Traitement des données par l'employeur
Quels sont les exigences que les employeurs doivent respecter lorsqu’ils traitent des données personnelles ?Quelles données l’employeur est-il autorisé à traiter ? Comment doit-il procéder ?
Dans les relations de travail soumises au droit privé, l’employeur est amené à traiter un grand nombre de données personnelles de ses employés, y compris des données sensibles et les profils relatifs à l’employé lors des différentes étapes de la relation employeur-employé. Il se doit cependant de protéger et de respecter la personnalité de ses employés.
Si l’employeur est responsable au premier chef de la protection des données sur le lieu de travail, les employés ou futurs employés peuvent s’assurer eux aussi que les données les concernant sont traitées dans les règles et effacées dans le délai prescrit. Les traitements de données doivent s’effectuer dans des limites raisonnables et être proportionnés au but poursuivi. Les rapports de confiance entre employeur et employé déterminant la qualité du travail fourni dans l’entreprise, il est essentiel que l’employeur informe toujours précisément les employés des traitements de données auxquels il procède et des droits dont ils disposent.
En vertu de l’art. 328 al. 1 du code des obligations (CO), l’employeur doit, dans les rapports de travail, protéger et respecter la personnalité de l’employé. Cette disposition induit une obligation générale d’assistance de l’employeur vis-à-vis de ses employés, obligation qui est la contrepartie du devoir de fidélité assigné à l’employé par l’art. 321a CO. L’employeur doit s’abstenir de toute atteinte à la personnalité de l’employé qui n’est pas justifiée par le contrat de travail. L'article 328b CO complète la loi sur la protection des données (LPD) en ce sens qu'il détermine la nature des informations que l'employeur est en droit de traiter sur ses employés. Selon l'article 328b, seuls sont licites les traitements de données personnelles qui portent sur les aptitudes du travailleur à remplir son emploi ou qui sont nécessaires à l'exécution du contrat de travail. Cet article, édicté spécialement pour le contrat de travail, précise les principes généraux du traitement des données, notamment le principe de la proportionnalité. Il ne peut en aucun cas être dérogé à l’art. 328b CO au détriment de l’employé, même si ce dernier y consent (art. 362 CO).
En dehors du cadre de l’art. 328b CO, le traitement de données par l’employeur doit être justifié par un autre motif (tel que le consente¬ment de l’employé, par un intérêt prépondérant privé ou public, ou par la loi, cf. art. 31 LPD, à noter toutefois que les employés ne sont que très rarement en mesure de donner, de refuser ou de révoquer librement leur consentement, étant donné le lien de subordination qui découle de la relation employeur/employé) et respecter les principes généraux définis en la matière au risque de porter une atteinte illicite à la personnalité de ses employés (art. 30 LPD) et de s’exposer à des actions (art. 32 LPD) ou à l’intervention du PFPDT si les conditions sont remplies (art. 49 LPD), sous réserve des autres voies de droit prévues dans la législation spéciale (art. 179ss CP, art. 59 LTr). Le juge décide dans le cas d’espèce s’il y a motif justificatif ou non.
En outre, les dispositions de la loi fédérale sur la protection des données (LPD) sont applicables. Le traitement de données effectué par des employeurs privés est régi principalement par les principes généraux définis en la matière (art. 6 à 8 LPD), par les dispositions relatives au droit d’accès (art. 25 et 26 LPD) et par les dispositions sur le traitement de données personnelles par des personnes privées (art. 30 et suivants LPD).
La LPD prévoit également d’autres obligations pour l’employeur dans la mesure où les conditions sont remplies (par ex. art. 12 LPD : obligation de tenir un registre des activités de traitement ; art. 14 : obligation de désigner un représentant en Suisse lorsque le responsable du traitement privé a son siège ou son domicile à l’étranger ; art. 19 à 21 : Devoir d’informer lors de la collecte de données personnelles et dans le cas de décision individuelle automatisée, art. 22 : obligation de procéder à une analyse d’impact relative à la protection des données personnelles lorsque le traitement envisagé est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée ; art. 24 : obligation d’annoncer des violations de la sécurité des données).
Les agences de placement et les bailleurs de services sont soumis aux exigences de la loi fédérale sur le service de l’emploi et la location de services (LSE) et l’ordonnance y relative (OSE), notamment les art. 19 et 47 OSE.
