(NB: une version légèrement modifiée de cet texte a été publiée dans la Newsletter Droit du travail, juillet-août 2017, pp. 1-3)
Le dossier personnel du travailleur est le lieu où l’employeur collecte, conserve et utilise les données de son employé en lien avec les rapports de travail. Le droit d’accéder à ce dossier est, partant, la condition sine qua non de l’exercice, par le travailleur, de ses droits de la personnalité dans les rapports de travail, notamment parce qu’il pourra faire rectifier ou détruire des données, en constater l’inexactitude, les utiliser pour analyser sa situation juridique, etc.
Concernant les bases légales du droit d’accès du travailleur, l’art. 328b CO prévoit que l’employeur ne peut traiter des données concernant le travailleur que dans la mesure où ces données portent sur les aptitudes du travailleur à remplir son emploi ou sont nécessaires à l’exécution du contrat de travail. Cette disposition ne traite dès lors que des données pouvant être traitées par l’employeur, et non de l’accès à celles-ci. Il convient donc de se tourner vers l’art. 8 de la loi fédérale du 19 juin 1992 sur la protection des données(RS 235.1 ; LPD), lequel prévoit que toute personne peut demander au maître d’un fichier si des données la concernant sont traitées, et celui devra lui communiquer toutes les données la concernant qui sont contenues dans le fichier, y compris les informations disponibles sur l’origine des données, ainsi que le but et éventuellement la base juridique du traitement, les catégories de données personnelles traitées, de participants au fichier et de destinataires des données. Le maître du fichier qui fait traiter des données par un tiers demeure tenu de fournir les renseignements demandés. Les renseignements seront, en règle générale, fournis gratuitement et par écrit, sous forme d’imprimé ou de photocopie. L’art. 8 al. 6 LPD prévoit enfin que nul ne peut renoncer par avance au droit d’accès (mais ce droit peut être restreint).
Le fichier doit se comprendre comme tout ensemble de données personnelles dont la structure permet de rechercher les données par personne concernée (art. 3 let. g LPD), et ce sans considération sur les technologies qu’il utilise. Une cartothèque, un rolodex, un carton à chaussures rempli de notes manuscrites, des documents informatiques, peu importe, tous ces moyens de conserver et d’ordonner des données peuvent être considérés comme des fichiers.
En droit du travail, on désignera le fichier relatif à un travailleur comme son dossier personnel. Si la constitution d’un tel dossier n’est pas imposée directement par le droit suisse, on ne peut que constater qu’elle découle des prescriptions légales applicables à l’employeur, qui doit pouvoir exécuter les obligations découlant du contrat de travail, mais aussi des assurances sociales, de l’impôt à la source, etc.
Le dossier du personnel rassemblera donc les données du travailleur concernant les rapports de travail, de la naissance de ceux-ci à leur extinction. On y trouvera notamment les données suivantes, dans les limites de l’art. 328b CO : coordonnées, adresse, CV, références, certificats de travail, certificats maladie/accident, relevé des heures de travail et des vacances, coordonnées bancaires, numéro AVS, évaluations, avertissements, sanctions, correspondance en rapport avec ce qui précède, etc. Les données devraient aussi être limitées à celles qui documentent les rapports de travail, et plus particulièrement les relations entre l’employeur et l’employé. (On notera toutefois que le projet de révision en cours de la LPD prévoit de supprimer la notion de fichier pour celle de « données personnelles traitées ».)
Le dossier personnel doit contenir des données exactes et actuelles (art. 5 al. 1 LPD). Il devrait donc être revu/mis à jour au moins tous les deux ans, voire davantage, notamment pour des raisons liées aux assurances sociales et à l’impôt à la source. Certains employeurs prévoient ainsi de manière très juste l’envoi de questionnaires chaque année concernant les données personnelles des travailleurs afin de mettre à jour celles-ci.
Le droit d’accès au dossier personnel peut être restreint. La restriction du droit d’accès peut d’abord découler de la nature des données : l’art. 2 al. 2 let. a LPD prévoit ainsi que les données personnelles traitées par une personne physique pour un usage exclusivement personnel et non communiquées à des tiers sont exclues du champ d’application de la LPD. Les notes personnelles du recruteur, du supérieur hiérarchique, etc. ne sont ainsi pas accessibles.
Le droit d’accès doit aussi s’exercer dans les limites de l’interdiction de l’abus de droit (art. 1 al. 2 CC). Il y a abus de droit lorsque l’exercice de celui-ci par son titulaire ne répond à aucun intérêt digne de protection, qu’il est purement chicanier ou lorsqu’il est mis aux services d’intérêts qui ne sont pas ceux que la règle est destinée à protéger. Il n’y a par contre pas abus de droit lorsqu’une personne veut obtenir des données en vue d’une éventuelle action judiciaire contre le maître du fichier. Dans les faits, l’abus de droit est rarement admis par les tribunaux.
