datum 02/2016

Éditorial

Chère lectrice, cher lecteur,

Comme les jours n'ont que 24 heures, réussir à tout faire est parfois un casse-tête. Un entretien chez un client le matin, vite une petite coupe de cheveux estivale pendant la pause de midi afin d'être de retour au bureau à 14 heures pour notre réunion de service. « Une mousse après le boulot ? » me textote un pote tandis que le coiffeur me rase la nuque. « Oui, bonne idée ! », lui réponds-je. Et voilà, un rendez-vous de plus dans mon agenda électronique. Heureusement que mon Smartphone me les rappelle sans faute une demi-heure auparavant. Ces petits assistants si pratiques dans la vie quotidienne ne nous quittent plus au travail non plus. Mais quand vie professionnelle et vie privée tendent à se mélanger, notre sphère privée est menacée.

Imaginons qu'après la bière notre soirée se prolonge par une petite fête bien arrosée aux alentours de minuit ? Il vaudrait mieux éviter de poster des selfies en souvenir de ce bon moment sur les réseaux sociaux. « Que va penser mon chef, alors que je n'ai pas osé refuser sa demande d'ajout à ma liste d'amis... ? ». Une fois qu'une photo circule sur Internet, tout le monde peut la voir ! Des photos compromettantes peuvent coûter cher dans une procédure d'embauche, voire conduire à un licenciement. Qu'est-ce que mon employeur sait de moi ? Que peut bien contenir mon dossier personnel ? Ce serait intéressant de le découvrir !

La numérisation croissante du travail et des loisirs n'est pas dénuée de risques en matière de protection des données. Le présent numéro de notre Newsletter s'intéresse au contexte professionnel et rappelle aux employeurs et aux employés leurs droits et leurs obligations en matière de protection des données.

Silvia Böhlen
Responsable de la rédaction

Thème

Dossier personnel:
Qu'est-ce qu'un employeur a le droit de savoir?

La numérisation permet de collecter des données, y compris dans le domaine du travail, lors d'une procédure d'embauche ou pendant les rapports de travail. L'employeur ne peut traiter des données personnelles que dans la mesure où elles sont nécessaires à l'accomplissement d'une certaine tâche. On ne saurait toutefois lui reprocher d'avoir trouvé des données concernant un candidat ou une collaboratrice sur Internet. Les employés peuvent demander à tout moment des renseignements sur les données les concernant et faire rectifier ou effacer les données erronées.

En vertu du code des obligations « l'employeur ne peut traiter des données concernant le travailleur que dans la mesure où ces données portent sur les aptitudes du travailleur à remplir son emploi ou sont nécessaires à l'exécution du contrat de travail », que ce soit avant ou après la conclusion du contrat de travail. Il est toutefois difficile de cacher à un employeur des données faciles à trouver sur Internet. Si des données compromettantes partagées sur les réseaux sociaux sont à l'origine d'une exclusion dans une procédure d'embauche voire d'un licenciement, la personne concernée en est responsable. On peut toutefois espérer qu'elle aura eu l'occasion de s'expliquer et que l'employeur accorde plus d'importance à un entretien personnel qu'aux informations glanées sur Internet.

Il est de plus en plus fréquent que les candidats à un emploi doivent présenter un extrait du casier judiciaire. Cette exigence est problématique à plus d'un titre et bien souvent disproportionnée. Un extrait du casier judiciaire n'est exigible que lorsqu'il est absolument indispensable à l'exercice d'une fonction, ce qui doit être apprécié dans le cas d'espèce. Lorsque les données du casier judiciaire ne sont pas indispensables aux rapports de travail, exiger systématiquement un extrait est inadmissible sous l'angle de la protection des données. Cette exigence est en outre contraire au principe de resocialisation sur lequel se fonde le système pénal suisse. Un extrait du casier judiciaire n'est rien d'autre qu'un instantané et ne garantit en rien qu'une personne n'a jamais commis d'infraction. L'entretien d'embauche, qui permet de faire connaissance, a donc bien plus de valeur que cet extrait.

