Explications relatives aux contrôles de sécurité (employés du secteur privé)

Les entreprises ont intérêt à ce qu’aucun de leurs employés ne représente un danger pour la sécurité. Ce sont surtout les secteurs de l‘informatique, des banques et des technologies de pointe, où le personnel a accès à des installations et des données sensibles, qui ont besoin d’effectuer des contrôles de sécurité. Les présentes explications ont pour but d’exposer les règles que les employeurs du secteur privé doivent appliquer en matière de protection des données.

Introduction

Les entreprises sont autorisées à soumettre à un contrôle de sécurité les collaborateurs présentant un risque important pour l'entreprise du fait de leur activité. Les salariés exerçant une telle fonction d'après l'évaluation des risques faite par l'entreprise doivent accepter cette mesure. Les cas particuliers doivent bien entendu être pris en compte. Les employés de tout niveau hiérarchique (comme le directeur, les informaticiens, le secrétariat, les apprentis, le personnel de nettoyage) peuvent être soumis à un contrôle de sécurité selon la catégorie de risque à laquelle ils appartiennent. Les catégories sont définies en se fondant sur une analyse interne des risques de l'entreprise, en tenant compte de la branche, de la prestation apportée, des possibilités d'accès, de la confidentialité des données, etc. Les points principaux à respecter dans les contrôles de sécurité du point de vue de la protection des données sont exposés ci-dessous.

Bases légales

Les entreprises qui traitent des données sur leur personnel sont liées tant par la loi sur la protection des données (notamment par le principe de proportionnalité) que par les dispositions du droit du travail.

Du point de vue de l'employeur, c'est l‘article 328b du Code des obligations qui s'applique.  L'employeur ne peut traiter des données concernant le travailleur que dans la mesure où ces données portent sur les aptitudes du travailleur à remplir son emploi ou sont nécessaires à l'exécution du contrat de travail. Si des collaborateurs se voient confier une tâche dans un domaine à risque, l'employeur a intérêt à s'assurer de leur aptitude à l'effectuer. Dans cette situation, l'intérêt de l'employeur à réaliser un contrôle de sécurité prévaudra généralement sur la volonté des salariés de préserver leur sphère privée. L'employeur a toutefois un devoir d'assistance vis-à-vis de son personnel, ce qui revient à dire que la collecte des données doit se limiter à celles qui sont absolument nécessaires. Ces principes s'appliquent aussi à l‘employeur qui est chargé du contrôle des personnes sur la base d'un contrat.

Certains secteurs économiques ont en outre édicté des règles spécifiques à leur branche. Les banques par exemple sont soumises non seulement à la législation bancaire, mais également aux circulaires de l'Autorité fédérale de surveillance des marchés financiers (FINMA). Les circulaires de la FINMA ont trait uniquement à la surveillance de l‘activité bancaire ; lorsqu'elle met en œuvre les mesures requises, la banque doit toutefois, en tant qu'employeur, veiller constamment au respect des dispositions sur la protection des données et du droit du travail en vigueur.

Questions

Comment les employés doivent-ils être informés sur le contrôle de sécurité ?

Lorsqu'un rapport de travail est en cours, l'employeur informera préalablement le personnel par écrit avant qu'ait lieu le contrôle de sécurité. Une mention par oral suffit dans un premier temps dans le cas d'un entretien avec un candidat postulant pour un emploi nécessitant un contrôle. Le principe de la transparence veut que les personnes concernées soient informées sur l'objectif de la collecte d'informations et sur leur durée de conservation. L'employeur doit motiver auprès de chaque salarié la raison qui impose un tel contrôle dans son cas. Il doit en outre lui indiquer qui va effectuer cette tâche, spécialement dans la situation où une société externe a été mandatée ou que le contrôle a lieu à l'étranger.

A quel moment un contrôle de sécurité peut-il avoir lieu ?

Dans le cas idéal, l'employeur réalise le contrôle au début du rapport de travail. Mais certaines circonstances peuvent le rendre nécessaire une fois le rapport de travail établi. L'employeur doit alors annoncer la mesure au collaborateur assez tôt et lui laisser un temps de réflexion suffisant. Si un employé s'oppose au cours du rapport de travail à un contrôle de sécurité prévu qui est justifié, il devra en assumer les conséquences sur le plan du droit du travail.

