Travail, protection des données et IA

Traitement de données : obligation d’informer et transparence

Publié le 2 juillet 2023 par Me Philippe Ehrenström

Photo de Aleksandar Pasaric sur Pexels.com

Fondée en 2005 en France, la société CSA (ci-après la » société « ) est spécialisée dans l’affichage de publicités ciblées sur le web. La société met en œuvre des traitements de données dits de » reciblage publicitaire « , qui consistent à suivre les habitudes de navigation des internautes pour leur afficher des publicités personnalisées, au moyen de cookies déposés dans les terminaux des utilisateurs.

Sur le manquement aux obligations d’information et de transparence :

L’article 12, paragraphe 1, du RGPD dispose que : » Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique « .

Aux termes de l’article 13 du RGPD, le responsable de traitement doit fournir à la personne concernée les informations suivantes :

» a) l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ;

b) le cas échéant, les coordonnées du délégué à la protection des données ;

c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;

d) lorsque le traitement est fondé sur l’article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers ;

e) les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent ; et

f) le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou, dans le cas des transferts visés à l’article 46 ou 47, ou à l’article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition « .

En l’espèce, le rapporteur soutient que l’information fournie par la société aux personnes concernées n’était pas complète en ce qu’elle ne renseignait pas toutes les finalités relatives au traitement en cause dans la version de sa politique de confidentialité [Privacy Notice – cf https://gdpr.eu/privacy-notice/] applicable à la date des constatations, notamment la finalité relative à l’amélioration de ses technologies.

La formation restreinte rappelle, en premier lieu, que le RGPD distingue le régime de l’obligation d’information qui s’impose au responsable de traitement en fonction de la nature de la collecte des données : le responsable de traitement est soumis aux dispositions de l’article 13 du RGPD lorsque les données sont collectées directement auprès de la personne concernée et aux dispositions de l’article 14 du RGPD dans le cas contraire.

Elle ajoute qu’au point 26 de ses lignes directrices du 29 novembre 2017 sur la transparence, dans leur version révisée du 11 avril 2018, le CEPD rappelle que l’article 13 du RGPD s’applique aussi lorsque les données sont collectées par le responsable de traitement » par observation « , c’est-à-dire lorsque le responsable de traitement collecte les données via l’utilisation de capteurs de toute sorte.

La formation restreinte relève que le Conseil d’Etat a adopté la même interprétation dans une décision rendue avant l’entrée en application du RGPD, en considérant que le fait que la collecte ne nécessite aucune intervention des personnes concernées était sans incidence sur le caractère direct de cette collecte (Conseil d’Etat, 10ème – 9ème chambres réunies, 8 février 2017, JCDecaux, n° 393714).

En l’espèce, la formation restreinte relève que les données sont bien collectées par la société directement auprès de l’internaute, dès lors que lorsque ce dernier navigue sur le site web d’un partenaire de la société, les requêtes du cookie C permettant à cette dernière de savoir qu’un internaute arrive sur la page d’accueil, se connecte à un compte ou encore clique sur une page » produit « , sont directement adressées à ses serveurs, sans transiter par un autre responsable de traitement.

La collecte des données étant réalisée auprès des personnes, la formation restreinte en conclut que l’article 13 du RGPD s’applique à la société.

En deuxième lieu, la formation restreinte relève que les conditions générales d’utilisation des services C prévoient que les partenaires de la société doivent intégrer dans leur site web une politique de protection des données à caractère personnel comportant un lien vers la politique de confidentialité de Criteo.

Elle relève que la section » Base juridique du traitement des données » de la politique de confidentialité de la société C, dans sa version applicable à la date des constatations, mentionnait que : » Les opérations de traitement de C respectent les réglementations en vigueur, dans les pays exigeant le consentement des utilisateurs pour l’utilisation de cookies ou de toute autre technologie similaire. Ce consentement est recueilli sur les sites Web et les applications mobiles des Annonceurs et des Éditeurs « .

Par ailleurs, il était également mentionné sous la même section que : » C considère avoir un intérêt légitime à traiter vos données aux fins exprimées dans la présente politique de confidentialité, notamment pour :

– respecter les accords commerciaux passés avec nos clients et partenaires ;

– permettre à nos Annonceurs de promouvoir leurs produits et services ;

– permettre à nos Éditeurs de financer leurs activités « .

La formation restreinte considère, d’abord, que la première formulation crée une incertitude quant à la base juridique du traitement en ce qu’elle ne permet pas aux internautes situés au sein de l’Union européenne de comprendre que le traitement de leurs données repose sur leur consentement.

Elle estime, ensuite, que les finalités annoncées par la société dans la seconde formulation sont exprimées dans des termes vagues et larges qui ne permettent pas à l’utilisateur de comprendre précisément quelles données à caractère personnel sont utilisées et pour quels objectifs. Par ailleurs, la formation restreinte considère contradictoire de mentionner que les finalités relatives à la promotion des produits des annonceurs et au financement des activités des éditeurs reposent sur la base juridique de l’intérêt légitime alors lors que ces finalités sont directement liées au traitement d’affichage de publicité personnalisé, lequel repose, selon la société elle-même, sur la base juridique du consentement des internautes. La formation restreinte ajoute qu’une description aussi approximative et contradictoire des finalités poursuivies sur le fondement de l’intérêt légitime est susceptible d’entraver l’exercice par les personnes concernées de leur droit d’opposition, lequel est intrinsèquement lié à la qualité de l’information délivrée.

La formation restreinte relève que la société a répondu à ces lacunes dans la nouvelle version de sa politique de confidentialité, dès lors que cette dernière précise désormais que le consentement s’applique aux personnes résidant dans l’Espace économique européen et qu’elle inclut un tableau synthétisant l’ensemble des finalités de son traitement, dont celles reposant sur la base juridique de l’intérêt légitime, qui comprend une description détaillée de ces finalités et des catégories de données concernées. La formation restreinte observe que la société a également mis fin à la contradiction relevée ci-avant.

En troisième lieu, la formation restreinte relève que la rubrique » Finalité du traitement de données personnelles » de la politique de confidentialité de la société, dans sa version applicable à la date des constatations, contenait uniquement la ligne suivante : » C traite vos données personnelles pour des annonces personnalisées « .

Or, dans le cadre du contrôle sur place des 16 et 17 septembre 2020, la société précisait à la délégation que le traitement permettait également » d’optimiser les réponses à donner aux enchères, la sélection d’articles à présenter dans une publicité et proposer la meilleure disposition pour cette bannière « .

Si la formation restreinte admet que certaines opérations techniques décrites par la société concourent directement à la finalité principale d’affichage de la publicité personnalisée, elle estime que d’autres servent en revanche une finalité distincte.

En effet, la société utilise les données collectées par le biais des cookies afin d’améliorer ses propres technologies (finalité dite de » machine learning « , mobilisant les données collectées par la société pour autoconfigurer des traitements algorithmiques de ciblage). Ainsi, l’objectif principal de ce traitement subséquent vise à améliorer l’efficacité du ciblage publicitaire effectué par C de façon générale. Il s’agit donc d’une finalité distincte, qui devait bien être portée à la connaissance des personnes concernées.

La formation restreinte relève que dans la nouvelle version de sa politique de confidentialité, mise en ligne le 4 novembre 2022, la société distingue désormais bien, au sein de la rubrique » Utilisation de vos données « , d’une part, la finalité d’ » affichage de la publicité personnalisée » et, d’autre part, la finalité d’ » entrainement des modèles « , définie comme permettant d’ » améliorer les performances des opérations publicitaires de C « .

Il résulte de ce qui précède qu’en ne délivrant pas aux personnes concernées l’intégralité des informations prévues, en ayant recours à des termes insuffisamment clairs et précis et en présentant une base juridique des traitements erronée, la société a manqué à ses obligations de transparence et d’information prévues aux articles 12 et 13 du RGPD.

(CNIL, Délibération SAN-2023-009 du 15 juin 2023, nos 81-105)

Source : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000047707063

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Protection des données, RGPD | Tagué 12 RGPD, 13 RGPD, 14 RGPD, contenu, information, Politique de confidentialité, Privacy Notice, traitement de données, transparence | Laisser un commentaire

Notion de données personnelles en cas de reciblage publicitaire

Publié le 2 juillet 2023 par Me Philippe Ehrenström

Photo de cottonbro studio sur Pexels.com

L’article 4, 2) du RGPD définit un traitement comme » toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction « .

En l’espèce, la formation restreinte relève que la société met en œuvre un traitement de données dit de » reciblage publicitaire » à des fins d’affichage de publicité personnalisée (ci-après le » traitement en cause « ).

Concrètement, la société collecte les données de navigation des internautes grâce à des cookies qui sont déposés dans leurs terminaux lorsqu’ils se rendent sur l’un des sites de leurs partenaires, comprenant des éditeurs et des annonceurs. Lorsqu’un internaute se rend sur le site web d’un partenaire, la société inscrit un cookie dans le terminal de son navigateur, lequel se voit attribuer un identifiant unique, appelé Criteo ID, qui lui permettra de le reconnaître lors de ses futures visites sur les autres sites des partenaires.

Ainsi, lorsqu’un internaute visite le site web d’un annonceur partenaire, la société enregistre dans sa base de données les actions de l’internaute via le cookie (par exemple, la visite de la page d’accueil, la connexion à un compte utilisateur, le clic sur une page » produit « , l’ajout d’un article au panier d’achat).

Ensuite, lorsque l’internaute visite le site web d’un éditeur partenaire, l’éditeur adresse une requête à la société afin de lui transmettre des informations telles que la dimension de l’encart publicitaire, la nature du site éditeur ainsi qu’un identifiant permettant à la société de reconnaître l’internaute.

