Imposition du couple, époux fonctionnaire européen domicilié au Luxembourg

Photo de Pixabay sur Pexels.com

Le litige porte sur la prise en compte, pour la détermination du taux d’imposition applicable à la recourante pour la période fiscale 2014, des revenus et de la fortune de son époux, alors domicilié au Luxembourg et exerçant une activité en tant que fonctionnaire auprès du Parlement européen.

Aux termes des art. 3 al. 1 LIFD et 3 al. 1 LI, les personnes physiques sont assujetties à l’impôt à raison du rattachement personnel lorsque, au regard du droit fiscal, elles sont domiciliées ou séjournent en Suisse respectivement dans le canton (cf. ég. art. 3 al. 1 de la loi fédérale du 14 décembre 1990 sur l’harmonisation des impôts directs des cantons et des communes – LHID; RS 642.14). L’assujettissement fondé sur un rattachement personnel est illimité; il ne s’étend toutefois pas aux entreprises, aux établissements stables et aux immeubles situés à l’étranger respectivement hors du canton (art. 6 al. 1 LIFD et 6 al. 1 LI).

Selon les art. 9 al. 1 LIFD et 9 al. 1 LI, les revenus – respectivement le revenu et la fortune – des époux qui vivent en ménage commun sont additionnés, quel que soit le régime matrimonial (cf. ég. art. 3 al. 3, 1ère phrase, LHID). Le fait que des époux se sont constitué chacun un domicile fiscal propre ne signifie pas qu’ils sont séparés de fait ou de droit et doivent être imposés séparément; encore faut-il, en particulier, qu’ils aient renoncé à maintenir leur union conjugale.

Une imposition conjointe en application de l’art. 9 al. 1 LIFD (respectivement 9 al. 1 LI) n’est admissible que lorsque les deux époux sont soumis à la souveraineté fiscale suisse (respectivement vaudoise). Lorsque seul un des époux est assujetti en Suisse (respectivement dans le canton de Vaud) et que l’autre époux a son domicile fiscal à l’étranger, seul celui domicilié en Suisse (respectivement dans le canton de Vaud) y est assujetti à l’impôt de manière illimitée (art. 3 al. 1 LIFD et 3 al. 1 LI); il est ainsi imposé sur ses seuls revenus et fortune propres, les revenus et fortune de son conjoint qui réside à l’étranger étant seulement pris en considération pour calculer le taux d’imposition.

En l’espèce, l’époux de la recourante a résidé au Luxembourg, qui constituait son domicile fiscal, durant la période fiscale concernée [2014]. Les revenus et la fortune de l’intéressé sont ainsi exemptés de l’assiette imposable en Suisse, comme l’autorité intimée l’a expressément admis dans la décision sur réclamation attaquée.

Cela étant, la recourante ne conteste pas que l’union conjugale était maintenue et que, en application du droit interne tel que rappelé ci-dessus, les revenus et la fortune de son époux devraient ainsi en principe être pris en considération pour la détermination du taux d’imposition qui lui est applicable. Elle se prévaut toutefois du statut de fonctionnaire européen de son époux et du droit international applicable en la matière.

Les Etats membres de l’Union européenne ont adopté un Protocole sur les privilèges et immunités de l’Union européenne (Protocole n° 7), dont les dispositions sont « annexées au traité sur l’Union européenne, au traité sur le fonctionnement de l’Union européenne et au traité instituant la Communauté européenne de l’énergie atomique ». Il en résulte notamment ce qui suit (version du 26 octobre 2012 actuellement en vigueur, Journal officiel de l’Union européenne C 326/1):

Article 12 / (ex-article 13)

Dans les conditions et suivant la procédure fixée par le Parlement européen et le Conseil statuant par voie de règlements conformément à la procédure législative ordinaire et après consultation des institutions concernées, les fonctionnaires et autres agents de l’Union sont soumis au profit de celle-ci à un impôt sur les traitements, salaires et émoluments versés par elle.

Ils sont exempts d’impôts nationaux sur les traitements, salaires et émoluments versés par l’Union.

Selon la jurisprudence de la Cour de justice de l’Union européenne (CJUE) rendue en application de cette disposition, « le fait de percevoir un impôt national […] tout en prenant en considération, pour en déterminer le montant final, les revenus versés par l’Union qui sont exemptés d’impôts nationaux équivaut à l’imposition indirecte de ces revenus, en violation de l’article 13 [désormais art. 12], second alinéa, du Protocole » (arrêt C-588/10 du 5 juillet 2012 Bourgès-Maunoury, par. 28).

Le Protocole n° 7, en particulier son art. 12 (auparavant art. 13) reproduit ci-dessus, a été repris tel quel en tant qu’annexe (Annexe A) à l’Accord entre la Confédération suisse et la Communauté européenne sur le transport aérien (Accord sur le transport aérien) conclu le 21 juin 1999 et entré en vigueur le 1er juin 2002 (RS 0.748.127.192.68). Les modalités d’application en Suisse de ce protocole en tant qu’annexe à l’accord concerné sont prévues dans un appendice (Appendice de l’Annexe A) dont il résulte en particulier ce qui suit:

1.    Extension de l’application à la Suisse

Toute référence faite aux Etats membres dans le protocole sur les privilèges et immunités de l’Union européenne […], doit être comprise comme incluant également la Suisse, à moins que les dispositions qui suivent n’en conviennent autrement.

[…]

3. Modalités d’application des règles relatives au personnel de l’Agence

En ce qui concerne l’art. 13 [recte: art. 12], alinéa 2, du protocole, la Suisse exempte, selon les principes de son droit interne, les fonctionnaires et autres agents de l’Agence au sens de l’art. 2 du règlement (Euratom, CECA, CEE) n° 549/69 des impôts fédéraux, cantonaux et communaux sur les traitements, salaires et émoluments versés par l’Union européenne et soumis au profit de celle-ci à un impôt interne.

Le Protocole n° 7, en particulier son art. 12 (auparavant art. 13), a également été repris en tant qu’annexe à d’autres accords signés par la Suisse. Parmi les accords évoqués à ce propos par l’autorité intimée dans la décision sur réclamation attaquée, peuvent être mentionnés, en particulier, l’Accord entre la Confédération suisse et la Communauté européenne concernant la participation de la Suisse à l’Agence européenne pour l’environnement et au réseau européen d’information et d’observation pour l’environnement (EIONET) conclu le 26 octobre 2004 et entré en vigueur le 1er avril 2006 (RS 0.814.092.681), ou encore l’Arrangement entre la Confédération suisse et l’Union européenne sur les modalités de sa participation au Bureau européen d’appui en matière d’asile conclu le 10 juin 2014 et entré en vigueur le 1er mars 2016 (RS 0.142.392.681). Les modalités d’application en Suisse de ce protocole en tant qu’annexe à ces accords et autres arrangements font l’objet d’un appendice dont la teneur est similaire à celle de l’Appendice de l’Annexe A à l’Accord sur le transport aérien reproduit ci-dessus.

En l’espèce, la recourante conclut en premier lieu qu’il plaise au tribunal « d’admettre l’application du protocole sur les privilèges et immunités de l’Union européenne ».

Il s’impose de constater d’emblée que, d’une façon générale, le Protocole n° 7 n’est pas applicable à la Suisse en tant qu’il est annexé au traité sur l’UE – puisque la Suisse n’est pas membre de l’UE. Il n’est pas contesté pour le reste que la Suisse n’a pas conclu d’accord qui porterait directement sur les privilèges et immunités applicables au personnel du Parlement européen.

Quant au fait que, dans sa teneur en tant qu’annexe à l’Accord sur le transport aérien, ce protocole prévoit à son art. 12 l’exemption d’impôts nationaux pour les « fonctionnaires et autres agents de l’Union », il ne saurait avoir pour conséquence, à l’évidence, que seraient concernés l’ensemble des fonctionnaires et agents de l’UE. Cette formulation générale résulte bien plutôt du fait que le Protocole n° 7 a dans ce cadre été repris tel quel en tant qu’annexe à l’accord en cause, lequel n’en limite pas moins expressément son champ d’application en prévoyant à son art. 2 que « les dispositions du présent Accord et de son annexe s’appliquent pour autant qu’elles concernent le transport aérien ou des objets directement liés au transport aérien, tel que mentionné dans l’annexe du présent accord ». C’est ainsi à la lumière de cette disposition que doit être interprétée la teneur du Protocole n° 7 en tant qu’annexe à cet accord, en ce sens que, s’agissant en particulier de l’art. 12 al. 2, seuls sont concernés par l’exemption prévue les fonctionnaires et autres agents de l’Union exerçant une activité liée au transport aérien. Il en va de même de l’Appendice de l’Annexe A, dont la portée est soumise à la même limitation que l’annexe elle-même; ce n’est que dans ce cadre restreint que la référence aux Etats membres dans le protocole concerné doit être comprise comme incluant également la Suisse selon le ch. 1 de cet appendice. La distinction que voudrait opérer la recourante dans son recours entre la portée respective des ch. 1 et 3 de l’Appendice de l’Annexe A (cf. let. C supra) ne résiste pas à l’examen.

Les remarques qui précèdent conservent toute leur pertinence, mutatis mutandis, s’agissant des autres accords et arrangements signés par la Suisse auxquels le Protocole n° 7 a été annexé, lesquels prévoient systématiquement une disposition limitant l’application de ce dernier à l’entité respectivement au personnel de l’entité concernés par l’accord ou l’arrangement en cause […].

Dans la mesure où son époux, fonctionnaire auprès du Parlement européen, ne fait pas partie du personnel de l’UE concerné par un accord ou autre arrangement signé par la Suisse auquel le protocole n° 7 a été annexé, la recourante ne peut en conséquence se prévaloir de l’application directe de ce protocole.

La recourante conclut également qu’il plaise au tribunal « d’admettre une interprétation par analogie de ce protocole ». Elle soutient en substance à ce propos que, dans la mesure où les fonctionnaires de l’UE sont soumis à la même législation européenne sur le statut des fonctionnaires et doivent ainsi être considérés comme étant des employés d’un même employeur macro-économique, une application du Protocole n° 7 limitée à certains fonctionnaires européens constituerait une inégalité de traitement, respectivement qu’une distinction introduite par la Suisse qui dépendrait de la signature d’un accord avec une entité spécifique de l’UE paraît arbitraire. Elle relève en outre que le Parlement européen n’a pas le pouvoir de signer un accord bilatéral avec la Suisse prévoyant de tels privilèges et immunités et soutient que, si la Suisse accepte l’exonération des employés de certaines entités de l’UE, une extension aux organes de l’UE qui ne sont pas en mesure de conclure eux-mêmes un accord de ce type « paraît justifiée ».

Ces griefs ne résistent pas davantage à l’examen.