Questions fréquentes (exemples choisis)
Externalisation des données du personnel à l’étranger
Questions sur la santé
Télétravail
Contrôle d’accès et saisie du temps de travail à l’aide des empreintes digitales
Extraits du registre des poursuites et du casier judiciaire
Publication de photos de collaborateurs sur Intranet ou Internet
Recours à l’intelligence artificielle dans le processus de recrutement
Pour des raisons de coût ou d’organisation, de nombreux employeurs décident de faire traiter les données personnelles de leurs collaborateurs en dehors des frontières nationales. Il y a transfert des données à l’étranger dès que celles-ci sont rendues accessibles à une entreprise ou à une unité basée à l’étranger ou dès qu’elles sont hébergées dans un cloud situé à l’étranger. Selon le PFPDT, il incombe aux employeurs de s’assurer de l’admissibilité du transfert de données personnelles à l’étranger ainsi que de procéder à une information interne complète tant sur le transfert de données à l’étranger que sur le traitement spécifique des données effectué à l’étranger et ses finalités. Cette information comprend notamment, le pays vers lequel les données sont exportées et les entreprises auxquelles elles sont transmises, ainsi que les évaluations qui sont effectuées et à quelles fins. La juridiction civile compétente doit décider, dans chaque cas concret, si un transfert de données est licite et si les informations fournies aux personnes concernées sont appropriées.
Dans le cadre des rapports de travail, les seules questions admissibles sont celles qui concernent les qualifications du candidat ou les autres faits significatifs liés à l'accomplissement des tâches prévues par le contrat de travail. L’employeur n’a pas le droit de se renseigner lui-même sur la santé du candidat. Par contre, il peut exiger la production d’un rapport médical sur l’aptitude du candidat à exercer l’emploi en question. Les maladies guéries, de même les opérations et les séjours hospitaliers antérieurs, ne regardent en rien le nouvel employeur s'ils n'ont aucun rapport avec le poste à pourvoir.
Le même principe s'applique à des rentes perçues précédemment, pour autant que la maladie qui les a justifiées n'ait plus d'incidence sur la capacité d'exercer le nouvel emploi. Dans certaines situations, l'employeur peut ordonner un examen médical, par exemple dans les professions où des problèmes de santé peuvent présenter des risques importants notamment pour la sécurité. Dans ces cas, c'est au médecin qu'il incombe de déterminer si les maladies dont le candidat souffre ou a souffert ou les traitements qu'il suit ou qu'il a suivis sont compatibles avec l'emploi postulé. Si le candidat est soumis à un examen médical, le médecin est lié par le secret médical. Il doit donc ne communiquer à l’employeur que celles de ses conclusions qui concernent l’aptitude du candidat à occuper le poste considéré ; il ne doit communiquer aucun diagnostic ou les antécédents médicaux. Cette règle vaut également lorsque l’examen médical est effectué par le médecin de l’entreprise. L'avis du médecin quant à l'aptitude au travail, y compris les réserves éventuelles, est ensuite remis à l'employeur pour être joint au dossier personnel de l'employé. Le dossier médical, par contre, reste chez le médecin.
Les conditions permettant d’introduire le télétravail à domicile pour les salariés sont définies par le droit du travail. Du point de vue de la protection des données, cette possibilité soulève toutefois un certain nombre de questions non négligeables, par exemple touchant à l'utilisation de moyens de communication numériques pour les conférences téléphoniques et les visioconférences, ou l'utilisation de plateformes d'échange de données. Même si les obligations des salariés peuvent changer de manière ponctuelle, en temps de crise aussi l'employeur demeure responsable de la sécurité de l'information et de la protection des données ; il est donc lié par les principes de traitement des données de la LPD. Dans cette perspective, il lui incombe de choisir un logiciel garantissant de manière adéquate la sécurité des données personnelles traitées. Le Préposé est conscient que, selon la solution informatique utilisée, le comportement des employés en télétravail pourrait être aisément surveillé en permanence - ce qui est toutefois inadmissible au regard de la LPD et de plus, expressément interdit en vertu des normes du droit du travail. Enfin, la question se pose de savoir s'il y a divulgation de données vers l'étranger lorsque l’employé est en télétravail à l'étranger - que ce soit dans une résidence de vacances ou, dans le cas des frontaliers, à leur domicile - et accède de cet endroit au serveur de l’entreprise en Suisse. Toutefois, tant que l'employé accède au serveur de l'entreprise depuis son lieu de séjour à l'étranger via un réseau privé virtuel (VPN), qu'il traite les données personnelles uniquement dans la mesure où il le ferait en temps normal dans les bureaux de l'entreprise et surtout qu'il ne rend ces données accessibles à personne à l'étranger, cela ne constitue pas une communication transfrontière de données au sens de la LPD. Que les employés soient en télétravail à l'étranger ou en Suisse, la confidentialité des données personnelles doit toujours être garantie.