La société utilise alors ses technologies de traitement de données pour déterminer quelle publicité serait la plus pertinente à afficher à l’internaute en fonction de ses habitudes de navigation et des produits ou services qui pourraient l’intéresser. En fonction de cette analyse, la société participe ensuite à une enchère en temps réel ( » real time bidding » ou » RTB « ) pour l’affichage d’une publicité sur l’espace publicitaire de l’éditeur. Si la société remporte l’enchère, la bannière publicitaire d’un annonceur est affichée dans l’encart disponible sur le site web de l’éditeur.

Ainsi, en tant qu’intermédiaire entre des annonceurs et des éditeurs de sites web, la société aide, d’une part, les annonceurs à toucher leur public cible avec des publicités plus pertinentes, d’autre part, les éditeurs à valoriser leurs espaces publicitaires.

Sur la qualification de données à caractère personnel des données traitées par la société CRITEO

L’article 4, 1) du RGPD définit une donnée à caractère personnel comme » toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée » personne concernée « ) ; est réputée être une » personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale « .

Le considérant 30 du RGPD, qui s’inscrit dans une jurisprudence bien établie de la Cour de justice de l’Union européenne (CJUE, 24 nov. 2011, Scarlet Extended SA C 70/10, pt. 51 et 19 oct. 2016, Breyer, C-582/14) prévoit quant à lui qu’un identifiant en ligne associé à une personne physique, tel qu’une adresse IP ou un témoin de connexion, peut » laisser des traces qui, notamment lorsqu’elles sont combinées aux identifiants uniques et à d’autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes « .

Dans son arrêt Breyer précité, rendu sous l’empire de la directive 95/46/CE, la CJUE a souligné l’importance d’une approche casuistique du caractère identifiant ou non d’une donnée plutôt qu’une position générale et de principe. Elle a indiqué que, pour déterminer si une personne est identifiable, il convenait de prendre en considération l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne.

La formation restreinte relève également que l’identifiant de cookie Criteo ID, attribué par la société au moyen des cookies qu’elle dépose, a pour but de distinguer chaque individu dont elle collecte les données et que de très nombreuses informations destinées à enrichir le profil publicitaire de l’internaute sont associées à cet identifiant :

– des données liées à l’identification de la personne : emplacement géographique à partir d’adresse IP, identifiant utilisateur Criteo, identifiant de terminal, identifiants fournis par des partenaires, adresse de courrier électronique sous forme hachée fournie par les partenaires ;

– des données liées à l’activité de la personne, qui correspondent au suivi de l’historique de navigation de l’internaute à travers les sites visités, les produits consultés, ceux ajoutés au panier ainsi que l’acte d’achat. Cela comprend également les éventuelles interactions de l’utilisateur avec les publicités qui lui sont présentées (l’utilisateur a-t-il cliqué sur la bannière ? a-t-il procédé à un achat ?) ;

– des données dérivées ou inférées à partir des informations précédentes afin de pouvoir proposer à l’utilisateur les produits les plus pertinents, compte tenu de ses centres d’intérêt.

Ainsi, la formation restreinte note que si la société ne dispose pas directement de l’identité des personnes physiques auxquelles sont liés les terminaux sur lesquels des cookies sont inscrits, la réidentification peut être facilitée par le fait que, dans certaines hypothèses, la société collecte, outre les données liées aux évènements de navigation, d’autres données qui facilitent la réidentification telles que les adresses électroniques des personnes ayant fait leur parcours de navigation depuis un environnement authentifié (ou » logué « ) sous forme hachée, des identifiants leur correspondant générés par d’autres acteurs, l’adresse IP sous forme hachée ou encore l’agent utilisateur du terminal utilisé.

Par conséquent, dès lors que la société est en mesure de réidentifier des personnes par des moyens raisonnables, les données traitées conservent un caractère personnel, au sens de l’article 4, 1) du RGPD.

Il en résulte que le RGPD est applicable et que, eu égard à ce qui a été indiqué ci-dessus, la société est responsable de traitement du traitement en cause.

(CNIL, Délibération SAN-2023-009 du 15 juin 2023, nos 22-42)

Source : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000047707063)

Me Philippe Ehrenström, avocat, LLM, CAS, Gemève et Onnens (VD)

Publié dans Protection des données, RGPD | Tagué 4 ch. 1 RGPD, 4 ch. 2 RGPD, donnée à caractère personnel, donnée personnelle, reciblage publicitaire, traitement | Laisser un commentaire

Enregistrement des appels téléphoniques avec la clientèle, minimisation des données

Publié le 30 juin 2023 par Me Philippe Ehrenström

La société KG COM exploite plusieurs sites web afin de proposer à ses clients des consultations de voyance par chat ou par téléphone. Elle emploie six salariés.

L’article 5, paragraphe 1, c) du RGPD dispose que les données à caractère personnel doivent être » adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) « .

La société enregistre systématiquement l’intégralité des appels téléphoniques passés entre les téléopérateurs et les prospects, ainsi qu’entre les voyants et les clients, à des fins de contrôle de la qualité du service, de preuve de la souscription du contrat et dans la perspective de réquisitions judiciaires. La rapporteure considère que cela conduit à collecter des données non limitées à ce qui est nécessaire au regard des finalités poursuivies.

La formation restreinte [de la CNIL] note que la société ne donne pas de justification concernant la nécessité d’enregistrer systématiquement l’intégralité des conversations téléphoniques, d’une part, entre les téléopérateurs et les prospects, et d’autre part, entre les voyants et les clients, à des fins de contrôle qualité, de preuve de la souscription du contrat et dans la perspective de réquisitions judiciaires.

Or, un responsable de traitement ne peut pas mettre en place un traitement de données à caractère personnel sans s’assurer que celui-ci est nécessaire à ses besoins, a fortiori lorsqu’il repose sur un dispositif particulièrement intrusif pour les salariés.

S’agissant de l’enregistrement intégral et systématique des appels téléphoniques à des fins de contrôle de la qualité du service, la formation restreinte considère que la finalité visant à contrôler la qualité du service fourni par les téléopérateurs et les voyants peut être atteinte par un moyen moins intrusif.

À cet égard, elle relève que la mise en place d’un enregistrement ponctuel et aléatoire de seulement quelques conversations téléphoniques permet à la personne chargée du suivi du contrôle qualité de disposer des éléments nécessaires à l’évaluation de la qualité des services proposés par la société.

Dès lors que le contrôle de la qualité du service peut être réalisé par échantillonnage, la formation restreinte considère que l’instauration d’un dispositif d’enregistrement systématique des appels téléphoniques passés, d’une part, entre les téléopérateurs et les prospects, et d’autre part, entre les voyants et les clients, est excessive au regard de la finalité poursuivie.

La formation restreinte rappelle qu’elle a déjà considéré, dans sa délibération n°SAN-2020-003 du 28 juillet 2020, à l’égard d’une société qui procédait à l’enregistrement des conversations téléphoniques reçus par les salariés du service clients d’une société à des fins de formation que » la société ne justifie pas de la nécessité d’enregistrer l’intégralité des conversations téléphoniques passées par le service client, au regard de la finalité du traitement, à savoir la formation des salariés. (…) Si le nombre d’enregistrements peut varier en fonction de chaque salarié et des circonstances, en particulier des besoins de formation de celui-ci, (…) la société ne démontre pas avoir mis en place, pour le passé et l’avenir, un enregistrement des conversations téléphoniques des salariés limité à ce qui est nécessaire au regard de la finalité poursuivie. Or, un responsable de traitement ne peut mettre en place un traitement de données à caractère personnel sans s’assurer que celui-ci est nécessaire à ses besoins, a fortiori lorsqu’il repose sur un dispositif particulièrement intrusif pour les salariés. La formation restreinte considère donc, au vu de ces éléments, qu’un manquement à l’article 5-1-c) du RGPD est constitué « .

S’agissant de l’enregistrement intégral et systématique des appels téléphoniques à des fins de de preuve de la souscription du contrat, la formation restreinte relève qu’en l’espèce, les prospects communiquent leurs numéros de téléphone à la société via l’un des sites web qu’elle édite afin d’obtenir des renseignements sur les prestations de voyance proposées. À la suite de cette demande d’information, les téléconseillers de la société appellent les prospects afin de leur fournir ces informations et le cas échéant, fixer un rendez-vous avec un voyant.

La formation restreinte considère qu’un responsable du traitement qui souhaite enregistrer des conversations téléphoniques à des fins probatoires doit démontrer qu’il ne dispose pas d’autres moyens moins intrusifs pour prouver que le contrat conclu à distance a bien a été conclu avec la personne concernée.

La formation restreinte considère qu’en l’espèce, l’existence du contrat conclu à distance peut être prouvée par un autre moyen moins intrusif.

En effet, l’article L.221-16 du code de la consommation prévoit que, lorsque le professionnel contacte un consommateur par téléphone en vue de conclure un contrat portant sur la vente d’un bien ou sur la fourniture d’un service, ce dernier n’est engagé par cette offre qu’après l’avoir signée et acceptée sur un support durable.

La formation restreinte considère donc que, dès lors que la preuve de la souscription d’un contrat conclu à distance, à la suite d’un démarchage téléphonique, peut être apportée par la confirmation écrite de l’offre, l’enregistrement des conversations téléphoniques, passées entre les téléopérateurs et les prospects, à des fins de preuve de la formation du contrat, n’apparaît pas nécessaire.

Par ailleurs, la formation restreinte note qu’aucun contrat n’est conclu lors des appels téléphoniques passés entre les voyants et les clients, de sorte que l’enregistrement de ces conversations n’est pas justifié à des fins de preuve de la souscription d’un contrat.

S’agissant de l’enregistrement intégral et systématique des appels téléphoniques dans la perspective de réquisitions judiciaires, la formation restreinte relève que s’il est nécessaire que les responsables du traitement fassent droit aux réquisitions judiciaires qu’ils reçoivent concernant les données qu’ils traitent pour leurs propres besoins, ils n’ont en revanche pas à organiser, à l’avance, la collecte de données à caractère personnel dans la perspective de répondre à une potentielle réquisition judiciaire.