D’une façon générale, le principe de la légalité, qui régit l’ensemble de l’activité de l’Etat (cf. art. 5 al. 1 Cst.) et revêt une importance particulière en droit fiscal où il est érigé en droit constitutionnel indépendant (cf. art. 127 al. 1 Cst.), exige non seulement que le cercle des contribuables mais également que les exceptions à l’assujettissement soient définis dans une loi au sens formel. Le principe de la légalité interdit toute application par analogie. Quant au principe de l’égalité de traitement (tel que garanti par les art. 8 Cst. et 10 Cst-VD; cf. ég. art. 127 al. 2 Cst. et 167 al. 2 Cst-VD s’agissant des contributions), une norme viole ce principe lorsqu’elle établit des distinctions juridiques qui ne se justifient par aucun motif raisonnable au regard de la situation de fait à réglementer ou lorsqu’elle omet de faire des distinctions qui s’imposent au vu des circonstances, c’est-à-dire lorsque ce qui est semblable n’est pas traité de manière identique et ce qui est dissemblable ne l’est pas de manière différente.

Cela étant, le Protocole n° 7 ne s’applique, comme on vient de le voir, qu’au personnel de l’UE concerné par un accord ou autre arrangement signé par la Suisse auquel il est annexé; c’est dans le cadre de cette application – et dans ce cadre seulement – que le personnel concerné pourrait le cas échéant se prévaloir du principe de l’égalité de traitement. En d’autres termes, la situation d’un fonctionnaire européen ne pouvant se prévaloir du protocole en cause, faute d’accord ou autre arrangement signé par la Suisse auquel ce protocole aurait été annexé le concernant, ne saurait être considérée comme semblable à celle d’un fonctionnaire européen pouvant s’en prévaloir – la différence entre ces deux situations résidant précisément dans l’existence ou non d’un tel accord ou autre arrangement. L’existence ou non d’un accord ou autre arrangement de ce type relève pour le reste de considérations politiques; le fait qu’il en résulte que seuls certains fonctionnaires européens bénéficient des privilèges et immunités prévus par le Protocole n° 7 ne viole ni le principe de l’égalité de traitement ni l’interdiction de l’arbitraire dans ce contexte.

Quant au fait que le Parlement européen n’a pas le pouvoir de conclure un accord bilatéral avec la Suisse prévoyant des privilèges et immunités en faveur de son personnel, il ne saurait avoir quelque incidence que ce soit sur ce qui précède. Un tel accord en faveur du personnel en cause n’en pourrait pas moins le cas échéant être conclu par l’Union européenne, qui dispose de la personnalité juridique – et, partant, notamment de la capacité de contracter des accords internationaux – depuis la conclusion du traité de Lisbonne.

Il s’ensuit qu’en tant que l’autorité intimée a retenu que la recourante ne pouvait se prévaloir des privilèges et immunités prévus par le Protocole n° 7 dans les circonstances du cas d’espèce (et ce ni directement ni par une application par analogie), la décision sur réclamation attaquée ne prête pas le flanc à la critique.

(Arrêt de la CDAP du 30 juin 2021 (FI.2021.0011))

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans Fiscalité du revenu dépendant | Tagué , , , | Laisser un commentaire

Le certificat COVID au travail: synthèse

Photo de Pixabay sur Pexels.com

[On le sait, le Conseil fédéral a, par ordonnance du 8 septembre 2021, considérablement étendu l’utilisation du certificat COVID dans différents domaines de la vie quotidienne, y compris au travail. J’ai mis sur ce site deux notes rédigées à chaud, présentant quelques aspects relatifs l’utilisation du certificat COVID sur le lieu de travail : https://droitdutravailensuisse.com/2021/09/09/le-certificat-covid-19-sur-le-lieu-de-travail/ et https://droitdutravailensuisse.com/2021/09/10/le-certificat-covid-19-sur-le-lieu-de-travail-2/. L’abondance des réactions publiques depuis lors face à ce coup de force exécutif, les « retours » que je peux recueillir de mes clients employés et employeurs, me permettent aujourd’hui d’essayer d’élaborer une courte note de synthèse.]

Introduction

La présente note traite de l’utilisation du certificat COVID-19 (ci-après le « certificat ») sur le lieu de travail, selon les termes de la modification du 8 septembre 2021 de l’ Ordonnance du 23 juin 2021 sur les mesures destinées à lutter contre l’épidémie de COVID-19 en situation particulière (Ordonnance COVID-19 situation particulière ; RO 2021 379), modification qui entrant en vigueur le 13 septembre 2021! (Cf. Ordonnance du 8 septembre 2021 sur les mesures destinées à lutter contre l’épidémie de COVID-19 en situation particulière (Ordonnance COVID-19 situation particulière) (Extension de l’utilisation du certificat COVID-19 ; RO 2021 542).

Art. 25 al. 2bis et 2ter Ordonnance COVID-19 situation particulière

Sur le fond, le Conseil fédéral a modifié l’art. 25 de l’Ordonnance COVID-19 situation particulière) en y ajoutant deux alinéas. Sans revenir ici sur la protection des employés vulnérables, qui est sujet en soi, les al. 1 et 2 actuels de l’art. 25 prévoient que l’employeur garantit que les employés puissent respecter les recommandations de l’OFSP en matière d’hygiène et de distance. À cette fin, les mesures correspondantes doivent être prévues et mises en œuvre. L’employeur prend aussi d’autres mesures en vertu du principe STOP (substitution, tech nique, organisation, personnel), notamment la possibilité de travailler à domicile, la mise en place de séparations physiques, la séparation des équipes, l’aération régulière ou le port d’un masque facial. Les al. 2bis et 2ter nouveaux de l’art. 25 prévoient maintenant que l’employeur est habilité à vérifier que son personnel dispose d’un certificat si cela permet de définir des mesures de protection appropriées ou de mettre en œuvre un plan de dépistage. Le résultat de la vérification ne peut pas être utilisé à d’autres fins. Si l’employeur prévoit de vérifier que son personnel dispose d’un certificat conformément à l’al. 2bis, il doit le préciser par écrit, ainsi que les mesures qui en découlent. Les employés ou leurs représentants doivent être consultés au préalable.

Dans un document intitulé FAQ – Extension de l’obligation de certificat, daté du 8 septembre 2021, au ch. 6 (cf. https://www.newsd.admin.ch/newsd/message/attachments/68145.pdf) l’OFSP tente « d’expliciter » le cadre de cette extension :

« (…)  un employeur peut exiger un certificat pour les employés dans le cadre de son devoir de diligence (par exemple, dans les hôpitaux). Ils (sic) peuvent vérifier la présence d’un certificat pour leurs employés si cela sert à déterminer les mesures de protection appropriées ou la mise en œuvre du concept de test. (…) L’employeur doit consigner par écrit s’il souhaite prendre des mesures de protection ou de mise en œuvre d’un concept de test sur la base du certificat Covid. Les employés doivent être consultés à ce sujet. L’employeur ne peut pas utiliser le résultat de la vérification du certificat à d’autres fins. En outre, il ne doit pas y avoir de discrimination entre les employés vaccinés, les employés guéris et les non-vaccinés.

Si l’obligation s’applique aux employés, l’entreprise doit proposer des tests réguliers (par exemple hebdomadaires) ou assumer les coûts des tests si elle ne propose pas de tests répétés. Si l’employeur prévoit des mesures différenciées (p. ex. port de masques ou bureau à domicile pour les personnes sans certificat), il ne doit pas supporter les coûts du test.

Dans le cas d’une institution de droit public, il doit exister une base juridique pour le traitement des données relatives à la santé afin d’introduire une obligation de certificat. »

Le régime applicable à la protection des données en droit du travail

L’employeur, dans le cadre de toute relation de travail, est amené à traiter une vaste quantité de données, dont des données sensibles au sens de l’art. 5 let. c LPD, dont des informations sur la santé. Il doit également assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles (art. 7 al. 1 LPD).

Selon l’art. 328b CO, l’employeur ne peut traiter des données concernant le travailleur que dans la mesure où ces données portent sur les aptitudes du travailleur à remplir son emploi ou sont nécessaires à l’exécution du contrat de travail. En outre, les dispositions de la loi fédérale du 19 juin 1992 sur la protection des données sont applicables.

L’art. 328b CO mentionne deux types de données personnelles que l’employeur est, en principe, autorisé à traiter (faits justificatifs), sous réserve des principes généraux de la protection des données.

Le premier fait justificatif de l’art. 328b CO est celui de l’aptitude à remplir son emploi. Cela concerne toutes les informations permettant de déterminer si la personne possède les capacités et qualités personnelles et professionnelles requises : diplômes, certificats de travail, etc.

Le second fait justificatif concerne les données nécessaires à l’exécution du travail, i.e. toutes les informations permettant à l’employeur de remplir ses obligations légales et conventionnelles, par exemple vis-à-vis des assurances sociales, de l’impôt à la source, etc.

L’employeur doit aussi respecter les principes généraux de tout traitement de données. Le principe de proportionnalité est pratiquement très important (art. 4 al. 2 LPD in fine) : l’employeur ne doit traiter que les donnes nécessaires et de la manière la moins intrusive possible. Le traitement obéit aussi aux principes de finalité et de reconnaissabilité, il doit être opéré dans le respect du but qui a présidé à la collecte et qui était reconnaissable par la personne concernée (art. 4 al. 3 et 4 LPD. Les données doivent enfin être actualisées et conformes à la réalité (art. 5 al. 1 LPD).

Examen des situations permettant de demande le certificat COVID

L’employeur n’est donc pas « obligé » de procéder à l’extension du certificat sur le lieu de travail, mais il « peut » le faire (i) dans le cadre de son devoir de diligence, (ii) pour déterminer les mesures appropriées (plan de protection) ou (iii) pour mettre en œuvre un « concept de test ».

La première hypothèse se conçoit à peu près et se réfère sans doute aux situations où l’employeur est tenu d’agir en raison d’une obligation de protéger ou de ne pas nuire, par exemple en présence de personnes fragiles ou à risque (personnes âgées, malades, etc.) Dans les faits, des mesures pratiques ont déjà été prises par maints employeurs dans les EMS, homes, hôpitaux, etc. visant à protéger particulièrement des populations vulnérables, qui sont d’ailleurs aujourd’hui parmi les plus vaccinées. Des tests ont ainsi été demandés, des mesures organisationnelles prises. On ne voit dès lors pas très bien ce que la modification du 8 septembre apporterait de plus, ni à quel impératif elle obéirait.

La seconde hypothèse se comprend en rapport avec le plan de protection des art. 10 et ss de l’Ordonnance COVID-19 situation particulière, soit les mesures qui règlementent notamment les mesures d’hygiène et de distance, le port du masque, la collecte de données, etc. Elle consacre, ce faisant, une thèse très contestée selon laquelle la présentation du certificat pouvait déjà se déduire de l’obligation faite à l’employeur de présenter des plans de protection, dans la mesure où le plan devrait pouvoir être adapté au statut vaccinal ou sérologique des employés. La modification du 8 septembre n’aurait donc été qu’une « mise en forme ».

