Le Règlement Général sur la Protection des Données (RGPD) – Règlement (UE) ²⁰¹⁶⁄₆₇₉ du Parlement euro­péen et du Conseil du 27 avril 2016, rela­tif à la pro­tec­tion des per­sonnes phy­siques à l'égard du trai­te­ment des don­nées à carac­tère per­son­nel et à la libre cir­cu­la­tion de ces don­nées – donne le droit à toute per­sonne de deman­der direc­te­ment à un orga­nisme d’accéder aux don­nées per­son­nelles qui la concernent : c’est le droit d’accès direct.

Ainsi, toutE salariéE ou ancienNE salariéE a le droit d’accéder aux don­nées de son dos­sier pro­fes­sion­nel en s’adressant au ser­vice concer­né de l’entreprise qui peut être, selon les cas, le ser­vice char­gé de la ges­tion des res­sources humaines ou encore le délé­gué à la pro­tec­tion des don­nées (DPO).

Un droit d’accès à quelles données ?

Le ou la salariéE peut obte­nir l’accès et la com­mu­ni­ca­tion de l’ensemble des don­nées le ou la concer­nant, qu’elles soient conser­vées sur sup­port infor­ma­tique ou papier.

Il ou elle a ain­si le droit d’accéder aux don­nées rela­tives à :

• son recru­te­ment ;
• son his­to­rique de carrière ;
• l’évaluation de ses com­pé­tences pro­fes­sion­nelles (entre­tiens annuels d’évaluation) ;
• ses demandes de for­ma­tion et les éven­tuelles éva­lua­tions de celles-ci ;
• son dos­sier disciplinaire ;
• l’utilisation de son badge de contrôle d’accès aux locaux ;
• ses don­nées issues d’un dis­po­si­tif de géolocalisation ;
• tout élé­ment ayant ser­vi à prendre une déci­sion à son égard (une pro­mo­tion, une aug­men­ta­tion, un chan­ge­ment d’affectation, etc.). Il peut s’agir des valeurs de clas­se­ment annuel, par­fois appe­lées « ran­king », ou de poten­tiel de carrière ;
• etc.

Chez Captrain France, les salariéEs ont donc éga­le­ment droit d’accès à leurs rou­le­ments, plan­nings, « extrac­tions Girafe » et bul­le­tins de ser­vice, c’est-à-dire l’ensemble des don­nées per­son­nelles (indi­vi­duelles et nomi­na­tives) concer­nant le décompte de leur durée de tra­vail. Ces docu­ments du dos­sier pro­fes­sion­nel peuvent notam­ment leur ser­vir à véri­fier leurs temps de tra­vail réa­li­sé, et donc la confor­mi­té de leurs bul­le­tins de paie.

L’« extrac­tion Girafe » d’une année civile, par exemple, repre­nant le détail de chaque jour de l’année (du 1^er jan­vier au 31 décembre), pour un agent du maté­riel, OFI, OSS, CME ou CDL, tel qu’enregistré par le chef de site, per­met de véri­fier le décompte de la durée de tra­vail réa­li­sée, et ain­si de véri­fier la bonne prise en compte ou non des élé­ments variables de salaire (EVS), des indem­ni­tés de frais pro­fes­sion­nels, des repos, des congés, etc. L’article 5 de l’accord de branche rela­tif à l’organisation du tra­vail, auquel est sou­mis Captrain France, impose à l’employeur de conser­ver ces docu­ments pen­dant trois années.

Les codes, sigles et abré­via­tions figu­rant dans les docu­ments du dos­sier pro­fes­sion­nel com­mu­ni­qués par l’entreprise doivent être expli­ci­tés, si néces­saire à l’aide d’un lexique ou d’icônes normalisées.

Comment exer­cer ce droit ?

Le droit d’accès est par prin­cipe gra­tuit et peut s’exercer sur place ou par écrit, y com­pris par voie élec­tro­nique. Lorsque la demande est pré­sen­tée sur place et ne peut être satis­faite immé­dia­te­ment, un avis de récep­tion daté et signé est déli­vré à son auteur/trice.