Dès lors, la formation restreinte considère que l’enregistrement [systématique] des appels téléphoniques passés, d’une part, entre les téléopérateurs et les prospects, et d’autre part, entre les voyants et les clients, afin de répondre à des réquisitions judiciaires, n’est pas justifié.

La formation restreinte considère donc, au vu de ces éléments, qu’un manquement à l’article 5, paragraphe 1, c) du RGPD est constitué.

La rapporteure relève également que lors des appels téléphoniques entre les téléopérateurs et les clients, ces derniers sont invités à communiquer leurs coordonnées bancaires. Elle considère que l’enregistrement sonore de la partie de la conversation relative à la collecte des données bancaires des clients ne saurait être justifié à des fins de suivi de la démarche qualité ou à des fins probatoires.

La formation restreinte relève qu’au jour des contrôles, la société enregistrait les appels passés entre les téléopérateurs et les prospects à des fins de suivi de la démarche qualité ou à des fins probatoires (souscription du contrat et réquisitions judiciaires). Lors de ces appels téléphoniques, les téléopérateurs collectaient les données bancaires des prospects (numéro de carte bancaire, date d’expiration et cryptogramme) et leur indiquaient que cette collecte leur permettait de » participer à la sécurisation de la ligne pour un euro symbolique seulement « .

La formation restreinte relève que la société n’a pas mis en place de mesure spécifique permettant d’interrompre l’enregistrement de la conversation téléphonique lors de la collecte des données bancaires des clients. Or, elle considère que l’enregistrement sonore des données bancaires des clients n’est pas utile pour la société dans le cadre du contrôle qualité, à des fins probatoires ou de sécurité.

À titre d’exemple, la formation restreinte rappelle qu’elle a déjà considéré, dans sa délibération n°SAN-2020-003 du 28 juillet 2020, à l’égard d’une société qui, lors de l’enregistrement de conversations téléphoniques à des fins de formation, enregistrait les coordonnées bancaires des clients qui passaient des commandes par téléphone que » les coordonnées bancaires sont des données qui compte tenu de leur nature et des risques de fraude associés doivent faire l’objet d’une protection renforcée de la part des responsables de traitement. (…) leur utilisation par des tiers non autorisés, dans le cadre de paiement frauduleux, est susceptible d’entraîner un préjudice pour les personnes concernées. La formation restreinte constate que la société enregistrait et conservait des données dont elle n’avait aucun usage au regard de la finalité poursuivie par le traitement en cause, à savoir la formation des salariés. Elle considère donc, au vu de ces éléments qu’un manquement à l’article 5-1-c) du RGPD est constitué « .

Par ailleurs, la formation restreinte considère que l’enregistrement sonore des données bancaires n’est pas non plus pertinent au regard des finalités invoquées par la société lors de la procédure : la réservation de rendez-vous avec un voyant, la simplification du règlement des consultations ultérieures, le paiement d’abonnements et la lutte contre la fraude.

Par conséquence, elle considère, au vu de ces éléments, qu’un manquement à l’article 5, paragraphe 1, c) du RGPD est constitué, dès lors que la société collecte des données excessives au regard des finalités poursuivies.

Texte du RGPD : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679

(CNIL, Délibération SAN-2023-008 du 8 juin 2023, nos 16-46)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Protection des données, RGPD | Tagué clientèle, enregistrement, minimisation, protection des données, téléphones | Laisser un commentaire

Enquête interne, droits de la personne dénoncée

Publié le 27 juin 2023 par Me Philippe Ehrenström

L’appelant fait valoir une indemnité en paiement de 155’654.25 fr. avec suite d’intérêts pour licenciement abusif.

Le contrat de travail de durée indéterminée peut être résilié par chacune des parties (art. 335 al. 1 CO). En droit suisse du travail, la liberté de résiliation prévaut de sorte que, pour être valable, un congé n’a en principe pas besoin de reposer sur un motif particulier. Le droit de chaque cocontractant de mettre fin au contrat unilatéralement est toutefois limité par les dispositions sur le congé abusif (art. 336 ss CO). L’art. 336 al. 1 et 2 CO énumère des cas dans lesquels la résiliation est abusive. Cette liste n’est pas exhaustive ; elle concrétise avant tout l’interdiction générale de l’abus de droit. Un congé peut donc se révéler abusif dans d’autres situations que celles énoncées par la loi ; elles doivent toutefois apparaître comparables, par leur gravité, aux hypothèses expressément envisagées.

Ainsi, le caractère abusif du congé peut résider dans le motif répréhensible qui le sous-tend, dans la manière dont il est donné, dans la disproportion évidente des intérêts en présence ou encore dans l’utilisation d’une institution juridique de façon contraire à son but.

Un licenciement pourra ainsi être abusif si l’employeur exploite de la sorte sa propre violation du devoir imposé par l’art. 328 CO de protéger la personnalité du travailleur ; par exemple, lorsqu’une situation conflictuelle sur le lieu de travail nuit notablement au travail en commun dans l’entreprise, le congé donné à l’un des employés en cause est abusif si l’employeur ne s’est pas conformé à l’art. 328 CO en prenant préalablement toutes les mesures que l’on pouvait attendre de lui pour désamorcer le conflit telles des modifications de son organisation ou des instructions adressées aux autres travailleurs. Un licenciement peut également être tenu pour abusif lorsqu’il répond à un motif de convenance personnelle de l’employeur.

La jurisprudence du Tribunal fédéral a ainsi connu une évolution pour admettre de façon plus large de nouveaux cas de licenciements abusifs, tout en développant une motivation suffisamment restrictive pour ne pas rendre illusoire la liberté de résilier mais permettant de sanctionner des situations dans lesquelles la résiliation apparaît véritablement choquante. Même si la jurisprudence en matière de cas innomés de licenciement abusif est abondante, il est malaisé de la synthétiser, dès lors que l’existence d’un abus de droit nécessite par essence de prendre en considération les circonstances particulières du cas concret. L’appréciation du caractère abusif d’un licenciement suppose ainsi l’examen de toutes les circonstances du cas d’espèce et il convient de se garder de se focaliser sur un seul élément du dossier sorti de son contexte.

Le licenciement d’un travailleur en raison d’un conflit interpersonnel peut constituer un licenciement abusif dans les situations où l’employeur n’a pas préalablement pris les mesures que l’on pouvait raisonnablement attendre de lui pour désamorcer le conflit. Ainsi, lorsque le caractère difficile d’un travailleur engendre une situation conflictuelle dans l’entreprise (conflit interpersonnel), l’employeur ne peut licencier ce travailleur qu’après avoir introduit sans succès les mesures que l’on pouvait attendre de lui en vue d’améliorer la situation. Si l’employeur omet ces mesures ou se contente de démarches insuffisantes, et qu’il procède au licenciement, il viole son obligation de protéger la personnalité du travailleur concerné et le licenciement est alors abusif. Les mesures attendues de l’employeur dépendent du cas d’espèce et notamment de la taille de l’entreprise. Le Tribunal fédéral en a dressé une liste non exhaustive tels les entretiens individuels ou de groupe, les directives de comportement, le recours à une personne de confiance ou à une entreprise externe de coaching, l’audition des personnes, la formulation de propositions en vue de régler le conflit, la réorganisation des processus de travail, la fixation d’objectifs, le prononcé d’un avertissement ou le déplacement interne. Dans la casuistique, n’ont pas été jugés abusifs la résiliation du contrat par l’employeur dans l’hypothèse où, malgré plusieurs avertissements, un travailleur rencontre des difficultés relationnelles avec plusieurs autres employés (collègues, supérieurs ou subordonnées) (arrêt 4C.237/2006 du 24 novembre 2006), le licenciement d’un travailleur en raison du ton et des propos humiliants adressés par ce dernier de manière persistante envers ses collègues et son supérieur nonobstant une mise en garde (arrêt 4A_250/2007 du 8 novembre 2007 consid. 4.2), le licenciement d’un travailleur qui se montre irritable et tient des propos agressifs sur son lieu de travail créant ainsi un mauvais climat de travail, à tout le moins si l’employeur a fait preuve de ménagement dans l’exercice de son droit de résiliation, soit par exemple qu’il lui ait adressé préalablement un avertissement (ATF 136 III 513 consid. 2.6), le licenciement d’un collaborateur qui, durant plusieurs années, avait eu une attitude qui engendrait des tensions ou des conflits avec plusieurs collègues et qui ne l’avait modifiée en dépit de remarques ou d’avertissement de l’employeur (arrêt 4A_158/2010 du 22 juin 2010 consid. 3.a) ou le licenciement d’un collaborateur qui altère lui-même le climat de travail par une critique persistante des modalités de travail imposées et par la manifestation de son insatisfaction (arrêt 4A_381/2011 du 24 octobre 2011 consid. 6) ou encore le licenciement d’une cadre grossière et agressive avec les collaborateurs sous sa responsabilité et réagissant de manière inappropriée lorsque les choses n’allaient pas dans son sens après une enquête menée pour harcèlement formulé par la cadre concernée elle-même (arrêt 4A_130/2016 du 25 août 2016 consid. 2.2).

Compte tenu de ses obligations générales issues de l’art. 328 CO, ainsi que d’autres dispositions légales tendant à la protection de la santé de l’employé, l’employeur est tenu d’agir à la fois préventivement et en réaction à des faits ou soupçons liés au harcèlement ou mobbing. S’agissant de la réaction, l’employeur devra à la fois clarifier les faits soulevés par une instruction interne et, le cas échéant, prendre toutes les mesures imposées par les circonstances pour mettre fin aux actes problématiques. Un cas spécifique d’application des droits et obligations intégrant l’art. 328 CO se rapporte aux enquêtes internes se référant notamment à des conflits entre employés du fait de mobbing ou harcèlement. L’enquête interne relève d’une clarification de la situation et lorsqu’elle est mise en œuvre, l’employé soupçonné des faits devra par principe être informé à la fois de la procédure et des éléments qui sont reprochés, exigence découlant tant de l’art. 328 CO que de la loi sur la protection des données, dès lors que l’enquête constitue un traitement de données personnelles concernant le collaborateur soupçonné. L’employeur pourra y renoncer temporairement pour les besoins de l’instruction.