Cette argumentation apparaît très contestable, d’abord en ce qu’elle passe sur le caractère obligatoire de la révélation de l’information, d’une part, et ensuite parce qu’elle « glisse » sur la question de l’application des critères de l’art. 328b CO ainsi que sur le respect du principe de proportionnalité. Est-il nécessaire et adéquat de demander le statut vaccinal des employés pour juger les attitudes nécessaires à l’emploi, et cette information est-elle nécessaire dans l’exécution du travail ? Est-il possible de procéder par d’autres mesures moins incisives ? Poser la question, c’est y répondre : c’est ce qu’ont fait les employeurs depuis le début de la pandémie, en proposant et en mettant en œuvre des plans de protection sans demander le statut vaccinal, et avec un certain succès. Rien n’indique en tout cas que la connaissance du statut vaccinal remplisse les conditions de l’art. 328b CO ou soit indispensable à la mise en œuvre d’un plan de protection, ni que les plans auraient échoué dans le passé faute de connaître ces informations particulières.

Certains auteurs tournent la difficulté en mettant en avant le fait que l’information devrait être faite par l’employé sur une base volontaire. Outre que l’extension du certificat a rendu la question obsolète, on remarquera que le consentement au traitement de données devrait être libre et éclairé, ce qui n’a rien d’évident dans le cadre de rapports de travail.

La troisième hypothèse se réfère à l’art. 7 al. 4 de l’Ordonnance COVID-19 situation particulière, soit la possibilité d’exempter de quarantaine les personnes qui travaillent dans des entreprises ayant un plan de dépistage. Là aussi, on peine à voir en quoi les plans de dépistage antérieurs à la modification du 8 septembre 2021 rendraient aujourd’hui nécessaires la connaissance du statut vaccinal, et en quoi cette méconnaissance les aurait rendus inefficaces, redondants ou superfétatoires. Par ailleurs la participation à un plan de dépistage doit s’effectuer sur une base volontaire (OFSP, Questions fréquentes – élargissement de la stratégie de test, 27 janvier 2021, ch. 4), ce qui n’est pas compatible avec la connaissance « forcée » des indications figurant sur le certificat.

Les garanties offertes aux employés

La « consultation » des travailleurs, le principe de finalité (i.e. la consultation du certificat ne peut pas être utilisée à d’autres fins que celles exposées ci-dessus) et l’affirmation que les employeurs ne sont pas censés discriminer entre les vaccinés, les non vaccinés et les guéris seraient censé constituer des garanties suffisantes dans la mise en œuvre de l’extension de l’utilisation du certificat sur le lieu de travail.

On peut toutefois fermement douter que ces garanties suffisent à protéger efficacement et concrètement les intérêts des employés concernés.

La « consultation » n’est pas une approbation [sauf dans certains cas très particuliers prévus par la loi]. Il est donc parfaitement mensonger de prétendre, comme le font certaines voix, que l’extension du certificat serait soumise à l’approbation des employés.

Le respect du principe de finalité sera très aléatoire en pratique. Est-ce que le Conseil fédéral estime sérieusement que des employeurs soumis à la pression de leurs clients, aux nécessités de baisser leurs coûts ou à la volonté de complaire, vont se contenter de traiter l’utilisation du certificat dans le cadre limité des plans de protection et des tests ? Si un client leur dit qu’ils ne voudront traiter qu’avec des employés en service externe avec un certificat à jour, que va-t-il se passer ? On en lira un très bel exemple dans le Temps du 11 septembre 2021 : consultation publique expresse des salariés, et adoption de l’extension du certificat notamment pour « protéger les clients et les partenaires »… ce qui n’a rien à voir avec les finalités des al. 2bis et 2ter.

Quant à l’interdiction de discriminer entre les vaccinés, les non vaccinés et les guéris, outre son côté très déclaratoire, il suffit de prendre en compte ce qui se passe dans les entreprises déjà aujourd’hui, les tensions entre employés, les pressions des employeurs, pour comprendre que cela restera probablement très théorique.

Conclusion

Il faut le comprendre, et il aurait fallu le dire : l’extension de l’utilisation du certificat sur le lieu de travail prévue par l’ordonnance du 8 septembre ne fait que préparer et annoncer une utilisation beaucoup plus large et intensive de ce document dans les rapports de travail (et dans la société en général). Et cela même s’il faut s’accommoder, pour ce faire, de normes mal faites, mal pensées, dépourvues de garanties sérieuses pour les employés et empreintes d’une certaine hypocrisie…

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans Coronavirus - Covid 19, Protection de la personnalité, Protection des données | Tagué , , , | Laisser un commentaire

Le certificat COVID-19 sur le lieu de travail (2)

Photo de Keith Lobo sur Pexels.com

On a expliqué hier les traits généraux de l’utilisation du certificat CODID-19 sur le lieu de travail (https://droitdutravailensuisse.com/2021/09/09/le-certificat-covid-19-sur-le-lieu-de-travail/). Il vaut la peine aujourd’hui de s’arrêter sur un à-côté de ce dispositif, à savoir la différence de traitement qui en résultera pour les salariés du public et ceux du privé.

En effet, l’utilisation du certificat COVID-19 est un traitement de données, de données sensibles en particulier. Or les organes fédéraux et cantonaux sont soumis à l’obligation fonder leurs traitements de données sur une base légale, base légale qui doit être formelle si les données sont sensibles (art. 17 al. 1 et 2 LPD ; il existe des dispositions similaires dans les droits cantonaux).

L’OFSP l’exprime, de manière assez maladroite, au point no 6 de son document FAQ – Extension de l’obligation de certificat, 8 septembre 2021 (https://www.newsd.admin.ch/newsd/message/attachments/68145.pdf): « Dans le cas d’une institution de droit public, il doit exister une base juridique pour le traitement des données relatives à la santé afin d’introduire une obligation de certificat. » C’est maladroit parce que l’exigence de la base légale s’applique aussi aux personnes morales et physiques de droit privé chargées d’exécuter des tâches de droit public dans l’accomplissement desdites tâches, mais passons….

Résultat ? L’introduction du certificat COVID-19 suivra un processus de « consultation » des travailleurs dans le secteur privé, dont le moins que l’on puisse dire est qu’il n’est guère contraignant et qu’il sera probablement « express », alors que les salariés du secteur public auront l’avantage de ne se faire imposer le certificat qu’après l’adoption d’une base légale formelle, processus qui prend du temps, qui expose le texte à la critique et au débat démocratique, etc.

On aura ainsi deux catégories d’employés, plus ou moins bien protégés selon leur statut, et ce face à des exigences sanitaires strictement identiques. Magie du droit d’urgence !

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans Coronavirus - Covid 19, Protection de la personnalité, Protection des données | Tagué , , , | Laisser un commentaire

Le certificat COVID-19 sur le lieu de travail

Photo de Keith Lobo sur Pexels.com

La présente note ne traitera pas du certificat COVID-19 (ou d’autres instruments similaires type « pass sanitaire ») en général. François-Xavier Bellamy et Loïc Hervé ont déjà exprimé, mieux que je ne saurais le faire, ce qu’il faut penser de ces nouveaux instruments de contrôle (https://www.fxbellamy.fr/2021/07/15/pass-sanitaire-sortir-de-l-impasse-sanitaire-tribune-figaro/). Elle s’attardera par contre sur le régime applicable particulier relatif  à l’utilisation du certificat COVID-19 (ci-après le « certificat ») sur le lieu de travail, et ce selon les termes de la modification du 8 septembre 2021 de l’ Ordonnance du 23 juin 2021 sur les mesures destinées à lutter contre l’épidémie de COVID-19 en situation particulière (Ordonnance COVID-19 situation particulière ; RO 2021 379), modification qui entrera en vigueur… lundi prochain 13 septembre 2021! (Cf. Ordonnance du 8 septembre 2021 sur les mesures destinées à lutter contre l’épidémie de COVID-19 en situation particulière (Ordonnance COVID-19 situation particulière) (Extension de l’utilisation du certificat COVID-19 ; RO 2021 542 – le texte est accessible de manière provisoire ici : https://www.bag.admin.ch/bag/fr/home/das-bag/aktuell/medienmitteilungen.msg-id-85035.html).

Une remarque en passant sur la technique législative : cette énième modification des ordonnances COVID oblige à une gymnastique pénible entre plusieurs textes d’états différents, ce qui ne contribue pas à en clarifier et en simplifier la perception.

Sur le fond, le Conseil fédéral a modifié l’art. 25 de l’Ordonnance COVID-19 situation particulière) en y ajoutant deux alinéas. Sans revenir ici sur la protection des employés vulnérables, qui est sujet en soi, les al. 1 et 2 de l’art. 25 prévoient que l’employeur garantit que les employés puissent respecter les recommandations de l’OFSP en matière d’hygiène et de distance. À cette fin, les mesures correspondantes doivent être prévues et mises en œuvre. L’employeur prend aussi d’autres mesures en vertu du principe STOP (substitution, tech nique, organisation, personnel), notamment la possibilité de travailler à domicile, la mise en place de séparations physiques, la séparation des équipes, l’aération régulière ou le port d’un masque facial. Les art. 2bis et 2ter nouveaux qui, répétons-le, vont entrer en vigueur lundi 13 septembre, prévoient maintenant que l’employeur est habilité à vérifier que son personnel dispose d’un certificat si cela permet de définir des mesures de protection appropriées ou de mettre en œuvre un plan de dépistage. Le résultat de la vérification ne peut pas être utilisé à d’autres fins. Si l’employeur prévoit de vérifier que son personnel dispose d’un certificat conformément à l’al. 2bis, il doit le préciser par écrit, ainsi que les mesures qui en découlent. Les employés ou leurs représentants doivent être consultés au préalable.

Dans un document intitulé FAQ – Extension de l’obligation de certificat, daté du 8 septembre 2021 (cf. https://www.newsd.admin.ch/newsd/message/attachments/68145.pdf) l’OFSP tente « d’expliciter » le cadre de cette extension. Citons-le :

« 6. Les employés d’un établissement pour lequel l’obligation du certificat existe doivent-ils également posséder un certificat, par exemple le personnel de service dans les restaurants, les moniteurs de fitness, les surveillants de musée ou les bénévoles lors de manifestations sportives ?

Non, mais un employeur peut exiger un certificat pour les employés dans le cadre de son devoir de diligence (par exemple, dans les hôpitaux). Ils peuvent vérifier la présence d’un certificat pour leurs employés si cela sert à déterminer les mesures de protection appropriées ou la mise en œuvre du concept de test. (…) L’employeur doit consigner par écrit s’il souhaite prendre des mesures de protection ou de mise en œuvre d’un concept de test sur la base du certificat Covid. Les employés doivent être consultés à ce sujet. L’employeur ne peut pas utiliser le résultat de la vérification du certificat à d’autres fins. En outre, il ne doit pas y avoir de discrimination entre les employés vaccinés, les employés guéris et les non-vaccinés.

Si l’obligation s’applique aux employés, l’entreprise doit proposer des tests réguliers (par exemple hebdomadaires) ou assumer les coûts des tests si elle ne propose pas de tests répétés. Si l’employeur prévoit des mesures différenciées (p. ex. port de masques ou bureau à domicile pour les personnes sans certificat), il ne doit pas supporter les coûts du test.