La plus grande prudence s'impose en ce qui concerne les données médicales car il s'agit de données sensibles. L'employeur n'a par exemple pas le droit de demander des renseignements sur l'état de santé d'une personne. Si un employé doit remplir un questionnaire de santé, les informations qu'il donne ne peuvent être analysées que par un médecin de confiance. Celui-ci il n'est pas autorisé à communiquer son diagnostic à des tiers. Il doit se limiter à communiquer à l'employeur qu'un patient, au vu de son état de santé, est apte ou non à exercer une activité déterminée. Même les programmes internes de promotion de la santé peuvent se montrer problématiques sous l'angle du droit de la protection des données si l'employeur s'en sert pour recueillir des informations sur l'état de santé de ses employés.

Les risques de la numérisation

La gestion des données concernant le personnel est souvent assurée par un logiciel. Certains programmes peuvent également être utilisés comme plates-formes de communication et améliorer ainsi l'échange entre l'entreprise et les collaborateurs, ce qui peut avoir des effets positifs sur la satisfaction et l'engagement de ceux-ci. Certains programmes, surtout destinés aux grandes entreprises, ressemblent aux réseaux sociaux : les employés peuvent gérer eux-mêmes leur profil et saisir des informations privées. Les algorithmes de ces logiciels sont capables de faire des recommandations sur la base d'expériences antérieures et peuvent par exemple aider le responsable des ressources humaines à trouver la personne la plus adaptée pour un projet. Les programmes de ce genre présentent l'avantage d'analyser l'ensemble des informations, sans préjugés. Du point de vue de la protection des données, les choses se compliquent lorsque le comportement des employés est analysé au moyen d'algorithmes qui servent à établir des profils de la personnalité.

Le monde du travail n'est plus épargné par la collecte massive de données. Il importe donc que les employeurs et les employés connaissent leurs droits et leurs obligations en matière de protection des données. L'employeur ne peut traiter que les données concernant ses employés qui sont nécessaires à l'exécution du contrat de travail. Si des données sont collectées dans le cadre d'un programme interne de promotion de la santé, celles-ci doivent être effacées à la fin du programme. Les données collectées ne peuvent pas être communiquées à des tiers ni être utilisées à des fins commerciales ou autres sans le consentement de la personne concernée. Un employé peut demander à tout moment des informations sur les données le concernant collectées par son employeur, pendant les rapports de travail ou après ceux-ci, et le cas échéant faire valoir son droit d'opposition. La demande de renseignement se fait généralement par écrit. Il n'est pas nécessaire de la motiver.

Informations complémentaires:

 Sources:

  • Firmen sind zu neugierig. Beobachter, 8.7.2016
  • „Computer kennen keinen Nasenfaktor". Frankfurter Allgemeine, 9.4.2016
  • Die Mär des Strafregisterauszugs. Neue Zürcher Zeitung, 5.4.2016
  • Einsicht in die Personalakte. Zürcher KMU, 1.4.2016

Thème

Surveillance sur le lieu de travail
la protection de la sphère privée s'étend au travail 

Les nouveaux modèles de travail permettent de mieux concilier vie professionnelle et vie privée. Cependant, même lorsqu'il accorde à ses subordonnés la possibilité d'aménager leur horaire de travail, un supérieur peut, grâce aux flux de données, se faire une idée précise de ce qu'ils font et sur quels réseaux. La numérisation offre de nouvelles possibilités de contrôle de la productivité et de surveillance.

Les employés laissent de plus en plus de traces numériques, non et pas seulement lorsqu'ils sont connectés au serveur de l'entreprise ou lorsqu'ils surfent sur Internet. Lorsqu'une caissière est surveillée par une caméra ou lorsqu'un chauffeur utilise un véhicule de service muni d'un tachygraphe ou d'un GPS, ils peuvent se sentir atteints dans leur sphère privée ce qui peut provoquer des conflits avec leur employeur. Si un employé est autorisé à utiliser un véhicule de service à titre privé, il doit pouvoir désactiver le tachygraphe lorsqu'il a terminé son travail. Nous recommandons aux employés qui se sentent mis sous pression par les mesures de surveillance mise en place sur leur lieu de travail d'en parler avec leur supérieur. Si cela ne donne aucun résultat, ils peuvent s'adresser à l'inspection du travail de leur canton.