L’enquête interne, dans le cadre d’un conflit interpersonnel, n’a pas le même fondement que l’enquête interne à laquelle doit se livrer l’employeur saisi d’un soupçon d’infraction pénale d’un de ses employés. Toutefois, les garanties procédurales du dénoncé doivent être identiques afin que ce dernier puisse bénéficier d’une enquête équitable. Il ne paraît ainsi pas opportun de distinguer les garanties offertes selon que l’on se trouve dans le cadre d’une dénonciation pouvant donner lieu à un licenciement ou dans le cadre de faits plus graves pouvant déboucher sur une dénonciation pénale. Il y a lieu d’offrir, en toute circonstance, des garanties suffisantes à la personne dénoncée. En principe, au pénal, ce droit est reconnu par les art. 6 al. 3 CEDH et 42 Cst. Bien que ces droits fondamentaux visent à garantir les droits du prévenu face à l’Etat, le droit de se défendre doit également être garanti dans le cadre d’une enquête privée au sein d’une entreprise. Il y a lieu en effet de tenir compte d’un effet horizontal des droits fondamentaux, selon l’art. 35 al. 3 Cst qui précise que « les autorités veillent à ce que les droits fondamentaux dans la mesure où ils s’y prêtent soient aussi réalisés dans les relations qui lient les particuliers entre eux ». En principe, on doit reconnaître que l’art. 328 CO qui impose à l’employeur de devoir protéger la personnalité du travailleur devrait être interprété en ce sens que celui-ci devra être au bénéfice de garanties de procédure analogues à celles qui sont offertes dans les procédures pénales.

La Chambre des prud’hommes relève que le style directif de management de A______ [le dénoncé, l’employé] était connu de l’entreprise et n’avait pas donné lieu, au cours des quatorze années de collaboration au sein de groupe, à des avertissements ou autres mesures correctives. L’entreprise paraissait ainsi s’accommoder du style « directif » et non « participatif » de son dirigeant qui n’a pas, en tout cas, donné lieu à un ou plusieurs avertissements.

Les collaborateurs directs de A______, entendus à la procédure, ne se sont pas plaints de la mauvaise ambiance au sein de l’équipe et ont rappelé n’avoir jamais constaté de comportement inapproprié de la part de leur supérieur hiérarchique, ayant au contraire vanté la bonne harmonie dans le cadre de leur collaboration. Ils n’ont pas été informés de plaintes de collaborateurs de l’entreprise à l’endroit de leur supérieur, situation qui est corroborée par la directrice des ressources humaines au niveau local.

[Plus tard], l’alerte a été effectuée le 1er mars 2019 par le département local des ressources humaines qui a rapporté que certains employés de B______ (CH) SA se plaignaient de harcèlement de la part de leur manager. L’enquête interne consécutive à cette alerte fut confiée au département DACI (Département d’Audit et de Contrôles Internes) et fut diligentée par G______. Le rapport d’enquête concernait deux dirigeants de l’entité locale, dont A______, et tendait à identifier des problèmes de harcèlement qui avaient été dénoncés par le département local des ressources humaines. A comprendre le rapport d’enquête produit à la procédure, la situation de management de A______ aurait été discutée au téléphone avec un ancien collaborateur de l’entreprise qui a souhaité garder l’anonymat auprès de l’enquêteuse et qui a décrit A______ comme un dirigeant ne faisant pas confiance à ses employés, amenant ses équipes à perdre l’estime de soi. La personne a rapporté que A______ était un expert dans son domaine, mais un manager très strict, directif et à l’ancienne (« old fashioned »). A comprendre le rapport d’enquête, les deux autres employés interrogés par l’enquêteuse paraissent avoir apporté leur témoignage sur l’autre dirigeant visé par l’enquête, situation qui ressort des éléments caviardés à la page 6 du rapport. Livrant ses conclusions, l’enquêteuse a exclu tout harcèlement de la part de A______. Elle a toutefois relevé que certains comportements de management à charge de A______ avaient été identifiés et devaient être traités, même s’ils n’étaient pas aussi graves que ceux constatés pour l’autre dirigeant visé par l’enquête. Dans le cadre de son investigation, l’enquêteuse, qui n’avait pas décidé de la méthodologie, n’a procédé ni à l’audition de A______, ni à celle de ses équipes. G______ a justifié cette situation au motif que l’investigation portait essentiellement sur l’autre dirigeant et que les « efforts » de l’enquêteuse s’étaient donc concentrés sur ce dernier, cette situation n’ayant pas conduit l’enquêteuse à scinder l’enquête en distinguant le cas de A______ de celui de l’autre dirigeant.

A l’issue de ce rapport d’enquête, A______ fut convoqué par la direction des ressources humaines pour un entretien justifié par des accusations mettant en cause ses pratiques managériales non conformes au Code de Conduite. Lors de cet entretien du 17 mai 2019 auquel participaient E______, directrice RH locale et H______, directeur RH groupe, bien que le rapport d’audit ne lui ait pas été soumis, les conclusions de ce rapport ont été discutées. A______ a nié les faits et les accusations portées à son endroit. Invité à se déterminer sur ces accusations, il a, à l’occasion d’un voyage au siège les 20 et 21 mai 2019, adressé à sa hiérarchie une communication élaborée reprenant les points évoqués lors de l’entretien du 17 mai 2019 et identifiés dans le rapport d’enquête du 18 avril 2019. Le lendemain de cette communication, A______ s’est trouvé en incapacité de travail et, à la reprise de son activité au début août 2019, il fut licencié par courrier du 5 août 2019.

Sur la base des considérations juridiques développées ci-dessus, la juridiction d’appel considère que l’enquête interne, dans son amalgame avec l’autre dirigeant et dans la méthodologie adoptée, n’était pas propre à établir les comportements de A______ contraires au Code de Conduite qui ont été à l’origine de la dénonciation des rapports de service. La personne dénoncée par ces agissements n’a pas été entendue dans la procédure d’enquête, pas plus que l’enquêteuse n’a entendu les équipes de ce dirigeant, notamment ses subordonnés directs sur ses méthodes de management. A comprendre le rapport d’enquête, seul un ancien collaborateur, anonyme, entendu lors d’un entretien téléphonique, a critiqué les méthodes de management « strictes, directives, old-fashioned » de A______. Lorsque les constatations et conclusions de ce rapport lui ont été communiquées, A______ en a immédiatement contesté le contenu et nié les accusations de management problématiques proférées à son endroit. Selon la Chambre des prud’hommes, il appartenait alors, compte tenu de la situation de fait qui n’avait pas été éclaircie, d’approfondir cette situation problématique au besoin en recourant à un audit externe tel que l’avait suggéré la direction du groupe dans son mail du 22 février 2019 répondant à la demande d’alerte lancée par les ressources humaines locales. La situation actuelle n’est pas comparable de celle de l’arrêt 4A_510/2010 du 1er décembre 2010 se référant à une enquête incomplète ou vicié, mais dans laquelle le collaborateur concerné avait reconnu les accusations portées à son encontre. En l’espèce, la résiliation du contrat devait être l’ultima ratio de la gestion de ce conflit interpersonnel et il appartenait à l’employeur de clarifier les faits soulevés par une instruction interne. Comme rappelé précédemment, la finalité d’une investigation interne diligentée dans le cadre de soupçons de mobbing ou harcèlement est de clarifier la situation, soit d’établir les faits. C’est également pour contribuer à cette clarification de la situation que le dénoncé, outre les droits attachés à sa personnalité, doit en principe participer à cette investigation. Or, de l’aveu même de l’enquêteuse, l’investigation concernant A______ est assez sommaire, puisque son enquête a surtout porté sur l’autre dirigeant et que, s’agissant de l’appelant, elle n’a pas entendu les équipes de ce dernier, notamment ses subordonnés, alors que l’investigation devait précisément porter sur l’attitude des dénoncés envers les collaborateurs de l’entreprise.

Après avoir recueilli la détermination de l’appelant sur les accusations, il appartenait à l’entreprise, compte tenu des dénégations de l’intéressé et d’une investigation incomplète, de continuer ces investigations, au besoin en recourant à un externe, comme l’avait suggéré la direction des ressources humaines saisie de l’alerte. En procédant au licenciement sans avoir procédé à la clarification de la situation et sans avoir tenté de désamorcer un conflit – dont on ne connaît d’ailleurs pas l’identité des protagonistes -, l’employeur a violé l’obligation de protéger la personnalité de son employé et le licenciement est abusif.

(Arrêt de la Chambre des prud’hommes de la Cour de justice [GE] CAPH/41/2023 du 25.04.2023, consid. 5)

NB : un recours au TF a été déposé contre cet arrêt.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Licenciement abusif, Protection de la personnalité | Tagué 328 CO, 336 CO, conflit interpersonnel, droits, employé, Enquête interne | Laisser un commentaire

Qui peut avoir accès aux données RH ?

Publié le 22 juin 2023 par Me Philippe Ehrenström

Le service d’urgence du Capitole au Danemark (Hovedstadens Beredskab I/S) (responsable du traitement) a signalé une violation de données à l’autorité danoise de protection des données après avoir constaté que les données relatives aux ressources humaines étaient largement accessibles.

La violation de données a été signalée après que le responsable du traitement a appris que son nouveau système de gestion électronique des dossiers et des documents permettait à tous les employés d’accéder aux données à caractère personnel des employés actuels et anciens. Les données comprenaient les noms et prénoms, les numéros de sécurité sociale et les adresses, y compris les adresses protégées, de plus de 2000 personnes. Après enquête, il a été constaté que six utilisateurs ont pu accéder aux informations concernant des employés actuels ou anciens, alors qu’ils n’en avaient pas besoin dans le cadre de leur travail.

