News

     

Mathilde Gérot and Myriam Benazza examine the new Article 145 of the Code of Civil Procedure in Gazette du Palais

By Mathilde Gérot & Myriam Benazza

Counsel Mathilde Gérot and Associate Myriam Benazza discuss the right of access, introduced by the GDPR as a tool for individuals to control the use made of their personal data, and Article 145 of the Code of Civil Procedure.

Mathilde and Myriam’s article was published in Gazette du Palais, 27 February 2024, and can be found here

Le droit d’accès, consacré tant par l’article 49 de la loi dite Informatique et Libertés[1] que par l’article 15 du règlement général sur la protection des données (RGPD), permet à toute personne physique d’obtenir d’un responsable du traitement la confirmation que des données personnelles la concernant sont ou ne sont pas traitées. Lorsqu’elles le sont, l’intéressé peut également obtenir certaines informations telles que la finalité du traitement et l’origine des données, et demander au responsable du traitement de lui en fournir une copie.

La notion de données personnelles est interprétée de manière large par la Cour de justice de l’Union européenne (CJUE). En effet, le champ des informations à communiquer n’est pas limité aux données d’identification de la personne ni « aux informations sensibles ou d’ordre privé, mais englobe potentiellement toute sorte d’informations, tant objectives que subjectives sous forme d’avis ou d’appréciations, à condition que celles-ci “concernent” la personne en cause »[2]. Sont notamment concernées les informations sur lesquelles le responsable du traitement s’est appuyé pour prendre une décision concernant le demandeur, notamment le score attribué par une banque ayant conduit au rejet d’une demande de crédit[3], ou encore les annotations d’un examinateur relatives aux réponses du candidat à un examen professionnel[4].

Le droit d’accès a donc une portée extrêmement large et concerne d’ailleurs tous types de supports : peuvent ainsi être communiqués des enregistrements ou retranscriptions de conversations téléphoniques[5], ainsi que les vidéos prises par des caméras de vidéosurveillance[6].

L’objectif initial de ce puissant mécanisme, clairement énoncé par la CJUE[7] et rappelé par le Comité européen de la protection des données (CEPD) dans ses lignes directrices[8], est de permettre aux personnes dont les données sont traitées de contrôler l’exactitude des informations utilisées, de comprendre les modalités et la finalité du traitement dont elles font l’objet, de s’assurer qu’il est effectué en conformité avec les dispositions du RGPD et, le cas échéant, d’exercer les droits qui leur sont conférés par ce dernier – notamment le droit de rectification et le droit à l’effacement.

Un droit détourné de sa finalité

On constate toutefois depuis quelques années que le droit d’accès est largement détourné de sa finalité, puisqu’il est utilisé par certains demandeurs pour obtenir du responsable du traitement la communication de toutes sortes de documents, dans la perspective d’y rechercher des preuves à l’appui d’une action en justice contre ce dernier – notamment en matière sociale et commerciale.

Certaines informations qualifiées de données personnelles peuvent en effet être une arme redoutable pour les plaideurs. Par exemple, dans le très commenté arrêt Take Eat Easy rendu par la Cour de cassation le 28 novembre 2018[9], ce sont les données personnelles des livreurs collectées par l’application de livraison de repas, et notamment celles relatives à leur géolocalisation en temps réel, qui ont permis de caractériser le lien de subordination et ainsi voir leurs contrats requalifiés en contrats de travail[10].

Dans la lignée de cette jurisprudence, peu après la confirmation par la Cour de cassation de l’arrêt ayant retenu la même solution pour un contrat conclu entre un chauffeur Uber et la plateforme de VTC, La Ligue des droits de l’Homme a introduit auprès de la CNIL une réclamation contre Uber afin de permettre à plusieurs autres chauffeurs de faire valoir leur droit d’accès[11]. Cette initiative visait clairement à se procurer, via l’exercice du droit d’accès, des données personnelles de nature à constituer des preuves dans la perspective d’éventuels contentieux initiés par les chauffeurs, afin que leurs contrats soient également requalifiés en contrat de travail[12].

Plus récemment, un arrêt de la cour d’appel de Paris[13] est venu, à son tour, illustrer cette tendance : une salariée a demandé à son employeur de lui fournir l’intégralité de son dossier personnel sur le fondement du droit d’accès, afin d’y rechercher des preuves pour contester son licenciement. Les éléments communiqués se révélant insuffisants à l’objectif probatoire poursuivi, la salariée a saisi le conseil de prud’hommes, sur le fondement de l’article 145 du Code de procédure civile cette fois, d’une demande visant à voir ordonner la communication du contenu intégral de sa messagerie électronique professionnelle – demande à laquelle il n’a toutefois pas été fait droit, la boîte mail en question ayant déjà été supprimée.

