La CNIL avait relevé trois insuffisances :
- absence de motivation du refus d’exercer le droit d’opposition au traitement de leurs données ;
- absence d’informations complètes et compréhensibles sur les traitements mis en œuvre ;
- absence de réponse à leurs demandes d’accès à leurs données personnelles
Sur le droit d'opposition
Les trois salariés concernés avaient exercé leur droit d’opposition au traitement de leurs données dans le cadre de l’enquête interne. L’employeur avait refusé, estimant que le traitement était nécessaire au respect d’une obligation légale, ce qui excluait selon lui toute possibilité d’opposition.
La CNIL a au contraire considéré que :
- si le traitement pouvait être justifié par l’intérêt légitime de l’employeur (article 6(1)(f) RGPD),
- il ne reposait pas sur une obligation légale (article 6(1)(c)).
L’entreprise devait donc examiner la demande des salariés et motiver un éventuel refus
La position du Conseil d’État
Le Conseil d’État valide l’analyse de la CNIL :
- même si le code du travail impose à l’employeur de protéger la santé et la sécurité des salariés,
- le traitement de données mis en œuvre dans le cadre d’une enquête interne ne constitue pas, pour autant, une obligation légale au sens de l’article 6(1)(c) du RGPD.
Ainsi, le traitement ne peut être fondé que sur l’intérêt légitime de l’employeur, ce qui laisse intact le droit d’opposition, sous réserve d’une analyse et d’une motivation adéquates.
Sur le droit d’accès : un rappel déterminant de la CJUE
Autrement dit : le droit d’accès ne peut pas être refusé au motif que le salarié cherche à se défendre, préparer un contentieux ou contester une procédure interne.
Application au cas d’une enquête interne
Le Conseil d’État en déduit que :
- le fait qu’un employeur traite des données dans le cadre d’une enquête interne n’empêche pas, en soi, le salarié d’exercer son droit d’accès ;
- seules deux limites peuvent faire obstacle :
- une demande manifestement infondée ou excessive, ce que l’employeur doit démontrer ;
- l’atteinte potentielle aux droits et libertés d’autrui, auquel cas l’employeur peut procéder à une occultation ciblée.
En l’espèce, l’employeur n’apportait aucun élément établissant l’un de ces deux motifs de refus.
Ainsi, en reprochant à la Société d’avoir opposé un refus global aux demandes d’accès, alors qu’il lui appartenait simplement d’occulter les informations concernant des tiers, la CNIL n’a pas méconnu l’article 15 du RGPD. Le Conseil d’État confirme cette analyse.
En définitive, mener une enquête interne tout en respectant le RGPD relève d’un exercice d’équilibre particulièrement délicat, que les employeurs doivent maîtriser avec rigueur.
La CNIL avait relevé trois insuffisances :
- absence de motivation du refus d’exercer le droit d’opposition au traitement de leurs données ;
- absence d’informations complètes et compréhensibles sur les traitements mis en œuvre ;
- absence de réponse à leurs demandes d’accès à leurs données personnelles
Sur le droit d'opposition
Les trois salariés concernés avaient exercé leur droit d’opposition au traitement de leurs données dans le cadre de l’enquête interne. L’employeur avait refusé, estimant que le traitement était nécessaire au respect d’une obligation légale, ce qui excluait selon lui toute possibilité d’opposition.
La CNIL a au contraire considéré que :
- si le traitement pouvait être justifié par l’intérêt légitime de l’employeur (article 6(1)(f) RGPD),
- il ne reposait pas sur une obligation légale (article 6(1)(c)).
L’entreprise devait donc examiner la demande des salariés et motiver un éventuel refus
La position du Conseil d’État
Le Conseil d’État valide l’analyse de la CNIL :
- même si le code du travail impose à l’employeur de protéger la santé et la sécurité des salariés,
- le traitement de données mis en œuvre dans le cadre d’une enquête interne ne constitue pas, pour autant, une obligation légale au sens de l’article 6(1)(c) du RGPD.
Ainsi, le traitement ne peut être fondé que sur l’intérêt légitime de l’employeur, ce qui laisse intact le droit d’opposition, sous réserve d’une analyse et d’une motivation adéquates.
Sur le droit d’accès : un rappel déterminant de la CJUE
Autrement dit : le droit d’accès ne peut pas être refusé au motif que le salarié cherche à se défendre, préparer un contentieux ou contester une procédure interne.
Application au cas d’une enquête interne
Le Conseil d’État en déduit que :
- le fait qu’un employeur traite des données dans le cadre d’une enquête interne n’empêche pas, en soi, le salarié d’exercer son droit d’accès ;
- seules deux limites peuvent faire obstacle :
- une demande manifestement infondée ou excessive, ce que l’employeur doit démontrer ;
- l’atteinte potentielle aux droits et libertés d’autrui, auquel cas l’employeur peut procéder à une occultation ciblée.
En l’espèce, l’employeur n’apportait aucun élément établissant l’un de ces deux motifs de refus.
Ainsi, en reprochant à la Société d’avoir opposé un refus global aux demandes d’accès, alors qu’il lui appartenait simplement d’occulter les informations concernant des tiers, la CNIL n’a pas méconnu l’article 15 du RGPD. Le Conseil d’État confirme cette analyse.
En définitive, mener une enquête interne tout en respectant le RGPD relève d’un exercice d’équilibre particulièrement délicat, que les employeurs doivent maîtriser avec rigueur.