Il ressort de la déclaration du responsable du traitement que celui-ci et le fournisseur du système ESDH n’étaient pas conscients du fait que ces informations étaient accessibles à tous les employés.

Selon l’Autorité danoise de protection des données (APD ; Datatilsynet), dans une 2022-442-21566 du 22 mars 2023 (https://www.datatilsynet.dk/afgoerelser/afgoerelser/2023/mar/kritik-af-hovedstadens-beredskabs-mangelfulde-rettighedsstyring, présentée et commentée par Maximilien Hjortland sur GDPRhub : https://gdprhub.eu/index.php?title=Datatilsynet_(Denmark)_-_2022-442-21566&mtc=today), il découle de l’article 32, paragraphe 1 RGPD, que le responsable du traitement a l’obligation d’identifier les risques que le traitement qu’il effectue présente pour les personnes concernées et de veiller à ce que des mesures de sécurité appropriées soient mises en place pour protéger les personnes concernées contre ces risques.

L’autorité de protection des données a estimé que l’article 32 du RGPD signifie normalement que l’accès des utilisateurs aux systèmes RH doit être limité aux données à caractère personnel qui sont nécessaires pour les besoins professionnels des utilisateurs en question [c’est le « need to know basis »]. Dans ce cas particulier, l’APD a estimé que seuls les employés du service des ressources humaines du responsable du traitement devaient avoir accès aux informations en question. Elle a donc reproché au responsable de traitement de ne pas avoir veillé à ce que des mesures techniques et organisationnelles soient mises en œuvre conformément à l’article 32, paragraphe 1 RGPD.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Protection des données, RGPD | Tagué 32 RGPD, accès, données RH, dossier RH, Need to know, sécurité | Laisser un commentaire

Portée et étendue du droit d’accès à ses données personnelles (art. 15 RGPD)

Publié le 22 juin 2023 par Me Philippe Ehrenström

Photo de Mau00ebl BALLAND sur Pexels.com

J.M. était salarié et client d’un établissement bancaire finlandais. En 2014, il a appris que ses propres données de client avaient été consultées par des membres du personnel de cet établissement, à plusieurs reprises, au cours de l’année 2013. En 2018, ayant des doutes sur la licéité de ces consultations, J.M., qui avait entre-temps été licencié de son emploi au sein de cet établissement, a demandé à ce dernier de lui communiquer l’identité des personnes ayant consulté ses données de client, les dates exactes des consultations ainsi que les finalités du traitement de ces données.

L’établissement bancaire, en sa qualité de responsable du traitement des données, a refusé de lui communiquer l’identité des salariés ayant procédé aux opérations de consultation au motif que ces informations constituaient des données à caractère personnel de ces salariés. Il a précisé que les opérations de consultation avaient été effectuées, sur ses instructions, par son service d’audit interne, dans le cadre d’une enquête concernant un potentiel conflit d’intérêts entre J. M. et un autre client.

Par la suite, J. M. a saisi l’autorité de contrôle finlandaise d’une demande visant à lui communiquer l’identité des personnes ayant consulté ses données de client. À la suite du rejet de cette demande au motif que les fichiers journaux des salariés ayant traité ses données constituaient des données à caractère personnel de ces salariés, J. M. a saisi la juridiction de renvoi. Celle-ci s’interroge sur le fait de savoir si la communication des fichiers journaux générés à l’occasion des opérations de traitement, qui contiennent des informations relatives aux finalités du traitement et aux destinataires des données ainsi qu’à l’identité des personnes ayant procédé à ces opérations – en l’espèce, les salariés du responsable du traitement -, est couverte par l’article 15 du RGPD.

Par son arrêt du 22 juin 2023 dans l’affaire C‑579/21 (demande de décision préjudicielle, introduite par l’Itä-Suomen hallinto-oikeus ; https://curia.europa.eu/juris/document/document.jsf?docid=274867&mode=req&pageIndex=1&dir=&occ=first&part=1&text=&doclang=FR&cid=309580), la CJUE se prononce sur l’application dans le temps de l’article 15 du RGPD, dans le contexte d’une demande d’accès aux informations visées par cette disposition introduite après l’entrée en vigueur de ce règlement. Elle précise en outre l’étendue du droit de la personne concernée d’obtenir du responsable du traitement l’accès aux données traitées la concernant ainsi qu’aux informations relatives à ces données.

En premier lieu, la Cour dit pour droit que l’article 15 du RGPD est applicable à une demande d’accès aux informations visées par cette disposition lorsque les opérations de traitement concernées par cette demande ont été effectuées avant la date d’entrée en application de ce règlement, mais que la demande a été présentée après cette date. En effet, l’article 15, paragraphe 1, du RGPD ne concerne pas les conditions de licéité du traitement dont font l’objet les données à caractère personnel de la personne concernée, il se contente de préciser l’étendue du droit d’accès de cette personne aux données et aux informations qu’elle vise. Partant, cette disposition confère aux personnes concernées un droit de nature procédurale consistant à obtenir des informations sur le traitement de leurs données à caractère personnel. En tant que règle procédurale, elle s’applique aux demandes d’accès introduites dès l’entrée en application de ce règlement, telles que la présente demande.

En deuxième lieu, la Cour souligne que les informations relatives à des opérations de consultation des données à caractère personnel d’une personne, portant sur les dates et les finalités de ces opérations, constituent des informations que cette personne a le droit d’obtenir du responsable du traitement des données en vertu de l’article 15, paragraphe 1, du RGPD.

Tout d’abord, il découle de l’analyse textuelle de cette disposition et des notions qu’elle comporte que le droit d’accès qu’elle reconnaît à la personne concernée se caractérise par la large portée des informations que le responsable du traitement des données doit fournir à cette personne.

Ensuite, il ressort du contexte dans lequel cette disposition s’insère que celle-ci est destinée à garantir la transparence des modalités de traitement des données à caractère personnel à l’égard de la personne concernée sans laquelle cette dernière ne serait pas en mesure d’apprécier la licéité du traitement de ses données.

Enfin, cette interprétation de l’étendue du droit d’accès prévu à l’article 15, paragraphe 1, du RGPD est corroborée par les objectifs que poursuit ce règlement, dont font partie le besoin d’assurer un niveau cohérent et élevé de protection des personnes physiques au sein de l’Union ainsi que celui de permettre à la personne concernée de s’assurer que les données à caractère personnel la concernant sont exactes et qu’elles sont traitées de manière licite.

S’agissant des informations sollicitées par J.M., la Cour relève, dans un premier temps, que les opérations de consultation dont ont fait l’objet les données à caractère personnel de J. M. constituent un « traitement », de sorte qu’elles ouvrent à celui-ci un droit d’accès à ces données ainsi qu’un droit à se voir communiquer les informations en lien avec ces opérations. Elle souligne à cet égard que la communication des dates des opérations de consultation permettrait à la personne concernée d’obtenir la confirmation que ses données à caractère personnel ont effectivement fait l’objet d’un traitement tandis que la date de celui-ci lui permettrait de vérifier sa licéité. En outre, elle précise que l’information relative aux finalités des traitements est expressément prévue par le RGPD et que ce dernier prévoit que le responsable du traitement informe la personne concernée des destinataires auxquels ont été communiquées ses données.

En ce qui concerne la communication de l’ensemble de ces informations par la fourniture des fichiers journaux relatifs aux opérations de traitement en cause, la Cour spécifie, dans un second temps, que la communication d’une copie des informations figurant dans ces fichiers peut s’avérer nécessaire afin qu’il soit satisfait à l’obligation incombant au responsable du traitement de fournir à la personne concernée l’accès à l’ensemble des informations visées par l’article 15, paragraphe 1, du RGPD et de garantir un traitement équitable et transparent de ses données.

D’une part, ces fichiers révèlent non seulement l’existence d’un traitement des données (7), mais ils renseignent également sur la fréquence et l’intensité des opérations de consultation. Ils permettent ainsi à la personne concernée de s’assurer que le traitement effectué est effectivement motivé par les finalités avancées par le responsable du traitement.

D’autre part, ces fichiers contiennent les informations relatives à l’identité des personnes ayant procédé aux opérations de consultation. En l’occurrence, si la personne concernée a le droit d’obtenir du responsable du traitement les informations relatives aux destinataires ou aux catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, les salariés du responsable du traitement ne sauraient être considérés comme étant des « destinataires » lorsqu’ils traitent des données à caractère personnel sous l’autorité dudit responsable et conformément à ses instructions. Ainsi, à supposer que la communication des informations relatives à l’identité de ces salariés à la personne concernée soit nécessaire pour s’assurer de la licéité du traitement de ses données à caractère personnel, elle est néanmoins susceptible de porter atteinte aux droits et aux libertés de ces salariés, dans la mesure où ces informations contiennent elles-mêmes les données à caractère personnel de ces derniers. Dans cette hypothèse, une mise en balance du droit d’accès de la personne concernée et des droits et des libertés d’autrui est nécessaire. Partant, la Cour conclut que l’article 15, paragraphe 1, du RGPD ne consacre pas un droit de la personne dont les données font l’objet d’un traitement d’obtenir du responsable du traitement un accès aux informations relatives à l’identité des salariés de ce responsable ayant procédé à ces opérations sous son autorité et conformément à ses instructions, à moins que ces informations soient indispensables pour permettre à la personne concernée d’exercer effectivement les droits qui lui sont conférés par ce règlement et à condition qu’il soit tenu compte des droits et des libertés de ces salariés.

