Le droit d’accès des collaborateurs et collaboratrices

Chaque personne peut demander à son employeur si des données personnelles la concernant sont traitées. A l’occasion de la révision de la loi sur la protection des données, nous approfondissons ce droit important et ses restrictions. Si les grands principes du droit d’accès restent inchangés, la nouvelle loi sur la protection des données (nLPD) apporte une nouveauté au niveau des restrictions.

Le droit d’accès

Selon l’art. 25 nLPD, toute personne peut demander au responsable du traitement si des données personnelles la concernant sont traitées. Ce dernier doit transmettre les données personnelles traitées en tant que telles, mais bien plus encore : il doit informer sur l’identité et les coordonnées du responsable du traitement, la finalité du traitement, la durée de conservation des données personnelles et les informations disponibles sur l’origine des données personnelles (dans la mesure où ces données n’ont pas été collectées auprès de la personne concernée). Si la personne a fait l’objet d’une décision individuelle automatisée ou si ses données personnelles sont communiquées, l’information doit aussi porter sur ces points.

L’accès peut être demandé sans indication de motifs. Les renseignements doivent en principe être fournis gratuitement dans un délai de 30 jours. Si le responsable de traitement fait traiter les données par un sous-traitant (par exemple une fiduciaire), il reste quand même tenu de donner les renseignements à la personne salariée.

Restrictions

La nLPD donne plusieurs motifs permettant de refuser, restreindre ou différer la communication des renseignements.

Premièrement, en raison d’une loi au sens formel. On pense notamment au secret professionnel ou au secret bancaire. Toutefois, ces secrets ne permettent pas d’emblée de refuser toute demande d’accès car certains passages peuvent être caviardés.

Deuxièmement, en raison des intérêts prépondérants d’un tiers. Cette situation se présente lorsque les données personnelles de la personne requérante sont liées à celles d’un tiers et ne peuvent pas être communiquées de manière isolée. L’anonymisation des documents permet toutefois souvent de remédier à cette difficulté.

Troisièmement, en raison des intérêts prépondérants du responsable de traitement si ce dernier ne communique pas les données à un tiers. L’intérêt de l’employeur doit l’emporter sur l’intérêt de la personne requérante l’accès. D’après la jurisprudence, cette condition est par exemple remplie s’il existe un risque d’espionnage industriel.

Finalement, la nLPD introduit un nouveau motif de restriction. Ainsi, le renseignement peut être refusé, restreint ou différé si la demande d’accès est manifestement infondée ou procédurière. Il est fait référence ici aux situations dans lesquels la demande d’accès poursuit de manière certaine un but totalement étranger à la protection des données (par exemple pour préparer un procès contre son employeur), ou lorsque le droit d’accès est invoqué de manière répétée sans motif valable. Ce motif de restriction doit être appliquée de manière très restrictive.

Sanctions

Si le responsable de traitement fournit intentionnellement des renseignements inexacts ou incomplets, il sera puni, sur plainte, d’une amende pouvant aller jusqu’à CHF 250’000.-. Si le responsable de traitement refuse l’accès, la personne requérante peut intenter une procédure civile.

Les sujets juridiques vous intéressent?

Inscrivez-vous à notre newsletter en remplissant le formulaire ci-dessous.

« * » indique les champs nécessaires

nLPD*