Tout salarié peut demander à son employeur qui détient des mails professionnels le concernant, d’y avoir accès et de les lui communiquer.
Face à un salarié qui souhaite accéder ou obtenir la copie de mails professionnels, la CNIL a récemment précisé que l’employeur doit faire un tri entre les mails communicables et ceux qui ne le sont pas car susceptibles de porter atteinte à un tiers (le respect du secret des correspondance d’un collègue par exemple).
Pour cela, la CNIL indique que l’employeur doit distinguer deux situations :
- Celle où le salarié est l’expéditeur ou le destinataire des mails, ou,
- Celle où le salarié est seulement mentionné dans le contenu des mails.
Dans la 1re hypothèse, la CNIL part du principe que l’employeur doit communiquer au salarié le mail en l’état puisqu’il en a déjà eu connaissance.
Néanmoins, dans des cas spécifiques (informations qui porteraient atteinte à la sécurité nationale ou à un secret industriel ou une atteinte particulière au respect de la vie privée par exemple), l’employeur ne peut faire droit à la demande du salarié qu’après avoir supprimé, anonymisé ou pseudonymisé les informations contenues dans les mails qui concernent les tiers.
Ce n’est que si ces suppressions/anonymisations s’avèrent insuffisantes, que l’employeur peut refuser de communiquer au salarié les mails en question. Il doit alors justifier et motiver son refus.
Dans la 2nd hypothèse, l’employeur doit procéder en deux temps :
- Vérifier que l’identification des mails dans lesquels le salarié est mentionné n’entraine pas une atteinte disproportionnée aux droits de l’ensemble des salariés de l’entreprise (exemple : scan de l’ensemble des messageries des salariés).
Si tel est le cas, l’employeur doit demander au salarié de désigner les mails sur lesquels porte sa demande, et pourra lui opposer un refus si le salarié refuse d’apporter des indications supplémentaires sur l’identification des mails.
- A l’inverse, si l’employeur arrive à identifier les mails demandés, il doit alors étudier, au cas par cas, leur contenu pour savoir s’il peut les communiquer.
Si les informations portent une atteinte disproportionnée aux droits des tiers (respect de la vie privée et secret des correspondances notamment) l’employeur peut s’opposer à leur communication.
Dans le cas contraire, l’employeur doit anonymiser les données et transmettre les mails au salarié qui en a fait la demande.
Vous pouvez retrouver l’intégralité des recommandations de la CNIL directement sur son site internet ainsi qu’une infographie qui permet de vous poser les bonnes questions lorsque à un salarié sollicite l’accès à ses mails professionnels.