Dans le cas d’une institution de droit public, il doit exister une base juridique pour le traitement des données relatives à la santé afin d’introduire une obligation de certificat. »

L’employeur n’est donc pas « obligé » de procéder à l’extension du certificat sur le lieu de travail, mais il « peut » le faire (i) dans le cadre de son devoir de diligence, (ii) pour déterminer les mesures appropriées (plan de protection) ou (iii) pour mettre en œuvre un « concept de test ».

La première hypothèse se réfère sans doute aux situations où l’employeur est tenu d’agir en raison d’une obligation de protéger ou de ne pas nuire, par exemple en présence de personnes fragiles ou à risque (personnes âgées, malades, etc.)

La seconde hypothèse se comprend en rapport avec le plan de protection des art. 10 et ss de l’Ordonnance COVID-19 situation particulière, soit les mesures qui règlementent notamment les mesures d’hygiène et de distance, le port du masque, la collecte de données, etc,

La troisième hypothèse se réfère à l’art. 7 al. 4 de l’Ordonnance COVID-19 situation particulière, soit la possibilité d’exempter de quarantaine les personnes qui travaillent dans des entreprises ayant un plan de dépistage qui remplit les conditions suivantes: le plan permet au personnel de se faire tester facilement et prévoit de l’informer régulièrement des avantages que le test procure; le personnel peut se faire tester au minimum une fois par semaine; les conditions pour la prise en charge des tests par la Confédération sont remplies.

Le contrôle ne se fait pas « une fois pour toute », mais à chaque fois et régulièrement pour s’assurer que le certificat est toujours valable (cf. OFSP, Contrôle du certificat COVID : questions fréquentes, 8 septembre 2021 ; https://www.newsd.admin.ch/newsd/message/attachments/68148.pdf).

La « consultation » des travailleurs, le principe de finalité (i.e. la consultation du certificat ne peut pas être utilisée à d’autres fins que celles exposées ci-dessus) et l’affirmation que les employeurs ne sont pas censés discriminer entre les vaccinés, les non vaccinés et les guéris sont censé constituer des garanties suffisantes dans la mise en œuvre de l’extension de l’utilisation du certificat sur le lieu de travail.

On peut toutefois fermement douter que ces garanties suffisent à protéger efficacement et concrètement les intérêts des employés concernés.

Le caractère potestatif de l’utilisation du certificat est par exemple très relatif. On ne voit pas très bien pourquoi cela devrait être une simple « possibilité », alors que, dans les faits, la tentation sera grande d’utiliser systématiquement le certificat dans le cadre de la mise en place de plan de protection ou de tests, ce qui concerne à peu près tous les employeurs. Le certificat deviendra une obligation de facto, faute de l’être de jure.

Les risques de violation des droits de la personnalité et des données des employés sont très importants. Est-ce que le Conseil fédéral estime sérieusement que des employeurs soumis à la pression de leurs clients, aux nécessités de baisser leurs coûts ou à la volonté de complaire, vont se contenter de traiter l’utilisation du certificat dans le cadre limité des plans de protection et des tests ? Si un client leur dit qu’ils ne voudront traiter qu’avec des employés en service externe avec un certificat à jour, que va-t-il se passer ? Imagine-t-on les problèmes pratiques de collecte des données et de préservation du secret ? Et quid du principe de proportionnalité ?

Concrètement, l’extension de l’utilisation du certificat sur le lieu de travail prévue par l’ordonnance du 8 septembre ne fait que préparer et annoncer une utilisation beaucoup plus large et intensive de ce document dans les rapports de travail. Il est certain que ce processus rencontre l’adhésion de maints employeurs qui y verront l’occasion de simplifier leurs processus et de baisser leurs coûts. Et, apparemment, tant pis pour les employés, qui n’auront que le processus de consultation pour se faire entendre. On peut comprendre que les syndicats soient inquiets (https://www.20min.ch/fr/story/appels-a-laide-et-a-la-clarification-du-cote-des-organisations-economiques-320681111275).

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans Coronavirus - Covid 19, Protection de la personnalité, Protection des données | Tagué , , | Laisser un commentaire

Accès indu aux données, traitement illicite, sanction

Photo de Neo sur Pexels.com

Employé communal auprès des services industriels, l’Employé est en charge de relever les compteurs de gaz et d’électricité. En litige avec son bailleur concernant la facturation de ses frais de chauffage, il consulte, collecte et organise les données de consommation de gaz de son bailleur et les enregistre sur un fichier informatique. Il s’en ouvre audit bailleur, qui dénonce le cas. L’autorité d’engagement prononce un avertissement, l’Employé recourt.

La décision attaquée retient qu’en consultant et en utilisant à des fins privées des <données> de consommation de gaz, le recourant a contrevenu à loi vaudoise du 11 septembre 2007 sur la protection des <données> personnelles (LPrD; BLV 172.65) et à ses obligations contractuelles.

La LPrD vise à protéger les personnes contre l’utilisation abusive des <données> personnelles les concernant (art. 1). Elle s’applique à tout traitement de <données> des personnes physiques ou morales (art. 3 al. 1 LPrD). Y sont notamment soumises les personnes physiques auxquelles une commune confie des tâches publiques, dans l’exécution desdites tâches (art. 3 al. 2 let. e LPrD).

En l’espèce, dès lors que le recourant est employé de la Commune de ******** et qu’il exerce son métier de releveur-encaisseur des compteurs d’électricité et de gaz au sein des SI********, il est soumis à l’application de la LPrD dans le cadre de ses activités professionnelles.

En revanche, la loi fédérale du 19 juin 1992 sur la protection des <données> (LPD; RS 235.1), invoquée par le recourant, ne lui est pas applicable, dès lors qu’elle régit le traitement de <données> effectué par des personnes privées dans le cadre d’une relation de droit privé (cf. art. 2 al. 1 let. a LPD) ou par des organes fédéraux chargés d’une tâche de la Confédération (cf. art. 2 al. 1 let. b et 3 let. h LPD), ce qui n’est pas le cas ici (voir aussi notamment CDAP GE.2016.0084 du 16 décembre 2016 consid. 2).

Selon l’art. 4 LPrD, on entend par « donnée personnelle » toute information qui se rapporte à une personne identifiée ou identifiable (ch. 1). On entend par « donnée sensible » toute donnée personnelle se rapportant: aux opinions ou activités religieuses, philosophiques, politiques ou syndicales, ainsi qu’à une origine ethnique; à la sphère intime de la personne, en particulier à son état psychique, mental ou physique; aux mesures et aides individuelles découlant des législations sociales; aux poursuites ou sanctions pénales et administratives (ch. 2). On entend par « traitement de <données> personnelles » toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des <données> personnelles, notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction (ch. 5). Enfin, on entend par « communication » le fait de rendre des <données> accessibles, notamment de les transmettre, les publier, autoriser leur consultation ou fournir des renseignements (ch. 6).

En l’occurrence, les factures de gaz ne sont certes pas des <données> sensibles, mais demeurent des <données> personnelles soumises à la LPrD, ce que le recourant admet d’ailleurs expressément dans son recours.

Aux termes de l’art. 5 al. 1 LPrD, les <données> personnelles ne peuvent être traitées que si: une base légale l’autorise (let. a); leur traitement sert à l’accomplissement d’une tâche publique (let. b). L’art. 6 LPrD précise que les <données> ne doivent être traitées que dans le but indiqué lors de leur collecte, tel qu’il ressort de la loi ou de l’accomplissement de la tâche publique concernée. L’art. 15 al. 1 LPrD prévoit pour sa part ce qui suit:

« Les <données> personnelles peuvent être communiquées par les entités soumises à la présente loi lorsque:

a.    une disposition légale au sens de l’article 5 le prévoit;

b.    le requérant établit qu’il en a besoin pour accomplir ses tâches légales;

c.    le requérant privé justifie d’un intérêt prépondérant à la communication primant celui de la personne concernée à ce que les <données> ne soient pas communiquées;

d.    la personne concernée a expressément donné son consentement ou les circonstances permettent de présumer ledit consentement;

e.    la personne concernée a rendu les <données> personnelles accessibles à tout un chacun et ne s’est pas formellement opposée à leur communication; ou

f.     le requérant rend vraisemblable que la personne concernée ne refuse son accord que dans le but de l’empêcher de se prévaloir de prétentions juridiques ou de faire valoir d’autres intérêts légitimes; dans ce cas, la personne concernée est invitée, dans la mesure du possible, à se prononcer, préalablement à la communication des <données> ».

Dans le cas d’espèce, ainsi qu’il l’a lui-même indiqué dans ses écritures et lors de son entretien du 14 août 2020, le recourant a consulté les <données> de consommation de gaz concernant son ancien bailleur, client des SI********, dans le but de s’assurer que celui-ci lui facturait correctement les frais de chauffage. Il a expliqué que son propriétaire avait refusé de lui fournir un décompte de charges précis et qu’il avait donc dressé un tableau Excel détaillant les factures des années 2018 et 2019. Le recourant est ensuite allé en discuter avec son ex-bailleur et lui a déclaré qu’il était en possession de ses <données> de consommation de gaz et qu’il pouvait les lui remettre.

En d’autres termes, le recourant a non seulement consulté, grâce à ses accès professionnels aux SI********, les <données> personnelles de son ex-bailleur, mais les a de surcroît collectées, organisées et enregistrées dans un fichier informatique privé. Il les a ainsi conservées par-devers lui, avant de les utiliser pour ses propres besoins en les communiquant à son propriétaire. Ce faisant, il s’est donc indubitablement livré au traitement et à la communication de <données> personnelles au sens de l’art. 4 ch. 5 et 6 LPrD.

Le recourant ne prétend pas, à juste titre, que ces opérations étaient autorisées par une base légale (cf. art. 5 al. 1 let. a et 15 al. 1 let. a LPrD) ou autrement nécessaires à l’accomplissement d’une tâche publique (cf. art. 5 al. 1 let. b et 15 al. 1 let. b LPrD). Il ne soutient pas non plus, toujours à raison, que les <données> de consommation de gaz de son ancien bailleur auraient été traitées conformément au but de leur collecte (cf. art. 6 LPrD). Au contraire, il a reconnu avoir agi dans l’objectif de « faire la lumière sur des potentielles erreurs de facturation », soit à des fins purement privées.