En troisième et dernier lieu, la Cour constate que la circonstance que le responsable du traitement exerce une activité bancaire dans le cadre d’une mission réglementée et que la personne dont les données à caractère personnel ont été traitées en sa qualité de cliente du responsable du traitement a été également l’employée de ce responsable, est, en principe, sans incidence sur l’étendue du droit dont bénéficie cette personne en vertu de l’article 15, paragraphe 1, du RGPD. En effet, s’agissant du champ d’application de ce droit, le règlement n’opère pas de distinction en fonction de la nature des activités du responsable du traitement ou de la qualité de la personne dont les données à caractère personnel font l’objet d’un traitement.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Protection des données, RGPD | Tagué 15 RGPD, données personnelles, droit d'accès, limite, portée | Laisser un commentaire

Congé abusif en raison du double jeu de l’employeur

Publié le 22 juin 2023 par Me Philippe Ehrenström

Le contrat signé par les parties le 29 septembre 2015 est un contrat de droit administratif. Les dispositions du Code des obligations sur le contrat de travail sont applicables à titre de droit supplétif (cf. art. 6 de la Loi sur le personnel de l’État du Valais du 19 novembre 2010 [RS/VS 172.2]; art. 2 al. 2 du Règlement général pour le personnel de l’administration communale adopté par le conseil municipal de Sion en séance des 27 novembre 1980 et 17 décembre 1987). Les rapports de service entre la recourante (l’employée) et l’intimée (employeuse) sont donc soumis au droit public, les règles des art. 319 à 343 CO ne pouvant s’appliquer qu’à titre de droit cantonal supplétif respectivement de droit communal supplétif.

Le litige porte sur le caractère abusif ou non de la résiliation des rapports de service avec effet au 31 août 2016. Dans la mesure où le droit communal et cantonal ne prévoit pas de disposition à cet égard, c’est l’art. 336 CO qui s’applique à titre de droit public supplétif.

Chaque partie peut décider unilatéralement de mettre fin à un contrat de travail de durée indéterminée (art. 335 al. 1 CO). Ce droit est toutefois limité par les dispositions sur le congé abusif (art. 336 ss CO). L’art. 336 al. 1 et 2 CO énumère des cas dans lesquels la résiliation est abusive; cette liste n’est toutefois pas exhaustive et une résiliation abusive peut aussi être admise dans d’autres circonstances, en application de l’art. 2 al. 2 CC. Il faut cependant que ces autres situations apparaissent comparables, par leur gravité, aux cas expressément envisagés par l’art. 336 CO.

Le caractère abusif d’une résiliation peut découler non seulement de ses motifs, mais également de la façon dont la partie qui met fin au contrat exerce son droit. Même lorsqu’elle résilie un contrat de manière légitime, la partie doit exercer son droit avec des égards. En particulier, elle ne peut pas se livrer à un double jeu, contrevenant de manière caractéristique au principe de la bonne foi. Ainsi, une violation grossière du contrat, par exemple une atteinte grave au droit de la personnalité (cf. art. 328 CO) dans le contexte d’une résiliation, peut faire apparaître le congé comme abusif.

Lorsque la résiliation par une partie est fonction du refus par l’autre partie d’accepter une modification des conditions de travail, on est en présence d’un congé-modification (Änderungskündigung). Le congé-modification au sens étroit se caractérise par le fait qu’une partie résilie le contrat, mais accompagne sa déclaration de l’offre de poursuivre les rapports de travail à des conditions modifiées. En revanche, dans le congé-modification au sens large, les deux actes juridiques ne sont pas immédiatement couplés; une partie reçoit son congé parce qu’elle n’a pas accepté une modification des obligations contractuelles. En principe, le congé-modification n’est pas abusif, mais il peut l’être dans certaines circonstances.

Les effets de l’offre de poursuivre les rapports de travail à des conditions modifiées qui accompagne le congé-modification sont régis par les dispositions générales sur la conclusion des contrats (art. 1 à 10 CO). L’auteur d’une offre (ou le pollicitant) est lié à son destinataire par une obligation légale qui lui impose d’attendre que celui-ci ait accepté ou refusé son offre et, partant, lui interdit de retirer ou de modifier sa communication pendant un certain laps de temps. L’effet obligatoire de l’offre se justifie au regard de la sécurité des affaires et sert à protéger la confiance du destinataire. Le pollicitant peut toutefois en limiter la portée en précisant que son offre est formulée sous réserve de retrait (Antrag mit Widerrufsvorbehalt), ce qui lui permet de retirer son offre aussi longtemps qu’il n’a pas reçu d’acceptation. L’effet obligatoire de l’offre peut en outre prendre fin de manière anticipée si le destinataire refuse celle-ci avant le délai fixé par l’employeur ou s’il propose des modifications sur des points essentiels, ce qui constitue un refus, assorti éventuellement d’une contre-offre.

Si, dans le cadre d’un congé-modification, le travailleur n’accepte pas l’offre et donc la modification proposée, les rapports de travail prendront fin à l’échéance du délai de préavis. Si en revanche le travailleur accepte les nouvelles conditions proposées, le contrat est conclu et les rapports de travail se poursuivront. Si l’employeur refuse sa prestation, l’employé pourra alors agir en exécution du contrat ou faire valoir les droits qui découlent de son inexécution.

En l’espèce, la cour cantonale a constaté que l’intimée (l’employeuse), après avoir signifié à la recourante son licenciement pour le 31 août 2016, lui avait, dans le même temps, proposé, sans mise au concours extérieure, le nouveau poste de secrétaire à 30 % créé auprès du cycle d’orientation de C.________, en lui impartissant un délai au 30 juin 2016 pour se décider. Elle a considéré qu’il s’agissait là d’une résiliation du contrat de travail pour sa prochaine échéance contractuelle, assortie d’une offre de poursuivre les rapports de travail à des conditions modifiées, soit la définition même du congé-modification au sens étroit. La modification proposée portait sur le taux d’activité, puisque le poste de travail de la recourante passait d’un taux de 90 % à un taux de 30 %, et sur le salaire, puisque le traitement de base qui lui était proposé était celui de la classe 19 de l’échelle salariale de la ville de Sion au lieu de la classe 18. Concernant le caractère abusif ou non du congé-modification, la cour cantonale a retenu que si la résiliation avait bien été utilisée pour imposer à la recourante des clauses contractuelles moins favorables, c’étaient des raisons économiques qui avaient motivé cette façon de faire, de sorte que le congé-modification n’était pas d’abusif, à tout le moins dans ses motifs. Il ne l’était pas davantage dans ses modalités, qui devaient s’apprécier au moment où le congé-modification était signifié.

La recourante invoque une violation de l’art. 336 CO et fait valoir que le congé-modification serait abusif dans ses modalités. Elle critique le raisonnement des juges cantonaux en tant qu’ils ont examiné le caractère abusif ou non du congé-modification en tenant compte des modalités seulement jusqu’au moment où le congé-modification avait été signifié, soit en l’occurrence le 24 mai 2016, sans tenir compte des lettres consécutives. Cela reviendrait, selon les dires de la recourante, à laisser tout pouvoir en main de l’employeur et lui aurait permis de revenir sur sa parole et de décider finalement, malgré l’acceptation de l’employée, de mettre fin au contrat.

Les parties s’entendent à qualifier le congé, qui a été signifié à la recourante, d’abord oralement le 23 mai 2016, puis confirmé par écrit le 24 mai 2016, de congé-modification, dès lors que la résiliation des rapports de service avec effet au 31 août 2016 était assortie d’une offre d’emploi à des conditions modifiées et comportait un délai de réflexion jusqu’au 30 juin 2016. En revanche, il y a un désaccord entre les parties sur la qualification des événements qui se sont déroulés entre le moment de la notification du licenciement (24 mai 2016) et l’échéance du délai de réflexion (30 juin 2016). La recourante soutient que l’employeur aurait agi de manière abusive en retirant son offre d’emploi avant l’échéance du délai de réflexion, alors que l’intimée est d’avis que la recourante aurait renoncé à l’offre avant l’échéance du délai, si bien qu’elle n’était plus liée. Il convient donc d’examiner si l’employeur était lié par l’effet – en principe obligatoire – de son offre ou s’il existait au contraire des motifs qui lui permettaient d’y mettre fin de manière anticipée.

On ne saurait suivre la cour cantonale en tant qu’elle fonde l’examen du caractère abusif ou non du licenciement sur le moment où le congé-modification est signifié à son destinataire, sans tenir compte des faits qui se sont produits jusqu’à l’échéance du délai de réflexion. En effet, dans l’arrêt 4C.282/2006 du 1er mars 2007, sur lequel s’appuient les juges cantonaux, le litige portait sur le caractère abusif ou non d’un congé-modification au sens large (arrêt 4C.282/2006 du 1er mars 2007 consid. 4.4).

Cela étant, en présence d’un congé-modification au sens étroit [comme en l’espèce], la finalité du congé (conclusion d’un contrat modifié ou licenciement) est encore incertaine au moment de sa notification à l’employé et dépendra du comportement de celui-ci, lequel acceptera ou refusera l’offre de l’employeur, voire lui présentera une contre-offre qu’il pourra à son tour refuser ou accepter. Or, dans la mesure où le caractère abusif d’une résiliation peut non seulement découler de ses motifs, mais également de la façon dont la partie qui met fin au contrat exerce son droit, il y a également lieu de tenir compte des faits qui se sont produits postérieurement à la résiliation.

En l’espèce, l’intimée n’a pas prévu de réserve de retrait à son offre, si bien qu’elle était liée par son effet obligatoire jusqu’à l’échéance du délai fixé par ses propres soins au 30 juin 2016. Par ailleurs, il est constant que la recourante n’a pas proposé des modifications sur des points essentiels de l’offre. En effet, on rappellera que dans son courriel du 17 juin 2016, la recourante s’est contentée de demander à l’intimée les motifs du déclassement de son salaire. En outre, le fait qu’elle ait refusé le cahier des charges proposé par l’intimée dans le cadre des pourparlers, comme l’a constaté la cour cantonale, constitue tout au plus un indice qu’elle entendait refuser le poste. Cela étant, on ne saurait déduire des actes de la recourante qu’elle a refusé le nouveau poste de travail, puisqu’elle l’a au contraire explicitement accepté par courrier du 27 juin 2016, soit dans le délai imparti.

