Rh tech, web scraping et protection des données

Publié le 13 juillet 2022 par Me Philippe Ehrenström
Photo de Sebastiaan Stam sur Pexels.com

Introduction

Les « rh tech » ont d’abord été, historiquement, des logiciels, applications et plateformes qui permettaient de simplifier et d’automatiser certaines tâches classiques des ressources humaines : saisie du temps, calcul de délais, gestion des notes de frais, etc. Avec le temps, ces outils se sont de plus en plus hybridés avec l’intelligence artificielle pour devenir analytiques ou prédictifs. Il est devenu alors possible de définir des indices divers et variés sur le comportement ou d’analyser la posture corporelle et la voix lors du recrutement par exemple. Un certain nombre de ces nouveaux outils recourent maintenant peu ou prou au web scraping, i.e. à l’aspiration et la copie par différents mécanismes de données publiques trouvées sur le net. Les acteurs économiques qui proposent ces nouvelles « rh tech » matinées d’intelligence artificielle se comptent aujourd’hui par centaines, et développent des tactiques de promotion agressives pour capter la clientèle.

Dans ce contexte, nous traiterons ici de la sous-traitance, des données accessibles et de la protection des données du travailleur à l’aune de la nouvelle loi fédérale du 25 septembre 2020 sur la protection des données, adoptée le 25 septembre 2020, et qui devrait renter en vigueur en septembre 2023 (nLPD ; FF 2020 7397).

Sous-traitance

Les outils « rh tech » constituent d’abord bien évidemment des traitements de données, i.e. des opérations relatives à des données personnelles, quels que soient les moyens et procédés utilisés, notamment la collecte, l’enregistrement, la conservation, l’utilisation, la modification, la communication, l’archivage, l’effacement ou la destruction de données (art. 5 let. d nLPD). Et il s’agit bien de données, i.e. d’informations concernant une personne physique identifiée ou identifiable (le travailleur), voire de données sensibles (art. 5 let. a et let. c nLPD).

La particularité est ici que ce n’est pas l’employeur qui traite directement ces données récoltées par web scraping, mais bien la société de « rh tech » qui vend ses services. Celle-ci agit alors comme un sous-traitant, soit comme une personne privée qui traite des données personnelles pour le compte du responsable de traitement, qui serait l’employeur (art. 5 let. j et let. k nLPD). La sous-traitance de données est possible, mais si et pour autant qu’un contrat ou la loi le prévoie, que seuls soient effectués les traitements que le responsable de traitement serait en droit d’effectuer lui-même et qu’aucune obligation légale ou contractuelle de garde rle secret ne l’interdise (art. 9 al. 1 nLPD). Le responsable du traitement doit en particulier s’assurer que le sous-traitant est en mesure de garantir la sécurité des données (art. 9 al. 2 nLPD).

Données librement accessibles ?

La particularité des « rh tech » qui utilisent le web scraping est qu’il est fait usage de données librement accessibles sur le net, et qui sont « aspirées » puis traitées par l’intelligence artificielle.

On pourrait dès lors en conclure qu’un tel traitement ne porte pas atteinte à la personnalité des personnes concernées en application de l’art. 30 al. 3 nLPD, lequel prévoit qu’« en règle générale, il n’y a pas atteinte à la personnalité lorsque la personne concernée a rendu les données personnelles accessibles à tout un chacun et ne s’est pas opposée expressément au traitement ». Rappelons ici qu’en droit suisse, ce n’est pas le traitement de données en tant que tel qui doit être justifié, mais bien l’atteinte à la personnalité qu’il peut entraîner (contrairement au droit européen). Celui qui traite des données personnelles ne doit ainsi pas porter une atteinte illicite à la personnalité de la personne concernée (art. 30 al. 1 nLPD). Constitue notamment une telle atteinte le fait de traiter des données personnelles en violation des principes définis aux art. 6 et 8 nLPD, le traitement de données contre la manifestation expresse de volonté de la personne concernée ou la communication à des tiers de données sensibles (art. 30 al. 2 nLPD).

Cela étant dit, l’art. 30 al. 3 nLPD est une présomption légale (FF 2017 6565), ce qui signifie que la personne concernée aura toujours la possibilité de démontrer qu’elle a subi une atteinte à la personnalité. L’art. 30 al. 2 n’est, soulignons-le, pas exhaustif (« notamment »).

Dans les rapports de travail, une telle atteinte peut résulter de l’application de l’art. 328b CO.

Atteinte à la personnalité du travailleur (art. 328b CO)

L’employeur est tenu de protéger et respecter, dans les rapports de travail, la personnalité du travailleur (art. 328 al. 1 CO).

Concernant plus particulièrement le traitement de données en lien avec le contrat de travail, l’employeur ne peut traiter des données concernant le travailleur que dans la mesure où elles portent sur les aptitudes du travailleur à remplir son emploi ou sont nécessaires à l’exécution du contrat de travail. En outre, les dispositions de la LPD sont applicables. (Art. 328b CO).

L’aptitude à remplir son emploi concerne toutes les informations permettant de déterminer si la personne possède les capacités et qualités personnelles et professionnelles requises : diplômes, certificats de travail, etc. Ces données peuvent donc être traitées avant la conclusion du contrat de travail, et même si celui-ci ne vient pas à chef. Concernant les données nécessaires à l’exécution du contrat de travail, il s’agit de toutes les informations permettant à l’employeur de remplir ses obligations légales et conventionnelles, par exemple vis-à-vis des assurances sociales, de l’impôt à la source, etc.

Le Tribunal fédéral a précisé que l’art. 328b CO introduit une présomption de licéité du traitement de données lorsqu’elles «portent sur les aptitudes du travailleur à remplir son emploi ou sont nécessaires à l’exécution du contrat» (ATF 130 II 425 consid. 3.3). Le traitement de données est donc en principe licite lorsqu’il est en relation directe avec la conclusion ou l’exécution d’un contrat.

On admet toutefois u’un traitement de données s’inscrivant dans le champ de l’art. 328b CO (i.e. a priori licite) doit aussi respecter les principes généraux de la LPD, en particulier la licéité, la bonne foi et la proportionnalité (arrêt du Tribunal fédéral 4A_518/2020 du 25 août 2021, consid. 4). Lorsque le traitement de données n’entre pas dans le cadre de l’art. 328b CO, il est présumé illicite et doit pouvoir se fonder sur un motif justificatif (loi, intérêt public ou privé prépondérant, consentement – qui ne pourra pas être invoqué au détriment du travailleur.

En d’autres termes, la présomption de l’art. 30 al. 3 nLPD peut être renversée si (i) le traitement de données concernant le travailleur porte sur les aptitudes du travailleur à remplir son emploi ou sont nécessaires à l’exécution du contrat de travail mais viole les autres principes découlant de la nLPD ou (ii) si le traitement ne satisfait pas aux critères de l’art. 328b CO et ne repose pas sur d’autres faits justificatifs.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

A propos Me Philippe Ehrenström

Ce blog présente certains thèmes juridiques en Suisse ainsi que des questions d'actualité. Il est rédigé par Me Philippe Ehrenström, avocat indépendant, LL.M. (Tax), Genève et Yverdon.
Cet article, publié dans Protection de la personnalité, Protection des données, est tagué , , , , , , . Ajoutez ce permalien à vos favoris.

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Gravatar
Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Annuler

Connexion à %s