Le recourant soutient néanmoins qu’il disposait d’un intérêt privé prépondérant (cf. art. 15 al. 1 let. c LPrD) à obtenir les <données> de consommation de gaz de son ancien bailleur, dans le cadre d’un différend touchant aux charges de leur contrat de bail. Il se prévaut en particulier des art. 257b al. 2 du code des obligations du 30 mars 1911 (CO; RS 220) et 8 al. 2 de l’ordonnance fédérale du 9 mai 1990 sur le bail à loyer et le bail à ferme d’habitations et de locaux commerciaux (OBLF; RS 221.213.11). Bien que ces dispositions permettent effectivement au locataire de consulter les pièces justificatives relatives aux frais accessoires de chauffage et d’eau chaude, elles ne l’autorisent pas pour autant à obtenir et à utiliser de son propre chef les <données> personnelles du bailleur contre son gré. Comme il le souligne lui-même, le recourant aurait dû saisir les juridictions civiles compétentes en matière de bail s’il s’estimait lésé dans ses droits de locataire, plutôt que de tirer avantage de sa fonction de collecteur aux SI******** pour se procurer directement les informations confidentielles souhaitées. Contrairement à ce qu’il avance au reste, le seul fait que son ex-bailleur n’ait pas immédiatement mis fin à leur conversation ne suffit assurément pas à en conclure qu’il aurait tacitement consenti à pareil procédé (cf. art. 15 al. 1 let. d LPrD). Quant aux autres circonstances permettant la communication de <données> personnelles (cf. art. 15 al. 1 let. e et f LPrD), elles ne sont manifestement pas réalisées.

Il s’ensuit que les agissements du recourant constituent bel et bien une utilisation abusive de <données> personnelles prohibée par la LPrD.

L’autorité intimée y voit une violation des obligations contractuelles du recourant, singulièrement du devoir de diligence et de fidélité, ainsi que du secret de fonction.

En sa qualité de fonctionnaire de la Commune de ********, le recourant est soumis aux art. 15 et 19 du Statut du personnel, dont la teneur est la suivante:

« Art. 15   Exercice de la fonction a) en général

Les fonctionnaires doivent exercer leur fonction personnellement, avec diligence, conscience et fidélité; ils doivent y consacrer tout leur temps réglementaire.

 […]

Art. 19   Secret de fonction

Le personnel est tenu tant au secret professionnel qu’au secret de fonction. Cette obligation subsiste même après la cessation des rapports de service ».

Le recourant argue que dans la mesure où il a confié verbalement à son ex-bailleur des <données> de consommation de gaz qui appartenaient à celui-ci et lui étaient donc connues, il n’y aurait pas de place pour une violation du secret de fonction au sens de l’art. 320 du code pénal suisse du 21 décembre 1937 (CP; RS 311.0). Il affirme en outre qu’il a toujours respecté son devoir de fidélité, qu’il n’a pas une seule fois fait l’objet de blâmes, d’avertissements ou de mesures disciplinaires pendant toutes ses années de service et qu’il n’a pas lésé les intérêts de son employeur dans cette affaire. Enfin, il fait valoir qu’il n’a jamais bénéficié d’une formation sur la protection des <données> et que les « carences organisationnelles » des SI******** à cet égard sont de la responsabilité de son employeur.

Premièrement, il sied de préciser qu’il n’appartient pas à la Cour de céans de juger d’une éventuelle violation de l’art. 320 CP, mais aux juridictions pénales (cf. CDAP GE.2016.0084 du 16 décembre 2016 consid. 2). Cela étant, il a été établi au considérant précédent que le recourant s’est servi, pour son propre usage, des <données> personnelles de consommation de gaz de son ex-bailleur, auxquelles il a eu accès grâce à sa fonction de releveur-encaisseur aux SI********. Les <données> énergétiques ne sont toutefois pas recueillies à des fins privées, mais d’utilité publique (cf. en particulier les art. 55 ss de la loi fédérale du 30 septembre 2016 sur l’énergie [LEne; RS 730.0] et 11 de la loi vaudoise du 16 mai 2006 sur l’énergie [LVLEne; BLV 730.01]); c’est pourquoi elles ne sont pas accessibles à tout un chacun, mais uniquement à un cercle limité de personnes. Le recourant en était conscient puisque c’est précisément à défaut d’avoir réussi à obtenir ces informations de son ancien propriétaire qu’il a eu recours à ses outils professionnels. Partant, en profitant de ses accès privilégiés aux SI******** pour satisfaire ses besoins privés, le recourant a non seulement exposé des <données> confidentielles à une personne non initiée (contre son gré), mais aussi déçu la confiance que son employeur était en droit d’attendre de lui et terni l’image de celui-ci vis-à-vis du citoyen. De son propre aveu, le recourant s’est d’ailleurs bien rendu compte que ce procédé « n’était pas correct », comme il ressort du protocole de son audition.

Force est ainsi d’admettre que le recourant n’a pas exercé sa fonction avec diligence, conscience et fidélité, contrevenant ainsi à l’art. 15 du Statut du personnel. Dans ces conditions, la question de savoir si ces agissements constituent également une violation du secret de fonction au sens de l’art. 19 dudit statut – les <données> ayant été communiquées à la personne qui les connaissait déjà, et pour cause – souffre de demeurer indécise.

Pour le surplus, c’est en vain que le recourant tente de tenir son employeur pour responsable de ses propres manquements, au motif qu’il n’aurait pas reçu de formation interne au sujet de la LPrD. Le fait qu’un employé ne doive pas utiliser à des fins privées les <données> personnelles d’autrui dont il a connaissance dans le cadre de son activité professionnelle est en effet un principe de base qui ne devrait pas nécessiter d’instruction particulière. Le recourant est d’autant plus malvenu de se retrancher derrière son ignorance qu’il compte déjà trente ans de service passés aux SI********, durant lesquels son devoir de confidentialité lui a régulièrement été rappelé, ainsi qu’en attestent les formulaires d’entretiens annuels de collaboration figurant au dossier. Enfin et comme déjà dit, le recourant a lui-même reconnu l’inadéquation de son comportement.

Il s’ensuit que le recourant a bel et bien failli à ses obligations contractuelles et que l’autorité intimée était dès lors fondée, sur le principe, à prononcer une mesure à son endroit. [Confirmation de la décision prononçant un avertissement et rejet du recours]

(Arrêt de la CDAP du 12 août 2021 (GE.2020.0238)

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans Fonction publique, Protection des données | Tagué , , , | Laisser un commentaire

La décision individuelle automatisée

Photo de Mike sur Pexels.com

[Le droit suisse de la protection des données, c’est aussi du droit du travail !

En effet, outre le renvoi de l’art. 328 b CO, le droit de la protection des données s’applique à des degrés divers dans toutes les étapes de la gestion des ressources humaines, de l’engagement au contentieux en passant par la tenue du dossier personnel.

Or le droit suisse de la protection des données va connaître un bouleversement considérable au 2e semestre 2022 avec l’entrée en vigueur de la loi révisée sur la protection des données et de son ordonnance.

Contrairement à ce que l’on peut lire ici ou là, le nouveau droit de la protection des données va entraîner des adaptations substantielles des pratiques et des manières de procéder, particulièrement pour les employeurs qui ne se sont pas adaptés au RGPD car ils n’avaient pas à le faire.

Je vais donc présenter sur ce blog quelques-unes des nouveautés à venir pendant le 2e semestre 2021.]

La décision individuelle automatisée est une nouveauté, introduite dans la nouvelle loi fédérale sur la protection des données (FF 2020 7397) qui devrait entre en vigueur dans le 2e semestre 2022.

Le responsable du traitement informe la personne concernée de toute décision qui est prise exclusivement sur la base d’un traitement de données personnelles automatisé et qui a des effets juridiques pour elle ou l’affecte de manière significative (décision individuelle automatisée) (art. 21 al. 1 nLPD).

Si la personne concernée le demande, le responsable du traitement lui donne la possibilité de faire valoir son point de vue. La personne concernée peut exiger que la décision individuelle automatisée soit revue par une personne physique (art. 21 al. 2 nLPD)

Ce qui précède ne s’applique toutefois pas (i) si la décision individuelle automatisée est en relation directe avec la conclusion ou l’exécution d’un contrat entre le responsable du traitement et la personne concernée et la demande de cette dernière est satisfaite ou (ii) la personne concernée a expressément consenti à ce que la décision soit prise de manière automatisée.

Le consentement doit bien évidemment être libre et éclairé, et ne sera pas opposable au détriment du travailleur ou du candidat par exemple. Le point est ici important car, de plus en plus, les procédures de sélection passent, en tout cas pour les premières étapes, par des processus automatisés, ce qui devrait entraîner l’impossibilité, pour les candidats, de renoncer à l’avance à la révision de la décision par une personne physique.

Le projet de nouvelle ordonnance sur la protection des données ajoute par ailleurs que la personne concernée par une décision individuelle automatisée, qui demande à faire valoir son point de vue ou un réexamen de la décision par une personne physique, ne peut pas être désavantagée pour ce motif (art. 17 P-OLPD). La précision n’est pas sans importance, même si elle semblait déjà découler de principes généraux, et s’appliquera sans doute utilement en matière d’octroi de crédits, d’examens, etc.

Enfin, l’information relative à la possibilité de procéder par décisions individuelles automatisées devrait être également donnée au stade de la récolte des données (art. 19 nLPD).

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans nouvelle LPD, Protection de la personnalité, Protection des données | Tagué , , | Laisser un commentaire

Le transfert de données à l’étranger

Photo de Markus Spiske sur Pexels.com

[Le droit suisse de la protection des données, c’est aussi du droit du travail !

En effet, outre le renvoi de l’art. 328 b CO, le droit de la protection des données s’applique à des degrés divers dans toutes les étapes de la gestion des ressources humaines, de l’engagement au contentieux en passant par la tenue du dossier personnel.

Or le droit suisse de la protection des données va connaître un bouleversement considérable au 2e semestre 2022 avec l’entrée en vigueur de la loi révisée sur la protection des données et de son ordonnance.

Contrairement à ce que l’on peut lire ici ou là, le nouveau droit de la protection des données va entraîner des adaptations substantielles des pratiques et des manières de faire, particulièrement pour les employeurs qui ne se sont pas adaptés au RGPD car ils n’avaient pas à le faire.

Je vais donc présenter sur ce blog quelques-unes des nouveautés à venir pendant le 2e semestre 2021.]

Selon l’art. 6 al. 1 de la loi fédérale du 19 juin 1992 sur la protection des données (LPD ; RS 235.1), aucune donnée personnelle ne peut être communiquée à l’étranger si la personnalité des personnes concernées devait s’en trouver gravement menacée, notamment du fait de l’absence d’une législation assurant un niveau de protection adéquat. La communication de données revient à les rendre accessibles à partir de la Suisse vers l’étranger ; une simple autorisation de consultation suffit. L’art. 6 s’applique aussi à l’intérieur d’une même entreprise dont les services (peu importe la forme juridique) et les collaborateurs sont situés dans plusieurs pays ou à la délégation de traitement transfrontière.

L’art. 16 de de la nouvelle loi fédérale du 25 septembre 2020 sur la protection des données, adoptée le 25 septembre 2020, et qui devrait renter en vigueur dans la 2e partie de 2022 (nLPD ; FF 2020 7397), abandonne le principe de la menace grave pour la personnalité de la personne concernée, source s’insécurité juridique. Il retient que les données peuvent être transférées à l’étranger si le Conseil fédéral a constaté que l’Etat concerné disposait d’une législation assurant un niveau de protection adéquat. La liste des pays assurant un tel niveau de protection, sous l’angle de la LPD actuelle, est tenue par le Préposé fédéral à la protection des données et à la transparence (PFPDT) (art. 31 al. 1 let. d LPD ; art. 7 OLPD).

