Le droit du travail en Suisse 2021 – 2022

Des questions sur le droit du travail suisse?

Des problèmes avec votre employeur ou avec vos employés?

Des questions sur le licenciement, le droit aux vacances, la protection de la personnalité, le mobbing, les clauses de non-concurrence, etc.?

Des contrats de travail à établir ou à revoir ? Des règlements du personnel à élaborer ?

Un procès devant les juridictions du travail?

Vous pouvez…

consulter ce site gratuitement: plusieurs centaines de notes de fond et d’actualité sur le droit du travail et sur les domaines apparentés (droit social, droit fiscal). [Attention à la date de publication – elles ne sont pas mises à jour et peuvent donc parfois être dépassées!]

Pour cela, utilisez d’abord le moteur de recherche en haut à droite de la page d’entrée (« Rechercher »). Vous pouvez aussi consulter les notes par catégories ou prendre connaissance des dernières entrées.

Il est aussi possible de s’abonner gratuitement à ce site et de recevoir ainsi un avis lors de toute nouvelle publication (bouton « Suivre » en bas à droite).

lire nos publications, dont:

Philippe Ehrenström, Le droit du travail suisse de A à Z, nouvelle édition révisée et augmentée, Zurich, 2020

Philippe Ehrenström, Les faits de double pertinence et les juges du travail genevois, in: Jusletter 29 juin 2020

Philippe Ehrenström, Le salaire suisse. Aspects pratiques, droit du travail et droit fiscal, nouvelle édition révisée et augmentée, Zurich, 2018

Philippe Ehrenström, Bonus et très hauts revenus : une appréciation critique de la jurisprudence récente, in: Jusletter, 10 octobre 2016

vous former:

Formations à la demande, sur site ou par visio-conférence, dès trois participants, sur les thèmes suivants:

Contrat de travail et règlement du personnel: contenus, clauses-type 

La protection des données et le dossier RH

Le nouveau droit de la protection des données en 2022

Formations ad hoc sur des thèmes particuliers selon les besoins.

Nous contacter pour un devis

nous contacter:

Me Philippe Harald Ehrenström, avocat, ll.m., 6 bd des Tranchées, 1205 Genève

& 10 rue du Pontet, 1425 Onnens (VD)

Tél.: + 41 22 733 61 50; fax: + 41 22 733 61 51

Formulaire de contact :

Publié dans Astuces pratiques, Divers | Tagué , , , , , , , , , | Laisser un commentaire

Protection de la personnalité: renseignements défavorables et faux donnés par l’ancien employeur

Photo de Ashutosh Sonwani sur Pexels.com

L’ancien employeur contact le nouvel employeur du salarié et donne des indications défavorables (et fausses) sur celui-ci- Le nouvel employeur résilie alors le contrat de travail avant la prise d’emploi de l’employé, qui passe ensuite nombreux mois au chômage.

Aux termes de l’art. 328 al. 1 CO, l’employeur protège et respecte, dans les rapports de travail, la personnalité du travailleur. Dans une certaine mesure, cette obligation perdure au-delà de la fin des rapports de travail. L’employeur viole l’art. 328 CO s’il a fourni sur ce dernier des renseignements faux et attentatoires à l’honneur et découragé de la sorte un employeur d’engager la personne en question. 

La cour cantonale a retenu que la recourante (= l’ancien employeur)  a contacté de sa propre initiative le nouvel employeur de l’employé pour se prononcer sur le fait de savoir si l’employé possédait ou non les connaissances et capacités requises pour exercer sa nouvelle fonction, et qu’elle avait exprimé que cela n’était pas le cas. La recourante a également dit au nouvel employeur que l’employé avait effectué moins d’offres dans le cadre de son travail, que ce que son cahier des charges lui imposait, ce qui était erroné selon un témoignage apporté en première instance. La cour cantonale a relevé que la recourante n’avait pas contesté ces constatations de fait devant elle. Partant, elle a considéré ces propos comme infondés et de nature à attenter à l’honneur de l’employé. La cour cantonale a donc appliqué correctement l’art. 328 CO.

La recourante soutient encore, sous l’angle de la violation de l’art. 97 CO, que le critère du lien de causalité adéquate entre la violation de l’art. 328 CO et la quotité du dommage, en l’occurrence fondée sur 17 mois de perte d’emploi, n’est pas rempli en l’espèce. De plus, la recourante reproche à la cour cantonale de n’avoir pas suffisamment motivé l’existence de ce lien de causalité, violant ainsi son droit d’être entendue (art. 29 Cst.).

Lorsque l’employeur viole l’art. 328 al. 1 CO, l’employé peut agir en réparation contre son employeur sur la base de l’art. 97 CO. L’art. 97 CO nécessite que le dommage subi par le créancier soit en lien de causalité naturelle et adéquate avec la violation contractuelle du débiteur. Un fait constitue la cause adéquate d’un résultat s’il est propre, d’après le cours ordinaire des choses et l’expérience de la vie, à entraîner un résultat du genre de celui qui s’est produit; le constat de la causalité adéquate relève du droit. Pour décider si la causalité est adéquate, le juge doit user de son pouvoir d’appréciation conformément à l’art. 4 CC. 

 Quant au droit d’être entendu (art. 29 al. 2 Cst.), il impose au juge de motiver ses décisions afin que le justiciable puisse les comprendre et exercer son droit de recours à bon escient. Ses décisions doivent indiquer clairement les faits qui sont établis et les déductions juridiques qui en sont tirées. La motivation peut néanmoins être implicite et résulter des différents considérants de la décision. Le juge doit mentionner, au moins brièvement, les motifs qui l’ont guidé et sur lesquels il a fondé sa décision, de manière à ce que l’intéressé puisse se rendre compte de la portée de celle-ci et l’attaquer en connaissance de cause. 

 La cour cantonale a confirmé la décision de première instance en considérant que la violation par l’employeuse de son devoir de protéger la personnalité de l’employé (art. 328 CO) avait engendré un dommage chez celui-ci. Elle a constaté que, sur les 17 mois de chômage correspondant à 52’219 fr. 75, l’employé avait réduit son dommage à 7’285 fr. 80 pour rester dans la compétence du Tribunal des prud’hommes. Elle a considéré que ce dernier montant ne saurait être qualifié d’inéquitable, celui-ci correspondant à moins d’un salaire mensuel. 

Ce faisant, la cour cantonale n’a statué que sur un dommage de 7’285 fr. 80 en usant de son pouvoir d’appréciation pour admettre qu’il existait un lien de causalité adéquate entre le fait de discréditer l’employé au yeux d’un nouvel employeur, et le fait que l’employé soit licencié avant le début de sa prise d’emploi et qu’il se soit retrouvé au chômage. La cour cantonale a donc suffisamment traité le grief de la recourante s’en prenant à l’examen de la causalité adéquate et n’a ainsi pas violé son devoir de motivation.

Le moyen tiré de la violation par la cour cantonale, de son devoir de motivation (art. 29 Cst.), ainsi que de la violation de l’art. 97 CO doit donc être rejeté.

(Arrêt du Tribunal fédéral 4A_231/2021 du 31 août 2021, consid. 5 et 6)

A propos de l’auteurMe Philippe Ehrenström, LL.M. avocat, Genève et Onnens (VD)

Publié dans Protection de la personnalité | Tagué , , , | Laisser un commentaire

Bagarre entre employées, devoir d’investiguer les faits, licenciement abusif

Photo de Bert sur Pexels.com

Chaque partie peut décider unilatéralement de mettre fin à un contrat de durée indéterminée (art. 335 al. 1 CO). En droit suisse du travail prévaut la liberté de la résiliation, de sorte que, pour être valable, un congé n’a en principe pas besoin de reposer sur un motif particulier. Ce droit est toutefois limité par les dispositions sur le congé abusif (art. 336 ss CO). L’abus est en principe retenu lorsque le motif invoqué n’est qu’un simple prétexte tandis que le véritable motif n’est pas constatable. Pour dire si un congé est abusif, il faut se fonder sur son motif réel. L’art. 336 CO énonce une liste non exhaustive de cas résiliation abusive, concrétisant l’interdiction générale de l’abus de droit.

Un congé peut ainsi se révéler abusif dans d’autres situations que celles énoncées par la loi; elles doivent toutefois apparaître comparables, par leur gravité, aux hypothèses expressément envisagées.

L’abus n’est pas obligatoirement inhérent au motif de la résiliation; il peut également surgir dans ses modalités. Un congé peut ainsi être abusif en raison de la manière dont il est donné, parce que la partie qui donne le congé se livre à un double jeu, contrevenant ainsi de manière caractéristique au principe de la bonne foi, lorsqu’il est donné par un employeur qui viole les droits de la personnalité du travailleur, quand il y a une disproportion évidente des intérêts en présente ou lorsqu’une institution juridique est utilisée contrairement à son but.

L’abus peut, notamment, résider dans la façon dont la partie qui met fin au contrat exerce son droit. Ainsi, la résiliation ordinaire est abusive lorsque l’employeur la motive en accusant le travailleur d’un comportement contraire à l’honneur, s’il apparaît que l’accusation est infondée et que, de plus, l’employeur l’a élevée sans s’appuyer sur aucun indice sérieux et sans avoir entrepris aucune vérification; au regard de l’art. 328 al. 1 CO, l’employeur viole alors gravement son devoir de protéger la personnalité du travailleur. A l’inverse, même si les faits sont exacts, la stigmatisation à l’égard de tiers peut constituer, de la part de l’employeur, une violation de son devoir de protéger la personnalité du travailleur.

Dans le cas d’un reproche fait à l’employé d’avoir eu un comportement répréhensible ou contraire à l’honneur ou d’une dénonciation relative au comportement d’un employé, l’employeur est censé accomplir ou faire accomplir, éventuellement par un mandataire externe si l’accusation est grave, une enquête complète comportant, pour le travailleur dénoncé, des garanties équivalentes à celles d’une instruction pénale, telles les possibilités de préparer sa défense, se faire assister par un conseil et faire administrer des preuves. L’employeur doit ainsi s’efforcer de vérifier les faits dénoncés. Le travailleur doit pouvoir équitablement défendre sa position lorsque son honneur est compromis (arrêt du Tribunal fédéral 4A_694/2015 du 4 mai 2016 consid. 2.4 et les références citées; Bettex, Le cadre légal des enquêtes internes dans les banques et autres grandes entreprises en droit du travail, in SJ 2013 II 157 p. 166).

