant, la défenderesse justifie son refus par deux arguments. Elle souligne, dans un premier argument, (à l’instar de l’accès aux annotations dans le dossier RH du plaignant) le droit à la vie privée des auteurs des logs IT comme raison pour refuser le droit d’accès du plaignant aux logs IT le concernant.

Au vu de la jurisprudence de la CJUE selon laquelle le fait de rendre illisible les données à caractère personnel concernant les tiers avant de permettre l’exercice de son droit d’accès à la personne concernée satisfait l’exigence de l’article 15.4 RGPD de ne pas porter atteinte aux droits des tiers, et dans la mesure où il n’existe pas en droit belge de disposition législative visant à limiter le droit d’accès d’un employé à ses données personnelles traitées par son (ex) employeur, l’argument de la défenderesse selon lequel l’accès par le plaignant aux logs IT le concernant violerait la protection des données à caractère personnel des auteurs de ces logs est rejeté.

La défenderesse avance comme deuxième argument pour refuser de faire droit à la demande d’accès concernant l’entièreté des logs IT au sujet du plaignant la quantité de travail disproportionnée que cela demanderait à la défenderesse, liée à l’énorme quantité de logs et d’informations à vérifier à cet effet.

En l’espèce, la défenderesse souligne la charge de travail disproportionnée que représenterait une fouille systématique de tous les logs IT concernant le plaignant, depuis son entrée en fonction en juin 2008, jusqu’à la cessation de son contrat de travail avec la défenderesse en 2019. Le plaignant n’a par ailleurs apporté aucune explication quant à son intérêt à cette demande. Il n’a pas soumis de conclusions et n’est pas revenu sur ce point dans son email envoyé à la Chambre Contentieuse après soumission de ses conclusions par la défenderesse. La Chambre Contentieuse ne peut dès lors percevoir de besoin spécifique justifiant la charge de travail importante que représenterait la fouille systématique liée à la demande d’accès à l’ensemble des logs IT le concernant par le plaignant.

Dans ces circonstances, la Chambre Contentieuse suit la défenderesse dans son raisonnement selon lequel faire droit à cette demande du plaignant lui imposerait une obligation disproportionnée à l’intérêt du plaignant à exercer son droit à la protection des données. Il n’y a dès lors pas de violation dans le chef de la défenderesse du droit d’accès quant aux logs IT concernant le plaignant.

[Excursus : la question du droit d’accès du travailleur aux logs IT le concernant fait l’objet d’une Demande de décision préjudicielle devant la CJUE (Affaire C-579/21) présentée par l’Itä-Suomen hallinto-oikeus (tribunal administratif de Finlande orientale, Finlande) le 22 septembre 2021, encore pendante https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:62021CN0579&from=EN;  par ailleurs Livio Di Tria attire justement l’attention sur l’art. 57 al. 2 de la nouvelle loi sur le casier judiciaire qui prévoit l’accès aux données journalisées – https://www.linkedin.com/feed/update/urn:li:activity:6985946279134527488/)%5D

Quant au refus du droit d’accès aux évaluations du plaignant

Le plaignant demande par ailleurs l’accès et copie de ses évaluations.

La défenderesse informe à cet égard que dans la mesure où le plaignant a été régulièrement absent à partir d’octobre 2015 (il a travaillé moins de 30 jours en 2016, moins de la moitié de l’année en 2017, une trentaine de jours en 2018 et aucun jour en 2019), il n’y a pas eu d’évaluation ni d’entretien de fonctionnement depuis 2013. La défenderesse n’avait donc aucune donnée personnelle à communiquer au plaignant à ce titre. Dans ces circonstances, et dans la mesure où il ne peut être reproché à la défenderesse de ne pas faire droit à une demande d’accès et de copie de données personnelles n’existant pas, le grief du plaignant est rejeté.

Quant au refus à la demande de copie des emails

La Chambre relève que, comme indiqué dans sa plainte, le plaignant a pris soin d’expliquer pour quelle raison il demande spécifiquement la copie des emails. Il explique ainsi que pour des raisons de confidentialité (la politique de sécurité et de vie privée de la défenderesse l’interdit formellement) et technique (les emails étant stockés sur un système de cloud et pas sur l’ordinateur du plaignant), bien qu’il avait accès à ces emails depuis son ordinateur professionnel, il lui est impossible d’en prendre copie.

Bien qu’en l’espèce il ressort de la lecture de la plainte que le plaignant n’a pas demandé l’accès à ses emails, mais uniquement à une copie de ceux-ci, la Chambre rappelle, à toutes fins utiles, que la circonstance qu’un plaignant soit au courant des données personnelles à son sujet traitées par le responsable du traitement ne constitue pas une raison valable pour celui-ci de refuser l’accès.