Le droit d’accès peut enfin être limité en vertu de l’art. 9 LPD, lequel prévoit que le maître du fichier peut refuser ou restreindre la communication des renseignements demandés, voire en différer l’octroi, dans la mesure où une loi au sens formel le prévoit, les intérêts prépondérants d’un tiers le demandent ou ses intérêts prépondérants l’exigent et à condition qu’il ne communique pas les données personnelles à un tiers. Il s’agit de motifs alternatifs et exhaustifs.
Le motif de la base légale a surtout été invoqué en relation avec des secrets (secret professionnel, secret bancaire), avec peu de succès. En effet, le travailleur, dans cette hypothèse, est aussi soumis à ces secrets, y compris après la fin des rapports de travail. Le caviardage de certaines données peut aussi, pratiquement, permettre de communiquer les données requises en sauvegardant les intérêts protégés.
L’intérêt prépondérant de tiers est souvent mis en avant dans des situations de dénonciation d’agissements répréhensibles ou indésirables au sein de l’entreprise par un travailleur. L’employeur peut alors devoir protéger l’identité du dénonciateur contre toute requête du dénoncé. Celui-ci pourra d’ailleurs, moyennant le caviardage des documents en cause, avoir plein accès aux documents le concernant.
L’intérêt propre de l’employeur ne doit pas seulement être digne de protection pour être opposé à une demande d’accès, il devra concrètement l’emporter sur celui de l’employé, ce que la pratique ne retient pas facilement.
Le droit d’accès peut être invoqué en tout temps : avant, pendant et après les rapports de travail. Le travailleur n’aura pas à justifier d’un intérêt particulier ni à la motiver.
Le droit d’accès est imprescriptible, mais, dans les faits, il pourra rentrer en collision avec les durées de conservation des données exigées de l’employeur (et qui peuvent varier).
La requête sera en principe écrite, mais l’employeur peut en régler les modalités différemment dans son règlement du personnel (par email par exemple). L’employeur devra se déterminer dans un délai de 30 jours maximum.
L’employé n’a pas un droit à consulter les pièces originales du dossier. La communication par écrit, sous forme de photocopies, suffit. Une consultation du dossier sur place, dans les locaux de l’employeur, peut remplacer la communication des données si l’employé y consent. Les données sont fournies gratuitement, mais l’employeur peut demander, à titre exceptionnel, une participation aux frais de Frs. 300.—maximum, notamment si la requête exige un volume de travail considérable.
Me Philippe Ehrenström, avocat, ll.m., Genève et Yverdon
Pour en savoir plus :
Le droit du travail et de la protection des données en Suisse 
Maître,
Merci pour cet éclairage précieux qu’apporte votre article.
J’aimerais vous solliciter pour obtenir une précision quant à la situation à laquelle j’ai été confronté dans le domaine de l’accès à son propre dossier.
Un maître de fichiers, soit une entreprise employeuse fait sous-traiter des données personnelles de son personnel, en l’occurrence l’établissement des fiches de paie par un sous-traitant qui est une association de branche de métier. L’employé contacte l’association et reçoit la réponse que l’association n’a pas le droit de lui fournir une quelconque information concernant son dossier (sa fiche de paye) au titre que l’association traite les informations de l’entreprise et que l’employé ne peut demander une communication ou explication que de la part de l’employeur.
Est-ce légal ?
En vous remerciant par avance de votre éclaircissement, je vous présente, Maître, mes respectueuses salutations
Margot Menoud
Chère Madame,
La réponse qui vous a été faite me semble correcte.
En effet, le maître du fichier peut avoir recours à de la sous-traitance pour autant qu’il s’assure du respect de ses obligations légales et prudentielles par le sous-traitant (ce qui peut être particulièrement délicat en cas de sous-traitance internationale).
Mais cela ne fait pas du sous-traitant le titulaire des droits et obligations du maître du fichier envers le salarié. Une éventuelle requête de droit d’accès, par exemple, serait dirigée exclusivement contre l’employeur.
Mais je vous accorde volontiers que, dans la pratique, les obligations, rapports et relations entre les uns et les autres peuvent être plus compliqués/confus que cela…
Meilleures salutations
Maître,
Veuillez accepter mes remerciements ! Je comprends mieux la situation: j’ai imputé à tord les obligations du maître de fichiers à son sous-traitant.
Avec mes salutations les meilleures
Margot Menoud