En définitive, le caractère abusif du congé-modification découle de la façon dont l’intimée a mis fin aux rapports de service avec la recourante. En lui fixant un délai pour dire si elle acceptait le nouvel emploi proposé, sans toutefois en attendre l’échéance avant de résilier les rapports de service de manière définitive, elle s’est livrée à un double jeu, contrevenant de manière caractéristique au principe de la bonne foi. En niant le caractère abusif du licenciement prononcé dans ces circonstances, les juges cantonaux sont tombés dans l’arbitraire.

Au vu de ce qui précède, le recours doit être partiellement admis, le jugement attaqué annulé et la cause renvoyée à l’autorité précédente pour qu’elle fixe l’indemnité au sens de l’art. 336a CO.

(Arrêt du Tribunal fédéral 8C_637/2022 du 2 juin 2023)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Licenciement abusif | Tagué 336 CO, bonne foi, congé -modification, congé abusif, double jeu | Laisser un commentaire

Economie domestique, assistance 24h/24h et rémunération du service de garde

Publié le 16 juin 2023 par Me Philippe Ehrenström

Photo de alexandre saraiva carniato sur Pexels.com

L’employée, qui assure des prestations d’assistance à une personne handicapée qui a besoin d’une aide 24h/24h, demande une meilleure rémunération des prestations effectuées la nuit, et qu’elle considère être un service de piquet. Elle relève que le forfait convenu de 46 fr. 05 pour les 8 heures de travail de nuit correspond à un salaire horaire de 5 fr. 76, c’est-à-dire en deça du salaire horaire minimum prévu par le CTT économique domestique fixé à environ 20 francs. Elle se réfère à l’arrêt 4A_96/2017 dans lequel le Tribunal fédéral retient que le service de piquet implique une disponibilité et correspond au temps pendant lequel le travailleur se tient prêt à intervenir et qui donne lieu à rémunération. Elle soutient que le service de piquet interne serait considéré comme un travail normal et serait soumis à rémunération au salaire de base, ou, à tout le moins, devrait être rémunéré en équité conformément à l’ATF 124 III 249 qui traite de la rémunération en matière de service de piquet externe. Elle ajoute que « le maintien à domicile d’une personne souffrant d’un handicap ne doit pas se faire sur le dos de travailleurs précaires et au mépris des droits les plus élémentaires des employés ». Partant, le fait que le forfait de nuit ait été fixé selon les ressources financières de l’intimée n’exercerait aucune influence sur le salaire dû. L’appelante en conclut que le salaire horaire minimum impératif prévu par le CTT économie domestique serait applicable au service de piquet qu’elle accomplissait la nuit.

La LTr (loi fédérale sur le travail dans l’industrie, l’artisanat et le commerce du 13 mars 1964 ; RS 822.11) ne s’applique pas aux situations dans lesquelles l’employeur occupe un travailleur dans son ménage pour ses propres besoins. La protection des travailleurs domestiques relève en effet des contrats-types de travail (CTT) que les cantons sont tenus d’édicter en vertu de l’art. 359 al. 2 CO (art. 2 al. 1 let. g LTr ) – soit en l’occurrence de l’arrêté vaudois établissant un contrat-type de travail pour le personnel des ménages privés du 18 janvier 2006 (ACTT-mpr ; BLV 222.205.101) et le CTT économie domestique (ordonnance sur le contrat-type de travail pour les travailleurs de l’économie domestique du 20 octobre 2010 ; RS 221.215.329.4).

Selon la jurisprudence, le travail à rémunérer, au sens de l’art. 319 CO, s’entend de toute occupation humaine qui tend, de manière planifiée, à la satisfaction d’un besoin et il ne s’agit pas nécessairement d’un comportement actif. Ainsi, lorsque le travailleur se tient, même à l’extérieur de l’entreprise, prêt à fournir sa prestation, cette seule disponibilité à travailler contribue à la satisfaction des besoins de l’employeur. C’est pourquoi dans le travail sur appel, le service de disponibilité est une prestation de travail qui ne se conçoit que contre rétribution (art. 320 al. 2 CO), car le travailleur ne fournit pas cette prestation de manière désintéressée, mais en vue de la prestation principale (rémunérée).

Le service de piquet implique par définition une disponibilité (TF 4A_96/2017, consid. 2.1). Il correspond au temps pendant lequel le travailleur se tient, en sus du travail habituel, prêt à intervenir. Lorsqu’il est assuré dans l’entreprise, le service de piquet (ou de garde) est une prestation de travail et donne lieu à rémunération, peu importe que le travailleur ait eu ou non à intervenir concrètement, ni qu’il ait disposé de temps de repos pendant sa permanence (TF 4A_96/2017, consid. 2.1). L’indemnité pour le service de piquet peut toutefois être inférieure au taux de salaire de base. Les parties peuvent également prévoir qu’elle sera intégrée dans le taux de salaire pour l’activité principale (TF 4A_96/2017 précité consid. 2.1 ;cf. ATF 124 III 249 consid. 3b et 3c ; Meier, Commentaire romand du Code des obligations I, 3e éd., Bâle 2021, n. 24 ad art. 319 CO). La rémunération globale des services de garde peut être forfaitairement convenue en tenant compte de la moyenne des interventions, de sorte que cette rémunération compense équitablement la moyenne des temps réels d’intervention en tenant compte des périodes de disponibilité durant lesquelles le travailleur n’est pas actif.

Dans l’arrêt 4A_96/2017, le Tribunal fédéral a précisé que « la fourniture de soins nocturnes entre nécessairement dans le cadre d’un service de garde à rémunérer » (. Dans le litige ayant donné lieu à cet arrêt, la cour cantonale avait accordé à l’employée de maison une rémunération de 1’200 fr., correspondant à 30 nuits de 8 heures au taux de 40 fr. la nuit, à partir du moment où l’état de santé de l’employeur nécessitait des soins durant la nuit.

Selon l’art. 5 al. 1 let. b CTT économie domestique, le salaire horaire minimal impératif pour un employé avec quatre ans d’expérience était de 20 fr. 35 en 2015 et 2016 et de 20 fr. 75 en 2017. Le CTT économie domestique ne contient toutefois pas de salaire horaire minimal pour le service de piquet, pas plus que l’ACTT-mpr. Les CTT fédéral et vaudois contiennent en effet uniquement des salaires minimaux pour le travail actif, mais non pour le temps de présence.

D’après le modèle de CTT en matière de prise en charge 24 heures sur 24 mis en ligne par le SECO en juin 2018 pour compléter les CTT cantonaux pour les travailleurs de l’économie domestique (ci-après : CTT 24/24 ; cf. https://www.seco.admin.ch/seco/fr/home/Arbeit/Arbeitsbedingungen/Arbeitnehmerschutz/24-stunden-betagtenbetreuung.html), le temps passé par le travailleur dans le foyer ou dans les pièces occupées par la personne assistée sans accomplir un travail actif mais en se tenant à la disposition de la personne assistée est considéré comme temps de présence, celui-ci étant un élément typique de la prise en charge 24h/24. Le CTT 24/24 propose un système de rémunération du temps de présence en fonction d’un pourcentage du salaire de base (25%, 35% ou 50%) et du nombre moyen d’interventions (pas d’intervention ou jusqu’à trois fois par semaine la nuit en moyenne mensuelle ou par période salariale, une intervention par nuit en moyenne mensuelle ou par période salariale, ou deux à trois interventions par nuit en moyenne mensuelle ou par période salariale).

Contrairement à d’autres cantons (cf. p. ex. le canton de Bâle-Ville, « Normalarbeitsvertrag für Arbeitnehmende im Haushalt einschliesslich der 24-Stunden-Betreuung im Kanton Basel-Stadt », RSBS 215.700), le canton de Vaud n’a pas repris le CTT 24/24 dans sa législation, ni n’a prévu de régime particulier pour la rétribution du temps de présence. Ainsi, comme le relève l’Office fédéral des assurances sociales (ci-après : l’OFAS), le CTT 24/24 n’a pas d’impact direct sur le rapport de travail lorsque ses normes minimales ne sont pas reprises par le CTT cantonal et, dans tous les cas, le contrat individuel de travail peut y déroger (« Informations sur les contrats-types de travail », 03.10.2018, Disponible sous https ://www.aivs.ch/data/documents/guichet_en_ligne/Assures/FR/InformationNAV_2019.pdf).

L’OFAS relève par ailleurs que les forfaits accordés dans le cadre de la contribution d’assistance versée par l’assurance-invalidité permettent de respecter les salaires minimaux du CTT économie domestique. Il expose encore, au sujet du CTT 24/24, que, s’il partage le souhait du SECO de mieux régler la situation des employés de maison, il est toutefois d’avis que certaines des dispositions proposées ne cadrent pas avec le système de la contribution d’assistance. S’agissant de la rétribution du temps de présence la nuit, l’OFAS indique que, pour le moment, les prestations de nuit (prestations actives ou seule présence) sont rétribuées par des forfaits fixes par nuit et qu’il est par conséquent recommandé aux parties de s’écarter dans le contrat individuel des dispositions figurant le cas échéant dans les CTT cantonaux.

D’après l’Annexe 1 à la Circulaire sur la contribution d’assistance établie par l’OFAS (n° 318.507.26, cf. https://sozialversicherungen .admin.ch/fr/d/6394#versions=12/5), l’impotence de degré 3 implique un besoin d’aide au moins une fois par nuit pour une durée de 60 minutes et donne droit à une allocation de 54 fr. 85.

En l’espèce, le nombre de nuits et d’heures effectuées durant la nuit n’est pas contesté. Seul est contesté le tarif appliqué à titre de rémunération, à savoir un forfait de 46 fr. 05 par nuit.