Un licenciement fondé sur un soupçon ou un fait non établi ne présente pas d’aspect abusif lorsque l’employeur a entrepris les mesures de vérification que l’on pouvait raisonnablement attendre de lui; cela est aussi vrai lorsqu’il n’arrive pas à éclaircir les faits et cela sans égard au fait que ces soupçons se révèleront par la suite infondés ou non éclaircis. L’employeur doit s’efforcer de vérifier les faits soupçonnés par les moyens qui sont raisonnablement à sa disposition. Dans cette perspective, l’employeur doit offrir à la personne mise en cause la possibilité d’exprimer son point de vue, cas échéant en amenant des éléments en sa possession. Les investigations raisonnables comprennent notamment l’audition de la ou des personnes que l’employeur peut raisonnablement entendre et qui sont des protagonistes directs (arrêt du Tribunal fédéral 4A_694/2015 du 4 mai 2016 consid. 2.4; Wyler/Heinzer, Droit du travail, 4ème édition, 2019, pp. 816-817).

La résiliation ordinaire n’est pas abusive du seul fait qu’en définitive, le cas échéant, l’accusation élevée contre le travailleur se révèle infondée ou ne peut pas être confirmée; l’abus suppose en effet, de surcroît, que l’employeur ait accusé le travailleur avec légèreté, sans justification raisonnable.

En l’espèce, l’employeuse a retenu que les deux protagonistes s’étaient violemment battues et insultées et qu’elles étaient coresponsables. Or, lorsque l’intimée a pris la décision de licencier l’appelante, elle ne disposait d’aucun élément établissant que la précitée avait usé de violence envers D______.

En effet, les versions des deux protagonistes étaient contradictoires et aucun témoin n’a pu répondre à la question de savoir qui agressait l’autre ni n’a vu l’appelante donner des coups à D______. Par ailleurs, aucun témoin n’a constaté des hématomes sur le bras de D______ alors que plusieurs ont vu la lèvre fendue de l’appelante. Au moment du licenciement, l’employeuse ne pouvait ainsi pas se reposer sur d’éventuels hématomes sur le bras de D______ et ignorait dans quelles circonstances la blouse de D______ avait été déchirée. Les hématomes sur le bras de D______ – qui ont été constatés après la décision de licenciement – ainsi que le fait que sa blouse ait été déchirée en deux parties ont également pu être la conséquence d’une défense de la part de l’appelante, laquelle a subi plusieurs lésions, ce qui a mené à la condamnation de D______ pour lésions corporelles simples. Pour le surplus, certains témoins ont déclaré que D______ avait injurié A______, donnant des termes précis, mais l’inverse n’a pas été le cas.

Quoiqu’il en soit, le déroulé de l’altercation n’a pas pu être confirmé, peu importe l’origine du conflit. Il ne ressort en particulier pas des documents établis par la police que les deux réceptionnistes auraient été responsables à parts égales, contrairement à ce qu’allègue l’intimée.

Il n’a ainsi pas été établi ni constaté que l’appelante ait usé de violence ou participé à l’altercation et il subsistait un doute important sur le déroulement des faits du 17 juillet 2018, de sorte que l’employeuse aurait dû effectuer des investigations complémentaires, ce qui n’a pas été fait. Dans ce contexte, l’employeuse n’a en particulier pas entendu elle-même les deux protagonistes ni tous les témoins, n’a pas permis à l’appelante d’exposer sa version des faits et n’a pas fait d’enquête interne complète, ce qu’elle se devait de faire, dès lors que les faits n’étaient pas avérés. Elle s’est uniquement basée sur le rapport de F______.

L’employeuse n’a dès lors pas respecté la personnalité de l’appelante, de sorte que le licenciement est abusif.

(Arrêt de la Chambre des prud’hommes de la Cour de justice du canton de Genève CAPH/164/2021 du 08.09.2021, consid. 3)

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans Licenciement abusif | Tagué , , , , | Laisser un commentaire

Imposition du couple, époux fonctionnaire européen domicilié au Luxembourg

Photo de Pixabay sur Pexels.com

Le litige porte sur la prise en compte, pour la détermination du taux d’imposition applicable à la recourante pour la période fiscale 2014, des revenus et de la fortune de son époux, alors domicilié au Luxembourg et exerçant une activité en tant que fonctionnaire auprès du Parlement européen.

Aux termes des art. 3 al. 1 LIFD et 3 al. 1 LI, les personnes physiques sont assujetties à l’impôt à raison du rattachement personnel lorsque, au regard du droit fiscal, elles sont domiciliées ou séjournent en Suisse respectivement dans le canton (cf. ég. art. 3 al. 1 de la loi fédérale du 14 décembre 1990 sur l’harmonisation des impôts directs des cantons et des communes – LHID; RS 642.14). L’assujettissement fondé sur un rattachement personnel est illimité; il ne s’étend toutefois pas aux entreprises, aux établissements stables et aux immeubles situés à l’étranger respectivement hors du canton (art. 6 al. 1 LIFD et 6 al. 1 LI).

Selon les art. 9 al. 1 LIFD et 9 al. 1 LI, les revenus – respectivement le revenu et la fortune – des époux qui vivent en ménage commun sont additionnés, quel que soit le régime matrimonial (cf. ég. art. 3 al. 3, 1ère phrase, LHID). Le fait que des époux se sont constitué chacun un domicile fiscal propre ne signifie pas qu’ils sont séparés de fait ou de droit et doivent être imposés séparément; encore faut-il, en particulier, qu’ils aient renoncé à maintenir leur union conjugale.

Une imposition conjointe en application de l’art. 9 al. 1 LIFD (respectivement 9 al. 1 LI) n’est admissible que lorsque les deux époux sont soumis à la souveraineté fiscale suisse (respectivement vaudoise). Lorsque seul un des époux est assujetti en Suisse (respectivement dans le canton de Vaud) et que l’autre époux a son domicile fiscal à l’étranger, seul celui domicilié en Suisse (respectivement dans le canton de Vaud) y est assujetti à l’impôt de manière illimitée (art. 3 al. 1 LIFD et 3 al. 1 LI); il est ainsi imposé sur ses seuls revenus et fortune propres, les revenus et fortune de son conjoint qui réside à l’étranger étant seulement pris en considération pour calculer le taux d’imposition.

En l’espèce, l’époux de la recourante a résidé au Luxembourg, qui constituait son domicile fiscal, durant la période fiscale concernée [2014]. Les revenus et la fortune de l’intéressé sont ainsi exemptés de l’assiette imposable en Suisse, comme l’autorité intimée l’a expressément admis dans la décision sur réclamation attaquée.

Cela étant, la recourante ne conteste pas que l’union conjugale était maintenue et que, en application du droit interne tel que rappelé ci-dessus, les revenus et la fortune de son époux devraient ainsi en principe être pris en considération pour la détermination du taux d’imposition qui lui est applicable. Elle se prévaut toutefois du statut de fonctionnaire européen de son époux et du droit international applicable en la matière.

Les Etats membres de l’Union européenne ont adopté un Protocole sur les privilèges et immunités de l’Union européenne (Protocole n° 7), dont les dispositions sont « annexées au traité sur l’Union européenne, au traité sur le fonctionnement de l’Union européenne et au traité instituant la Communauté européenne de l’énergie atomique ». Il en résulte notamment ce qui suit (version du 26 octobre 2012 actuellement en vigueur, Journal officiel de l’Union européenne C 326/1):

Article 12 / (ex-article 13)

Dans les conditions et suivant la procédure fixée par le Parlement européen et le Conseil statuant par voie de règlements conformément à la procédure législative ordinaire et après consultation des institutions concernées, les fonctionnaires et autres agents de l’Union sont soumis au profit de celle-ci à un impôt sur les traitements, salaires et émoluments versés par elle.

Ils sont exempts d’impôts nationaux sur les traitements, salaires et émoluments versés par l’Union.

Selon la jurisprudence de la Cour de justice de l’Union européenne (CJUE) rendue en application de cette disposition, « le fait de percevoir un impôt national […] tout en prenant en considération, pour en déterminer le montant final, les revenus versés par l’Union qui sont exemptés d’impôts nationaux équivaut à l’imposition indirecte de ces revenus, en violation de l’article 13 [désormais art. 12], second alinéa, du Protocole » (arrêt C-588/10 du 5 juillet 2012 Bourgès-Maunoury, par. 28).

Le Protocole n° 7, en particulier son art. 12 (auparavant art. 13) reproduit ci-dessus, a été repris tel quel en tant qu’annexe (Annexe A) à l’Accord entre la Confédération suisse et la Communauté européenne sur le transport aérien (Accord sur le transport aérien) conclu le 21 juin 1999 et entré en vigueur le 1er juin 2002 (RS 0.748.127.192.68). Les modalités d’application en Suisse de ce protocole en tant qu’annexe à l’accord concerné sont prévues dans un appendice (Appendice de l’Annexe A) dont il résulte en particulier ce qui suit:

1.    Extension de l’application à la Suisse

Toute référence faite aux Etats membres dans le protocole sur les privilèges et immunités de l’Union européenne […], doit être comprise comme incluant également la Suisse, à moins que les dispositions qui suivent n’en conviennent autrement.

[…]

3. Modalités d’application des règles relatives au personnel de l’Agence

En ce qui concerne l’art. 13 [recte: art. 12], alinéa 2, du protocole, la Suisse exempte, selon les principes de son droit interne, les fonctionnaires et autres agents de l’Agence au sens de l’art. 2 du règlement (Euratom, CECA, CEE) n° 549/69 des impôts fédéraux, cantonaux et communaux sur les traitements, salaires et émoluments versés par l’Union européenne et soumis au profit de celle-ci à un impôt interne.

Le Protocole n° 7, en particulier son art. 12 (auparavant art. 13), a également été repris en tant qu’annexe à d’autres accords signés par la Suisse. Parmi les accords évoqués à ce propos par l’autorité intimée dans la décision sur réclamation attaquée, peuvent être mentionnés, en particulier, l’Accord entre la Confédération suisse et la Communauté européenne concernant la participation de la Suisse à l’Agence européenne pour l’environnement et au réseau européen d’information et d’observation pour l’environnement (EIONET) conclu le 26 octobre 2004 et entré en vigueur le 1er avril 2006 (RS 0.814.092.681), ou encore l’Arrangement entre la Confédération suisse et l’Union européenne sur les modalités de sa participation au Bureau européen d’appui en matière d’asile conclu le 10 juin 2014 et entré en vigueur le 1er mars 2016 (RS 0.142.392.681). Les modalités d’application en Suisse de ce protocole en tant qu’annexe à ces accords et autres arrangements font l’objet d’un appendice dont la teneur est similaire à celle de l’Appendice de l’Annexe A à l’Accord sur le transport aérien reproduit ci-dessus.

En l’espèce, la recourante conclut en premier lieu qu’il plaise au tribunal « d’admettre l’application du protocole sur les privilèges et immunités de l’Union européenne ».

Il s’impose de constater d’emblée que, d’une façon générale, le Protocole n° 7 n’est pas applicable à la Suisse en tant qu’il est annexé au traité sur l’UE – puisque la Suisse n’est pas membre de l’UE. Il n’est pas contesté pour le reste que la Suisse n’a pas conclu d’accord qui porterait directement sur les privilèges et immunités applicables au personnel du Parlement européen.

