Délibération de la CNIL du 22 juin 2012 : violation du droit d’accès aux données à caractère personnel

En juin 2011, la CNIL a reçu une plainte d’un salarié de la société EQUIPEMENTS NORD PICARDIE qui avait demandé à accéder et à prendre une copie de l’ensemble des données à caractère personnel le concernant détenues par son employeur, plus particulièrement aux données de géolocalisation de son véhicule de fonction.
Cette demande était justifiée par le fait que cet employé voulait démontrer le caractère professionnel de l’accident de circulation dont il a été victime, devant les juridictions judiciaires.
La CNIL a adressé plusieurs courriers à l’employeur pour lui rappeler son obligation de garantir le droit d’accès des salariés à leurs données à caractère personnel en application de l’article 39 de la loi « Informatique et Libertés ». A défaut de recevoir une réponse à ces courriers, la CNIL a mis en demeure la société le 16 décembre 2011. La société a donc répondu le 16 décembre 2011 que ses salariés pouvaient venir consulter les documents contenant leurs données les concernant au secrétariat de l’entreprise, mais qu’ils ne pouvaient pas en prendre une copie. La CNIL a alors rappelé la possibilité prévue à l’article 39 susvisé, de prendre copie des données à caractère personnel les concernant et a également demandé à la société de lui communiquer les procédures mises en place pour répondre aux demandes de droit d’accès. Sans réponse de la société, la CNIL a décidé de prononcer une sanction pécuniaire de 10.000 EUR pour manquement à l’obligation de garantir le droit d’accès de ses salariés aux données les concernant et défaut de coopération avec la CNIL. Elle rappelle dans sa délibération que le plaignant n’a jamais eu accès aux données à caractère personnel dont il souhaitait avoir connaissance et que la société n’a jamais informé la CNIL de la mise en place de procédures garantissant le droit d’accès des personnes.
Cette décision traduit l’importance que la CNIL attache à l’effectivité du droit des personnes concernées d’accéder à leurs données de caractère personnel.
Elle confirme en outre, dans la continuité des sanctions pécuniaires publiques rendue récemment à l’encontre d’un syndicat et d’une association, la volonté de la CNIL de poursuivre et de sanctionner les organismes qui n’entendraient pas favoriser son action, notamment en ne répondant à ses courriers.