Les art. 6 LPD et 16 ss nLPD ne règlent que le volet « transfrontalier » de la communication. Celle-ci doit dans tous les cas respecter les principes généraux de la LPD (finalité, exactitude, proportionnalité, etc.)

L’art. 6 al. 2 LPD précise qu’en dépit de l’absence d’une législation assurant un niveau de protection adéquat à l’étranger, des données personnelles peuvent être communiquées à l’étranger, à l’une des conditions suivantes uniquement:

  1. des garanties suffisantes, notamment contractuelles, permettent d’assurer un niveau de protection adéquat à l’étranger; elles doivent permettre de couvrir l’ensemble des éléments pertinents du transfert (identité exportateur /importateur de données, catégories de données personnelles à transférer, finalités du transfert, catégories de personnes dont les données sont transférées, destinataires des données, durée de conservation, stockage, droits des personnes concernées – accès, rectification, opposition, blocage, radiation, destruction, sécurité, confidentialité, etc. ; il existe des contrats-modèles et des clauses standards établis ou reconnus par le PFPDT (art. 6 al. 3 OLPD in fine ; il s’agira notamment des Standard Contractual Clauses reconnues en droit européen – https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_fr); l’exportateur qui utilise les contrats-modèles et les clauses-standards doit par ailleurs s’assurer, par exemple par des audits réguliers, que les clauses sont effectivement respectées par le destinataire (art. 6 al. 4 OLPD) ; le PFPDT doit être informé des garanties visées par l’art. 6 al. 2 let. a LPD (art. 6 OLPD quant aux modalités de l’information) ; l’information peut se limiter au fait que l’on utilise les contrats-modèles ou clauses-standards reconnus par le PFPDT ; s’il ne s’agit pas des modèles et clauses standards, le PFPDT doit examiner les garanties annoncées et communique le résultat de cet examen dans un délai de 30 jours (art. 31 al. 1 let. e LPD ; 5 al. 5 OLPD) – sans réaction du PFPDT après 30 jours, le maître du fichier peut partir du principe qu’il n’y a pas d’objections aux garanties fournies ; l’omission intentionnelle d’informer le PFPDT ou la formation d’informations intentionnellement inexactes sont punies de l’amende (art. 32 al. 2 let. a LPD) ; les garanties peuvent aussi être fournies autrement que contractuellement, par exemple par l’adhésion à un code de conduite répondant aux mêmes exigences – le devoir d’informer est le même;
  2. la personne concernée a, en l’espèce, donné son consentement; la dérogation vise des situations extracontractuelles, les questions relevant de l’exécution du contrat étant régies par l’art. 6 al. 2 let. c LPD, ou les cas où la communication de données n’est pas nécessaire à la conclusion ou l’exécution du contrat ; une renonciation générale et anticipée au consentement n’est pas possible ; l’art. 4 al. 5 LPD s’applique aux conditions matérielles (consentement libre et éclairé) et formelles du consentement (consentement explicite pour les données sensibles et les profils de personnalités) ; le consentement ne pourra valoir que pour une ou plusieurs finalités de traitement déterminées, et vers un ou des Etats déterminés ; la « réexportation » de données d’un pays couvert par le consentement vers un autre nécessitera ainsi un nouveau consentement ;
  3. le traitement est en relation directe avec la conclusion ou l’exécution d’un contrat et les données traitées concernent le cocontractant; le traitement doit ici être nécessaire à cette fin, et pas simplement utile ou opportun ; on tiendra compte de l’art, 328b CO dans les rapports de travail – la communication ne pourra ainsi porter que sur des données relatives aux aptitudes du travailleur à remplir son emploi ou qui sont nécessaires à l’exécution du contrat de travail, sauf à obtenir un consentement pour les données qui dépassent ce cadre [et qui ne pourra porter préjudice au travailleur] ; les principes généraux de la protection des données s’appliquent ;
  4. la communication est, en l’espèce, indispensable soit à la sauvegarde d’un intérêt public prépondérant, soit à la constatation, l’exercice ou la défense d’un droit en justice; il s’agit de l’intérêt de la Suisse (image du pays à l’étranger, coopération, etc.) ; l’intérêt doit être prépondérant par rapport à celui de la personne concernée à ce que les données ne soient pas exportées, ce qui s’interprète restrictivement ; lorsque la communication prend place dans le cadre de procédures d’entraide judiciaire ou administrative, elle échappe à la LPD (cf. art. 2 al. 2 let. c LPD) ; concernant l’exercice d’un droit en justice à l’étranger, la communication doit être nécessaire (la collecte et le traitement obéissent aux règles ordinaires) ;
  5. la communication est, en l’espèce, nécessaire pour protéger la vie ou l’intégrité corporelle de la personne concernée; il s’agit de situations dans lesquelles les intérêts essentiels de la personne concernée sont en jeu, alors qu’elle n’est pas en mesure de donner son consentement par elle-même (maladie, accident) et qu’on peut objectivement présumer, au vu des circonstances, que le consentement aurait été donné ; la formulation est trop stricte, l’art. e s’applique aussi pour la protection d’intérêts vitaux d’un proche de la personne concernée dans cette même situation;
  6. la personne concernée a rendu les données accessibles à tout un chacun et elle ne s’est pas opposée formellement au traitement;
  7. la communication a lieu au sein d’une même personne morale ou société ou entre des personnes morales ou sociétés réunies sous une direction unique, dans la mesure où les parties sont soumises à des règles de protection des données (Binding Corporate Rules) qui garantissent un niveau de protection adéquat ; cela peut prendre par exemple la forme d’une charte sur la protection des données, de lignes directrices, etc. ; ces garanties doivent être communiquées au PFPDT (art. 6 al. 3 LPD ; 6 OLPD).

Le PFPDT doit être informé des garanties données visées à l’al. 2, let. a, et des règles de protection des données visées à l’al. 2, let. g. Le Conseil fédéral règle les modalités du devoir d’information. (Art. 6 al. 3 LPD)

La nLPD prévoit quant à elle qu’en l’absence d’une décision du Conseil fédéral sur le caractère adéquat du niveau de protection assuré par la législation du pays destinataire, un niveau de protection peut être assuré par d’autres moyens (art. 16 al. 2 nLPD) ou si une dérogation s’applique (art. 17 nLPD). Un niveau de protection adéquat peut en particulier résulter d’un traité international, de clauses contractuelles-type ou de règles d’entreprise contraignantes. L’utilisation de règles contractuelles ne sera toutefois pas efficace face au droit impératif du pays de destination, ce qui peut impliquer que de telles règles peuvent, à elles-seules, ne pas assurer un niveau de protection équivalent (on pense ici tout particulièrement aux transferts vers les Etats-Unis et aux – retentissants – arrêts Schrems I et II ; cf. notamment arrêt CJUE Maximilian Schrems et Data Protection Commissioner c/ Facebook ireland Ltd, C-311/18 du 16 juillet 2020). L’art. 17 nLPD traite de situations particulières : consentement (après information), relation directe avec la conclusion ou l’exécution d’un contrat, intérêt public prépondérant, constatation, défense ou exercice d’un droit, etc.

Sous le nouveau droit, le PFPDT pourra suspendre ou interdire la communication de données à l’étranger si elle est contraire aux conditions des art. 16 ou 17 nLPD (art. 51 al. 2 nLPD). Le fait de communiquer des données à l’étranger en violation de l’art. 16nLPD et sans que l’une ou l’autre des conditions de l’art. 17 nLPD soit remplie est une contravention susceptible d’être sanctionnée par une amende pouvant aller jusqu’à CHF 250’000.—(art. 61 let. a nLPD).

Le PFPDT a publié par ailleurs au mois de juin 2021 un Guide pour l’examen de la licéité de la communication transfrontière de données (art. 6, al. 2, let. a, LPD) (https://www.edoeb.admin.ch/edoeb/fr/home/protection-des-donnees/handel-und-wirtschaft/uebermittlung-ins-ausland.html#-629182963) auquel il conviendra également de se référer plus en détail.

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans nouvelle LPD, Protection de la personnalité, Protection des données | Tagué , , , , , | Laisser un commentaire

But, champ d’application et mise en œuvre du droit de la personnalité des données

Photo de cottonbro sur Pexels.com

[Le droit suisse de la protection des données, c’est aussi du droit du travail !

En effet, outre le renvoi de l’art. 328 b CO, le droit de la protection des données s’applique à des degrés divers dans toutes les étapes de la gestion des ressources humaines, de l’engagement au contentieux en passant par la tenue du dossier personnel.

Or le droit suisse de la protection des données va connaître un bouleversement considérable au 2e semestre 2022 avec l’entrée en vigueur de la loi révisée sur la protection des données et de son ordonnance.

Contrairement à ce que l’on peut lire ici ou là, le nouveau droit de la protection des données va entraîner des adaptations substantielles des pratiques et des manières de faire, particulièrement pour les employeurs qui ne se sont pas adaptés au RGPD car ils n’avaient pas à le faire.

Je vais donc présenter sur ce blog quelques-unes des nouveautés à venir pendant le 2e semestre 2021.]

Le droit de la protection des données est constitué de très nombreuses normes de droit international, national ou cantonal.

La loi fédérale du 19 juin 1992 sur la protection des données (LPD ; RS 235.1) et sa nouvelle version applicable dès le 1er semestre 2022 constituent certes le cœur de la matière, mais il existe aussi quantité de dispositions spéciales dans à peu près tous les domaines du droit (banque, travail, assurances, etc.)

Il faut bien, cependant, faire des choix, ne serait-ce que pour respecter le cadre et le format de la présente publication. La LPD est le « navire amiral » de la protection des données en Suisse, elle en constitue sa grammaire, son vocabulaire, sa structure intellectuelle et logique, et rien ne serait compréhensible sans elle. Il est donc légitime de s’attarder sur ses buts, son champ d’application et sa mise en œuvre (nouveau droit), avec des contre-points du droit cantonal et du droit européen.

Concernant son but, la LPD vise à protéger la personnalité et les droits fondamentaux des personnes qui font l’objet d’un traitement de données (art. 1 LPD). L’art. 1 de la nouvelle loi fédérale du 25 septembre 2020 sur la protection des données, adoptée le 25 septembre 2020, et qui devrait renter en vigueur dans la 2e partie de 2022 (nLPD ; FF 2020 7397), parle de protéger la personnalité et les droits fondamentaux des personnes physiques dont les données personnelles font l’objet d’un traitement. On constate donc que le nouveau droit exclut les données des personnes morales de la protection, leur inclusion dans le droit de la protection des données actuel étant une particularité suisse qui posait certains problèmes pratiques en cas de transfert de données à l’étranger. Les personnes morales bénéficieront toutefois de la protection générale de leur personnalité garantie par les art. 28 ss CC.

