En avril 2020, une école maternelle finlandaise (responsable du traitement) a envoyé une demande accompagnée d’une lettre d’information concernant les activités visant à prévenir la propagation du COVID-19. Les familles étaient invitées à renvoyer le formulaire en fournissant des données personnelles (notamment le numéro de sécurité sociale de l’enfant) et en indiquant si elles pouvaient organiser la garde des enfants à domicile pendant la pandémie.
Une lettre accompagnant le formulaire de demande précisait que le traitement des données personnelles était fondé sur le consentement et que la personne concernée donnait son accord en renvoyant le formulaire. En réalité, de nombreux parents ont été informés que le renvoi du questionnaire était obligatoire.
Le responsable du traitement a répondu à la demande d’information de l’autorité de protection des données (APD) finlandaise (Tietosuojavaltuutetun toimisto – finnois ou Dataombudsmannens byrå – suédois) en indiquant que le retour du formulaire de demande était volontaire mais fortement souhaitable. Les informations étaient nécessaires pour organiser des activités dans des circonstances exceptionnelles dues à la pandémie de COVID. Le responsable du traitement a reconnu que le caractère volontaire de la demande aurait pu être communiqué plus clairement. Il a également expliqué que les employés avaient reçu des directives générales pour le traitement des données à caractère personnel, mais pas de directives spécifiques pour cette situation particulière.
Le responsable du traitement a indiqué que l’art. 6 par. 1 let. c RGPD constituait la base juridique au traitement de données (traitement nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis). Dans sa déclaration, il a affirmé avoir besoin de ces informations pour organiser la garde des enfants, comptabiliser le nombre d’élèves apprenant à domicile et organiser des cours en petits groupes là où c’était possible. Il a également affirmé avoir besoin de ces informations pour rembourser les familles si un enfant ne participait pas aux activités en raison de la pandémie. Toutefois, le responsable du traitement a reconnu que le numéro de sécurité sociale d’un enfant n’était pas une information nécessaire et que son âge aurait suffi à vérifier l’identité de l’enfant.
L’APD a examiné si les personnes concernées étaient informées de la finalité et de la base juridique du traitement des données à caractère personnel, et du caractère volontaire de la réponse à l’enquête, et ce sur la base de l’art. 5 par. 1 let. a (licéité, loyauté et transparence du traitement), 12 par. 1 (le responsable du traitement prend les mesures appropriées pour informer de manière concise, transparente, compréhensible, en des termes clairs et simples) et 13 (informations à fournir) RGPD.
L’APD a donc évalué le formulaire de demande de renseignements utilisé par le responsable du traitement et a constaté qu’il n’était pas clair si le fait de répondre était volontaire ou obligatoire. En outre, ni le formulaire ni la fiche d’information qui l’accompagnait ne précisaient suffisamment la manière dont les données seraient utilisées. Aucune information n’était fournie pour expliquer que la collecte des données à caractère personnel était nécessaire pour déterminer combien d’enfants avaient besoin d’une garde de jour, et les informations ne précisaient pas si la garde de jour pouvait être refusée sur la base des réponses fournies. Dans sa réponse à l’APD, le responsable du traitement avait déclaré que les informations étaient nécessaires pour traiter les remboursements si les enfants ne fréquentaient pas la crèche. Toutefois, il n’était pas clair si les données à caractère personnel seraient traitées pour déterminer l’organisation de la garde d’enfants à domicile, le traitement des remboursements de paiement, ou les deux.
Compte tenu des points susmentionnés, l’APD a estimé que la finalité du traitement des données à caractère personnel n’avait pas été suffisamment communiquée et que le responsable du traitement avait donc enfreint ses obligations de transparence en vertu des art. 5 par. 1 let. a, 12 et 13 RGPD.
Photo de Gantas Vaiu010diulu0117nas sur Pexels.com
Les responsables de traitement sont TV X (une chaîne de télévision publique) et Z. (un cabinet d’avocats). En septembre 2020, TV X a lancé une enquête sur la « culture malsaine (sexiste) » qui règnerait au sein de la chaîne de télévision. Elle a demandé l’aide du cabinet d’avocats Z, et a demandé aux employés anciens et actuels de signaler d’éventuelles infractions et de partager leurs « expériences » de la culture sexiste qui prévaudrait à TV X. La chaîne de télévision a ensuite reçu deux rapports sur la personne concernée, avec des allégations d’« inconduite sexuelle ». Après avoir enquêté sur l’affaire, TV 2 a décidé que la personne concernée ne pouvait plus animer d’émissions de télévision sur la chaîne.
La personne concernée a fait valoir qu’il n’y avait pas de faits concrets qui justifiaient l’enquête de TV Z En outre, elle a estimé que, puisqu’elle n’avait pas explicitement consenti à un quelconque traitement, TV X et Z avaient traité leurs données personnelles sensibles sans base juridique. Plainte a donc été déposée auprès de l’autorité danoise de protection des données (ADP ; Datatilsynet), laquelle a rendu une décision 2021-31-4751 le 3 février 2022.
L’ADP a notamment cherché à établir la base juridique du traitement (art. 6 et 9 RGPD).