Quant au fait que, dans sa teneur en tant qu’annexe à l’Accord sur le transport aérien, ce protocole prévoit à son art. 12 l’exemption d’impôts nationaux pour les « fonctionnaires et autres agents de l’Union », il ne saurait avoir pour conséquence, à l’évidence, que seraient concernés l’ensemble des fonctionnaires et agents de l’UE. Cette formulation générale résulte bien plutôt du fait que le Protocole n° 7 a dans ce cadre été repris tel quel en tant qu’annexe à l’accord en cause, lequel n’en limite pas moins expressément son champ d’application en prévoyant à son art. 2 que « les dispositions du présent Accord et de son annexe s’appliquent pour autant qu’elles concernent le transport aérien ou des objets directement liés au transport aérien, tel que mentionné dans l’annexe du présent accord ». C’est ainsi à la lumière de cette disposition que doit être interprétée la teneur du Protocole n° 7 en tant qu’annexe à cet accord, en ce sens que, s’agissant en particulier de l’art. 12 al. 2, seuls sont concernés par l’exemption prévue les fonctionnaires et autres agents de l’Union exerçant une activité liée au transport aérien. Il en va de même de l’Appendice de l’Annexe A, dont la portée est soumise à la même limitation que l’annexe elle-même; ce n’est que dans ce cadre restreint que la référence aux Etats membres dans le protocole concerné doit être comprise comme incluant également la Suisse selon le ch. 1 de cet appendice. La distinction que voudrait opérer la recourante dans son recours entre la portée respective des ch. 1 et 3 de l’Appendice de l’Annexe A (cf. let. C supra) ne résiste pas à l’examen.

Les remarques qui précèdent conservent toute leur pertinence, mutatis mutandis, s’agissant des autres accords et arrangements signés par la Suisse auxquels le Protocole n° 7 a été annexé, lesquels prévoient systématiquement une disposition limitant l’application de ce dernier à l’entité respectivement au personnel de l’entité concernés par l’accord ou l’arrangement en cause […].

Dans la mesure où son époux, fonctionnaire auprès du Parlement européen, ne fait pas partie du personnel de l’UE concerné par un accord ou autre arrangement signé par la Suisse auquel le protocole n° 7 a été annexé, la recourante ne peut en conséquence se prévaloir de l’application directe de ce protocole.

La recourante conclut également qu’il plaise au tribunal « d’admettre une interprétation par analogie de ce protocole ». Elle soutient en substance à ce propos que, dans la mesure où les fonctionnaires de l’UE sont soumis à la même législation européenne sur le statut des fonctionnaires et doivent ainsi être considérés comme étant des employés d’un même employeur macro-économique, une application du Protocole n° 7 limitée à certains fonctionnaires européens constituerait une inégalité de traitement, respectivement qu’une distinction introduite par la Suisse qui dépendrait de la signature d’un accord avec une entité spécifique de l’UE paraît arbitraire. Elle relève en outre que le Parlement européen n’a pas le pouvoir de signer un accord bilatéral avec la Suisse prévoyant de tels privilèges et immunités et soutient que, si la Suisse accepte l’exonération des employés de certaines entités de l’UE, une extension aux organes de l’UE qui ne sont pas en mesure de conclure eux-mêmes un accord de ce type « paraît justifiée ».

Ces griefs ne résistent pas davantage à l’examen.

D’une façon générale, le principe de la légalité, qui régit l’ensemble de l’activité de l’Etat (cf. art. 5 al. 1 Cst.) et revêt une importance particulière en droit fiscal où il est érigé en droit constitutionnel indépendant (cf. art. 127 al. 1 Cst.), exige non seulement que le cercle des contribuables mais également que les exceptions à l’assujettissement soient définis dans une loi au sens formel. Le principe de la légalité interdit toute application par analogie. Quant au principe de l’égalité de traitement (tel que garanti par les art. 8 Cst. et 10 Cst-VD; cf. ég. art. 127 al. 2 Cst. et 167 al. 2 Cst-VD s’agissant des contributions), une norme viole ce principe lorsqu’elle établit des distinctions juridiques qui ne se justifient par aucun motif raisonnable au regard de la situation de fait à réglementer ou lorsqu’elle omet de faire des distinctions qui s’imposent au vu des circonstances, c’est-à-dire lorsque ce qui est semblable n’est pas traité de manière identique et ce qui est dissemblable ne l’est pas de manière différente.

Cela étant, le Protocole n° 7 ne s’applique, comme on vient de le voir, qu’au personnel de l’UE concerné par un accord ou autre arrangement signé par la Suisse auquel il est annexé; c’est dans le cadre de cette application – et dans ce cadre seulement – que le personnel concerné pourrait le cas échéant se prévaloir du principe de l’égalité de traitement. En d’autres termes, la situation d’un fonctionnaire européen ne pouvant se prévaloir du protocole en cause, faute d’accord ou autre arrangement signé par la Suisse auquel ce protocole aurait été annexé le concernant, ne saurait être considérée comme semblable à celle d’un fonctionnaire européen pouvant s’en prévaloir – la différence entre ces deux situations résidant précisément dans l’existence ou non d’un tel accord ou autre arrangement. L’existence ou non d’un accord ou autre arrangement de ce type relève pour le reste de considérations politiques; le fait qu’il en résulte que seuls certains fonctionnaires européens bénéficient des privilèges et immunités prévus par le Protocole n° 7 ne viole ni le principe de l’égalité de traitement ni l’interdiction de l’arbitraire dans ce contexte.

Quant au fait que le Parlement européen n’a pas le pouvoir de conclure un accord bilatéral avec la Suisse prévoyant des privilèges et immunités en faveur de son personnel, il ne saurait avoir quelque incidence que ce soit sur ce qui précède. Un tel accord en faveur du personnel en cause n’en pourrait pas moins le cas échéant être conclu par l’Union européenne, qui dispose de la personnalité juridique – et, partant, notamment de la capacité de contracter des accords internationaux – depuis la conclusion du traité de Lisbonne.

Il s’ensuit qu’en tant que l’autorité intimée a retenu que la recourante ne pouvait se prévaloir des privilèges et immunités prévus par le Protocole n° 7 dans les circonstances du cas d’espèce (et ce ni directement ni par une application par analogie), la décision sur réclamation attaquée ne prête pas le flanc à la critique.

(Arrêt de la CDAP du 30 juin 2021 (FI.2021.0011))

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans Fiscalité du revenu dépendant | Tagué , , , | Laisser un commentaire

Le certificat COVID au travail: synthèse

Photo de Pixabay sur Pexels.com

[On le sait, le Conseil fédéral a, par ordonnance du 8 septembre 2021, considérablement étendu l’utilisation du certificat COVID dans différents domaines de la vie quotidienne, y compris au travail. J’ai mis sur ce site deux notes rédigées à chaud, présentant quelques aspects relatifs l’utilisation du certificat COVID sur le lieu de travail : https://droitdutravailensuisse.com/2021/09/09/le-certificat-covid-19-sur-le-lieu-de-travail/ et https://droitdutravailensuisse.com/2021/09/10/le-certificat-covid-19-sur-le-lieu-de-travail-2/. L’abondance des réactions publiques depuis lors face à ce coup de force exécutif, les « retours » que je peux recueillir de mes clients employés et employeurs, me permettent aujourd’hui d’essayer d’élaborer une courte note de synthèse.]

Introduction

La présente note traite de l’utilisation du certificat COVID-19 (ci-après le « certificat ») sur le lieu de travail, selon les termes de la modification du 8 septembre 2021 de l’ Ordonnance du 23 juin 2021 sur les mesures destinées à lutter contre l’épidémie de COVID-19 en situation particulière (Ordonnance COVID-19 situation particulière ; RO 2021 379), modification qui entrant en vigueur le 13 septembre 2021! (Cf. Ordonnance du 8 septembre 2021 sur les mesures destinées à lutter contre l’épidémie de COVID-19 en situation particulière (Ordonnance COVID-19 situation particulière) (Extension de l’utilisation du certificat COVID-19 ; RO 2021 542).

Art. 25 al. 2bis et 2ter Ordonnance COVID-19 situation particulière

Sur le fond, le Conseil fédéral a modifié l’art. 25 de l’Ordonnance COVID-19 situation particulière) en y ajoutant deux alinéas. Sans revenir ici sur la protection des employés vulnérables, qui est sujet en soi, les al. 1 et 2 actuels de l’art. 25 prévoient que l’employeur garantit que les employés puissent respecter les recommandations de l’OFSP en matière d’hygiène et de distance. À cette fin, les mesures correspondantes doivent être prévues et mises en œuvre. L’employeur prend aussi d’autres mesures en vertu du principe STOP (substitution, tech nique, organisation, personnel), notamment la possibilité de travailler à domicile, la mise en place de séparations physiques, la séparation des équipes, l’aération régulière ou le port d’un masque facial. Les al. 2bis et 2ter nouveaux de l’art. 25 prévoient maintenant que l’employeur est habilité à vérifier que son personnel dispose d’un certificat si cela permet de définir des mesures de protection appropriées ou de mettre en œuvre un plan de dépistage. Le résultat de la vérification ne peut pas être utilisé à d’autres fins. Si l’employeur prévoit de vérifier que son personnel dispose d’un certificat conformément à l’al. 2bis, il doit le préciser par écrit, ainsi que les mesures qui en découlent. Les employés ou leurs représentants doivent être consultés au préalable.

Dans un document intitulé FAQ – Extension de l’obligation de certificat, daté du 8 septembre 2021, au ch. 6 (cf. https://www.newsd.admin.ch/newsd/message/attachments/68145.pdf) l’OFSP tente « d’expliciter » le cadre de cette extension :

« (…)  un employeur peut exiger un certificat pour les employés dans le cadre de son devoir de diligence (par exemple, dans les hôpitaux). Ils (sic) peuvent vérifier la présence d’un certificat pour leurs employés si cela sert à déterminer les mesures de protection appropriées ou la mise en œuvre du concept de test. (…) L’employeur doit consigner par écrit s’il souhaite prendre des mesures de protection ou de mise en œuvre d’un concept de test sur la base du certificat Covid. Les employés doivent être consultés à ce sujet. L’employeur ne peut pas utiliser le résultat de la vérification du certificat à d’autres fins. En outre, il ne doit pas y avoir de discrimination entre les employés vaccinés, les employés guéris et les non-vaccinés.

Si l’obligation s’applique aux employés, l’entreprise doit proposer des tests réguliers (par exemple hebdomadaires) ou assumer les coûts des tests si elle ne propose pas de tests répétés. Si l’employeur prévoit des mesures différenciées (p. ex. port de masques ou bureau à domicile pour les personnes sans certificat), il ne doit pas supporter les coûts du test.