En effet, aucune exception comparable à celle prévue à l’article 13.4 du RGPD (absence d’obligation d’information lorsque que, et dans la mesure où, la personne concernée dispose déjà  de ses informations) ou de l’article 14.5 a) du RGPD (absence d’information à fournir en cas de collecte indirecte lors que la personne concernée dispose déjà de ces informations) n’existe à l’article 15 du RGPD. Le droit d’accès permet à la personne concernée de s’assurer qu’aucune donnée la concernant n’est traitée à son insu et constitue une première étape vers l’exercice éventuel de ses droits de rectification, d’effacement ou d’objection. L’objectif du doit d’accès va donc bien au-delà de la seule prise de connaissance des données traitées, raison pour laquelle la circonstance que les données traitées seraient connues de la personne concernée est indifférente.

L’argument de la défenderesse consistant à refuser la demande de copie, sur base du fait que le plaignant avait accès aux emails en question n’est pas pertinent et ne peut donc pas être suivit.

La défenderesse invoque, pour refuser de faire suite à la demande de copie des emails, le droit à la vie privée des autres expéditeurs ou destinataires dans ces emails, sur base de l’article 15.4 RGPD.

La Chambre se réfère au raisonnement concernant les annotations dans le dossier des ressources humaines du plaignant.

Ainsi, étant donné que la jurisprudence de la CJUE enseigne que le fait de rendre illisible les données à caractère personnel concernant les tiers avant de permettre l’exercice de son droit d’accès à la personne concernée satisfait l’exigence de l’article 15.4 RGPD de ne pas porter atteinte aux droits des tiers, et dans la mesure où il n’existe pas en droit belge de disposition législative visant à limiter le droit d’accès et copie d’un employé à ses données personnelles traitées par son (ex) employeur, l’argument de la défenderesse selon lequel l’accès par le plaignant aux email desquels il est expéditeur ou destinataire et que l’octroi de copies des emails violerait la protection des données à caractère personnel des autres destinataires ou expéditeurs des emails en question est rejeté.

Pour ce qui est de la protection du secret d’affaire de la défenderesse et l’interprétation restrictive des limitations au droit d’accès, la Chambre rappelle que le droit d’accès (qui couvre nécessairement le droit de copie, en ce qu’il en est un prérequis) est un des fondements du droit à la protection des données, il constitue la « porte d’entrée » qui permet l’exercice des autres droits que le RGPD confère à la personne concernée. Dans cette mesure, toute dérogation au droit à la protection des données et à la vie privée doit recevoir une interprétation restrictive. Une limitation au droit d’accès, dans l’éventualité où elle devait survenir, devrait par conséquent être interprétée de façon restrictive.

Concernant le traitement de données personnelles dans le cadre des relations de travail, l’article 88 RGPD prévoit que « Les États membres peuvent prévoir, par la loi ou au moyen de conventions collectives, des règles plus spécifiques pour assurer la protection des droits et libertés en ce qui concerne le traitement des données à caractère personnel des employés dans le cadre des relations de travail (…) ». La Chambre constate qu’ il n’existe pas en Belgique de disposition législative visant à limiter le droit d’accès d’un employé à ses données personnelles traitées par son (ex) employeur.

Par conséquent, au vu des développements supra, dans la mesure où le secret d’affaires tend à limiter le droit fondamental à la protection des données, celui-ci doit être interprété de façon restrictive. Néanmoins, la Chambre Contentieuse est d’avis qu’il convient d’effectuer une analyse au cas par cas, notamment lorsque le risque pour le secret des affaires est suffisamment démontré.

Dans le cas d’espèce, la Chambre Contentieuse estime qu’au vu des informations potentiellement sensibles contenues dans les emails en question le risque pour le secret d’affaire de la défenderesse est suffisamment démontré.

La Chambre est dès lors d’avis que la défenderesse n’a pas violé l’article 15.1 et 3 en refusant de donner suite à la demande du plaignant de copie des emails dans lesquels il est destinataire ou expéditeurs.

A toutes fins utiles, la Chambre ajoute que dans les cas où le risque n’est pas démontré, il convient d’appliquer l’enseignement de la jurisprudence de la CJUE (voir supra), selon laquelle le fait de rendre illisible les données à caractère personnel concernant les tiers avant de permettre l’exercice de son droit d’accès à la personne concernée satisfait l’exigence de l’article 15.4 de ne pas porter atteinte aux droits des tiers.

 (Chambre Contentieuse de l’Autorité belge de protection des données, Décision quant au fond 15/2021 du 09 février 2021, N° de dossier : DOS-2018-0612 – https://www.autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n-15-2021.pdf; commentée par Livio di Tria, Droit d’accès : quelles limites pour l’ancien employé ?, 14 mars 2021 in http://www.swissprivacy.law/62)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)