L’APD a d’abord onstaté que TV X et Z ne pouvaient pas se fonder sur l’art. 6 par. 1 let. c) RGPD (traitement nécessaire au respect d’une obligation légale) lorsqu’elles traitaient les données à caractère personnel de la personne concernée, étant donné que les obligations légales prévues par la loi danoise sur la santé, la sécurité et la discrimination ne sont pas suffisamment claires et précises pour servir de base au traitement. Toutefoisl’APD a déclaré que le responsable du traitement pouvait se fonder sur l’art. 6 par. 1 let. f RGPD (intérêts légitimes du responsable de traitement ou de tiers), car l’objectif de l’enquête, à savoir « mettre fin à une culture malsaine », était légitime, et cet objectif primait sur les intérêts de la personne concernée.
L’APD a aussi noté que les responsables du traitement ne pouvaient pas invoquer l’exception prévue à l’art. 9 par. 2 let. b RGPD (traitement nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable de traitement ou à la personne concernée en matière de droit du travail) à l’interdiction de traitement de données sensibles. Là encore, c’est parce que les obligations légales prévues par la loi nationale sur la santé, la sécurité et la discrimination n’étaient pas suffisamment claires et précises. En outre, bien que la finalité du traitement soit légitime, l’APD a estimé que les responsables du traitement ne pouvaient pas non plus invoquer l’art. 9 par. 1 let. f RGPD (traitement nécessaire à la constatation, à l’exercice ou à la défense
L’APD a considéré que, parce que la collecte de données personnelles sensibles n’était pas suffisamment restreinte et concernait également des personnes qui ne travaillaient plus à la chaîne, le traitement de données sensibles sur ces personnes n’était pas nécessaire dans la poursuite du but poursuivi (art. 5 al. 1 let. c (minimisation) et 6 par. 1 let f RGPD).
Par conséquent, l’APD a conclu que TV X et Z avaient traité les données personnelles sensibles sans base légale.
Enfin, l’APD a considéré que TV X et Z n’avaient pas informé la personne concernée du traitement dans le cadre de l’enquête, conformément aux 12 et 14 RGPD, car les informations n’ont pas été fournies dans un langage clair et simple. Il n’était pas clair, entre autres, quel était l’objectif précis de l’enquête et, par conséquent, il n’était pas clair non plus quelles conséquences possibles l’enquête aurait pu avoir.
[NB : en droit suisse, je prête une importance particulière aux développements relatifs à l’information de la personne concernée dans le cadre de l’enquête interne, information qui est presque systématiquement défectueuse ou lacunaire, mais qui peut entraîner que ses résultats pourraient être déclarés irrecevables en procédure (art. 152 CPC), particulièrement au regard des principes découlant de l’art. 8 CEDH applicables aux mesures de surveillance des employés (singulièrement sur l’information et les conséquences) et que l’on devrait pouvoir appliquer à l’enquête interne [Cf. CourEDH, Florindo De Almeida Vasconcelos Gramaxo c. Portugal, arrêt du 13 décembre 2022 (GPS) ; CourEDH, Lopez Ribalda et autres c. Espagne, arrêt (Gramde Chambre) du 17 octobre 2019 (vidéosurveillance des employés) ; CourEDH, Barbulescu c. Roumanie, arrêt (Grande Chambre) du 5 septembre 2017 (surveillance des emails)]
Le responsable de traitement exerce (entre autres) une activité d’éditeur d’adresses au sens du § 151 de la loi autrichienne sur la réglementation du commerce (Gewerbeordnung 1994 – GewO) et vend des données à caractère personnel à des fins de marketing pour des tiers.
À partir de 2017, le responsable de traitement avait créé des informations sur les » affinités pour les partis politiques » présumées de l’ensemble de la population autrichienne. Pour ce faire, il a rassemblé et combiné des informations provenant de sondages anonymisés et de statistiques sur les résultats des élections via un algorithme. En conséquence, les individus ont été affectés à un ou plusieurs groupes marketing et classifications concernant les affinités politiques en fonction de leur lieu de résidence, de leur âge, de leur sexe, etc.
Le responsable de traitement avait ainsi estimé que la personne concernée était susceptible de s’intéresser au Parti autrichien de la liberté (FPÖ), un parti classé à l’extrême droite. Après l’avoir appris suite à une demande d’accès au titre de l’article 15 RGPD, la personne concernée a intenté une action en justice et demandé (i) une injonction selon laquelle le responsable de traitement devait s’abstenir de traiter les données relatives à ses opinions politiques présumées et (ii) lui payer 1 000 € de dommages et intérêts car il considérait que sa prétendue affinité avec le FPÖ était une insulte, une honte et un crédit hautement préjudiciable.
Le responsable de traitement n’avait pas divulgué les données de la personne concernée à des tiers. Au 04.06.2019, le responsable de traitement avait effacé toutes les données relatives aux » affinités pour les partis politiques « , y compris celles de la personne concernée. Dans toutes les instances judiciaires, le responsable de traitement a fait valoir que les données sur les » affinités pour un parti politique » ne constituent pas des données à caractère personnel, et encore moins des catégories particulières de données à caractère personnel.