Dans le cas d’une institution de droit public, il doit exister une base juridique pour le traitement des données relatives à la santé afin d’introduire une obligation de certificat. »

Le régime applicable à la protection des données en droit du travail

L’employeur, dans le cadre de toute relation de travail, est amené à traiter une vaste quantité de données, dont des données sensibles au sens de l’art. 5 let. c LPD, dont des informations sur la santé. Il doit également assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles (art. 7 al. 1 LPD).

Selon l’art. 328b CO, l’employeur ne peut traiter des données concernant le travailleur que dans la mesure où ces données portent sur les aptitudes du travailleur à remplir son emploi ou sont nécessaires à l’exécution du contrat de travail. En outre, les dispositions de la loi fédérale du 19 juin 1992 sur la protection des données sont applicables.

L’art. 328b CO mentionne deux types de données personnelles que l’employeur est, en principe, autorisé à traiter (faits justificatifs), sous réserve des principes généraux de la protection des données.

Le premier fait justificatif de l’art. 328b CO est celui de l’aptitude à remplir son emploi. Cela concerne toutes les informations permettant de déterminer si la personne possède les capacités et qualités personnelles et professionnelles requises : diplômes, certificats de travail, etc.

Le second fait justificatif concerne les données nécessaires à l’exécution du travail, i.e. toutes les informations permettant à l’employeur de remplir ses obligations légales et conventionnelles, par exemple vis-à-vis des assurances sociales, de l’impôt à la source, etc.

L’employeur doit aussi respecter les principes généraux de tout traitement de données. Le principe de proportionnalité est pratiquement très important (art. 4 al. 2 LPD in fine) : l’employeur ne doit traiter que les donnes nécessaires et de la manière la moins intrusive possible. Le traitement obéit aussi aux principes de finalité et de reconnaissabilité, il doit être opéré dans le respect du but qui a présidé à la collecte et qui était reconnaissable par la personne concernée (art. 4 al. 3 et 4 LPD. Les données doivent enfin être actualisées et conformes à la réalité (art. 5 al. 1 LPD).

Examen des situations permettant de demande le certificat COVID

L’employeur n’est donc pas « obligé » de procéder à l’extension du certificat sur le lieu de travail, mais il « peut » le faire (i) dans le cadre de son devoir de diligence, (ii) pour déterminer les mesures appropriées (plan de protection) ou (iii) pour mettre en œuvre un « concept de test ».

La première hypothèse se conçoit à peu près et se réfère sans doute aux situations où l’employeur est tenu d’agir en raison d’une obligation de protéger ou de ne pas nuire, par exemple en présence de personnes fragiles ou à risque (personnes âgées, malades, etc.) Dans les faits, des mesures pratiques ont déjà été prises par maints employeurs dans les EMS, homes, hôpitaux, etc. visant à protéger particulièrement des populations vulnérables, qui sont d’ailleurs aujourd’hui parmi les plus vaccinées. Des tests ont ainsi été demandés, des mesures organisationnelles prises. On ne voit dès lors pas très bien ce que la modification du 8 septembre apporterait de plus, ni à quel impératif elle obéirait.

La seconde hypothèse se comprend en rapport avec le plan de protection des art. 10 et ss de l’Ordonnance COVID-19 situation particulière, soit les mesures qui règlementent notamment les mesures d’hygiène et de distance, le port du masque, la collecte de données, etc. Elle consacre, ce faisant, une thèse très contestée selon laquelle la présentation du certificat pouvait déjà se déduire de l’obligation faite à l’employeur de présenter des plans de protection, dans la mesure où le plan devrait pouvoir être adapté au statut vaccinal ou sérologique des employés. La modification du 8 septembre n’aurait donc été qu’une « mise en forme ».

Cette argumentation apparaît très contestable, d’abord en ce qu’elle passe sur le caractère obligatoire de la révélation de l’information, d’une part, et ensuite parce qu’elle « glisse » sur la question de l’application des critères de l’art. 328b CO ainsi que sur le respect du principe de proportionnalité. Est-il nécessaire et adéquat de demander le statut vaccinal des employés pour juger les attitudes nécessaires à l’emploi, et cette information est-elle nécessaire dans l’exécution du travail ? Est-il possible de procéder par d’autres mesures moins incisives ? Poser la question, c’est y répondre : c’est ce qu’ont fait les employeurs depuis le début de la pandémie, en proposant et en mettant en œuvre des plans de protection sans demander le statut vaccinal, et avec un certain succès. Rien n’indique en tout cas que la connaissance du statut vaccinal remplisse les conditions de l’art. 328b CO ou soit indispensable à la mise en œuvre d’un plan de protection, ni que les plans auraient échoué dans le passé faute de connaître ces informations particulières.

Certains auteurs tournent la difficulté en mettant en avant le fait que l’information devrait être faite par l’employé sur une base volontaire. Outre que l’extension du certificat a rendu la question obsolète, on remarquera que le consentement au traitement de données devrait être libre et éclairé, ce qui n’a rien d’évident dans le cadre de rapports de travail.

La troisième hypothèse se réfère à l’art. 7 al. 4 de l’Ordonnance COVID-19 situation particulière, soit la possibilité d’exempter de quarantaine les personnes qui travaillent dans des entreprises ayant un plan de dépistage. Là aussi, on peine à voir en quoi les plans de dépistage antérieurs à la modification du 8 septembre 2021 rendraient aujourd’hui nécessaires la connaissance du statut vaccinal, et en quoi cette méconnaissance les aurait rendus inefficaces, redondants ou superfétatoires. Par ailleurs la participation à un plan de dépistage doit s’effectuer sur une base volontaire (OFSP, Questions fréquentes – élargissement de la stratégie de test, 27 janvier 2021, ch. 4), ce qui n’est pas compatible avec la connaissance « forcée » des indications figurant sur le certificat.

Les garanties offertes aux employés

La « consultation » des travailleurs, le principe de finalité (i.e. la consultation du certificat ne peut pas être utilisée à d’autres fins que celles exposées ci-dessus) et l’affirmation que les employeurs ne sont pas censés discriminer entre les vaccinés, les non vaccinés et les guéris seraient censé constituer des garanties suffisantes dans la mise en œuvre de l’extension de l’utilisation du certificat sur le lieu de travail.

On peut toutefois fermement douter que ces garanties suffisent à protéger efficacement et concrètement les intérêts des employés concernés.

La « consultation » n’est pas une approbation [sauf dans certains cas très particuliers prévus par la loi]. Il est donc parfaitement mensonger de prétendre, comme le font certaines voix, que l’extension du certificat serait soumise à l’approbation des employés.

Le respect du principe de finalité sera très aléatoire en pratique. Est-ce que le Conseil fédéral estime sérieusement que des employeurs soumis à la pression de leurs clients, aux nécessités de baisser leurs coûts ou à la volonté de complaire, vont se contenter de traiter l’utilisation du certificat dans le cadre limité des plans de protection et des tests ? Si un client leur dit qu’ils ne voudront traiter qu’avec des employés en service externe avec un certificat à jour, que va-t-il se passer ? On en lira un très bel exemple dans le Temps du 11 septembre 2021 : consultation publique expresse des salariés, et adoption de l’extension du certificat notamment pour « protéger les clients et les partenaires »… ce qui n’a rien à voir avec les finalités des al. 2bis et 2ter.

Quant à l’interdiction de discriminer entre les vaccinés, les non vaccinés et les guéris, outre son côté très déclaratoire, il suffit de prendre en compte ce qui se passe dans les entreprises déjà aujourd’hui, les tensions entre employés, les pressions des employeurs, pour comprendre que cela restera probablement très théorique.

Conclusion

Il faut le comprendre, et il aurait fallu le dire : l’extension de l’utilisation du certificat sur le lieu de travail prévue par l’ordonnance du 8 septembre ne fait que préparer et annoncer une utilisation beaucoup plus large et intensive de ce document dans les rapports de travail (et dans la société en général). Et cela même s’il faut s’accommoder, pour ce faire, de normes mal faites, mal pensées, dépourvues de garanties sérieuses pour les employés et empreintes d’une certaine hypocrisie…

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans Coronavirus - Covid 19, Protection de la personnalité, Protection des données | Tagué , , , | Laisser un commentaire

Le certificat COVID-19 sur le lieu de travail (2)

Photo de Keith Lobo sur Pexels.com

On a expliqué hier les traits généraux de l’utilisation du certificat CODID-19 sur le lieu de travail (https://droitdutravailensuisse.com/2021/09/09/le-certificat-covid-19-sur-le-lieu-de-travail/). Il vaut la peine aujourd’hui de s’arrêter sur un à-côté de ce dispositif, à savoir la différence de traitement qui en résultera pour les salariés du public et ceux du privé.

En effet, l’utilisation du certificat COVID-19 est un traitement de données, de données sensibles en particulier. Or les organes fédéraux et cantonaux sont soumis à l’obligation fonder leurs traitements de données sur une base légale, base légale qui doit être formelle si les données sont sensibles (art. 17 al. 1 et 2 LPD ; il existe des dispositions similaires dans les droits cantonaux).

L’OFSP l’exprime, de manière assez maladroite, au point no 6 de son document FAQ – Extension de l’obligation de certificat, 8 septembre 2021 (https://www.newsd.admin.ch/newsd/message/attachments/68145.pdf): « Dans le cas d’une institution de droit public, il doit exister une base juridique pour le traitement des données relatives à la santé afin d’introduire une obligation de certificat. » C’est maladroit parce que l’exigence de la base légale s’applique aussi aux personnes morales et physiques de droit privé chargées d’exécuter des tâches de droit public dans l’accomplissement desdites tâches, mais passons….

Résultat ? L’introduction du certificat COVID-19 suivra un processus de « consultation » des travailleurs dans le secteur privé, dont le moins que l’on puisse dire est qu’il n’est guère contraignant et qu’il sera probablement « express », alors que les salariés du secteur public auront l’avantage de ne se faire imposer le certificat qu’après l’adoption d’une base légale formelle, processus qui prend du temps, qui expose le texte à la critique et au débat démocratique, etc.

On aura ainsi deux catégories d’employés, plus ou moins bien protégés selon leur statut, et ce face à des exigences sanitaires strictement identiques. Magie du droit d’urgence !

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans Coronavirus - Covid 19, Protection de la personnalité, Protection des données | Tagué , , , | Laisser un commentaire

Le certificat COVID-19 sur le lieu de travail

Photo de Keith Lobo sur Pexels.com

La présente note ne traitera pas du certificat COVID-19 (ou d’autres instruments similaires type « pass sanitaire ») en général. François-Xavier Bellamy et Loïc Hervé ont déjà exprimé, mieux que je ne saurais le faire, ce qu’il faut penser de ces nouveaux instruments de contrôle (https://www.fxbellamy.fr/2021/07/15/pass-sanitaire-sortir-de-l-impasse-sanitaire-tribune-figaro/). Elle s’attardera par contre sur le régime applicable particulier relatif  à l’utilisation du certificat COVID-19 (ci-après le « certificat ») sur le lieu de travail, et ce selon les termes de la modification du 8 septembre 2021 de l’ Ordonnance du 23 juin 2021 sur les mesures destinées à lutter contre l’épidémie de COVID-19 en situation particulière (Ordonnance COVID-19 situation particulière ; RO 2021 379), modification qui entrera en vigueur… lundi prochain 13 septembre 2021! (Cf. Ordonnance du 8 septembre 2021 sur les mesures destinées à lutter contre l’épidémie de COVID-19 en situation particulière (Ordonnance COVID-19 situation particulière) (Extension de l’utilisation du certificat COVID-19 ; RO 2021 542 – le texte est accessible de manière provisoire ici : https://www.bag.admin.ch/bag/fr/home/das-bag/aktuell/medienmitteilungen.msg-id-85035.html).