Le personnel doit être informé expressément des contrôles de productivité et de comportement effectués par l'entreprise. L'employeur doit aussi réfléchir à quel type de mesures techniques ou organisationnelles il peut prendre pour éviter les abus. Il doit également communiquer clairement à ses employés dans quelle mesure ils peuvent utiliser Internet et la messagerie électronique à des fins privées. L'usage privé est souvent toléré pour autant qu'il n'empêche pas l'exécution des obligations contractuelles. Il peut toutefois être interdit dans certains domaines sensibles. Imposer une interdiction totale et contrôler qu'elle est bien respectée demande cependant de gros moyens. Nous recommandons donc la voie de la communication et de la transparence, au moyen d'un règlement d'utilisation. Plus celui-ci sera clair, plus le personnel sera au fait de ce qu'il peut ou ne peut pas faire et moins il y aura de conflits inutiles.

Surveillance en ligne : autorisée dans une certaine mesure

Sauf disposition contraire, l'usage modéré d'Internet à des fins privées est autorisé pendant les heures de travail. Les moyens de contrôle de l'employeur sont limités. L'utilisation de logiciels de surveillance spécifiques (par ex. Keylogger) ou de scanners de contenus est problématique sous l'angle de la protection des données car elle peut confiner à la surveillance du comportement. Il n'est toutefois pas strictement interdit de surveiller le comportement de ses employés. Si un abus est constaté ou en cas de soupçon fondé, un examen des données personnelles peut être conforme au droit (c'est-à-dire proportionné et adéquat). Une surveillance systématique ne se justifie toutefois que dans des entreprises soumises à des exigences élevées en matière de sécurité, telles que des banques ou des exploitations militaires et doit être examinée dans le cas d'espèce.

Le Tribunal a fédéral déclaré abusive une résiliation immédiate, parce qu'une entreprise avait secrètement installé un logiciel sur l'ordinateur d'un employé pour prouver qu'il passait trop de temps à surfer sur Internet à des fins privées. Seule une surveillance anonymisée est autorisée, pour autant que les employés en aient été clairement informés par un règlement ou une directive.

Afin de limiter la tentation de surfer exagérément sur Internet et de minimiser le risque que des virus, chevaux de Troyes ou autres vers informatiques ne contaminent les systèmes informatiques des entreprises par ce biais, nous recommandons de prendre des mesures préventives, telles que le blocage de certains sites Internet dangereux, l'utilisation d'un logiciel antivirus efficace et l'actualisation régulière du navigateur. Nous recommandons également de sensibiliser les employés afin qu'ils utilisent Internet avec modération.

Informations complémentaires:

 Sources:

  • Vernetzte Arbeitswelt - Chancen und Risiken. Die Zeit, 15.5.2016
  • Vorsicht, der Chef surft mit. Süddeutsche Zeitung, 9.4.2016
  • Wer zu viele private Mails verschickt, fliegt raus. Frankfurter Allgemeine, 15.1.2016
  • Comment UBS flique ses employés. Le Matin, 4.7.2015
  • Protectas ist zu neugierig. Beobachter, 26.6.2015
  • Mobiles Arbeiten, aber sicher. Zürcher KMU, 25.6.2015
  • Darf die Firma meinen Computer ausspionieren?, 20 Minuten, 24.6.2015
  • Wie Firmen das Internetverhalten ihrer Mitarbeiter im Büro regulieren. Handelszeitung, 18.6.2015
  • Werden wir bald ständig bei der Arbeit überwacht? 20 Minuten, 20.2.2015

Lu dans la presse

OGD et LTrans - 2 instruments au service de la transparence en Suisse

Par Open Government Data (OGD), on entend les données des autorités mises à la disposition du public afin d'encourager la recherche et le développement scientifiques ainsi que la croissance économique et de favoriser la transparence politique. Les OGD sont un instrument de communication actif dont les autorités fixent le contenu, alors que la loi sur la transparence (LTrans) règle l'accès sur demande à des documents officiels.