Les données en cause constituent bien des données à caractère personnel au sens de l’art. 4 par. 1 RGPD. Même si elles ont été créées à l’aide de données non personnelles (sondages, statistiques), le responsable de traitement a attribué une « affinité pour un parti politique » à des personnes physiques individuelles – telles que la personne concernée. Le fait que la prétendue affinité soit effectivement correcte (ou non) n’est pas pertinent. Le fait qu’elle n’exprime que la probabilité supposée qu’une personne concernée s’intéresse à un certain parti politique et non les convictions politiques ou le comportement électoral réels de la personne concernée ne l’est pas non plus.
Ces données sont également qualifiées de catégories spéciales de données à caractère personnel en vertu de l’art. 9 RGPD (données sensibles). L’OGH a estimé que l’objectif de l’art. 9 RGPD est de protéger les personnes concernées contre le risque de discrimination grave résultant du traitement de certains types de données. Étant donné que les données alléguées sur les préférences politiques comportent déjà un risque de discrimination, elles doivent être traitées comme des données sur les opinions politiques conformément à l’art. 9 RGPD.
L’OGH a également confirmé l’injonction faite par les juridictions inférieures de ne plus traiter ces données.
L’art. 79 RGPD prévoit un recours judiciaire effectif lorsque la personne concernée considère que ses droits au titre du RGPD ont été violés. Selon l’opinion dominante parmi la doctrine en Autriche et en Allemagne, cela inclut les actions en cessation. Le traitement des données de la personne concernée relatif à son « affinité pour un parti politique » était illégal en raison de l’absence de consentement (art. 9 par. 2 let. a RGPD). Le fait que le responsable de traitement ait supprimé les données de la personne concernée sur son » affinité pour un parti » politique » n’exclut pas le danger qu’il crée à nouveau de telles données à l’avenir. En outre, le responsable de traitement n’a jamais abandonné son point de vue selon lequel le traitement des données en cause était légal. Par conséquent, l’OGH a considéré qu’il y avait un danger de répétition et a confirmé l’injonction.
L’appelant (= le travailleur) dénonce une violation de l’art. 328 CO et soutient que le caractère abusif du licenciement résulterait de la manière dont il a été donné. Pour l’appelant, il y aurait lieu de tenir compte de l’âge, de l’ancienneté, du moment auquel le congé a été donné en rapport à la retraite et des modalités de résiliation du contrat de travail. Il fait valoir que l’intimée (= l’employeur) n’aurait ni cherché une solution propre à permettre le maintien des rapports de travail, ni offert au travailleur une dernière chance de répondre à ses attentes, alors que ce dernier était âgé d’environ 60 ans et avait presque 18 années de service à son actif. Il invoque les différents témoignages pour soutenir qu’il était un bon travailleur et que la situation s’était dégradée dans l’entreprise à l’arrivée de X.________. Il reproche à l’intimée de s’être séparée d’un travailleur âgé sans lui avoir donné l’occasion d’être entendu, sans avoir véritablement cherché à régler le conflit qui l’opposait à un des cadres de l’entreprise, à savoir le directeur de la planification, et sans avoir tenté de trouver une issue concernant la prise en charge des frais de stationnement du véhicule d’entreprise. Elle aurait ainsi enfreint son devoir accru d’assistance à l’égard d’un travailleur âgé et d’une grande ancienneté.
Selon l’art. 328 al. 1 CO, l’employeur protège et respecte, dans les rapports de travail, la personnalité du travailleur. Il doit s’abstenir de porter une atteinte injustifiée aux droits de la personnalité du travailleur et, dans les rapports de travail, il doit protéger son employé contre les atteintes émanant de supérieurs, de collègues ou même de tiers. S’il surgit un conflit entre travailleurs, l’employeur doit s’efforcer de l’apaiser. Il dispose cependant d’un large pouvoir d’appréciation dans le choix des mesures à prendre. On ne peut pas reprocher à un employeur de ne pas avoir pris les mesures adéquates pour apaiser un conflit lorsque l’attitude du travailleur est la cause de la tension et que la mesure appropriée était – comme cela avait été fait – de l’inviter à faire un effort et à changer d’attitude (ATF 136 III 513 consid. 2.6).
L’art. 336 al. 1 et 2 CO énumère une liste de cas dans lesquels la résiliation est abusive. Est en particulier abusif le congé donné par une partie pour une raison inhérente à la personnalité de l’autre, à moins que cette raison n’ait un lien avec le rapport de travail ou ne porte sur un point essentiel un préjudice grave au travail dans l’entreprise (art. 336 al. 1 let. a CO). Ainsi, s’il est établi qu’une situation conflictuelle sur le lieu du travail, due au caractère difficile d’un employé, nuit notablement au travail en commun dans l’entreprise, le congé donné à ce travailleur n’est pas abusif, à condition toutefois que l’employeur ait pris toutes les mesures que l’on pouvait attendre de lui pour désamorcer le conflit. Cette exigence repose sur le devoir de l’employeur de protéger et de respecter, dans les rapports de travail, la personnalité de ses travailleurs (cf. art. 328 al. 1 CO). L’abus réside alors dans le fait que l’employeur exploite la propre violation de ses devoirs contractuels. En effet, après avoir laissé une situation conflictuelle s’envenimer parmi ses salariés sans prendre les mesures adéquates pour l’atténuer, l’employeur se prévaut du fait que l’ambiance est devenue préjudiciable au travail dans l’entreprise pour licencier le salarié apparaissant, en raison de son caractère difficile, comme un fauteur de troubles. La question de savoir si l’employeur a pris les mesures nécessaires pour désamorcer le conflit avant d’en arriver à la résiliation relève du droit, car elle revient à examiner si l’employeur s’est conformé aux devoirs que lui impose l’art. 328 CO (TF 4A_390/2021 du 1er février 2022 consid. 3.1.1 et les réf. citées).