L’employeur doit faci­li­ter l’exercice des droits des salariéEs. Si la demande ne com­porte pas l’ensemble des élé­ments per­met­tant de la trai­ter, l’employeur invite le ou la demandeur/se à les lui fournir.

De même, en cas de « doute rai­son­nable » sur l’identité du ou de la demandeur/se, il peut lui deman­der de joindre tout autre docu­ment per­met­tant de prou­ver son iden­ti­té, comme par exemple, si cela est néces­saire, une pho­to­co­pie d’une pièce d’identité. En revanche, l’employeur ne peut pas exi­ger sys­té­ma­ti­que­ment de telles pièces jus­ti­fi­ca­tives, lorsque le contexte ne le jus­ti­fie pas.

Une copie des don­nées est déli­vrée au ou à la salariéE à sa demande sans qu’aucun coût ne puisse lui être exi­gé, sauf si les demandes sont mani­fes­te­ment infon­dées ou exces­sives (exemple : demandes répétitives).

Quel est le délai de réponse ?

L’employeur doit répondre à la demande dans les meilleurs délais sans dépas­ser un délai d’un mois à comp­ter de la récep­tion de la demande.

Au besoin, compte tenu de la com­plexi­té et du nombre de demandes qui devra être jus­ti­fiée par l’organisme ou entre­prise, ce délai peut être pro­lon­gé de deux mois sup­plé­men­taires. Dans ce cas, le ou la salariéE ou ancienNE salariéE doit être informéE de cette pro­lon­ga­tion et de ses motifs dans le délai d’un mois à comp­ter de la récep­tion de la demande.

Si l’organisme ne donne pas suite à la demande d’accès, le sala­rié devra être infor­mé des motifs le jus­ti­fiant, ain­si que de la pos­si­bi­li­té d’introduire une récla­ma­tion auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) et de for­mer un recours juridictionnel.

En cas de défaut de réponse dans ce délai (1 ou 3 mois selon le cas), ou de réponse non satis­fai­sante, la per­sonne peut en effet intro­duire une récla­ma­tion auprès de la CNIL et/ou for­mer un recours juri­dic­tion­nel à l’encontre de l’organisme ou entreprise.

La CNIL est une auto­ri­té admi­nis­tra­tive indé­pen­dante (AAI), c'est-à-dire un orga­nisme public qui agit au nom de l'Etat, sans être pla­cé sous l'autorité du gou­ver­ne­ment ou d'un ministre.

Elle est char­gée de veiller à la pro­tec­tion des don­nées per­son­nelles conte­nues dans les fichiers et trai­te­ments infor­ma­tiques ou papiers, aus­si bien publics que pri­vés. Ainsi, elle est char­gée de veiller à ce que l'informatique soit au ser­vice du ou de la citoyenNE et qu'elle ne porte atteinte ni à l'identité humaine, ni aux droits de l'humain, ni à la vie pri­vée, ni aux liber­tés indi­vi­duelles ou publiques. Elle a un rôle d'alerte, de conseil et d'information vers tous les publics mais dis­pose éga­le­ment d'un pou­voir de contrôle et de sanction.

Les limites au droit d’accès

UnE salariéE ou ancienNE salariéE peut uni­que­ment accé­der aux don­nées qui le ou la concernent. C’est un droit per­son­nel qui ne doit pas por­ter atteinte aux droits des tiers (exemple : autre salariéE, visiteur/se, etc.).

Par exemple, dans le cas d’un droit d’accès por­tant sur un rap­port cir­cons­tan­cié éta­bli à la suite d’un dys­fonc­tion­ne­ment, l’identité des per­sonnes men­tion­nées dans le docu­ment, autres que la per­sonne exer­çant son droit, devra être occultée.

Dans cer­taines situa­tions, le droit d’accès peut éga­le­ment faire l’objet de cer­taines res­tric­tions, par exemple si les don­nées sont pro­té­gées par le secret des affaires, la pro­prié­té intel­lec­tuelle ou encore par le secret des correspondances.

Source : https://www.cnil.fr/fr/lacces-son-dossier-professionnel