Dans un jugement du 17 septembre 2021, le tribunal administratif de Montreuil a étendu l’application de la réglementation européenne relative à la protection des données personnelles, aux documents contenus dans le dossier administratif individuel de l’agent public.
Un agent public a constaté à la consultation de son dossier administratif individuel, qu’y figurait un rapport contenant de sévères critiques de sa manière de servir. L’administration conservait ce rapport au dossier individuel, sans pour autant déclencher de procédure disciplinaire ou d’insuffisance professionnelle.
L’agent, qui contestait l’exactitude des critiques portées à son encontre dans le document, a chargé le cabinet d’en demander le retrait par application du régime institué par le Règlement général à la protection des données (RGPD) et la loi du 6 janvier 1978, qui interdit en particulier le traitement de données personnelles inexactes.
Saisi de la décision de refus de retrait, le tribunal administratif a reconnu que la gestion du dossier administratif individuel, lorsqu’il est tenu sous forme dématérialisée par application des dispositions du décret n° 2011-675 du 15 juin 2011, est bien constitutif d’un traitement automatisé de données à caractère personnel.
Le tribunal administratif a reconnu que ce traitement, gouverné par le principe de l’exactitude des données traitées, ne pouvait contenir d’informations critiquant injustement la manière de servir de l’agent. La décision de refus de retrait est en conséquence illégale, et cette illégalité conduit à la délivrance d’une injonction de retrait du rapport du dossier.
Ce jugement intervient dans le cadre plus général d’un mouvement progressif de pénétration du droit à la protection des données personnelles dans le droit du travail, public et privé. Le 5 janvier 2022, la CNIL a publié sur son site Internet un vade-mecum (consultable ici) intitulé “Le droit d’accès des salariés à leurs données et courriels professionnels” (précisant “L’exercice du droit d’accès permet à une personne de savoir si des données qui la concernent sont traitées puis d’en obtenir, si elle le souhaite, la communication dans un format compréhensible. Cette démarche permet notamment de contrôler l’exactitude des données et, au besoin, de les faire rectifier ou effacer“.