En application de ces principes, le Tribunal fédéral a admis le caractère abusif du licenciement d’un monteur en chauffage âgé de 63 ans prononcé sans prévenir à quelques mois de l’âge de la retraite, après 44 ans de loyaux services, au motif que cet employé, comme d’autres, avait des difficultés relationnelles avec un cadre qui n’était pas son supérieur direct et qu’il avait, comme d’autres, une position critique envers des mesures de rationalisation introduites dans l’entreprise. Le Tribunal fédéral a reproché à l’employeur de n’avoir pas fait la moindre tentative pour désamorcer les difficultés relationnelles, ce qui devait être possible puisque le cadre en question n’était pas le supérieur hiérarchique de l’employé, et a considéré que le fonctionnement de l’entreprise ne commandait pas une telle mesure et qu’une solution socialement plus supportable pour l’intéressé n’avait pas été recherchée; il a observé en outre que le caractère licite des mesures de rationalisation litigieuses était discutable ; enfin et surtout, le Tribunal fédéral a relevé le devoir d’assistance particulier de l’employeur envers un employé qui se trouve à quelques mois de la retraite et a travaillé 44 ans au service de la même entreprise en donnant satisfaction (ATF 132 III 115).
Le Tribunal fédéral a par la suite eu l’occasion de relever que le cas précité était exceptionnel, voire extrême, et qu’il fallait tenir compte de toutes les circonstances du cas particulier et non s’en tenir au seul âge du collaborateur pour décider du caractère abusif ou non d’une résiliation. Ainsi, les principes découlant de l’ATF 132 III 115 ne sauraient faire systématiquement obstacle au licenciement d’un collaborateur d’un certain âge ayant œuvré durant de longues années au service du même employeur, lorsque le rendement du travailleur diminue à tel point qu’il n’est plus en mesure d’exécuter à satisfaction les tâches qui lui sont confiées, ni d’assumer une autre occupation compatible avec ses ressources (TF 4A_60/2009 du 3 avril 2009 consid. 3.2 ; TF 4A_419/2007 du 29 janvier 2008 consid. 2.5 et 2.6).
Le droit des obligations ne prévoit pas d’obligation d’entendre l’autre partie avant de prononcer un licenciement ou de la mettre en garde au préalable. En droit privé, il n’existe pas non plus d’obligation générale de soumettre le licenciement envisagé à un contrôle de proportionnalité, dans le sens où des mesures moins incisives devraient toujours être prises avant un licenciement (TF 4A_390/2021 précité consid. 3.1.4 ; TF 4A_44/2021 du 2 juin 2021 consid. 4.3.2).
En tout état de cause, les conséquences économiques du licenciement – qui peuvent aggraver les conséquences de l’atteinte portée aux droits de la personnalité du travailleur – font partie des circonstances à examiner dans le cadre de la fixation de l’indemnité pour licenciement abusif, mais n’apparaissent pas en tant que telles comme un critère susceptible de fonder le caractère abusif du licenciement. Dans ce contexte, il faut toutefois examiner si l’on peut considérer qu’il existe une disproportion des intérêts en présence, pouvant faire apparaître le congé comme abusif. À cet égard, s’il est vrai qu’un licenciement entraîne inéluctablement une péjoration de la situation économique du travailleur, cette circonstance ne saurait à elle seule – sous le couvert de la protection sociale de l’employé – être déterminante, mais est susceptible de prévaloir lorsque le congé n’a pas de portée propre pour l’employeur (TF 4A_390/2021 précité consid. 3.1.5 et les réf. citées).
En l’espèce, malgré l’âge de l’appelant, son ancienneté auprès de l’intimée et le fait qu’il lui a donné satisfaction jusqu’au comportement qui lui a été reproché, le licenciement prononcé par l’intimée ne saurait être qualifié d’abusif.
Indépendamment de ses qualités professionnelles, lesquelles ne sont nullement contestées, il ressort clairement des témoignages figurant au dossier que l’appelant a refusé de conduire un fourgon dans le cadre de son travail, alors que cela entrait dans son cahier des charges et que cela lui était expressément demandé, ce qui a provoqué des problèmes de planning et d’organisation. L’appelant a d’ailleurs reconnu lui-même lors de son audition qu’il a refusé de prendre le fourgon car l’entreprise avait refusé de lui payer le macaron de parcage. Un avertissement lui a été adressé, dans lequel on lui a expliqué que son comportement consistant à refuser de conduire le fourgon n’était pas admissible car cela compromettait la mise en marche et l’organisation des chantiers. Il lui a en outre été expressément précisé que s’il ne modifiait pas son comportement, l’intimée serait dans l’obligation de résilier son contrat.