Une remarque en passant sur la technique législative : cette énième modification des ordonnances COVID oblige à une gymnastique pénible entre plusieurs textes d’états différents, ce qui ne contribue pas à en clarifier et en simplifier la perception.

Sur le fond, le Conseil fédéral a modifié l’art. 25 de l’Ordonnance COVID-19 situation particulière) en y ajoutant deux alinéas. Sans revenir ici sur la protection des employés vulnérables, qui est sujet en soi, les al. 1 et 2 de l’art. 25 prévoient que l’employeur garantit que les employés puissent respecter les recommandations de l’OFSP en matière d’hygiène et de distance. À cette fin, les mesures correspondantes doivent être prévues et mises en œuvre. L’employeur prend aussi d’autres mesures en vertu du principe STOP (substitution, tech nique, organisation, personnel), notamment la possibilité de travailler à domicile, la mise en place de séparations physiques, la séparation des équipes, l’aération régulière ou le port d’un masque facial. Les art. 2bis et 2ter nouveaux qui, répétons-le, vont entrer en vigueur lundi 13 septembre, prévoient maintenant que l’employeur est habilité à vérifier que son personnel dispose d’un certificat si cela permet de définir des mesures de protection appropriées ou de mettre en œuvre un plan de dépistage. Le résultat de la vérification ne peut pas être utilisé à d’autres fins. Si l’employeur prévoit de vérifier que son personnel dispose d’un certificat conformément à l’al. 2bis, il doit le préciser par écrit, ainsi que les mesures qui en découlent. Les employés ou leurs représentants doivent être consultés au préalable.

Dans un document intitulé FAQ – Extension de l’obligation de certificat, daté du 8 septembre 2021 (cf. https://www.newsd.admin.ch/newsd/message/attachments/68145.pdf) l’OFSP tente « d’expliciter » le cadre de cette extension. Citons-le :

« 6. Les employés d’un établissement pour lequel l’obligation du certificat existe doivent-ils également posséder un certificat, par exemple le personnel de service dans les restaurants, les moniteurs de fitness, les surveillants de musée ou les bénévoles lors de manifestations sportives ?

Non, mais un employeur peut exiger un certificat pour les employés dans le cadre de son devoir de diligence (par exemple, dans les hôpitaux). Ils peuvent vérifier la présence d’un certificat pour leurs employés si cela sert à déterminer les mesures de protection appropriées ou la mise en œuvre du concept de test. (…) L’employeur doit consigner par écrit s’il souhaite prendre des mesures de protection ou de mise en œuvre d’un concept de test sur la base du certificat Covid. Les employés doivent être consultés à ce sujet. L’employeur ne peut pas utiliser le résultat de la vérification du certificat à d’autres fins. En outre, il ne doit pas y avoir de discrimination entre les employés vaccinés, les employés guéris et les non-vaccinés.

Si l’obligation s’applique aux employés, l’entreprise doit proposer des tests réguliers (par exemple hebdomadaires) ou assumer les coûts des tests si elle ne propose pas de tests répétés. Si l’employeur prévoit des mesures différenciées (p. ex. port de masques ou bureau à domicile pour les personnes sans certificat), il ne doit pas supporter les coûts du test.

Dans le cas d’une institution de droit public, il doit exister une base juridique pour le traitement des données relatives à la santé afin d’introduire une obligation de certificat. »

L’employeur n’est donc pas « obligé » de procéder à l’extension du certificat sur le lieu de travail, mais il « peut » le faire (i) dans le cadre de son devoir de diligence, (ii) pour déterminer les mesures appropriées (plan de protection) ou (iii) pour mettre en œuvre un « concept de test ».

La première hypothèse se réfère sans doute aux situations où l’employeur est tenu d’agir en raison d’une obligation de protéger ou de ne pas nuire, par exemple en présence de personnes fragiles ou à risque (personnes âgées, malades, etc.)

La seconde hypothèse se comprend en rapport avec le plan de protection des art. 10 et ss de l’Ordonnance COVID-19 situation particulière, soit les mesures qui règlementent notamment les mesures d’hygiène et de distance, le port du masque, la collecte de données, etc,

La troisième hypothèse se réfère à l’art. 7 al. 4 de l’Ordonnance COVID-19 situation particulière, soit la possibilité d’exempter de quarantaine les personnes qui travaillent dans des entreprises ayant un plan de dépistage qui remplit les conditions suivantes: le plan permet au personnel de se faire tester facilement et prévoit de l’informer régulièrement des avantages que le test procure; le personnel peut se faire tester au minimum une fois par semaine; les conditions pour la prise en charge des tests par la Confédération sont remplies.

Le contrôle ne se fait pas « une fois pour toute », mais à chaque fois et régulièrement pour s’assurer que le certificat est toujours valable (cf. OFSP, Contrôle du certificat COVID : questions fréquentes, 8 septembre 2021 ; https://www.newsd.admin.ch/newsd/message/attachments/68148.pdf).

La « consultation » des travailleurs, le principe de finalité (i.e. la consultation du certificat ne peut pas être utilisée à d’autres fins que celles exposées ci-dessus) et l’affirmation que les employeurs ne sont pas censés discriminer entre les vaccinés, les non vaccinés et les guéris sont censé constituer des garanties suffisantes dans la mise en œuvre de l’extension de l’utilisation du certificat sur le lieu de travail.

On peut toutefois fermement douter que ces garanties suffisent à protéger efficacement et concrètement les intérêts des employés concernés.

Le caractère potestatif de l’utilisation du certificat est par exemple très relatif. On ne voit pas très bien pourquoi cela devrait être une simple « possibilité », alors que, dans les faits, la tentation sera grande d’utiliser systématiquement le certificat dans le cadre de la mise en place de plan de protection ou de tests, ce qui concerne à peu près tous les employeurs. Le certificat deviendra une obligation de facto, faute de l’être de jure.

Les risques de violation des droits de la personnalité et des données des employés sont très importants. Est-ce que le Conseil fédéral estime sérieusement que des employeurs soumis à la pression de leurs clients, aux nécessités de baisser leurs coûts ou à la volonté de complaire, vont se contenter de traiter l’utilisation du certificat dans le cadre limité des plans de protection et des tests ? Si un client leur dit qu’ils ne voudront traiter qu’avec des employés en service externe avec un certificat à jour, que va-t-il se passer ? Imagine-t-on les problèmes pratiques de collecte des données et de préservation du secret ? Et quid du principe de proportionnalité ?

Concrètement, l’extension de l’utilisation du certificat sur le lieu de travail prévue par l’ordonnance du 8 septembre ne fait que préparer et annoncer une utilisation beaucoup plus large et intensive de ce document dans les rapports de travail. Il est certain que ce processus rencontre l’adhésion de maints employeurs qui y verront l’occasion de simplifier leurs processus et de baisser leurs coûts. Et, apparemment, tant pis pour les employés, qui n’auront que le processus de consultation pour se faire entendre. On peut comprendre que les syndicats soient inquiets (https://www.20min.ch/fr/story/appels-a-laide-et-a-la-clarification-du-cote-des-organisations-economiques-320681111275).

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans Coronavirus - Covid 19, Protection de la personnalité, Protection des données | Tagué , , | Laisser un commentaire

Accès indu aux données, traitement illicite, sanction

Photo de Neo sur Pexels.com

Employé communal auprès des services industriels, l’Employé est en charge de relever les compteurs de gaz et d’électricité. En litige avec son bailleur concernant la facturation de ses frais de chauffage, il consulte, collecte et organise les données de consommation de gaz de son bailleur et les enregistre sur un fichier informatique. Il s’en ouvre audit bailleur, qui dénonce le cas. L’autorité d’engagement prononce un avertissement, l’Employé recourt.

La décision attaquée retient qu’en consultant et en utilisant à des fins privées des <données> de consommation de gaz, le recourant a contrevenu à loi vaudoise du 11 septembre 2007 sur la protection des <données> personnelles (LPrD; BLV 172.65) et à ses obligations contractuelles.

La LPrD vise à protéger les personnes contre l’utilisation abusive des <données> personnelles les concernant (art. 1). Elle s’applique à tout traitement de <données> des personnes physiques ou morales (art. 3 al. 1 LPrD). Y sont notamment soumises les personnes physiques auxquelles une commune confie des tâches publiques, dans l’exécution desdites tâches (art. 3 al. 2 let. e LPrD).

En l’espèce, dès lors que le recourant est employé de la Commune de ******** et qu’il exerce son métier de releveur-encaisseur des compteurs d’électricité et de gaz au sein des SI********, il est soumis à l’application de la LPrD dans le cadre de ses activités professionnelles.

En revanche, la loi fédérale du 19 juin 1992 sur la protection des <données> (LPD; RS 235.1), invoquée par le recourant, ne lui est pas applicable, dès lors qu’elle régit le traitement de <données> effectué par des personnes privées dans le cadre d’une relation de droit privé (cf. art. 2 al. 1 let. a LPD) ou par des organes fédéraux chargés d’une tâche de la Confédération (cf. art. 2 al. 1 let. b et 3 let. h LPD), ce qui n’est pas le cas ici (voir aussi notamment CDAP GE.2016.0084 du 16 décembre 2016 consid. 2).

Selon l’art. 4 LPrD, on entend par « donnée personnelle » toute information qui se rapporte à une personne identifiée ou identifiable (ch. 1). On entend par « donnée sensible » toute donnée personnelle se rapportant: aux opinions ou activités religieuses, philosophiques, politiques ou syndicales, ainsi qu’à une origine ethnique; à la sphère intime de la personne, en particulier à son état psychique, mental ou physique; aux mesures et aides individuelles découlant des législations sociales; aux poursuites ou sanctions pénales et administratives (ch. 2). On entend par « traitement de <données> personnelles » toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des <données> personnelles, notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction (ch. 5). Enfin, on entend par « communication » le fait de rendre des <données> accessibles, notamment de les transmettre, les publier, autoriser leur consultation ou fournir des renseignements (ch. 6).

En l’occurrence, les factures de gaz ne sont certes pas des <données> sensibles, mais demeurent des <données> personnelles soumises à la LPrD, ce que le recourant admet d’ailleurs expressément dans son recours.