C’est également la stratégie employée par un autre salarié qui, souhaitant contester son licenciement pour faute grave, a obtenu la condamnation sous astreinte de son ancien employeur, sur le fondement du droit d’accès, à communiquer les vidéos des caméras de surveillance datant de la nuit des faits qui lui étaient reprochés, alors même que ces extraits contenaient des images impliquant au moins trois autres salariés[14].

Le droit d’accès aux données personnelles est encore utilisé dans d’autres sphères du contentieux, notamment en matière de contentieux de la consommation. Dans ces affaires, il s’agit généralement pour le demandeur au droit d’accès d’obtenir de la compagnie aérienne toute information sur son statut de voyageur (numéros de vols, dates prévues et effectives des vols, enregistrement, embarquement, etc.), afin de prouver les éventuels retards, annulations de vols ou refus d’embarquement et ainsi être indemnisé conformément aux dispositions du règlement (CE) n° 261/2004[15].

Il ressort clairement de ces arrêts, d’une part, le détournement du droit d’accès exercé par les demandeurs, dans un objectif purement probatoire et sans aucun rapport avec la protection de leurs données personnelles. D’autre part, on constate que cette disposition est utilisée comme le jumeau de l’article 145 du Code de procédure civile, mais en dehors de tout cadre judiciaire.

Le régime juridique très favorable du droit d’accès

Ce dévoiement n’est en réalité pas étonnant lorsque l’on s’intéresse au régime juridique du droit d’accès. Il s’agit en effet d’un mécanisme très peu encadré, ce qu’énoncent d’ailleurs explicitement tant la CNIL (« une personne n’a pas à motiver sa demande », « elle peut exercer son droit d’accès en parallèle d’une procédure contentieuse (devant le conseil des prud’hommes par exemple) »[16]) que le CEPD (« le responsable du traitement ne devrait pas refuser l’accès au motif ou en soupçonnant que les données demandées pourraient être utilisées par la personne concernée pour se défendre devant un tribunal en cas de licenciement ou de litige commercial avec le responsable du traitement »[17]).

De plus, les quelques limites prévues par le RGPD pour encadrer le droit d’accès ne permettent que très rarement de refuser la communication des données personnelles. Une première série de limites découle de l’article 15.4 du RGPD, qui dispose que le droit d’obtenir une copie ne doit pas porter atteinte aux droits et libertés d’autrui. Tel est le cas lorsque les documents dont la communication est demandée contiennent des données personnelles de tiers ou relèvent du secret des affaires, de la propriété intellectuelle, du secret professionnel ou encore du secret de l’instruction en matière judiciaire[18].

Dans ce cas, le responsable du traitement est invité à anonymiser ou masquer dans le document concerné les informations portant atteinte aux droits d’autrui, ou à extraire uniquement les informations qui constituent des données personnelles de la personne concernée. La CNIL précise en effet à ce titre que « le droit d’accès porte uniquement sur les données personnelles et non pas sur des documents »[19], ce qui était déjà énoncé par la CJUE[20]. Le tri et l’exercice de caviardage peuvent cependant s’avérer extrêmement complexes et chronophages, notamment lorsque la demande porte sur une grande quantité de documents. Or, rares sont les entreprises qui disposent des moyens nécessaires pour accomplir un tel travail[21], étant rappelé que le responsable du traitement est tenu de répondre à la demande dans le délai d’un mois à compter de sa réception – au plus tard dans les trois mois en cas de demandes complexes ou multiples[22].

Une seconde série de limites est posée par l’article 12 du RGPD en cas de demande « manifestement infondée ou excessive ». La demande peut être considérée comme excessive lorsqu’elle est trop générale et porte sur une très grande quantité de données. Le Sénat a notamment estimé qu’était excessive une demande portant sur une durée de 15 ans[23]. Toutefois, cette limite ne permet pas au responsable du traitement de refuser de faire droit à la demande, il est simplement invité à solliciter que la personne concernée en précise les contours.

Le caractère manifestement infondé renvoie quant à lui uniquement à une demande qui ne remplirait pas les conditions – quasi inexistantes – du droit d’accès, à savoir lorsque les informations sollicitées ne constituent pas des données personnelles, lorsqu’elles ne font pas l’objet d’un traitement, ou lorsqu’elles ne sont pas relatives au demandeur mais se rapportent exclusivement à des tiers[24]. Or, comme indiqué précédemment, la notion de données personnelles pouvant être communiquées est extrêmement large et la seule présence d’informations relatives à des tiers ne permet pas de refuser de faire droit à la demande.