Compte tenu de ce qui précède, il est constant que l’appelant a été licencié en raison de son comportement sur son lieu de travail, soit son refus répété de conduire une camionnette durant ses heures de travail, contrairement à ce que prévoyait son cahier des charges. L’appelant fait valoir qu’une solution aurait dû être recherchée pour la prise en charge des frais de stationnement du véhicule d’entreprise lorsqu’il rentrait à son domicile. Toutefois, il n’a été ni demandé ni reproché à l’appelant de ne pas prendre le fourgon à son domicile, de sorte que la problématique liée au macaron ou aux frais de stationnement est sans pertinence.
En outre, comme exposé ci-dessus, malgré l’ancienneté de l’appelant et le fait qu’il ait toujours donné satisfaction, il n’y a pas de contrôle de proportionnalité en matière de licenciement et l’employeur pouvait, compte tenu des circonstances, licencier l’appelant sans avoir à prendre préalablement des mesures moins incisives. Le refus d’obtempérer réitéré de l’employé provoquait des problèmes de planning et d’organisation du travail dans l’entreprise. L’employeur a pris soin d’avertir l’appelant avant de le licencier, en lui expliquant pour quelle raison son refus ne pouvait être admis, mais l’avertissement n’a pas permis de normaliser la situation. A noter d’ailleurs que l’employeur n’avait aucune obligation d’entendre l’employé avant de le licencier. S’il l’estimait nécessaire, l’appelant aurait pu demander un entretien après avoir reçu l’avertissement ou se déterminer par écrit, ce qu’il n’a toutefois pas fait. L’employeur n’avait pas non plus à accorder encore une dernière chance à l’appelant.
On ne saurait donc dire que le licenciement était abusif par la manière dont il a été donné. Quant à une éventuelle violation de l’art. 328 CO, il n’est pas établi qu’un conflit personnel existait entre l’appelant et un des cadres de l’entreprise et que l’intimée n’aurait rien entrepris pour le désamorcer. On ne voit donc pas comment l’intimée aurait pu/dû prendre des mesures afin de protéger son employé puisqu’il ne lui a jamais été rapporté que celui-ci se trouvait en conflit personnel avec un supérieur hiérarchique.
Finalement, la péjoration de la situation financière de l’appelant et de sa prévoyance professionnelle ne constitue pas un motif pour retenir que le licenciement serait abusif. L’intimée n’est pas tenue de maintenir l’emploi de l’appelant dans le seul but de lui éviter des conséquences fâcheuses en termes de prévoyance professionnelle alors que celui-ci ne respecte pas les instructions qui lui sont données et qui entrent dans son cahier des charges.
Il résulte de ce qui précède que le grief est mal fondé.
(Arrêt de la Cour d’appel civile du Tribunal cantonal vaudois HC / 2023 / 91 du 09.02.2023, consid.4)
Le responsable de traitement est une société privée qui fournit des services d’assurance maladie. La personne concernée est l’un de ses clients.
En vertu du contrat d’assurance, le responsable de traitement pouvait ajuster les primes d’assurance, ce qu’elle a fait. La personne concernée a alors demandé au responsable de traitement des informations et des documents sur les augmentations passées des cotisations depuis 2011. Le responsable de traitement a refusé cette demande.
Par la suite, la personne concernée a engagé une procédure judiciaire. Elle a fait valoir que même si elle disposait d’un exposé des motifs, soit un document fourni par le responsable de traitement qui exposait les raisons des augmentations de cotisations, elle avait perdu les certificats d’assurance et les documents d’accompagnement des années 2011 à 2020. Or ces informations étaient nécessaires pour calculer si la nouvelle augmentation des primes d’assurance était légitime. La personne concernée a fondé son droit à recevoir des informations, entre autres, sur l’article 15 du RGPD.
L’Oberlandesgericht de Karlsruhe, dans une décision 12 U 305/21 du 16.12.2022, confirme que le droit d’accès de la personne concernée doit être rejeté sous l’angle de l’art. 15 RGPD.
La cour d’appel a confirmé la décision de la juridiction inférieure en déclarant que la demande d’accès concernée ne peut être soutenue par l’article 15 RGPD.
Elle a tout d’abord souligné que, conformément à cette disposition, les responsables de traitement doivent fournir à une personne concernée les données à caractère personnel qu’ils traitent. Le droit de la personne concernée de recevoir des informations a pour but de prendre connaissance du traitement des données et de vérifier sa licéité.