Aux termes de l’art. 5 al. 1 LPrD, les <données> personnelles ne peuvent être traitées que si: une base légale l’autorise (let. a); leur traitement sert à l’accomplissement d’une tâche publique (let. b). L’art. 6 LPrD précise que les <données> ne doivent être traitées que dans le but indiqué lors de leur collecte, tel qu’il ressort de la loi ou de l’accomplissement de la tâche publique concernée. L’art. 15 al. 1 LPrD prévoit pour sa part ce qui suit:

« Les <données> personnelles peuvent être communiquées par les entités soumises à la présente loi lorsque:

a.    une disposition légale au sens de l’article 5 le prévoit;

b.    le requérant établit qu’il en a besoin pour accomplir ses tâches légales;

c.    le requérant privé justifie d’un intérêt prépondérant à la communication primant celui de la personne concernée à ce que les <données> ne soient pas communiquées;

d.    la personne concernée a expressément donné son consentement ou les circonstances permettent de présumer ledit consentement;

e.    la personne concernée a rendu les <données> personnelles accessibles à tout un chacun et ne s’est pas formellement opposée à leur communication; ou

f.     le requérant rend vraisemblable que la personne concernée ne refuse son accord que dans le but de l’empêcher de se prévaloir de prétentions juridiques ou de faire valoir d’autres intérêts légitimes; dans ce cas, la personne concernée est invitée, dans la mesure du possible, à se prononcer, préalablement à la communication des <données> ».

Dans le cas d’espèce, ainsi qu’il l’a lui-même indiqué dans ses écritures et lors de son entretien du 14 août 2020, le recourant a consulté les <données> de consommation de gaz concernant son ancien bailleur, client des SI********, dans le but de s’assurer que celui-ci lui facturait correctement les frais de chauffage. Il a expliqué que son propriétaire avait refusé de lui fournir un décompte de charges précis et qu’il avait donc dressé un tableau Excel détaillant les factures des années 2018 et 2019. Le recourant est ensuite allé en discuter avec son ex-bailleur et lui a déclaré qu’il était en possession de ses <données> de consommation de gaz et qu’il pouvait les lui remettre.

En d’autres termes, le recourant a non seulement consulté, grâce à ses accès professionnels aux SI********, les <données> personnelles de son ex-bailleur, mais les a de surcroît collectées, organisées et enregistrées dans un fichier informatique privé. Il les a ainsi conservées par-devers lui, avant de les utiliser pour ses propres besoins en les communiquant à son propriétaire. Ce faisant, il s’est donc indubitablement livré au traitement et à la communication de <données> personnelles au sens de l’art. 4 ch. 5 et 6 LPrD.

Le recourant ne prétend pas, à juste titre, que ces opérations étaient autorisées par une base légale (cf. art. 5 al. 1 let. a et 15 al. 1 let. a LPrD) ou autrement nécessaires à l’accomplissement d’une tâche publique (cf. art. 5 al. 1 let. b et 15 al. 1 let. b LPrD). Il ne soutient pas non plus, toujours à raison, que les <données> de consommation de gaz de son ancien bailleur auraient été traitées conformément au but de leur collecte (cf. art. 6 LPrD). Au contraire, il a reconnu avoir agi dans l’objectif de « faire la lumière sur des potentielles erreurs de facturation », soit à des fins purement privées.

Le recourant soutient néanmoins qu’il disposait d’un intérêt privé prépondérant (cf. art. 15 al. 1 let. c LPrD) à obtenir les <données> de consommation de gaz de son ancien bailleur, dans le cadre d’un différend touchant aux charges de leur contrat de bail. Il se prévaut en particulier des art. 257b al. 2 du code des obligations du 30 mars 1911 (CO; RS 220) et 8 al. 2 de l’ordonnance fédérale du 9 mai 1990 sur le bail à loyer et le bail à ferme d’habitations et de locaux commerciaux (OBLF; RS 221.213.11). Bien que ces dispositions permettent effectivement au locataire de consulter les pièces justificatives relatives aux frais accessoires de chauffage et d’eau chaude, elles ne l’autorisent pas pour autant à obtenir et à utiliser de son propre chef les <données> personnelles du bailleur contre son gré. Comme il le souligne lui-même, le recourant aurait dû saisir les juridictions civiles compétentes en matière de bail s’il s’estimait lésé dans ses droits de locataire, plutôt que de tirer avantage de sa fonction de collecteur aux SI******** pour se procurer directement les informations confidentielles souhaitées. Contrairement à ce qu’il avance au reste, le seul fait que son ex-bailleur n’ait pas immédiatement mis fin à leur conversation ne suffit assurément pas à en conclure qu’il aurait tacitement consenti à pareil procédé (cf. art. 15 al. 1 let. d LPrD). Quant aux autres circonstances permettant la communication de <données> personnelles (cf. art. 15 al. 1 let. e et f LPrD), elles ne sont manifestement pas réalisées.

Il s’ensuit que les agissements du recourant constituent bel et bien une utilisation abusive de <données> personnelles prohibée par la LPrD.

L’autorité intimée y voit une violation des obligations contractuelles du recourant, singulièrement du devoir de diligence et de fidélité, ainsi que du secret de fonction.

En sa qualité de fonctionnaire de la Commune de ********, le recourant est soumis aux art. 15 et 19 du Statut du personnel, dont la teneur est la suivante:

« Art. 15   Exercice de la fonction a) en général

Les fonctionnaires doivent exercer leur fonction personnellement, avec diligence, conscience et fidélité; ils doivent y consacrer tout leur temps réglementaire.

 […]

Art. 19   Secret de fonction

Le personnel est tenu tant au secret professionnel qu’au secret de fonction. Cette obligation subsiste même après la cessation des rapports de service ».

Le recourant argue que dans la mesure où il a confié verbalement à son ex-bailleur des <données> de consommation de gaz qui appartenaient à celui-ci et lui étaient donc connues, il n’y aurait pas de place pour une violation du secret de fonction au sens de l’art. 320 du code pénal suisse du 21 décembre 1937 (CP; RS 311.0). Il affirme en outre qu’il a toujours respecté son devoir de fidélité, qu’il n’a pas une seule fois fait l’objet de blâmes, d’avertissements ou de mesures disciplinaires pendant toutes ses années de service et qu’il n’a pas lésé les intérêts de son employeur dans cette affaire. Enfin, il fait valoir qu’il n’a jamais bénéficié d’une formation sur la protection des <données> et que les « carences organisationnelles » des SI******** à cet égard sont de la responsabilité de son employeur.

Premièrement, il sied de préciser qu’il n’appartient pas à la Cour de céans de juger d’une éventuelle violation de l’art. 320 CP, mais aux juridictions pénales (cf. CDAP GE.2016.0084 du 16 décembre 2016 consid. 2). Cela étant, il a été établi au considérant précédent que le recourant s’est servi, pour son propre usage, des <données> personnelles de consommation de gaz de son ex-bailleur, auxquelles il a eu accès grâce à sa fonction de releveur-encaisseur aux SI********. Les <données> énergétiques ne sont toutefois pas recueillies à des fins privées, mais d’utilité publique (cf. en particulier les art. 55 ss de la loi fédérale du 30 septembre 2016 sur l’énergie [LEne; RS 730.0] et 11 de la loi vaudoise du 16 mai 2006 sur l’énergie [LVLEne; BLV 730.01]); c’est pourquoi elles ne sont pas accessibles à tout un chacun, mais uniquement à un cercle limité de personnes. Le recourant en était conscient puisque c’est précisément à défaut d’avoir réussi à obtenir ces informations de son ancien propriétaire qu’il a eu recours à ses outils professionnels. Partant, en profitant de ses accès privilégiés aux SI******** pour satisfaire ses besoins privés, le recourant a non seulement exposé des <données> confidentielles à une personne non initiée (contre son gré), mais aussi déçu la confiance que son employeur était en droit d’attendre de lui et terni l’image de celui-ci vis-à-vis du citoyen. De son propre aveu, le recourant s’est d’ailleurs bien rendu compte que ce procédé « n’était pas correct », comme il ressort du protocole de son audition.

Force est ainsi d’admettre que le recourant n’a pas exercé sa fonction avec diligence, conscience et fidélité, contrevenant ainsi à l’art. 15 du Statut du personnel. Dans ces conditions, la question de savoir si ces agissements constituent également une violation du secret de fonction au sens de l’art. 19 dudit statut – les <données> ayant été communiquées à la personne qui les connaissait déjà, et pour cause – souffre de demeurer indécise.

Pour le surplus, c’est en vain que le recourant tente de tenir son employeur pour responsable de ses propres manquements, au motif qu’il n’aurait pas reçu de formation interne au sujet de la LPrD. Le fait qu’un employé ne doive pas utiliser à des fins privées les <données> personnelles d’autrui dont il a connaissance dans le cadre de son activité professionnelle est en effet un principe de base qui ne devrait pas nécessiter d’instruction particulière. Le recourant est d’autant plus malvenu de se retrancher derrière son ignorance qu’il compte déjà trente ans de service passés aux SI********, durant lesquels son devoir de confidentialité lui a régulièrement été rappelé, ainsi qu’en attestent les formulaires d’entretiens annuels de collaboration figurant au dossier. Enfin et comme déjà dit, le recourant a lui-même reconnu l’inadéquation de son comportement.

Il s’ensuit que le recourant a bel et bien failli à ses obligations contractuelles et que l’autorité intimée était dès lors fondée, sur le principe, à prononcer une mesure à son endroit. [Confirmation de la décision prononçant un avertissement et rejet du recours]

(Arrêt de la CDAP du 12 août 2021 (GE.2020.0238)

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans Fonction publique, Protection des données | Tagué , , , | Laisser un commentaire

La décision individuelle automatisée

Photo de Mike sur Pexels.com

[Le droit suisse de la protection des données, c’est aussi du droit du travail !

En effet, outre le renvoi de l’art. 328 b CO, le droit de la protection des données s’applique à des degrés divers dans toutes les étapes de la gestion des ressources humaines, de l’engagement au contentieux en passant par la tenue du dossier personnel.

Or le droit suisse de la protection des données va connaître un bouleversement considérable au 2e semestre 2022 avec l’entrée en vigueur de la loi révisée sur la protection des données et de son ordonnance.

Contrairement à ce que l’on peut lire ici ou là, le nouveau droit de la protection des données va entraîner des adaptations substantielles des pratiques et des manières de procéder, particulièrement pour les employeurs qui ne se sont pas adaptés au RGPD car ils n’avaient pas à le faire.

Je vais donc présenter sur ce blog quelques-unes des nouveautés à venir pendant le 2e semestre 2021.]

La décision individuelle automatisée est une nouveauté, introduite dans la nouvelle loi fédérale sur la protection des données (FF 2020 7397) qui devrait entre en vigueur dans le 2e semestre 2022.