Concernant le champ d’application personnel et matériel, la LPD régit le traitement de données concernant des personnes physiques et morales effectué par des personnes privées et des organes fédéraux (art. 2 al. 1 LPD). La notion de données personnelles est large (art. 4 nLPD) et inclut toutes les informations relatives à une personne identifiée ou identifiable, étant rappelé que les données personnelles des personnes morales seront exclues de la protection par la nLPD. Le « traitement » s’interprète également largement et recouvre toute opération relative à des données personnelles, indépendamment des moyens et procédés utilisés (art. 5 let. d nLPD).

La LPD ne s’applique pas aux données qu’une personne physique traite pour un usage exclusivement personnel et qu’elle ne communique pas à des tiers (art. 2 al. 2 let. a LPD ; art. 2 al. 2 let. a nLPD). Sont notamment considérés comme telles le contenu d’un agenda, les conversations au sein du cercle familial ou des amis, la correspondance privée et les notes que tout un chacun est amené à prendre dans l’exercice de sa profession à titre de pense-bête, du moment qu’il n’en fait qu’un usage personnel. La disposition d’exception de l’art. 2 al. 2 let. a LPD doit cependant être interprétée de manière très prudente et restrictive, le droit d’accès ne devant être limité que si cela est vraiment indispensable, et la personne qui traite les données ne doit en aucun cas y faire appel dans le but unique de contourner les prescriptions de la loi. [Arrêt du Tribunal fédéral 5C.15/2001 du 16 août 2001]. La LPD ne s’applique pas non plus aux délibérations des Chambres fédérales et des commissions parlementaires, aux procédures pendantes civiles, pénales, d’entraide judiciaire internationale ainsi que de droit public et de droit administratif, à l’exception des procédures administratives de première instance, aux registres publics relatifs aux rapports juridiques de droit privé et aux données personnelles traitées par le Comité international de la Croix-Rouge (art. 2 al. 2 LPD).

La nLPD étend l’exclusion aux traitements de données personnelles effectués par les bénéficiaires institutionnels au sens de l’art. 2 al. 1 de la loi du 22 juin 2007 sur l’Etat hôte (RS 192.12) qui jouissent de l’immunité de juridiction (art. 2 let. 2 let. c nLPD) – mais cela pouvait déjà se déduire des principes de droit international public applicables au droit des immunités. Le principe selon lequel le droit de procédure applicable devant les autorités et les tribunaux prime la LPD demeure (art. 2 al. 3 nLPD), et s’applique à toutes les lois de procédure fédérales, à l’exception des procédures administratives de première instance (i.e. celles qui aboutissement à une décision susceptible ensuite de recours).

Concernant le champ d’application géographique, l’art. 3 al. 1 nLPD prévoit que la loi s’applique aux états de fait qui déploient des effets en Suisse, même s’ils se sont produits à l’étranger. Le nouveau droit concrétise la jurisprudence actuelle : la LPD s’applique ainsi par exemple à des images prises en Suisse puis publiées sur un site à l’étranger où elles sont travaillées et d’où elles sont mises à disposition (ATF 138 II 346 Google Street View).

Comme exposé ci-dessus, la LPD s’applique au traitement de données effectué par des personnes privées ou des organes fédéraux (art. 2 al. 1 LPD ; 2 al. 1 nLPD). Elle ne s’applique dès lors pas aux traitements de données effectués par des administrations cantonales, régis par des lois cantonales spécifiques (sauf Jura et Neuchâtel où s’applique une convention intercantonale). Les différentes lois cantonales sont proches, pour ce qui est de leur contenu, de la LPD, avec quelques différences portant sur le champ d’application (administration, délégation de tâches publiques, etc.) et sur l’inclusion ou non de dispositions sur la transparence (information au public).

Il faut souligner que le droit européen de la protection des données peut aussi trouver application en Suisse. En effet, l’art. 3 du Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, dit règlement général sur la protection des données (RGPD) permet une application extraterritoriale de celui-ci. Cette disposition vise en effet deux hypothèses. Dans la 1ère (application territoriale), le responsable du traitement est dans l’UE (art. 3 (1) RGPD). Le traitement de données est effectué dans le cadre des activités d’un établissement sur le territoire de l’Union, que le traitement ait lieu ou non dans l’UE, et que les données concernent des résidents de l’UE ou d’ailleurs. La notion d’établissement s’interprète largement et ne dépend pas de la forme juridique choisie. Une activité réelle et effective même minime, au moyen d’un établissement stable suffit. La présence d’un seul représentant peut être considérée comme suffisante, ou la fourniture d’un soutien publicitaire lié à l’activité principale par exemple. Dans la 2e (application extraterritoriale), on applique le principe du lieu du marché (Marktort-Prinzip) : i. les données personnelles d’un résident de l’UE sont traitées en lien avec des biens et/ou des services qui lui sont proposés (offre de biens ou de services); ou ii. les comportements d’individus au sein de l’UE sont « suivis » (suivi de comportements). Pour ce qui est de l’offre de biens ou de services, l’accessibilité à un site web ne suffit pas, par exemple, il faut avoir la volonté de cibler effectivement des clients dans l’UE. Peuvent être des indices l’utilisation d’une langue ou d’une monnaie de l’UE, le fait de passer des commandes dans cette langue, le fait de faire référence à des clients et des utilisateurs dans l’UE et de leur destiner des offres spéciales, etc. Un service de commerce en ligne devrait ainsi être clairement orienté vers des destinataires et consommateurs dans l’UE pour relever de l’art. 3 (2) RGPD. Pour ce qui est du suivi d’un comportement qui a lieu au sein de l’UE, il faut procéder spécifiquement à un suivi de personnes afin de créer des profils. Il n’est par contre pas besoin de viser explicitement le marché de l’UE, contrairement à l’hypothèse de l’offre de biens ou de services dans l’UE. Le simple fait d’avoir un site informatique accessible depuis l’UE ne suffit donc pas.

On remarquera pour finir que la nLPD ne prévoit pas de « période de grâce » pour sa mise en œuvre ; elle sera donc pleinement applicable dès son entrée en vigueur, contrairement au mécanisme du RGPD qui prévoyait une période de deux ans entre sa mise en vigueur et son applicabilité (art. 99 RGPD). Cette absence apparaît regrettable eu égard à l’ampleur des adaptations et des mesures qui devront être mises en œuvre pour un nombre très important de responsables de traitement en Suisse (aurait-elle un lien avec la lenteur d’escargot du législateur pour débattre et adopter le nouveau droit ?) Par ailleurs, la nLPD n’aura pas d’effet rétroactif, ce qui entraîne par exemple qu’une information au sens de l’art. 19 nLPD ne sera pas exigible si les données ont été collectées avant l’entrée en vigueur de la nLPD et les buts et finalités du traitement demeurent inchangés.

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans nouvelle LPD, Protection de la personnalité, Protection des données | Tagué , , , , , , | Laisser un commentaire

Droit suisse de la protection des données: définitions

Photo de Snapwire sur Pexels.com

[Le droit suisse de la protection des données, c’est aussi du droit du travail !

En effet, outre le renvoi de l’art. 328 b CO, le droit de la protection des données s’applique à des degrés divers dans toutes les étapes de la gestion des ressources humaines, de l’engagement au contentieux en passant par la tenue du dossier personnel.

Or le droit suisse de la protection des données va connaître un bouleversement considérable au 2e semestre 2022 avec l’entrée en vigueur de la loi révisée sur la protection des données et de son ordonnance.

Contrairement à ce que l’on peut lire ici ou là, le nouveau droit de la protection des données va entraîner des adaptations substantielles des pratiques et des manières de procéder, particulièrement pour les employeurs qui ne se sont pas adaptés au RGPD car ils n’avaient pas à le faire.

Je vais donc présenter sur ce blog quelques-unes des nouveautés à venir pendant le 2e semestre 2021.]

Selon l’art. 5 let. a de la nouvelle loi fédérale sur la protection des données, qui devrait entrer en vigueur dans le 2e semestre 2022 (FF 2020 7397), on entend par données personnelles toutes les informations concernant une personne physique identifiée ou identifiable.

La définition des données personnelles est modifiée par rapport au droit actuel dans la mesure où la nLPD ne s’applique plus aux personnes morales. Constituent ainsi des données personnelles toutes les informations qui se rapportent à une personne physique identifiée ou identifiable. Est réputée identifiable la personne physique qui peut être identifiée, directement ou indirectement, c’est-à-dire par corrélation d’informations tirées des circonstances ou du contexte (numéro d’identification, données de localisation, éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale). L’identification peut résulter d’un seul élément (numéro de téléphone, d’immeuble, numéro AVS, empreintes digitales) ou du recoupement de plusieurs informations (adresse, date de naissance et état civil). Une possibilité purement théorique qu’une personne soit identifiée n’est pas suffisante. Il convient de prendre en compte dans chaque cas d’espèce l’ensemble des moyens raisonnablement susceptibles d’être utilisés pour identifier la personne. Le caractère raisonnable des moyens en question doit être évalué au regard de l’ensemble des circonstances, telles que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de leur évolution. La loi ne s’applique pas aux données qui ont été anonymisées si une ré-identification par un tiers est impossible (les données ont été anonymisées complètement et définitivement) ou ne paraît possible qu’au prix d’efforts tels qu’aucun intéressé ne s’y attèlera. Cette dernière règle vaut aussi pour les données pseudonymisées.

La personne concernée (art. 5 let.b nLPD) est la personne physique dont les données personnelles font l’objet d’un traitement.

Les données personnelles sensibles (données sensibles – art. 5 let. c nLPD sont (i) les données sur les opinions ou les activités religieuses, philosophiques, politiques ou syndicales, (ii) les données sur la santé, la sphère intime ou l’origine raciale ou ethnique, (iii) les données génétiques, soit les informations relatives au patrimoine génétique d’une personne obtenues par une analyse génétique, y compris le profil d’ADN (art. 3 let. l, de la loi fédérale du 8 octobre 2014 sur l’analyse génétique humaine (LAGH ; RS 810.12)), (iv) les données biométriques identifiant une personne physique de manière univoque, soit les données personnelles résultant d’un traitement technique spécifique et relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique qui permettent ou confirment son identification unique (empreintes digitales,  images faciales, iris, voix etc.) ; ces données doivent impérativement résulter d’un traitement technique spécifique qui permet l’identification ou l’authentification unique d’un individu (contrairement à une simple photographie p.ex.), (v) les données sur des poursuites ou sanctions pénales et administratives, et (vi) les données sur des mesures d’aide sociale.

Est un traitement (art. 5 let. d nLPD) toute opération relative à des données personnelles, quels que soient les moyens et procédés utilisés, notamment la collecte, l’enregistrement, la conservation, l’utilisation, la modification, la communication, l’archivage, l’effacement ou la destruction de données; la liste des opérations entrant en ligne de compte n’est comme aujourd’hui pas exhaustive, les opérations de traitements pouvant prendre les formes les plus diverses (organisation, structuration, adaptation, extraction de données, etc.)