Dans le cas d’espèce, l’utilisation de l’art. 15 RGPD constituait un abus de droit. En effet, l’art. 15 RGPD a pour but de permettre aux personnes concernées d’obtenir une vue d’ensemble des données à caractère personnel traitées par un responsable du traitement et d’évaluer si le traitement est légal. Cependant, dans ce dossier, la demande d’accès de la personne concernée n’était pas fondée sur des objectifs de protection des données ni sur aucun autre objectif légitime. Selon les propres observations du plaignant, il disposait déjà d’un exposé des motifs du responsable du traitement donnant les raisons des augmentations des primes d’assurance. Comme cela suffisait pour examiner la légalité des ajustements de primes, la personne concernée n’avait pas besoin des documents demandés
[NB : le raisonnement est transposable en droit suisse ; l’art. 25 al. 2 nLPD – qui entrera en vigueur le 01.09.2023, prévoit que « (…) la personne concernée reçoit les informations nécessaires pour qu’elle puisse faire valoir ses droits selon la présente loi et pour que la transparence du traitement soit garantie. » La jurisprudence a déjà anticipé le nouveau droit en limitant la portée du droit d’accès dans les litiges du travail: https://droitdutravailensuisse.com/2021/01/10/le-droit-dacces-du-travailleur-a-ses-donnees-principes-et-abus/]
[Note sur la terminologie : délégué à la protection des données, abrégé DPD dans le texte ci-dessous ; soit Data Protection Office dans la version anglaise du RGPD ou DPO]
Extrait de l’arrêt CJUE X-FAB Dresden GmbH & Co. KG du 9 février 2023, C-453/21, ECLI:EU:C:2023:79 points 38 à 46 :
Par sa quatrième question, la juridiction de renvoi demande, en substance, dans quelles conditions l’existence d’un « conflit d’intérêts » [du DPO/DPD], au sens de l’article 38, paragraphe 6, du RGPD, est susceptible d’être constatée.
S’agissant, en premier lieu, du libellé de la disposition en cause, il convient de relever que, aux termes de l’article 38, paragraphe 6, deuxième phrase, du RGPD, « [l]e [DPD] peut exécuter d’autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts ».
Il résulte ainsi des termes de cette disposition, premièrement, que le RGPD n’établit pas d’incompatibilité de principe entre, d’une part, l’exercice des fonctions de DPD et, d’autre part, celui d’autres fonctions auprès du responsable du traitement ou de son sous-traitant. En effet, l’article 38, paragraphe 6, de ce règlement prévoit spécifiquement que le DPD peut se voir confier l’exécution d’autres missions et tâches que celles qui lui incombent en vertu de l’article 39 du RGPD.
Il n’en demeure pas moins, deuxièmement, que le responsable du traitement ou son sous-traitant doit veiller à ce que ces autres missions et tâches n’entraînent pas de « conflit d’intérêts ». Au regard de la signification de ces termes dans le langage courant, il y a lieu de considérer que, conformément à l’objectif poursuivi par l’article 38, paragraphe 6, du RGPD, le DPD ne saurait se voir confier l’exécution de missions ou de tâches qui serait susceptible de nuire à l’exercice de des fonctions qu’il exerce en tant que DPD.
S’agissant de cet objectif, il convient, en deuxième lieu, de relever que cette disposition vise essentiellement (… ) à préserver l’indépendance fonctionnelle du DPD et, partant, à garantir l’effectivité des dispositions du RGPD.
En troisième lieu, en ce qui concerne le contexte dans lequel s’inscrit l’article 38, paragraphe 6, du RGPD, il convient de relever que, selon l’article 39, paragraphe 1, sous b), du RGPD, le DPD a pour mission, notamment, de contrôler le respect du RGPD, d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant.
Il s’ensuit, en particulier, qu’un DPD ne saurait se voir confier des missions ou des tâches qui le conduiraient à déterminer les finalités et les moyens du traitement de données à caractère personnel auprès du responsable de traitement ou de son sous-traitant. En effet, conformément au droit de l’Union ou au droit des États membres en matière de protection des données, le contrôle de ces finalités et moyens doit être effectué de manière indépendante par le DPD.
La détermination de l’existence d’un conflit d’intérêts, au sens de l’article 38, paragraphe 6, du RGPD, doit être effectuée au cas par cas, sur la base d’une appréciation de l’ensemble des circonstances pertinentes, notamment de la structure organisationnelle du responsable du traitement ou de son sous-traitant et à la lumière de l’ensemble de la réglementation applicable, y compris des éventuelles règles internes de ces derniers.
Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la quatrième question que l’article 38, paragraphe 6, du RGPD doit être interprété en ce sens qu’un « conflit d’intérêts », au sens de cette disposition, est susceptible d’exister lorsqu’un DPD se voit confier d’autres missions ou tâches, qui conduiraient ce dernier à déterminer les finalités et les moyens du traitement de données à caractère personnel auprès du responsable du traitement ou de son sous-traitant, ce qu’il incombe au juge national de déterminer au cas par cas, sur la base d’une appréciation de l’ensemble des circonstances pertinentes, notamment de la structure organisationnelle du responsable du traitement ou de son sous-traitant et à la lumière de l’ensemble de la réglementation applicable, y compris des éventuelles règles internes de ces derniers.
Le raisonnement est évidemment transposable en droit suisse, le régime applicable au « Conseiller à la protection des données » figurant aux art. 10 et 23 al. 4 nLPD.