Dans sa stratégie en matière de libre accès aux données publiques en Suisse pour les années 2014 à 2018, le Conseil fédéral déclare : « La mise à disposition de ces données publiques recèle elle aussi un potentiel de valorisation non négligeable, qui n'est jusqu'à présent que partiellement exploité en Suisse ». Il souhaite proposer autant de données publiques que possible en libre accès, y compris en vue d'une libre réutilisation. Celles-ci peuvent servir à développer de nouveaux services d'information et permettre d'acquérir de nouvelles connaissances scientifiques. D'une manière générale, la stratégie OGD favorise la transparence et la compétence des acteurs politiques dans leur action au service de la société et renforce en conséquence l'acceptation et la confiance de la population. Elle a en outre des effets positifs sur la qualité des données publiques, grâce aux retours d'information des utilisateurs et sur l'efficacité des autorités qui, libérées des cloisonnements organisationnels, peuvent utiliser les données de manière interdisciplinaire.

Le PFPDT salue la stratégie du Conseil fédéral en matière de libre accès aux données publiques et estime que le portail opendata.swiss, administré par les Archives, est un nouveau jalon important dans les efforts de la Confédération en matière de transparence. Le nouveau portail, en service depuis février dernier, propose déjà plus de 1000 jeux de données, mis à disposition par les offices fédéraux, les cantons, les villes et d'autres organisations.

10 ans de loi sur la transparence

La loi sur la transparence (LTrans), en vigueur depuis le 1er juillet 2006, favorise aussi la transparence dans l'administration fédérale. Alors que les OGD visent à assurer le libre accès à des données brutes des autorités, la LTrans, règle l'accès, exclusivement sur demande, à des documents officiels. Il s'agit d'un instrument d'information passif car le requérant peut déterminer lui-même le contenu et le volume des données qu'il veut consulter. La LTrans laisse le champ libre à une information complète sur les documents publics à qui veut les consulter.

Plusieurs cas d'émoluments abusifs, visant à empêcher l'accès à des documents officiels, ont été révélés récemment. Limiter la transparence peut se justifier dans des circonstances exceptionnelles, notamment pour garantir la sécurité intérieure. Le principe de la transparence ne doit cependant pas être remis en cause. Une initiative parlementaire visant à supprimer, dans une large mesure, les émoluments a été déposée.

A l'occasion du 10e anniversaire, une manifestation ouverte au public sera consacrée au principe de la transparence dans l'administration le vendredi 2 septembre 2016 à Berne. Sous le titre « 10 ans de loi de la transparence: est-ce que notre administration fédérale est devenue plus transparente? », elle proposera des conférences et un débat public. Vous trouverez des informations et un formulaire d'inscription sur notre site Internet.

Informations complémentaires:

Sources:

  • Piquée au vif, Armasuisse jette 30'000 francs par la fenêtre. Le Matin Dimanche, 14.8.2016 (Armasuisse muss Agenda vorlegen. Der Bund, 15.8.2016)
  • Plädoyer für Transparenz in der Verwaltung. NZZ, 28.6.2016
  • Beim Nachrichtendienst gilt Transparenz mit Grenzen. NZZ, 19.5.2016
  • Der Bund will eine „Open-Data-Kultur" fördern. NZZ,17.5.2016
  • Le prix élevé de la transparence. Le Temps, 11.5.2016
  • Kostenlose Transparenz. Sonntagszeitung, 8.5.2016
  • Transparenz nur gegen Bares. Sonntagszeitung, 13.3.2016

À propos

Le protocole Internet IPv6 et la protection des données

Internet est aujourd'hui la technologie la plus importante pour transmettre des communications de toutes sortes. Étant donné que les adresses IP de la version 4 - laquelle est utilisée actuellement - du protocole Internet (IPv4) seront épuisées dans un avenir proche, on a développé un nouveau protocole Internet (IPv6). Par rapport à l'IPv4, l'IPv6 offre une série d'avantages pratiques, mais il comporte aussi certains risques pour la protection des données et la sphère privée. On peut réduire ces risques au maximum en prenant une série de mesures techniques et organisationnelles.