Un contournement regrettable de l’article 145 du Code de procédure civile

Face à ce régime juridique très favorable, on comprend donc aisément que les plaideurs préfèrent utiliser le droit d’accès plutôt qu’invoquer l’article 145 du Code de procédure civile. Ce dernier est en effet soumis à une autorisation judiciaire et implique la démonstration d’un motif légitime de conserver ou d’établir avant tout procès la preuve de faits dont pourrait dépendre la solution d’un litige – à la différence du droit d’accès qui est exercé directement auprès du responsable du traitement et dont les conditions sont limitées à la présence, dans les documents, de données personnelles liées au demandeur[25].

Un tel contournement des règles relatives aux mesures in futurum est regrettable à plusieurs égards. D’abord, le droit d’accès, censé permettre aux personnes concernées de protéger l’utilisation faite de leurs données personnelles, se transforme en un outil probatoire utilisé à des fins contentieuses et s’écarte dès lors de la philosophie du RGPD et de la loi Informatique et Libertés. Ensuite, en cas de demande de communication de documents, le responsable du traitement se trouve privé des garde-fous liés à une autorisation préalable du juge, ainsi que des voies de recours dont il aurait bénéficié si la demande avait pris le chemin de la voie judiciaire plutôt que celle ouverte par l’article 15 du RGPD.

Devant ce constat, il est important de souligner que l’évitement de l’article 145 du Code de procédure civile ne constitue pas toujours une stratégie payante. En effet, et bien qu’il fasse l’objet de conditions plus strictes, le droit à la preuve garanti par l’article 145 du Code de procédure civile bénéficie d’une appréciation très favorable par les juridictions françaises et européennes[26]. Ainsi, un demandeur peut, grâce cet article, obtenir la communication de documents complets et non caviardés.

Le détournement du droit d’accès dessert finalement toutes les parties en cause : d’une part, les entreprises qui doivent se livrer à des processus longs et fastidieux d’identification des données concernées, d’anonymisation et de caviardage, et se trouvent également privées des garanties judiciaires. D’autre part, les demandeurs au droit d’accès, qui se heurtent finalement aux limites relatives aux droits des tiers et au secret des affaires – limites qui ne font pas toujours obstacle à l’utilisation de l’article 145 du Code de procédure civile.

Il serait dès lors souhaitable que la CNIL s’empare de cette problématique et donne l’impulsion pour une approche plus conforme à l’esprit du droit d’accès. À terme, le législateur français pourrait également prendre exemple sur ses voisins européens en limitant la portée du droit d’accès : la loi fédérale allemande[27], ou encore le Data Protection Act au Royaume-Uni[28], contiennent ainsi toute une série d’exemptions permettant aux entreprises de limiter voire refuser de faire droit aux demandes d’exercice du droit d’accès. L’organisme britannique chargé de la protection des données personnelles (Information Commissioner’s Office – ICO) précise notamment que lorsque des données à caractère personnel sont traitées « à des fins de prévision ou de planification de la gestion d’une entreprise ou d’une autre activité », elles « sont exemptées du droit d’accès dans la mesure où le fait de faire droit à la demande serait susceptible de nuire à la conduite de l’entreprise ou de l’activité »[29].

En attendant, il est indispensable que les entreprises établissent des stratégies en matière de collecte et de conservation des données personnelles qui prennent en compte non seulement les obligations de protection et de transparence, mais également les risques liés à l’utilisation détournée du droit d’accès[30]. La mise en place d’un système d’extraction des données automatisé destiné à réduire les heures de caviardage, ou le recours à un prestataire de service en charge de gérer ce type de demande, sont des exemples de mesures, certes synonymes de coûts supplémentaires, qu’une entreprise peut utilement adopter. Cependant, une application scrupuleuse du principe de minimisation des données et le respect d’une politique de suppression des données nous semblent être les meilleurs moyens de faire face à ces demandes de droit d’accès aux intentions opportunistes.

[1] L. n° 78-17, 6 janv. 1978, relative à l’informatique, aux fichiers et aux libertés.

[2] CJUE, 20 déc. 2017, n° C-434/16, Peter Novak c/ Data Protection Commissioner, pt 34 et 35.

[3] R. Perray, « Données à caractère personnel – Droits des personnes concernées. Droit d’accès direct », JCl. Communication, fasc. 940-20, 2022, § 49.

[4] CJUE, 20 déc. 2017, n° C-434/16, pt 36-45.

[5] EDPB, Lignes directrices 01/2022 sur les droits des personnes concernées – Droit d’accès, 18 janv. 2022, pt 10.