On relèvera que la nLPD renonce à la notion de « fichier » (art. 3 let. g de loi fédérale du 19 juin 1992 sur la protection des données (LPD ; RS 235.1) pour celle de « traitement ».  En effet, compte tenu des nouvelles technologies, les données peuvent aujourd’hui être exploitées comme un fichier, alors même qu’elles sont disséminées. Un exemple parlant est le profilage, pendant lequel on va chercher des données dans différentes sources, non constitutives de fichiers, afin d’évaluer certaines caractéristiques d’une personne. Selon l’aLPD, ces activités échappaient aux dispositions de la loi impliquant la présence d’un fichier, comme le droit d’accès (art. 8 LPD) ou le devoir d’information (art. 14 LPD), alors que ce sont justement les situations de ce type qui nécessitent une plus grande transparence.

Est une communication (art. 5 let. e nLPD)  le fait de transmettre des données personnelles ou de les rendre accessibles.

Le profilage (art. 5 let. f nLPD)  est toute forme de traitement automatisé de données personnelles consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique. La notion remplace celle de «profil de la personnalité» telle qu’elle est définie à l’art. 3 let. d LPD. Le profil de la personnalité est le résultat d’un traitement et traduit ainsi quelque chose de statique. A l’inverse, le profilage désigne une forme particulière de traitement, et constitue donc un processus dynamique. Ce dernier est par ailleurs toujours orienté vers une finalité particulière. Il est défini comme l’évaluation de certaines caractéristiques d’une personne sur la base de données personnelles traitées de manière automatisée, afin notamment d’analyser ou de prédire son rendement au travail, sa situation économique, sa localisation, sa santé, son comportement, ses préférences ou ses déplacements. L’analyse de ces caractéristiques peut par exemple avoir pour but de déterminer si une personne est indiquée pour une certaine activité. Autrement dit, le profilage se caractérise par le fait qu’on procède à une évaluation automatisée de données personnelles afin de pouvoir évaluer, d’une manière également automatisée, les caractéristiques de la personne. Les données issues d’un profilage sont en principe des données personnelles, qui, selon les circonstances, peuvent aussi constituer des données sensibles.

Le profilage à risque élevé (art. 5 let. g nLPD) est  tout profilage entraînant un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, parce qu’il  conduit à un appariement de données qui permet d’apprécier les caractéristiques essentielles de la personnalité d’une personne physique.

Est une violation de la sécurité des données (art. 5 let. h nLPD) toute violation de la sécurité entraînant de manière accidentelle ou illicite la perte de données personnelles, leur modification, leur effacement ou leur destruction, leur divulgation ou un accès non autorisés à ces données, et ce indépendamment de la question de savoir si la violation est intentionnelle ou non licite ou illicite. Par ailleurs les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données. Ce qui compte, c’est que l’événement en question ait eu lieu. Peu importe que la divulgation ou un accès non autorisés se soient effectivement produits ou aient simplement été rendus possibles. En effet, lorsqu’un support de données a été perdu, il est souvent difficile de prouver que les données qu’il contenait ont été vues ou utilisées par des personnes non autorisées. C’est pourquoi la perte de cet objet constitue en elle-même une violation de la sécurité des données. Ce sont plutôt l’ampleur et la signification d’une telle violation qui sont déterminantes pour les mesures à prendre, en particulier pour l’estimation du risque.

Est un organe fédéral (art. 5 let. i nLPD) l’autorité fédérale, le service fédéral ou la personne chargée d’une tâche publique de la Confédération.

Le responsable du traitement (art. 5 let. j nLPD) est la personne privée ou l’organe fédéral qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données personnelles. Cette notion remplace celle de « maître du fichier » de l’art. 3 let. i LPD. Dit autrement, c’est la personne qui détermine les paramètres essentiels du traitement des donnes et sa finalité, et qui en assume donc la responsabilité. Il peut s’agir de responsables conjoints (cas de figure que le RGPD mentionne explicitement à l’art. 4 ch. 7).

Le sous-traitant (art. 5 let. k nLPD)  est la personne privée ou l’organe fédéral qui traite des données personnelles pour le compte du responsable du traitement. Le traitement est donc effectué conformément à des instructions données définissant les paramètres essentiels du traitement. Le contrat liant le responsable du traitement et le sous-traitant peut être de nature diverse. Il peut s’agir d’un mandat (art. 394 ss CO), d’un contrat d’entreprise (art. 363 ss CO) voire d’un contrat mixte selon les obligations du sous-traitant. Le sous-traitant cesse d’être un tiers à compter du moment où il débute ses activités contractuelles pour le compte du responsable du traitement. La délimitation entre responsable de traitement et sous-traitant peut s’avérer problématique. On s’inspirera notamment sur ce point de : European Data Protection Board (EDPB), Guidelines 07/2020 on the concepts of controller and processor in the GDPR, version 1.0, 2 septembre 2020. L’art. 9 nLPD définit plus précisément les conditions et obligations du rapport de sous-traitance, dont la violation peut entraîner une sanction pénale (amende jusqu’à CHF 250’000.—cf. 61 let. b nLPD).

Le consentement ne fait pas partie des définitions de l’art. 5 nLPD, l’art 6 al. 6 et al. 7 se contentant d’énoncer que la personne concernée ne consent valablement que si elle exprime librement sa volonté concernant un ou plusieurs traitements déterminés et après avoir été dûment informée, certaines hypothèses requérant par ailleurs un consentement « exprès ». Le législateur n’a ainsi pas voulu donner de définition du consentement spécifique au droit de la protection des données.

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans nouvelle LPD, Protection de la personnalité, Protection des données | Tagué , , , , | Laisser un commentaire

Accès indu aux emails privés d’un cadre, licenciement immédiat

Photo de cottonbro sur Pexels.com

Selon l’art. 337 al. 1 1re phrase CO, l’employeur et le travailleur peuvent résilier immédiatement le contrat en tout temps pour de justes motifs. Doivent notamment être considérées comme tels toutes les circonstances qui, selon les règles de la bonne foi, ne permettent pas d’exiger de celui qui a donné le congé la continuation des rapports de travail (cf. art. 337 al. 2 CO).

Mesure exceptionnelle, la résiliation immédiate pour justes motifs doit être admise de manière restrictive. D’après la jurisprudence, les faits invoqués à l’appui d’un renvoi immédiat doivent avoir entraîné la perte du rapport de confiance qui constitue le fondement du contrat de travail. Seul un manquement particulièrement grave du travailleur justifie son licenciement immédiat; si le manquement est moins grave, il ne peut entraîner une résiliation immédiate que s’il a été répété malgré un avertissement. Par manquement du travailleur, on entend en règle générale la violation d’une obligation découlant du contrat de travail, mais d’autres incidents peuvent aussi justifier une résiliation immédiate. Une infraction pénale commise au détriment de l’employeur constitue, en principe, un motif justifiant le licenciement immédiat du travailleur. Le comportement des cadres doit être apprécié avec une rigueur accrue en raison du crédit particulier et de la responsabilité que leur confère leur fonction dans l’entreprise.

Selon l’art. 13 Cst., toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance et des relations qu’elle établit par la poste et les télécommunications. Le Tribunal fédéral a considéré que le courrier électronique par le biais d’Internet était couvert par le secret des communications (ATF 126 I 50 consid. 6a p. 65 s.). Le simple fait de connaître les adresses et la période à laquelle l’utilisateur a envoyé ou reçu des messages constitue déjà une violation de ce secret (cf. ATF 126 I 50 consid. 6b p. 66). Certes, les droits fondamentaux servent en premier lieu à défendre les individus contre les atteintes des pouvoirs publics, mais leur portée peut se révéler utile dans la détermination de ce qui est tolérable dans les relations entre particuliers (cf. ATF 119 Ia 28 consid. 2).

Sur le plan pénal, l’art. 143bis CP punit celui qui, sans dessein d’enrichissement, se sera introduit sans droit, au moyen d’un dispositif de transmission de données, dans un système informatique appartenant à autrui et spécialement protégé contre tout accès de sa part. Tombe sous le coup de cette disposition la personne qui, généralement par défi, parvient à pénétrer dans un système informatique protégé contre tout accès indu. Il suffit qu’il n’y ait plus de barrières informatiques qui puissent sérieusement l’empêcher de prendre connaissance des données. Il s’agit d’une violation du domicile informatique d’autrui.

Dans les relations entre particuliers enfin, l’art. 28 CC garantit le droit au respect de la sphère privée, qui comprend les événements que chacun veut partager avec un nombre restreint d’autres personnes. En font partie les informations de nature personnelle transmises au moyen de la messagerie électronique. L’irruption d’un tiers dans cette sphère, notamment pour rassembler des informations, constitue une atteinte à la personnalité. Cette atteinte est d’autant plus grave qu’elle concerne la sphère secrète, c’est-à-dire des événements dont l’individu n’entend partager la connaissance qu’avec des personnes auxquelles ces faits ont été spécialement confiés, telles les données sur la santé ou relevant de la vie professionnelle. Selon l’art. 28 al. 2 CC, une atteinte est illicite, à moins qu’elle ne soit justifiée par le consentement de la victime, par un intérêt prépondérant privé ou public, ou par la loi.

En l’espèce, il ressort des constatations cantonales, d’une manière qui lie le Tribunal fédéral, que le demandeur, auquel le suivi des affaires de la société avait été confié pendant la maladie de son directeur, s’était aménagé un accès, depuis son ordinateur personnel, à toute la messagerie électronique de son patron, alors qu’il connaissait le caractère privé de l’adresse du directeur. Grâce à ce système, il pouvait, depuis le bureau ou la maison, entrer dans la messagerie de ce dernier sous ses propres données, sans avoir à taper le nom d’utilisateur ni le mot de passe du directeur. Il a été relevé que celui-ci n’était pas au courant de la déviation, dont il n’a eu connaissance qu’en juin 2000, lors de la réparation de son ordinateur. Il ressort également des faits constatés que ni la mission de gestion confiée au demandeur, ni un intérêt prépondérant de la défenderesse ne justifiaient une telle déviation. Dans ce contexte, même s’il n’a pas été possible de prouver que le demandeur ait pris connaissance des messages de caractère privé ou, a fortiori, qu’il ait divulgué les informations s’y trouvant, le seul fait qu’il se soit aménagé la possibilité d’y avoir librement accès porte déjà atteinte au secret des communications et constitue une violation de la sphère intime du directeur, voire une infraction pénale. La cour cantonale pouvait donc, sans abuser de son pouvoir d’appréciation, admettre qu’un tel comportement était de nature à entraîner la perte du rapport de confiance constituant le fondement du contrat de travail, ce qui permettait à l’employeur d’y mettre fin avec effet immédiat, sans avertissement préalable.

Le comportement du demandeur, qui s’est créé la possibilité de consulter des informations de nature personnelle qui ne lui étaient pas destinées, ne saurait être assimilé au simple fait de copier une liste de clients de son employeur, sans exploiter ni communiquer ces données.

(ATF 130 III 28, consid. 4.1-4.3)

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans Licenciement immédiat, Protection de la personnalité, Protection des données | Tagué , , , | Laisser un commentaire