Intelligence artificielle Salariés : droit d’accès aux données et aux courriels professionnels

Pour approfondir le sujet

  • Plus d'actualités sur
  • CNIL
Sur le même thème :

Le colloque DRIAS évoquera les responsabilités éthiques, juridiques et techniques des outils d’IA en santé

Les 21 et le 22 juin prochains aura lieu le Colloque DRIAS (Droit, IA et Santé), une initiative coorganisée par l'Institut de Recherche en...

La CNIL adresse un avertissement à un club sportif sur l’utilisation d’un système de reconnaissance faciale

La reconnaissance faciale et son utilisation dans les différentes sphères font l'objet de nombreux débats. Un exemple récent en France, où la Présidente de...

Clearview AI mise en demeure par la CNIL pour traitement illicite de données privées

La société américaine Clearview AI a développé un logiciel de reconnaissance faciale dont la base de données repose sur l’aspiration de photographies et de...

Parlement européen : Audition sur l’intelligence artificielle dans le droit pénal

Alors que beaucoup attendent avec impatience le débat de ce mercredi sur l'intelligence artificielle et les initiatives numériques entre Thierry Breton, la commission de l’industrie...

Salariés : droit d’accès aux données et aux courriels professionnels

La loi Informatique et Libertés permet à toute personne d’accéder aux données qui la concernent. Ce droit est renforcé par le Règlement général sur la protection des données (RGPD) publié le 4 mai 2016 et entré en vigueur en mai 2018. Un salarié peut donc demander à son employeur de lui communiquer les données personnelles le concernant.  

L’article premier du RGPD stipule : «La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental». Le RGPD permet à un individu de demander à un organisme s’il détient des données sur lui (site web, magasin, banque…) et si c’est effectivement le cas, demander alors à ce que l’on les lui communique pour en vérifier le contenu. L’organisme devra lui envoyer une copie des données détenues et le renseigner sur :

  • les finalités d’utilisation de ces données,
  • les catégories de données collectées,
  • les destinataires ou catégories de destinataires qui ont pu accéder à ces données,
  • la durée de conservation des données ou les critères qui déterminent cette durée,
  • l’existence des autres droits (droit de rectification, d’effacement, de limitation, d’opposition),
  • la possibilité de saisir la CNIL,
  • toute information relative à la source des données collectées si celles-ci n’ont pas directement été récoltées auprès de lui,
  • l’existence d’une prise de décision automatisée, y compris en cas de profilage, et la logique sous-jacente, l’importance et les conséquences pour vous d’une telle décision,
  • l’éventuel transfert de ses données vers un pays tiers (non-membre de l’UE) ou vers une organisation internationale.

Cette démarche permet notamment de contrôler l’exactitude des données et, le cas échéant, exercer son droit de rectification ou  son droit à l’effacement suivant les cas.

Le droit d’accès dans un contexte professionnel

«Les principes relatifs à la protection des données s’appliquent à toutes les données personnelles collectées par un organisme, même dans un contexte professionnel : un salarié peut donc exercer son droit d’accès auprès de son employeur.»

Les règles du droit d’accès

L’organisme doit s’assurer de l’identité du demandeur

En cas de doute sur l’identité de la personne souhaitant avoir accès à ses données, on peut demander certaines informations pour prouver son identité, mais on ne peut pas, en revanche, demander des pièces justificatives qui seraient abusives, non pertinentes et disproportionnées par rapport à la demande.

L’organisme doit répondre gratuitement à la demande

Les personnes concernées doivent pouvoir exercer le droit d’accès gratuitement. Toutefois, dans certaines situations exceptionnelles, notamment en cas de demande d’une copie supplémentaire, des frais raisonnables liés au traitement du dossier pourront être demandés.

Le droit d’accès porte sur des données personnelles et non sur des documents

Le droit d’accès porte uniquement sur les données personnelles et non pas sur des documents : une personne ne peut donc pas réclamer la communication d’un document sur le fondement du droit d’accès. Cependant, il n’est pas interdit à l’organisme de communiquer des documents plutôt que les seules données, s’il estime que c’est plus pratique (par exemple, envoyer la copie d’un courriel plutôt que le détailler)

L’exercice du droit d’accès ne doit pas porter atteinte aux droits des tiers

Le droit à l’accès concerne les données dont la «communication ne porte pas une atteinte disproportionnée aux droits d’autrui».

Appréciation de la requête par l’employeur

L’employeur doit juger si cette communication de données peut porter ou non atteinte aux droits d’un tiers selon deux critères :

  •  Le demandeur est l’expéditeur ou le destinataire des courriels visés par la demande.
  •  Le demandeur est mentionné dans le contenu des courriels.

Dans le premier cas, où le demandeur a envoyé ou reçu des courriels, il est supposé avoir eu connaissance des informations contenues dans les messages visés par la demande, «la communication des courriels est présumée respectueuse des droits des tiers.» Dans ce contexte, l’anonymisation qui rendra impossible son identification ou ou la pseudonymisation des données grâce à un alias, un numéro séquentiel… semblent les meilleures solutions.

Dans le cas où le demandeur est mentionné, l’employeur devra apprécier la portée de l’atteinte aux droits des tiers que représenterait leur communication. L’employeur peut refuser le droit à l’accès des données si celles-ci représentent un danger pour les droits d’une tierce personne mais en expliquer les raisons au demandeur. Celui-ci pourra toujours obtenir d’un juge la production des courriels litigieux dans le cadre d’un contentieux, sous réserve que cette production soit nécessaire et que l’atteinte soit proportionnée au but poursuivi.

Le cas particulier des courriels personnels

Les courriels identifiés comme étant personnels ou dont le contenu s’avère être privé malgré l’absence de la mention du caractère personnel, font l’objet d’une protection particulière; dans ce cas, «l’employeur ne pourra pas prendre connaissance du contenu» même en vue d’occulter des informations et «devra fournir au demandeur le courriel en l’état», à condition que ce dernier soit l’expéditeur ou le destinataire.


1ère Marketplace de l'IA et de la transformation numérique vous recommande :
 
Marie-Claude Benoit

Partager l'article

META AI dévoile BlenderBot 3, un projet de recherche sur l’IA conversationnelle

Après avoir présenté BlenderBot en 2020, la mouture BlenderBot 2.0 en 2021, META a dévoilé BlenderBot 3 le 5 août dernier. Comme pour ses...

Reconnaissance faciale : la plateforme « From Numbers to Name » aide à identifier les victimes de l’Holocauste

Le deep learning est aujourd'hui utilisé dans de nombreux domaines, il l'est de plus en plus dans celui de l'histoire. Daniel Patt, un ingénieur...

Lancement de l’appel à candidatures de la phase V des pôles de compétitivité

Alors que la phase IV (2019-2022) des pôles de compétitivité prendra fin en décembre 2022, Bruno Le Maire, Ministre de l’Economie, des Finances et...

Focus sur SMART, programme de l’IARPA visant à identifier et surveiller les constructions à grande échelle grâce au machine learning

L'IARPA (Intelligence Advanced Research Projects Activity), la branche de recherche de la communauté du renseignement aux Etats-Unis, a lancé le programme SMART (Space-based Machine...
Recevoir une notification en cas d'actualité importante    OK Non merci