Le responsable du traitement informe la personne concernée de toute décision qui est prise exclusivement sur la base d’un traitement de données personnelles automatisé et qui a des effets juridiques pour elle ou l’affecte de manière significative (décision individuelle automatisée) (art. 21 al. 1 nLPD).

Si la personne concernée le demande, le responsable du traitement lui donne la possibilité de faire valoir son point de vue. La personne concernée peut exiger que la décision individuelle automatisée soit revue par une personne physique (art. 21 al. 2 nLPD)

Ce qui précède ne s’applique toutefois pas (i) si la décision individuelle automatisée est en relation directe avec la conclusion ou l’exécution d’un contrat entre le responsable du traitement et la personne concernée et la demande de cette dernière est satisfaite ou (ii) la personne concernée a expressément consenti à ce que la décision soit prise de manière automatisée.

Le consentement doit bien évidemment être libre et éclairé, et ne sera pas opposable au détriment du travailleur ou du candidat par exemple. Le point est ici important car, de plus en plus, les procédures de sélection passent, en tout cas pour les premières étapes, par des processus automatisés, ce qui devrait entraîner l’impossibilité, pour les candidats, de renoncer à l’avance à la révision de la décision par une personne physique.

Le projet de nouvelle ordonnance sur la protection des données ajoute par ailleurs que la personne concernée par une décision individuelle automatisée, qui demande à faire valoir son point de vue ou un réexamen de la décision par une personne physique, ne peut pas être désavantagée pour ce motif (art. 17 P-OLPD). La précision n’est pas sans importance, même si elle semblait déjà découler de principes généraux, et s’appliquera sans doute utilement en matière d’octroi de crédits, d’examens, etc.

Enfin, l’information relative à la possibilité de procéder par décisions individuelles automatisées devrait être également donnée au stade de la récolte des données (art. 19 nLPD).

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans nouvelle LPD, Protection de la personnalité, Protection des données | Tagué , , | Laisser un commentaire

Le transfert de données à l’étranger

Photo de Markus Spiske sur Pexels.com

[Le droit suisse de la protection des données, c’est aussi du droit du travail !

En effet, outre le renvoi de l’art. 328 b CO, le droit de la protection des données s’applique à des degrés divers dans toutes les étapes de la gestion des ressources humaines, de l’engagement au contentieux en passant par la tenue du dossier personnel.

Or le droit suisse de la protection des données va connaître un bouleversement considérable au 2e semestre 2022 avec l’entrée en vigueur de la loi révisée sur la protection des données et de son ordonnance.

Contrairement à ce que l’on peut lire ici ou là, le nouveau droit de la protection des données va entraîner des adaptations substantielles des pratiques et des manières de faire, particulièrement pour les employeurs qui ne se sont pas adaptés au RGPD car ils n’avaient pas à le faire.

Je vais donc présenter sur ce blog quelques-unes des nouveautés à venir pendant le 2e semestre 2021.]

Selon l’art. 6 al. 1 de la loi fédérale du 19 juin 1992 sur la protection des données (LPD ; RS 235.1), aucune donnée personnelle ne peut être communiquée à l’étranger si la personnalité des personnes concernées devait s’en trouver gravement menacée, notamment du fait de l’absence d’une législation assurant un niveau de protection adéquat. La communication de données revient à les rendre accessibles à partir de la Suisse vers l’étranger ; une simple autorisation de consultation suffit. L’art. 6 s’applique aussi à l’intérieur d’une même entreprise dont les services (peu importe la forme juridique) et les collaborateurs sont situés dans plusieurs pays ou à la délégation de traitement transfrontière.

L’art. 16 de de la nouvelle loi fédérale du 25 septembre 2020 sur la protection des données, adoptée le 25 septembre 2020, et qui devrait renter en vigueur dans la 2e partie de 2022 (nLPD ; FF 2020 7397), abandonne le principe de la menace grave pour la personnalité de la personne concernée, source s’insécurité juridique. Il retient que les données peuvent être transférées à l’étranger si le Conseil fédéral a constaté que l’Etat concerné disposait d’une législation assurant un niveau de protection adéquat. La liste des pays assurant un tel niveau de protection, sous l’angle de la LPD actuelle, est tenue par le Préposé fédéral à la protection des données et à la transparence (PFPDT) (art. 31 al. 1 let. d LPD ; art. 7 OLPD).

Les art. 6 LPD et 16 ss nLPD ne règlent que le volet « transfrontalier » de la communication. Celle-ci doit dans tous les cas respecter les principes généraux de la LPD (finalité, exactitude, proportionnalité, etc.)

L’art. 6 al. 2 LPD précise qu’en dépit de l’absence d’une législation assurant un niveau de protection adéquat à l’étranger, des données personnelles peuvent être communiquées à l’étranger, à l’une des conditions suivantes uniquement:

  1. des garanties suffisantes, notamment contractuelles, permettent d’assurer un niveau de protection adéquat à l’étranger; elles doivent permettre de couvrir l’ensemble des éléments pertinents du transfert (identité exportateur /importateur de données, catégories de données personnelles à transférer, finalités du transfert, catégories de personnes dont les données sont transférées, destinataires des données, durée de conservation, stockage, droits des personnes concernées – accès, rectification, opposition, blocage, radiation, destruction, sécurité, confidentialité, etc. ; il existe des contrats-modèles et des clauses standards établis ou reconnus par le PFPDT (art. 6 al. 3 OLPD in fine ; il s’agira notamment des Standard Contractual Clauses reconnues en droit européen – https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_fr); l’exportateur qui utilise les contrats-modèles et les clauses-standards doit par ailleurs s’assurer, par exemple par des audits réguliers, que les clauses sont effectivement respectées par le destinataire (art. 6 al. 4 OLPD) ; le PFPDT doit être informé des garanties visées par l’art. 6 al. 2 let. a LPD (art. 6 OLPD quant aux modalités de l’information) ; l’information peut se limiter au fait que l’on utilise les contrats-modèles ou clauses-standards reconnus par le PFPDT ; s’il ne s’agit pas des modèles et clauses standards, le PFPDT doit examiner les garanties annoncées et communique le résultat de cet examen dans un délai de 30 jours (art. 31 al. 1 let. e LPD ; 5 al. 5 OLPD) – sans réaction du PFPDT après 30 jours, le maître du fichier peut partir du principe qu’il n’y a pas d’objections aux garanties fournies ; l’omission intentionnelle d’informer le PFPDT ou la formation d’informations intentionnellement inexactes sont punies de l’amende (art. 32 al. 2 let. a LPD) ; les garanties peuvent aussi être fournies autrement que contractuellement, par exemple par l’adhésion à un code de conduite répondant aux mêmes exigences – le devoir d’informer est le même;
  2. la personne concernée a, en l’espèce, donné son consentement; la dérogation vise des situations extracontractuelles, les questions relevant de l’exécution du contrat étant régies par l’art. 6 al. 2 let. c LPD, ou les cas où la communication de données n’est pas nécessaire à la conclusion ou l’exécution du contrat ; une renonciation générale et anticipée au consentement n’est pas possible ; l’art. 4 al. 5 LPD s’applique aux conditions matérielles (consentement libre et éclairé) et formelles du consentement (consentement explicite pour les données sensibles et les profils de personnalités) ; le consentement ne pourra valoir que pour une ou plusieurs finalités de traitement déterminées, et vers un ou des Etats déterminés ; la « réexportation » de données d’un pays couvert par le consentement vers un autre nécessitera ainsi un nouveau consentement ;
  3. le traitement est en relation directe avec la conclusion ou l’exécution d’un contrat et les données traitées concernent le cocontractant; le traitement doit ici être nécessaire à cette fin, et pas simplement utile ou opportun ; on tiendra compte de l’art, 328b CO dans les rapports de travail – la communication ne pourra ainsi porter que sur des données relatives aux aptitudes du travailleur à remplir son emploi ou qui sont nécessaires à l’exécution du contrat de travail, sauf à obtenir un consentement pour les données qui dépassent ce cadre [et qui ne pourra porter préjudice au travailleur] ; les principes généraux de la protection des données s’appliquent ;
  4. la communication est, en l’espèce, indispensable soit à la sauvegarde d’un intérêt public prépondérant, soit à la constatation, l’exercice ou la défense d’un droit en justice; il s’agit de l’intérêt de la Suisse (image du pays à l’étranger, coopération, etc.) ; l’intérêt doit être prépondérant par rapport à celui de la personne concernée à ce que les données ne soient pas exportées, ce qui s’interprète restrictivement ; lorsque la communication prend place dans le cadre de procédures d’entraide judiciaire ou administrative, elle échappe à la LPD (cf. art. 2 al. 2 let. c LPD) ; concernant l’exercice d’un droit en justice à l’étranger, la communication doit être nécessaire (la collecte et le traitement obéissent aux règles ordinaires) ;
  5. la communication est, en l’espèce, nécessaire pour protéger la vie ou l’intégrité corporelle de la personne concernée; il s’agit de situations dans lesquelles les intérêts essentiels de la personne concernée sont en jeu, alors qu’elle n’est pas en mesure de donner son consentement par elle-même (maladie, accident) et qu’on peut objectivement présumer, au vu des circonstances, que le consentement aurait été donné ; la formulation est trop stricte, l’art. e s’applique aussi pour la protection d’intérêts vitaux d’un proche de la personne concernée dans cette même situation;
  6. la personne concernée a rendu les données accessibles à tout un chacun et elle ne s’est pas opposée formellement au traitement;
  7. la communication a lieu au sein d’une même personne morale ou société ou entre des personnes morales ou sociétés réunies sous une direction unique, dans la mesure où les parties sont soumises à des règles de protection des données (Binding Corporate Rules) qui garantissent un niveau de protection adéquat ; cela peut prendre par exemple la forme d’une charte sur la protection des données, de lignes directrices, etc. ; ces garanties doivent être communiquées au PFPDT (art. 6 al. 3 LPD ; 6 OLPD).

Le PFPDT doit être informé des garanties données visées à l’al. 2, let. a, et des règles de protection des données visées à l’al. 2, let. g. Le Conseil fédéral règle les modalités du devoir d’information. (Art. 6 al. 3 LPD)

La nLPD prévoit quant à elle qu’en l’absence d’une décision du Conseil fédéral sur le caractère adéquat du niveau de protection assuré par la législation du pays destinataire, un niveau de protection peut être assuré par d’autres moyens (art. 16 al. 2 nLPD) ou si une dérogation s’applique (art. 17 nLPD). Un niveau de protection adéquat peut en particulier résulter d’un traité international, de clauses contractuelles-type ou de règles d’entreprise contraignantes. L’utilisation de règles contractuelles ne sera toutefois pas efficace face au droit impératif du pays de destination, ce qui peut impliquer que de telles règles peuvent, à elles-seules, ne pas assurer un niveau de protection équivalent (on pense ici tout particulièrement aux transferts vers les Etats-Unis et aux – retentissants – arrêts Schrems I et II ; cf. notamment arrêt CJUE Maximilian Schrems et Data Protection Commissioner c/ Facebook ireland Ltd, C-311/18 du 16 juillet 2020). L’art. 17 nLPD traite de situations particulières : consentement (après information), relation directe avec la conclusion ou l’exécution d’un contrat, intérêt public prépondérant, constatation, défense ou exercice d’un droit, etc.