[6] CA Amiens, 8 avr. 2021, n° 20/05672.

[7] CJUE, 17 juill. 2014, nos C-141/12 et C-372/12, YS c/ Minister voor immigratie, Integratie en Asiel et Minister voor immigratie, Integratie en Asiel c/ M et S, § 57.

[8] Lignes directrices 01/2022 sur les droits des personnes concernées, pt. 10.

[9] Cass. soc., 28 nov. 2018, n° 17-20079.

[10] M. Gérot, « LDH contre Uber : stratégie contentieuse et réglementaire en matière de collecte de données », Les Échos, 7 juill. 2020.

[11] Données des chauffeurs : la LDH dépose plainte contre Uber devant la CNIL, https://www.challenges.fr/, 12 juin 2020.

[12] M. Gérot, « LDH contre Uber : stratégie contentieuse et réglementaire en matière de collecte de données », Les Échos, 7 juill. 2020.

[13] CA Paris, 12 mai 2022, n° 21/02419.

[14] CA Amiens, 8 avr. 2021, n° 20/05672.

[15] V. par ex. CA Paris, 1-3, 12 févr. 2020, n° 19/10393 ; CA Paris, 1-3, 18 déc. 2019, n° 19/11420.

[16] CNIL, « Le droit d’accès des salariés à leurs données et aux courriels professionnels », 18 mai 2022, https://www.cnil.fr/fr.

[17] EDPB, Lignes directrices 01/2022 sur les droits des personnes concernées – Droit d’accès, 18 janv. 2022, pt 13.

[18]  R. Perray, « Données à caractère personnel – Droits des personnes concernées. Droit d’accès direct », JCl. Communication, fasc. 940-20, 2022, § 65.

[19] CNIL, « Le droit d’accès des salariés à leurs données et aux courriels professionnels », 18 mai 2022, https://www.cnil.fr/fr.

[20] « (…) la personne concernée ne saurait tenir de l’article 12, sous a), de la directive 95/46 (…) le droit d’obtenir une copie du document ou du fichier original dans lequel ces données figurent. Afin de ne pas donner à la personne concernée l’accès à des informations autres que les données à caractère personnel la concernant, celle-ci peut obtenir une copie du document ou du fichier original dans lequel ces autres informations ont été rendues illisibles » (CJUE, 17 juill. 2014, nos C-141/12 et C-372/12, YS c/ Minister voor immigratie, Integratie en Asiel et Minister voor immigratie, Integratie en Asiel c/ M et S, § 57, pt 58 et 59).

[21] J. Schwartz et F. Lefèvre, « Droit d’accès – Exercice du droit d’accès par les salariés à leurs emails professionnels Comment gérer ces demandes ? », CDE 2022, prat. n° 25.

[22] RGPD, art. 12.3.

[23] Rapp. Sénat n° 218, 19 mars 2003 – in R. Perray, « Données à caractère personnel – Droits des personnes concernées. Droit d’accès direct », JCl. Communication, fasc. 940-20, 2023, § 60.

[24] R. Perray, « Données à caractère personnel – Droits des personnes concernées. Droit d’accès direct », JCl. Communication, fasc. 940-20, 2023, § 59.

[25] G. Loiseau, « Informatique et libertés – Les débordements du droit d’accès aux données à caractère personnel », JCP S 2022, n°41.

[26] Pour la CEDH, le droit à la preuve a une valeur fondamentale en ce qu’il est une composante du droit d’accès au juge garanti par l’article 6, § 1, de la Convention européenne des droits de l’Homme (CEDH, 27 oct. 1993, n° 14448/88, Dombo Beheer BV c/ Pays-Bas ; CEDH, 10 oct. 2006, n° 7508/02, LL c/ France). Pour des exemples d’arrêts où le droit à la preuve garanti par l’article 145 du Code de procédure civile justifie la production d’éléments portant atteinte à la vie privée : Cass. soc., 16 déc. 2020, n° 19-17637 ; Cass. soc., 16 mars 2021, n° 19-21063 ; Cass. soc., 22 sept. 2021, n° 19-26144.

[27] BDSG, art. 32-37, traduction libre (https://lext.so/nhcmCu).

[28] Data protection Act, 2018, v. not. les annexes 2, 3 et 4 relatives aux exemptions aux règles sur la protection des données personnelles (https://lext.so/DPYZhj).

[29] https://lext.so/J4OTM9, traduction libre.

[30] M. Gérot, « LDH contre Uber : stratégie contentieuse et réglementaire en matière de collecte de données », Les Échos, 7 juill. 2020.

Latest news

All news