Sur le licenciement du Data Protection Officer en droit suisse :
La partie qui résilie abusivement le contrat de travail doit verser à l’autre une indemnité pouvant atteindre six mois de salaire (art. 336a al. 1 et 2 CO). L’art. 336 CO cite des exemples de licenciement abusif tout en laissant la porte ouverte à d’autres hypothèses, qui doivent cependant présenter une gravité comparable. Il faut s’en référer aux principes gouvernant l’interdiction de l’abus de droit (à ce sujet, cf. par ex. ATF 135 III 162 consid. 3.3.1). Celui-ci peut découler entre autres de la manière dont le congé a été donné (ATF 136 III 513 consid. 2.3; 132 III 115 consid. 2.2; 131 III 535 consid. 4.2). Le Tribunal fédéral a ainsi jugé que l’employeur qui congédie un travailleur quatorze mois avant que celui-ci ne prenne sa retraite, après 44 ans de bons et loyaux services, alors que le fonctionnement de l’entreprise ne commande pas une telle mesure et qu’il n’a pas cherché une solution qui soit socialement plus supportable pour l’intéressé, viole son devoir d’assistance et agit de manière abusive (ATF 132 III 115 consid. 5).
Pour résoudre la question juridique d’un éventuel abus de droit, il faut établir au préalable le motif réel du congé, opération qui relève de l’appréciation des preuves (ATF 136 III 513 consid. 2.3 i.f.; arrêt 4A_485/2016 du 28 avril 2017 consid. 2.3 et 3.1).
Selon la cour cantonale, l’employeur avait licencié l’employée afin de diminuer l’effectif de son personnel, soit pour des motifs d’organisation, et non en raison de prétendus retards et absences injustifiées de l’employée, comme il l’avait allégué en procédure. Or, signifier son licenciement à une employée âgée de 62 ans, qui avait œuvré plus de 39 ans à son service en faisant preuve de loyauté et d’un travail irréprochable, dénotait un manque d’égards total. Ce d’autant plus qu’il avait commencé par lui opposer une fin de non-recevoir lorsqu’elle lui avait demandé le motif du congé, pour ensuite invoquer, sans fondement aucun, de prétendus manquements. Ces circonstances faisaient apparaître le congé comme abusif.
Dans le foisonnement de griefs déployés par le recourant, la cour de céans ne traitera pas ceux qui ne sont qu’un simple « copié-collé » de son mémoire d’appel, où il ne tente pas de discuter les motifs de l’autorité précédente. De tels procédés s’avèrent en effet irrecevables. Du moment que le motif réel du licenciement a été établi, le recourant devrait en démontrer l’arbitraire, grief qu’il n’articule même pas. L’affirmation selon laquelle le congé serait dû à la piètre qualité des services de l’intimée, respectivement à ses retards, ne contient pas l’amorce d’une telle démonstration. Lorsqu’il reproche à l’intimée de n’avoir pas fait la preuve du caractère abusif du congé, le recourant semble passer comme chat sur braise sur les considérations rappelées ci-avant, lesquelles sont parfaitement explicites. Il se défend de l’avoir licenciée abruptement. Cela étant, si la cour cantonale lui en a tenu rigueur, c’est que ce licenciement était tout à fait inattendu. On ne discerne pas, dans le contexte en cause, ce qui eût pu dispenser le recourant d’organiser un entretien préalable (et de rechercher d’autres solutions), comme il le plaide. C’est précisément ce manque d’égards vis-à-vis d’une employée lui ayant consacré l’essentiel, pour ne pas dire la totalité de sa vie active que la cour cantonale a sanctionné.
(Arrêt du Tribunal fédéral 4A_307/2022 du 18 janvier 2023 consid. 4)
Lors de sa séance du 09.02.2023, le tribunal administratif de Hanovre a annulé la décision d’interdiction prise par la commissaire à la protection des données (LfD) de Basse-Saxe à l’encontre d’Amazon Logistik Winsen GmbH. Par cette décision, le LfD de Basse-Saxe avait interdit à Amazon Logistik Winsen GmbH de collecter et de traiter sans interruption et à chaque fois de manière actualisée et à la minute près les données relatives aux performances qualitatives et quantitatives des collaborateurs.
Selon la commissaire Barbara Thiel : « Je reste d’avis que le droit général de la personnalité des employés prévaut. La pression d’adaptation et de performance qui résulte de la collecte des données de performance à la minute près ainsi que de leur traitement ultérieur doit, à mon avis, être pondérée plus fortement que l’intérêt économique de l’entreprise ».
Tout comme le tribunal administratif, le LfD Niedersachsen estime qu’il est urgent que le législateur fédéral agisse pour la protection des données des employés et que des règles claires soient édictées : « Les limites d’un traitement des données des employés doivent être clairement définies par la loi », a déclaré Thiel.
Le cas actuel montre à quel point les exigences formulées par la Conférence des autorités allemandes indépendantes de contrôle de la protection des données de l’État fédéral et des Länder dans sa résolution « Le temps d’une loi sur la protection des données des employés est ‘maintenant’ ! », publiée le 04.05.2022, sont justifiées.
Dans cette résolution, le législateur fédéral est invité, entre autres, à créer des points de référence légaux pour les limites du contrôle du comportement et des performances.
Le tribunal administratif de Hanovre a autorisé l’appel de la décision. La question de savoir si le LfD Niedersachsen fera usage de cette possibilité fera l’objet d’un examen des motifs écrits du jugement.