Sous le nouveau droit, le PFPDT pourra suspendre ou interdire la communication de données à l’étranger si elle est contraire aux conditions des art. 16 ou 17 nLPD (art. 51 al. 2 nLPD). Le fait de communiquer des données à l’étranger en violation de l’art. 16nLPD et sans que l’une ou l’autre des conditions de l’art. 17 nLPD soit remplie est une contravention susceptible d’être sanctionnée par une amende pouvant aller jusqu’à CHF 250’000.—(art. 61 let. a nLPD).

Le PFPDT a publié par ailleurs au mois de juin 2021 un Guide pour l’examen de la licéité de la communication transfrontière de données (art. 6, al. 2, let. a, LPD) (https://www.edoeb.admin.ch/edoeb/fr/home/protection-des-donnees/handel-und-wirtschaft/uebermittlung-ins-ausland.html#-629182963) auquel il conviendra également de se référer plus en détail.

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans nouvelle LPD, Protection de la personnalité, Protection des données | Tagué , , , , , | Laisser un commentaire

But, champ d’application et mise en œuvre du droit de la personnalité des données

Photo de cottonbro sur Pexels.com

[Le droit suisse de la protection des données, c’est aussi du droit du travail !

En effet, outre le renvoi de l’art. 328 b CO, le droit de la protection des données s’applique à des degrés divers dans toutes les étapes de la gestion des ressources humaines, de l’engagement au contentieux en passant par la tenue du dossier personnel.

Or le droit suisse de la protection des données va connaître un bouleversement considérable au 2e semestre 2022 avec l’entrée en vigueur de la loi révisée sur la protection des données et de son ordonnance.

Contrairement à ce que l’on peut lire ici ou là, le nouveau droit de la protection des données va entraîner des adaptations substantielles des pratiques et des manières de faire, particulièrement pour les employeurs qui ne se sont pas adaptés au RGPD car ils n’avaient pas à le faire.

Je vais donc présenter sur ce blog quelques-unes des nouveautés à venir pendant le 2e semestre 2021.]

Le droit de la protection des données est constitué de très nombreuses normes de droit international, national ou cantonal.

La loi fédérale du 19 juin 1992 sur la protection des données (LPD ; RS 235.1) et sa nouvelle version applicable dès le 1er semestre 2022 constituent certes le cœur de la matière, mais il existe aussi quantité de dispositions spéciales dans à peu près tous les domaines du droit (banque, travail, assurances, etc.)

Il faut bien, cependant, faire des choix, ne serait-ce que pour respecter le cadre et le format de la présente publication. La LPD est le « navire amiral » de la protection des données en Suisse, elle en constitue sa grammaire, son vocabulaire, sa structure intellectuelle et logique, et rien ne serait compréhensible sans elle. Il est donc légitime de s’attarder sur ses buts, son champ d’application et sa mise en œuvre (nouveau droit), avec des contre-points du droit cantonal et du droit européen.

Concernant son but, la LPD vise à protéger la personnalité et les droits fondamentaux des personnes qui font l’objet d’un traitement de données (art. 1 LPD). L’art. 1 de la nouvelle loi fédérale du 25 septembre 2020 sur la protection des données, adoptée le 25 septembre 2020, et qui devrait renter en vigueur dans la 2e partie de 2022 (nLPD ; FF 2020 7397), parle de protéger la personnalité et les droits fondamentaux des personnes physiques dont les données personnelles font l’objet d’un traitement. On constate donc que le nouveau droit exclut les données des personnes morales de la protection, leur inclusion dans le droit de la protection des données actuel étant une particularité suisse qui posait certains problèmes pratiques en cas de transfert de données à l’étranger. Les personnes morales bénéficieront toutefois de la protection générale de leur personnalité garantie par les art. 28 ss CC.

Concernant le champ d’application personnel et matériel, la LPD régit le traitement de données concernant des personnes physiques et morales effectué par des personnes privées et des organes fédéraux (art. 2 al. 1 LPD). La notion de données personnelles est large (art. 4 nLPD) et inclut toutes les informations relatives à une personne identifiée ou identifiable, étant rappelé que les données personnelles des personnes morales seront exclues de la protection par la nLPD. Le « traitement » s’interprète également largement et recouvre toute opération relative à des données personnelles, indépendamment des moyens et procédés utilisés (art. 5 let. d nLPD).

La LPD ne s’applique pas aux données qu’une personne physique traite pour un usage exclusivement personnel et qu’elle ne communique pas à des tiers (art. 2 al. 2 let. a LPD ; art. 2 al. 2 let. a nLPD). Sont notamment considérés comme telles le contenu d’un agenda, les conversations au sein du cercle familial ou des amis, la correspondance privée et les notes que tout un chacun est amené à prendre dans l’exercice de sa profession à titre de pense-bête, du moment qu’il n’en fait qu’un usage personnel. La disposition d’exception de l’art. 2 al. 2 let. a LPD doit cependant être interprétée de manière très prudente et restrictive, le droit d’accès ne devant être limité que si cela est vraiment indispensable, et la personne qui traite les données ne doit en aucun cas y faire appel dans le but unique de contourner les prescriptions de la loi. [Arrêt du Tribunal fédéral 5C.15/2001 du 16 août 2001]. La LPD ne s’applique pas non plus aux délibérations des Chambres fédérales et des commissions parlementaires, aux procédures pendantes civiles, pénales, d’entraide judiciaire internationale ainsi que de droit public et de droit administratif, à l’exception des procédures administratives de première instance, aux registres publics relatifs aux rapports juridiques de droit privé et aux données personnelles traitées par le Comité international de la Croix-Rouge (art. 2 al. 2 LPD).

La nLPD étend l’exclusion aux traitements de données personnelles effectués par les bénéficiaires institutionnels au sens de l’art. 2 al. 1 de la loi du 22 juin 2007 sur l’Etat hôte (RS 192.12) qui jouissent de l’immunité de juridiction (art. 2 let. 2 let. c nLPD) – mais cela pouvait déjà se déduire des principes de droit international public applicables au droit des immunités. Le principe selon lequel le droit de procédure applicable devant les autorités et les tribunaux prime la LPD demeure (art. 2 al. 3 nLPD), et s’applique à toutes les lois de procédure fédérales, à l’exception des procédures administratives de première instance (i.e. celles qui aboutissement à une décision susceptible ensuite de recours).

Concernant le champ d’application géographique, l’art. 3 al. 1 nLPD prévoit que la loi s’applique aux états de fait qui déploient des effets en Suisse, même s’ils se sont produits à l’étranger. Le nouveau droit concrétise la jurisprudence actuelle : la LPD s’applique ainsi par exemple à des images prises en Suisse puis publiées sur un site à l’étranger où elles sont travaillées et d’où elles sont mises à disposition (ATF 138 II 346 Google Street View).

Comme exposé ci-dessus, la LPD s’applique au traitement de données effectué par des personnes privées ou des organes fédéraux (art. 2 al. 1 LPD ; 2 al. 1 nLPD). Elle ne s’applique dès lors pas aux traitements de données effectués par des administrations cantonales, régis par des lois cantonales spécifiques (sauf Jura et Neuchâtel où s’applique une convention intercantonale). Les différentes lois cantonales sont proches, pour ce qui est de leur contenu, de la LPD, avec quelques différences portant sur le champ d’application (administration, délégation de tâches publiques, etc.) et sur l’inclusion ou non de dispositions sur la transparence (information au public).

Il faut souligner que le droit européen de la protection des données peut aussi trouver application en Suisse. En effet, l’art. 3 du Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, dit règlement général sur la protection des données (RGPD) permet une application extraterritoriale de celui-ci. Cette disposition vise en effet deux hypothèses. Dans la 1ère (application territoriale), le responsable du traitement est dans l’UE (art. 3 (1) RGPD). Le traitement de données est effectué dans le cadre des activités d’un établissement sur le territoire de l’Union, que le traitement ait lieu ou non dans l’UE, et que les données concernent des résidents de l’UE ou d’ailleurs. La notion d’établissement s’interprète largement et ne dépend pas de la forme juridique choisie. Une activité réelle et effective même minime, au moyen d’un établissement stable suffit. La présence d’un seul représentant peut être considérée comme suffisante, ou la fourniture d’un soutien publicitaire lié à l’activité principale par exemple. Dans la 2e (application extraterritoriale), on applique le principe du lieu du marché (Marktort-Prinzip) : i. les données personnelles d’un résident de l’UE sont traitées en lien avec des biens et/ou des services qui lui sont proposés (offre de biens ou de services); ou ii. les comportements d’individus au sein de l’UE sont « suivis » (suivi de comportements). Pour ce qui est de l’offre de biens ou de services, l’accessibilité à un site web ne suffit pas, par exemple, il faut avoir la volonté de cibler effectivement des clients dans l’UE. Peuvent être des indices l’utilisation d’une langue ou d’une monnaie de l’UE, le fait de passer des commandes dans cette langue, le fait de faire référence à des clients et des utilisateurs dans l’UE et de leur destiner des offres spéciales, etc. Un service de commerce en ligne devrait ainsi être clairement orienté vers des destinataires et consommateurs dans l’UE pour relever de l’art. 3 (2) RGPD. Pour ce qui est du suivi d’un comportement qui a lieu au sein de l’UE, il faut procéder spécifiquement à un suivi de personnes afin de créer des profils. Il n’est par contre pas besoin de viser explicitement le marché de l’UE, contrairement à l’hypothèse de l’offre de biens ou de services dans l’UE. Le simple fait d’avoir un site informatique accessible depuis l’UE ne suffit donc pas.

On remarquera pour finir que la nLPD ne prévoit pas de « période de grâce » pour sa mise en œuvre ; elle sera donc pleinement applicable dès son entrée en vigueur, contrairement au mécanisme du RGPD qui prévoyait une période de deux ans entre sa mise en vigueur et son applicabilité (art. 99 RGPD). Cette absence apparaît regrettable eu égard à l’ampleur des adaptations et des mesures qui devront être mises en œuvre pour un nombre très important de responsables de traitement en Suisse (aurait-elle un lien avec la lenteur d’escargot du législateur pour débattre et adopter le nouveau droit ?) Par ailleurs, la nLPD n’aura pas d’effet rétroactif, ce qui entraîne par exemple qu’une information au sens de l’art. 19 nLPD ne sera pas exigible si les données ont été collectées avant l’entrée en vigueur de la nLPD et les buts et finalités du traitement demeurent inchangés.

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans nouvelle LPD, Protection de la personnalité, Protection des données | Tagué , , , , , , | Laisser un commentaire