Pour en savoir davantage, lisez nos explications en la matière sur notre site Internet.

En bref

La chasse aux monstres sur le smartphone

Monsterjagd mit dem SmartphonePokémon Go: c'est ainsi que s'appelle l'application qui a conquis la moitié de la planète et qui empêche de dormir les autorités compétentes en matière de protection des données. Les joueurs arpentent les rues, téléphone à la main, pour capturer des monstres virtuels. Mais le plaisir de la chasse a son prix: une fois installée, l'appli peut accéder aux données de géolocalisation de l'appareil, ce qui permet la localisation de celui-ci en temps réel. Elle a également accès à la caméra pour permettre le fonctionnement de la réalité augmentée. Ce que l'entreprise qui est derrière le jeu fait des données recueillies et avec qui elle les partage n'est pas indiqué clairement dans les conditions d'utilisation - même s'il est vrai que c'est là un problème que posent bien d'autres applis ou services en ligne. Nous recommandons aux utilisateurs de toujours vérifier soigneusement à quelles informations une appli souhaite accéder et de se demander si cela répond vraiment à une nécessité. De nombreuses applications collectent en effet davantage de données que ce ne serait nécessaire pour fournir le service concerné. Si vous n'êtes pas d'accord, vous devez modifier les paramètres installés par défaut ou même renoncer à utiliser le service concerné.

Conseils

Installation d'une caméra vidéo dans un immeuble d‘habitation

L'installation d'une caméra vidéo dans un immeuble d'habitation n'est pas soumise à autorisation. Quelques règles doivent toutefois être respectées. Toute personne entrant dans le champ de la caméra doit par exemple en être informée par un avis bien visible.

L'avis doit également indiquer auprès de qui les personnes filmées peuvent faire valoir leur droit d'accès si cela ne ressort pas du contexte. Il faut en outre limiter au strict nécessaire le champ de la caméra et la durée de conservation des images. Celles-ci seront protégées de manière adéquate afin que des personnes non autorisées ne puissent y accéder. Notre feuillet thématique « Vidéosurveillance effectuée par des particuliers » vous indiquera tout ce qu'il faut savoir pour utiliser une installation de vidéosurveillance conformément aux règles de la protection des données.

L'installation d'une caméra dans les parties communes d'un immeuble d'habitation n'est autorisée que si tous les intéressés ont donné leur accord. En l'absence d'un intérêt prépondérant, l'accord de la majorité des habitants ne suffit pas.

Dans son arrêt du 29 mars 20016 (ATF 4A_576/2015), le Tribunal fédéral établit qu'un intérêt général du propriétaire de l'immeuble ou de plusieurs habitants ne justifie pas à lui seul l'exploitation d'une installation de vidéosurveillance à l'intérieur d'un immeuble d'habitation. D'autre part, la protection de la sphère privée (art. 13 Cst.) ne prime pas la garantie de la propriété (art. 26 Cst.) ou le droit à l'intégrité physique (art. 10, al. 2, Cst.), eux aussi garantis par la Constitution, ce qui interdirait toujours la vidéosurveillance des parties communes de l'immeuble sans l'accord de toutes les personnes concernées. Une pesée des intérêts tenant compte de toutes les circonstances du cas d'espèce s'impose donc. La vidéosurveillance de l'entrée d'un grand immeuble anonyme, où un risque d'agression existe, peut être absolument judicieuse et acceptable pour toutes les personnes concernées, ce qui ne devrait normalement pas être le cas dans un petit immeuble où tous les voisins se connaissent. La surveillance permanente de l'entrée d'un immeuble d'habitation, permettant de relever les faits et gestes des habitants et des visiteurs, constitue toutefois une atteinte considérable à la sphère privée. L'utilisation d'une installation de vidéosurveillance doit donc toujours être justifiée et proportionnée.

Source: Dürfen wir eine Videokamera installieren? Neue Luzerner Zeitung, 25.5.2016

Informations complémentaires:


https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/newsletter/datum-02-2016.html