Protection des données : le RGPD s'applique à une enquête interne en entreprise !
L’enquête interne en entreprise ne manque pas de faire couler de l’encre. Le Défenseur des droits s’est d’ailleurs emparé du sujet dans sa décision-cadre du 05/02/2025 afin de faciliter la mise en œuvre de cet exercice parfois périlleux. Ici, le Conseil d’état doit se positionner sur l’impact du RGPD sur cette enquête : le droit d’opposition et le droit d’accès subsistent-ils dans ce contexte ? La réponse est oui, et l’ensemble des conditions émises par le RGPD doivent être respectées ! CE, 01/12/2025, n°498023
Les faits et la procédure
A la suite de plusieurs signalements à l’encontre de 3 salariés, la société Total Energies ouvre une enquête interne afin d’assurer son obligation de santé et de sécurité.
Ces 3 salariés informent la société qu’ils s’opposent au traitement de leurs données personnelles et ils demandent à accéder aux données les concernant dans le cadre de cette enquête.
Suite au refus de leur employeur, ils saisissent la CNIL par réclamation. En juillet 2024, la présidente de la CNIL prononce une mesure de rappel à l’encontre de Total Energies à raison de divers manquements aux obligations prévues par le RGPD.
La société saisit le Conseil d’état pour demander l’annulation pour excès de pouvoir de cette décision.
La CNIL, autorité de contrôle et de sanction
La CNIL a le pouvoir de contrôler tout organisme traitant des données personnelles disposant d’un établissement en France, ou concernant des personnes résidant en France. Le contrôle peut être déclenché à divers titres, avec :
- le programme annuel des contrôles,
- les réclamations et signalements,
- les initiatives définies selon l’actualité,
- les dispositifs de vidéoprotection dans l’espace public,
- le suivi de procédures de contrôle clôturées.
Dans le cadre d’un contrôle, des mesures peuvent être prises par la CNIL :
- l’avertissement (mesure préventive avant le déploiement d’un dispositif),
- le rappel aux obligations légales,
- la mise en demeure pour mise en conformité dans le délai imparti.
Plus d'infos ici.
L’exercice du droit d'opposition
Dans le cadre de cette enquête interne, les salariés visés ont voulu exercer leur droit d’opposition au traitement de leurs données personnelles. L’employeur refuse : selon lui, le droit d’opposition ne leur est pas ouvert. En effet, le traitement des données s’effectue pour respecter son obligation légale de santé et de sécurité, ce qui l’exempte de mettre en œuvre le droit d’opposition.
Mais ni la Présidente de la CNIL, ni le Conseil d’état, ne soutiennent le raisonnement de Total Energies. Il y a eu erreur dans l’interprétation des articles 6 et 21 du RGPD.
D’abord, " Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
- ... c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis ;
- ... f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. "
L’obligation de santé et de sécurité invoquée par l’employeur ne rentre pas dans le cadre d’application du point c. En effet, l’enquête interne fait partie des options à la main de l’employeur en cas de mesures à prendre en matière de santé et de sécurité, mais elle n’est pas obligatoire, comme la jurisprudence sociale le soutient aussi !
L’employeur ne pouvait donc écarter le droit d’opposition en arguant du respect d’une obligation légale.
Total Energies aurait dû se baser sur le point f et mettre en avant ses intérêts légitimes, fondement légal adéquat avec l’enquête interne.
Et pour écarter le droit d’opposition, il aurait fallu démontrer « qu'il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée ».
A défaut, l’employeur se devait d’examiner la demande d’opposition des salariés et de motiver son refus, au lieu de se contenter de l’écarter.
Qu’est ce que le droit d’opposition ?
Selon la CNIL, « Le droit d’opposition vous permet de vous opposer à ce que vos données soient utilisées par un organisme pour un objectif précis. Vous devez mettre en avant « des raisons tenant à votre situation particulière », sauf en cas de prospection commerciale, à laquelle vous pouvez vous opposer sans motif ».
Plus d'infos ici.
Le droit d'accès
Ici, la question est de savoir si le RGPD peut donner accès aux données personnelles contenues dans l’enquête interne.
En se basant sur l’article 15 du RGPD, il existe 2 motifs pour écarter le droit d’accès aux données personnelles : si la demande a « un caractère manifestement infondé ou excessif … ou que les modalités d'exercice de ce droit portent atteinte aux droits et libertés d'autrui ».
En complément, la jurisprudence de la CJUE précise le champ d’application de cet article 15 : « l'obligation de fournir à la personne concernée qui en fait la demande une copie des données à caractère personnel la concernant et faisant l'objet d'un traitement s'impose au responsable du traitement, même lorsque cette demande est motivée par un autre but que celui de prendre connaissance du traitement et d'en vérifier la licéité ».
En l’espèce, ces conditions n’étant pas remplies, l’employeur se devait de faire droit à la demande d’accès des salariés, en procédant à « l'occultation des informations susceptibles de porter atteinte aux droits et libertés d'autrui ».
Attention, le droit d’accès à ses données personnelles n’est pas un droit d'accès au dossier d’enquête, ce qui n’amène pas à recevoir l’intégralité de ce dossier !
Qu’est ce que le droit d’accès ?
Selon la CNIL, « Toute personne peut prendre connaissance de l’intégralité des données la concernant dans un fichier en s’adressant directement à ceux qui les détiennent et en obtenir une copie gratuitement ».
Plus d'infos ici.