Les systèmes biométriques de saisie du temps de travail et de contrôle des accès sont de plus en plus utilisés dans certains secteurs. Les données telles que les empreintes digitales étant qualifiées de particulièrement sensibles, leur utilisation doit être réfléchie et restrictive. Les systèmes biométriques de saisie du temps de travail, de contrôle des accès ou de gestion des caisses sur lesquels les collaborateurs doivent s’identifier au moyen de leurs empreintes digitales sont très répandus. Parfois, la conclusion ou le maintien d’un contrat de travail est subordonné au consentement de l’employé pour l’enregistrement de ses empreintes digitales. Les données biométriques telles que les empreintes digitales sont indissociables d’une personne et ne peuvent pas être simplement remplacées en cas de perte. C’est pourquoi des exigences de sécurité accrues s’appliquent dans le traitement de ces données sensibles. Elles ne peuvent notamment être traitées que si cela est nécessaire pour le but prévu. Afin d’empêcher l’accès de tiers non autorisé aux données biométriques des collaborateurs, leur stockage central sur un serveur est à éviter : elles doivent être conservées exclusivement sur un support local, par exemple un badge, qui doit être lu en même temps que les empreintes. Pour le respect du principe de proportionnalité, il est recommandé de traiter uniquement un extrait des empreintes digitales, plutôt que les empreintes complètes. Pour préserver le droit des collaborateurs à l’autodétermination, il paraît souhaitable de leur proposer des alternatives à la saisie biométrique du temps de travail. Quant à savoir si un employeur est autorisé à conditionner l’embauche d’un collaborateur à la saisie de ses empreintes digitales, cette question relève en premier lieu du droit du travail. Les employés qui souhaitent à titre individuel contester l’introduction de systèmes biométriques de saisie du temps de travail peuvent s’adresser à un tribunal.
Au regard des principes régissant la protection des données, l’employeur ne peut solliciter un extrait du registre des poursuites ou du casier judiciaire que si l’employé est appelé à occuper un poste de confiance ou à gérer des comptes de clients, la caisse ou le coffre par exemple, qu’il est en contact avec des marchandises précieuses ou des sommes importantes ou qu’il en est responsable. Dans ce cas, la sécurité de l’entreprise peut prévaloir sur l’intérêt à la protection de la personnalité.Aucun intérêt légitime et digne de protection ne saurait justifier un examen systématique du crédit ou des extraits du casier judiciaire des employés.
Les extraits du registre des poursuites ou du casier judiciaire recelant des données sensibles, les principes de la protection des données doivent s’appliquer avec toute la rigueur nécessaire. L’employeur se doit d’informer la personne concernée en toute transparence et lui accorder le droit d’accès. Les données doivent être utilement protégées contre toute consultation illicite, le cercle des ayants droit doit être restreint au maximum et les données doivent être détruites dès qu’elles ne sont plus utilisées.
La publication de photos de collaborateurs sur Intranet ou Internet requiert le consentement des personnes concernées car une photographie permet dans certains cas de déterminer des caractéristiques telles que la religion, l'appartenance à une race ou des déficiences physiques de la personne représentée et que, de plus, une telle photographie n'est souvent d'aucune utilité pratique. Cette règle vaut aussi pour les photos prises lors de manifestations telles qu'apéritifs ou excursions organisés par l'entreprise. Il est conseillé de se demander au préalable si la publication de photos d'employés est indispensable à l'accomplissement des tâches.
De plus en plus souvent, l’intelligence artificielle est utilisée dans les processus de recrutement. Les dossiers sont par exemple sélectionnés à l'aide de l'intelligence artificielle et les entretiens d’embauche sont enregistrés sur vidéo, puis analysés par un logiciel. De même, dans le monde du travail numérisé, les analyses automatisées du comportement et de la voix sont de plus en plus utilisées dans les processus de candidature en ligne. Elles permettent d’établir des profils détaillés. Il faut donc garantir un niveau plus élevé de protection des données. Tant les candidats que les recruteurs s’interrogent sur l’admissibilité et les conditions légales concernant l’analyse du comportement ou de la voix. Tout d’abord, le cadre de protection des données applicable à la mise en œuvre de ces nouveaux instruments est le même que pour les procédures de recrutement classiques : l’employeur ne peut collecter et traiter que les données nécessaires pour clarifier l’aptitude d’une personne à occuper le poste en question et doit toujours respecter les principes figurant dans la législation sur la protection des données. Par ailleurs, compte tenu de la richesse des possibilités d’analyse offertes par les processus s’appuyant sur l’intelligence artificielle, les atteintes aux droits de la personnalité ont tendance à y être plus graves que dans les entretiens d’embauche menés de manière conventionnelle. Les principes de reconnaissabilité et de proportionnalité requièrent de ce fait une attention toute particulière.
Dernière modification 18.04.2023