Quel volume et quel type de données l'employeur peut-il exiger ?

Les informations que l'employeur est autorisé à demander aux collaborateurs dépendent des cas individuels et surtout du domaine concerné.

La société externe qui fait intervenir un collaborateur peut définir elle-même quelles fonctions exercées par le personnel représentent un risque à ses yeux et quels contrôles de sécurité sont indispensables. Dans un tel cas, l'employeur (qui est en général simultanément le mandataire) a un devoir d'assistance envers son salarié. Il doit donc s'assurer que l'étendue du contrôle demandé obéit bien au principe de proportionnalité.

Sous quelle forme les données personnelles des collaborateurs peuvent-elles être traitées ?

L'employeur ne peut réaliser un contrôle de sécurité qu'avec le concours des personnes concernées. Les vérifications secrètes ne sont pas autorisées. Si un employeur demande des informations délicates comme un extrait de casier judiciaire, par exemple, il doit être conscient du fait que ces données sont sensibles et qu'il doit appliquer les principes de la protection des données avec la plus grande rigueur.

Si l'employeur ne peut effectuer lui-même le contrôle de sécurité, il pourra confier cette tâche à des tiers. Il devra toutefois s'assurer au préalable que le tiers garantit la sécurité des données. La responsabilité du traitement des données lui incombe toujours et il faut que seuls les traitements que le mandant serait en droit d'effectuer lui-même soient effectués (article 10a de la loi sur la protection des données, LPD).

A quoi faut-il veiller si les données sont traitées à l'étranger ?

Dans la mesure du possible, un contrôle de sécurité sera effectué en Suisse, car le traitement des données est plus difficile à vérifier à l'étranger. Celui qui effectue un transfert de données à l'étranger doit en tout cas se conformer à l'article 6 LPD. D'autres informations sur le sujet se trouvent sur notre site web (Protection des données - Secteur du travail - Transmission à l'étranger).

Les données recueillies pour un contrôle de sécurité peuvent-elles être réutilisées par la suite ?

Non, les données recueillies ne peuvent être réutilisées à d'autres fins. Il est important que les droits d'accès aux informations recueillies soient limités autant que faire se peut. Les données qui ne sont plus nécessaires doivent être détruites.

Un collaborateur peut-il demander l'accès à ses données personnelles ?

Oui, le collaborateur peut demander à son employeur d'accéder à toutes les données le concernant, à savoir les documents destinés au contrôle de sécurité, par exemple (art. 8 LPD).

Les collaborateurs peuvent-ils s'opposer à un contrôle de sécurité ?

En principe, les collaborateurs qui travaillent dans un secteur présentant des risques importants doivent accepter un contrôle de sécurité. Si un collaborateur s'oppose, durant un rapport de travail, à un contrôle de sécurité prévu qui est justifié, il devra en assumer les conséquences sur le plan du droit du travail. Il aura éventuellement la possibilité d'exercer dans l'entreprise une autre tâche ne nécessitant pas de contrôle de sécurité, ou alors il devra s'attendre à un licenciement.  

Nous conseillons à l'employé qui est d'avis que le contrôle de sécurité est injustifié et ne respecterait pas le principe de proportionnalité ou ne serait pas indispensable pour son activité, de parler à son employeur et de demander à savoir pourquoi il doit fournir de telles informations pour la fonction occupée. La proportionnalité des mesures de contrôle doit être examinée au cas par cas. Le PFPDT n'est pas en mesure de traiter des dossiers individuels. Le législateur a plutôt prévu qu'en droit privé, c'est la personne concernée elle-même qui doit prendre l'initiative et lancer une procédure de droit civil. Nous recommandons aux employés de consulter un avocat en cas de doute et de déposer plainte contre l'employeur auprès du tribunal de droit civil compétent. 

état : mars 2015

 

https://www.edoeb.admin.ch/content/edoeb/fr/home/protection-des-donnees/arbeitsbereich/sphere-privee-des-employes/explications-relatives-aux-controles-de-securite--employes-du-se.html