En droit suisse, le point de vue de la commissaire serait vraisemblablement partagé par les juges.
Sur la surveillance des employés en droit suisse du travail et de la protection des données :
L’employeur (responsable de traitement) gère un cabinet de radiologie et, jusqu’au 1er août 2018, il utilisait des feuilles de temps imprimées pour comptabiliser le nombre d’heures travaillées par les employés. Il a ensuite introduit un système d’enregistrement du temps de travail qui utilisait les empreintes digitales des employés.
L’employé (personne concernée) a refusé d’utiliser le nouveau système de pointage par empreinte digitale et a continué à noter manuellement les heures travaillées sur les anciennes feuilles de temps. Le 5 octobre 2018, l’employé a reçu un premier avertissement écrit de son employeur, l’exhortant à commencer à utiliser le système d’empreintes digitales. Malgré l’avertissement, il a refusé de le faire et a continué à utiliser les feuilles de temps imprimées. Le 26 mars 2019, l’employé a reçu un deuxième avertissement qui le menaçait de la possibilité de mettre immédiatement fin à son emploi s’il continuait à refuser d’utiliser le système d’empreintes digitales.
Selon un arrêt du Landesarbeitsgericht Berlin-Brandenburg 10 Sa 2130/19 du 04.06.2020, les avertissements doivent être annulés car l’employé n’était pas obligé d’utiliser le système d’empreintes digitales pour enregistrer son temps de travail et n’avait donc pas violé ses obligations.
Rappelons que les empreintes digitales sont des données biométriques au sens de l’art. 4 ch. 14 RGPD, dont le traitement est interdit sauf si le responsable de traitement peut se prévaloir d’un des motifs de l’art. 9 par. 2 RGPD.
En l’espèce, les seuls motifs légaux possibles pour le traitement de données en cause pouvaient être l’art. 9 par. 2 let. a ou b RGPD.
Étant donné que l’employé n’avait manifestement pas donné son consentement, la décision applique l’art. 9 par. 2 let. b, dont la teneur est la suivante : « le traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l’Union, par le droit d’un État membre ou par une convention collective conclue en vertu du droit d’un État membre qui prévoit des garanties appropriées pour les droits fondamentaux et les intérêts de la personne concernée ».
La Cour a conclu que l’intérêt d’un employeur à mettre en place des systèmes de contrôle d’accès biométrique à des zones contenant des secrets commerciaux, de production et de développement sensibles serait plus susceptible de prévaloir que dans le contexte d’un système de suivi du temps de travail. Par conséquent, dans ce cas, le système n’a pas été considéré comme nécessaire, malgré les affirmations de l’employeur selon lesquelles le système pourrait rendre plus difficile la manipulation des enregistrements des heures de travail par les employés. L’employeur ne pouvait donc pas invoquer l’art. 9 par. 2 let. b RGPD.
La question de savoir si des garanties techniques et organisationnelles appropriées, telles que la pseudonymisation, sont prises ne se pose que si la nécessité du traitement est d’abord affirmée et qu’il est établi qu’il n’y a pas de conflits avec les intérêts dignes de protection de la personne concernée.
Une personne concernée (employé) demande au responsable du traitement (employeur) des données personnelles relatives d’autres personnes concernées (employés) afin de défendre son droit constitutionnel à un salaire égal pour un travail égal.
Invoquant une violation du principe universel d’égalité « à travail égal, salaire égal », protégé par la Constitution portugaise (article 59), la personne concernée, qui souhaitait obtenir une rémunération plus élevée, a en effet demandé à l’employeur l’accès aux « reçus de salaire » d’autres travailleurs, afin de prouver que ses droits constitutionnels étaient violés [documents qui comportent apparemment beaucoup plus d’information au Portugal qu’en Suisse].
La Cour d’appel de Coimbra (Tribunal da Relação de Coimbra), dans une décision 4354/19.7T8CBR-A.C2 du 26.06.2020, a considéré que, même si les autres personnes concernées ne font pas partie du litige, il n’en est pas moins vrai que toutes les personnes, qu’elles soient ou non parties à la cause, ont le devoir de collaborer à la découverte de la vérité (art, 417 par.1, du (nouveau) code de procédure civile portugais).
La Cour d’appel a donc décidé que le responsable du traitement devait fournir les données personnelles demandées, afin que les tribunaux soient en mesure de comprendre et de décider de la réclamation initiale de la personne concernée, selon laquelle le responsable du traitement ne payait pas la même chose à ses employés pour un travail égal.
Toutefois, en prenant en considération le droit fondamental à la vie privée des personnes concernées qui ne font pas partie du litige, la Cour d’appel a décidé que le responsable du traitement devait fournir les données à caractère personnel demandées par la personne concernée, mais qu’il devait appliquer des techniques de minimisation des données (art. 5 par. 1 let. c RGPD). À ce titre, la Cour a ordonné que toute référence à des éléments qui ne sont pas liés au salaire (c’est-à-dire les cotisations syndicales, les paiements d’assurance et de pension alimentaire et les absences du travail) et qui peuvent être inclus dans ces « reçus », soit supprimée.
Travail, protection des données et IA 