1. Un droit d’accès à quelles données ?
2. Comment exercer ce droit ?
3. Quel est le délai de réponse ?
4. Les limites au droit d’accès
Le Règlement Général sur la Protection des Données (RGPD) – Règlement (UE) 2016⁄679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données – donne le droit à toute personne de demander directement à un organisme d’accéder aux données personnelles qui la concernent : c’est le droit d’accès direct.
Ainsi, toutE salariéE ou ancienNE salariéE a le droit d’accéder aux données de son dossier professionnel en s’adressant au service concerné de l’entreprise qui peut être, selon les cas, le service chargé de la gestion des ressources humaines ou encore le délégué à la protection des données (DPO).
Un droit d’accès à quelles données ?
Le ou la salariéE peut obtenir l’accès et la communication de l’ensemble des données le ou la concernant, qu’elles soient conservées sur support informatique ou papier.
Il ou elle a ainsi le droit d’accéder aux données relatives à :
- son recrutement ;
- son historique de carrière ;
- l’évaluation de ses compétences professionnelles (entretiens annuels d’évaluation) ;
- ses demandes de formation et les éventuelles évaluations de celles-ci ;
- son dossier disciplinaire ;
- l’utilisation de son badge de contrôle d’accès aux locaux ;
- ses données issues d’un dispositif de géolocalisation ;
- tout élément ayant servi à prendre une décision à son égard (une promotion, une augmentation, un changement d’affectation, etc.). Il peut s’agir des valeurs de classement annuel, parfois appelées « ranking », ou de potentiel de carrière ;
- etc.
Chez Captrain France, les salariéEs ont donc également droit d’accès à leurs roulements, plannings, « extractions Girafe » et bulletins de service, c’est-à-dire l’ensemble des données personnelles (individuelles et nominatives) concernant le décompte de leur durée de travail. Ces documents du dossier professionnel peuvent notamment leur servir à vérifier leurs temps de travail réalisé, et donc la conformité de leurs bulletins de paie.
L’« extraction Girafe » d’une année civile, par exemple, reprenant le détail de chaque jour de l’année (du 1er janvier au 31 décembre), pour un agent du matériel, OFI, OSS, CME ou CDL, tel qu’enregistré par le chef de site, permet de vérifier le décompte de la durée de travail réalisée, et ainsi de vérifier la bonne prise en compte ou non des éléments variables de salaire (EVS), des indemnités de frais professionnels, des repos, des congés, etc. L’article 5 de l’accord de branche relatif à l’organisation du travail, auquel est soumis Captrain France, impose à l’employeur de conserver ces documents pendant trois années.
Les codes, sigles et abréviations figurant dans les documents du dossier professionnel communiqués par l’entreprise doivent être explicités, si nécessaire à l’aide d’un lexique ou d’icônes normalisées.
Comment exercer ce droit ?
Le droit d’accès est par principe gratuit et peut s’exercer sur place ou par écrit, y compris par voie électronique. Lorsque la demande est présentée sur place et ne peut être satisfaite immédiatement, un avis de réception daté et signé est délivré à son auteur/trice.
L’employeur doit faciliter l’exercice des droits des salariéEs. Si la demande ne comporte pas l’ensemble des éléments permettant de la traiter, l’employeur invite le ou la demandeur/se à les lui fournir.
De même, en cas de « doute raisonnable » sur l’identité du ou de la demandeur/se, il peut lui demander de joindre tout autre document permettant de prouver son identité, comme par exemple, si cela est nécessaire, une photocopie d’une pièce d’identité. En revanche, l’employeur ne peut pas exiger systématiquement de telles pièces justificatives, lorsque le contexte ne le justifie pas.
Une copie des données est délivrée au ou à la salariéE à sa demande sans qu’aucun coût ne puisse lui être exigé, sauf si les demandes sont manifestement infondées ou excessives (exemple : demandes répétitives).
Quel est le délai de réponse ?
L’employeur doit répondre à la demande dans les meilleurs délais sans dépasser un délai d’un mois à compter de la réception de la demande.
Au besoin, compte tenu de la complexité et du nombre de demandes qui devra être justifiée par l’organisme ou entreprise, ce délai peut être prolongé de deux mois supplémentaires. Dans ce cas, le ou la salariéE ou ancienNE salariéE doit être informéE de cette prolongation et de ses motifs dans le délai d’un mois à compter de la réception de la demande.
Si l’organisme ne donne pas suite à la demande d’accès, le salarié devra être informé des motifs le justifiant, ainsi que de la possibilité d’introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) et de former un recours juridictionnel.
En cas de défaut de réponse dans ce délai (1 ou 3 mois selon le cas), ou de réponse non satisfaisante, la personne peut en effet introduire une réclamation auprès de la CNIL et/ou former un recours juridictionnel à l’encontre de l’organisme ou entreprise.
La CNIL est une autorité administrative indépendante (AAI), c'est-à-dire un organisme public qui agit au nom de l'Etat, sans être placé sous l'autorité du gouvernement ou d'un ministre.
Elle est chargée de veiller à la protection des données personnelles contenues dans les fichiers et traitements informatiques ou papiers, aussi bien publics que privés. Ainsi, elle est chargée de veiller à ce que l'informatique soit au service du ou de la citoyenNE et qu'elle ne porte atteinte ni à l'identité humaine, ni aux droits de l'humain, ni à la vie privée, ni aux libertés individuelles ou publiques. Elle a un rôle d'alerte, de conseil et d'information vers tous les publics mais dispose également d'un pouvoir de contrôle et de sanction.
Les limites au droit d’accès
UnE salariéE ou ancienNE salariéE peut uniquement accéder aux données qui le ou la concernent. C’est un droit personnel qui ne doit pas porter atteinte aux droits des tiers (exemple : autre salariéE, visiteur/se, etc.).
Par exemple, dans le cas d’un droit d’accès portant sur un rapport circonstancié établi à la suite d’un dysfonctionnement, l’identité des personnes mentionnées dans le document, autres que la personne exerçant son droit, devra être occultée.
Dans certaines situations, le droit d’accès peut également faire l’objet de certaines restrictions, par exemple si les données sont protégées par le secret des affaires, la propriété intellectuelle ou encore par le secret des correspondances.
Source : https://www.cnil.fr/fr/lacces-son-dossier-professionnel