Il sied d’abord de relever que le CTT 24/24, qui n’a pas été repris dans la législation vaudoise et qui n’était pas publié au moment des rapports de travail, n’est pas directement applicable au contrat litigieux. Toutefois, comme l’ont relevé à juste titre les premiers juges, ce contrat-type introduit clairement une distinction entre le travail de nuit actif et le temps de présence, pour lequel une rémunération réduite est recommandée (voir également à ce propos les § 18 et 34 du contrat-type de travail dans l’économie domestique du canton de Bâle-Ville précité). La jurisprudence relative au service de piquet distingue également le travail actif du temps de présence. Par conséquent, la rémunération minimale fixée par le CTT économie domestique et l’ACTT-mpr ne vise que le travail actif. Le temps de présence n’est soumis à aucun régime salarial minimal et sa rétribution relève de la liberté contractuelle. Ainsi, contrairement à ce que soutient l’appelante, le tarif horaire pour le temps de présence n’est pas soumis au salaire-horaire minimum impératif prévu par le CTT économie domestique, à savoir respectivement 20 fr. 35 (en 2015 et 2016) et 20 fr. 75 (en 2017). D’ailleurs, la jurisprudence et la doctrine exposées ci-dessus retiennent que le service de garde est une prestation de travail qui donne lieu à rémunération à un taux qui peut être inférieur au salaire de base, ou même être intégrée dans le salaire de base. Les parties pouvaient dès lors fixer librement le salaire-horaire du temps de présence de l’appelante – de jour comme de nuit –, le travail non actif n’étant pas visé par les salaires minimaux impératifs du CTT fédéral. Il est donc exclu d’appliquer, comme requis dans l’appel, un taux horaire de 20 fr. 35 (respectivement 20 fr. 75 dès 2017) pour calculer le salaire de nuit revenant à l’appelante.

L’appelante invoque subsidiairement qu’il conviendrait à tout le moins de déterminer un salaire équitable pour la rémunération de l’horaire effectué la nuit. Elle se réfère à cet égard à l’ATF 124 III 249. Il découle toutefois de cet arrêt qu’une fixation en équité de l’indemnisation du temps d’attente ne doit prévaloir que lorsque le montant de l’indemnité pour le service de piquet n’a été fixé ni par le contrat individuel de travail, ni par une convention collective de travail, et qu’il ne peut pas l’être par référence au salaire usuel (ATF 124 III 249 consid. 3b). Or en l’espèce, le contrat de travail détermine précisément le salaire lié au temps de présence la nuit. Il n’y a donc pas de place pour une fixation de ce salaire en équité par le juge.

Dans tous les cas, même s’il fallait examiner si le forfait convenu par les parties était équitable, il conviendrait de relever les éléments suivants. L’appelante a accompli des heures de présence aussi bien le jour que la nuit. Pour l’horaire de jour, elle a perçu un salaire de 26 fr. 50 de l’heure, pour le travail actif comme pour les heures de présence. Pour les heures effectuées la nuit, elle a perçu un forfait à hauteur de 46 fr. 05, à savoir 5 fr. 76 par heure (46 fr. 05 / 8 heures). Ce taux-horaire du temps de présence la nuit correspond à environ 28% du salaire-horaire minimal de 20 fr. 35 prévu par le CTT économie domestique. A titre comparatif, le CTT 24/24 propose un système de rémunération du temps de présence allant de 25 à 50% du tarif-horaire de base. Quand bien même ce CTT 24/24 n’est ni contraignant ni applicable en l’espèce – celui-ci étant postérieur aux rapports de travail en cause et le canton de Vaud ne l’ayant pas repris dans sa législation –, le pourcentage du salaire de base appliqué par les parties se trouve donc dans la fourchette proposée par le SECO. Il faut par ailleurs souligner que les parties ont choisi d’appliquer un forfait par nuit correspondant à la contribution d’assistance versée à l’intimée par l’OAI VD. Or, il s’agit là du système de rétribution recommandé par l’OFAS, qui relève que la contribution d’assistance sert à couvrir la rémunération d’une garde de nuit et recommande aux parties de déroger le cas échéant au contrat-type fixant une rétribution plus importante.

Enfin, la jurisprudence admet que l’indemnité pour le service de piquet soit intégrée dans le taux de salaire pour l’activité principale.

En définitive, l’on ne saurait suivre l’appelante et retenir que le temps de présence nocturne devait être rémunéré au taux-horaire minimum fixé par l’art. 5 CTT économie domestique ou, subsidiairement, fixé en équité. Partant, comme l’ont retenu les premiers juges, aucun supplément salarial pour le travail de nuit n’est dû à l’appelante.

(Arrêt de la Cour d’appel civile vaudoise HC/2022/732 du 28 septembre 2022)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans économie domestique, Droit collectif du travail | Tagué ACTT-mpr, assistance 24h/24h, économie domestique, CTT Edom, Modèle CTT 24/24, rémunération, seco, service de garde, service de piquet, Vaud | Laisser un commentaire

Communiquer à des tiers le motif du licenciement d’un collaborateur

Publié le 15 juin 2023 par Me Philippe Ehrenström

Le 24 et le 27 janvier 2023, les plaignantes déposent plainte auprès de l’Autorité [belge] de protection des données (ci-après « l’APD »), contre leur ex-employeur, la défenderesse.

L’objet de la plainte concerne l’envoi le 15 janvier 2023 à des tiers (entre vingt et trente membres du personnel) d’un email concernant le licenciement des plaignantes par leur ex-employeur. L’email litigieux précise que les plaignantes ont été licenciées pour faute grave.

Or, les plaignantes soulèvent que la précision aux tiers (leurs ex-collègues) de la nature du licenciement, soit la faute grave, n’était pas nécessaire. Elles indiquent que ceci peut donner l’impression qu’elles ont commis une faute grave par rapport aux enfants pris en charge par l’institution de leur ex-employeur, alors que les motifs sous-tendant la faute grave seraient autres.

Le principe de minimisation des données énonce que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (article 5 par.1 let. c RGPD ; texte RGPD – https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679).

La Chambre Contentieuse considère qu’il n’est pas nécessaire de préciser la nature du licenciement afin d’informer les collaborateurs du licenciement des plaignantes, la seule mention du départ étant suffisante à cet égard. Dans la mesure où la finalité poursuivie pouvait raisonnablement être atteinte sans communiquer cette information, la Chambre Contentieuse constate que la défenderesse a violé l’article 5 par. 1 let. c RGPD en précisant dans l’email litigieux que le licenciement a lieu pour faute grave, au lieu de se limiter à la communication du licenciement uniquement.

(Décision 63/2023 du 01.06.2023 de l’Autorité de protection des données [BE], Chambre contentieuse : https://www.gegevensbeschermingsautoriteit.be/publications/waarschuwing-nr.-63-2023.pdf)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Fin des rapports de travail, Licenciement immédiat, Protection des données, RGPD | Tagué 5 par. 1 let. c RGPD, communication à des tiers, licenciement, minimisation des données, motif | Laisser un commentaire

Prendre son chien au bureau : l’opinion et le droit

Publié le 14 juin 2023 par Me Philippe Ehrenström

Photo de Edgar Daniel Hernu00e1ndez Cervantes sur Pexels.com

20 Minutes, dans un article de ce jour, se fait l’écho d’un sondage sur la possibilité de prendre son chien au bureau ou non (https://www.20min.ch/fr/story/les-chiens-au-bureau-ca-plait-moins-aux-jeunes-et-aux-hommes-376314763142). De manière assez peu surprenante, les réponses sont plutôt positives, particulièrement chez les propriétaires de toutous, et un peu moins chez les jeunes et les hommes. Je ne crois pas qu’ils aient testé spécifiquement les propriétaires de chats…

Comme 20 Minutes cite brièvement, dans son article, une des notes de ce site sur le cadre juridique qui s’applique à cette question, sans mettre de lien, je me permets d’y suppléer : https://droitdutravailensuisse.com/2023/02/05/prendre-son-chien-au-travail/.

Pour résumer le contenu de cette note, on dira que la question n’est pas laissée au libre arbitre des employés ou des employeurs, que ce soit dans le cadre de la protection des travailleurs d’une part, et dans celle des animaux d’autre part. Cela étant dit, ces deux ensembles de contraintes, a priori parfois contradictoires, sont tout à fait conciliables avec un peu d’organisation, d’imagination et de supervision, ce qui pourrait se traduire par exemple déjà par une consultation, dans des directives écrites et un peu de sensibilisation.

Car c’est un fait d’expérience, toutes les fois que j’ai pu accompagner un tel processus chez des employeurs, ou organiser moi-même les conditions de travail dans mes bureaux depuis près d’un quart de siècle, les résultats de la présence de chiens au travail ont toujours été positifs, que ce soit en termes de climat de travail, de motivation, etc.

Comme le disait le grand Charles Schulz sur la couverture d’un de ses recueils, « Dogs are worth it ».

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Divers, Non classé | Tagué bureau, chien, droit, prendre son chien, sondage, Travail | Un commentaire

Travail, protection des données et IA

Traitement de données : obligation d’informer et transparence

Notion de données personnelles en cas de reciblage publicitaire

Enregistrement des appels téléphoniques avec la clientèle, minimisation des données

Enquête interne, droits de la personne dénoncée

Qui peut avoir accès aux données RH ?

Portée et étendue du droit d’accès à ses données personnelles (art. 15 RGPD)

Congé abusif en raison du double jeu de l’employeur

Economie domestique, assistance 24h/24h et rémunération du service de garde

Communiquer à des tiers le motif du licenciement d’un collaborateur

Prendre son chien au bureau : l’opinion et le droit

Articles récents

Catégories

Méta

S'abonner au blog via courriel

Partager:

Partager:

Partager:

Partager:

Partager:

Partager:

Partager:

Partager:

Partager:

Partager:

Articles récents

Catégories

Méta

S'abonner au blog via courriel