Ressources humaines et intelligence artificielle : l’analyse vocale

Publié le 29 janvier 2023 par Me Philippe Ehrenström

Introduction

Les ressources humaines sont d’ores et déjà confrontées à la possibilité d’utiliser des logiciels qui permettent, par l’intelligence artificielle, d’analyser les émotions d’un candidat ou d’un employé confronté (par exemple) à une enquête interne.

Il est intéressant, dans ce cadre, de se pencher sur une décision récente de l’autorité hongroise de protection des données, laquelle traite de manière systématique et poussée les questions de l’utilisation de l’analyse du signal vocal des conversations enregistrées entre clients et employés. Nous confronterons, dans un deuxième temps, l’utilisation d’un tel instrument aux dispositions du nouveau droit suisse sur la protection des données.

Photo de LUCAS PEREIRA sur Pexels.com

Décision NAIH-85-3/2002

Dans une décision NAIH-85-3/2022 du 08.02.2022, l’autorité hongroise de protection des données (Nemzeti Adatvédelmi és Információszabadság Hatóság ; ci après NAIH) traite donc de l’utilisation, par une banque, d’un logiciel d’analyse vocale des communications téléphoniques des clients et de certains salariés.

Le logiciel utilise le traitement du signal vocal pour analyser les périodes de silence, les différentes voix parlant en même temps, les mots clés et les éléments émotionnels (tels que la vitesse, le volume et la hauteur de la voix) au sein des fichiers sonores enregistrés afin d’identifier les situations d’insatisfaction des clients. Il prend ensuite la décision automatisée d’individualiser les différents appels sur cette base et de les classer, afin qu’un employé puisse écouter les enregistrements, puis rappeler les clients afin de résoudre le problème

La Banque a déclaré que la base juridique de ce traitement était fondée sur l’intérêt légitime (art. 6 let. f RGPD) et que son objectif était de procéder à un contrôle de la qualité des appels, de prévenir les plaintes et la perte de clientèle, ainsi que d’accroître l’efficacité.,

Selon l’art. 6 let. f RGPD, le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie: (…) f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, (…).

La Banque a déclaré que les clients étaient informés au début des appels qu’ils étaient enregistrés, mais a admis qu’elle ne les avait pas informés que le logiciel d’IA serait utilisé pour analyser les appels, car des informations détaillées rendraient l’introduction aux appels trop longue.

La NAIH établit d’abord que le logiciel traitait des données à caractère personnel (art. 4 ch. 1 RGPD) puisque la personne concernée était identifiable dans le cadre de ce traitement. Les  appels au service clientèle se voient en effet attribuer un numéro d’identification interne unique qui pouvait être lié à la fois à l’appelant et à l’employé. Selon la NAIH, ce traitement est analogue à la jurisprudence de la Cour de justice de l’Union européenne C-582/14, qui a établi que les adresses IP dynamiques étaient des données à caractère personnel.

La NAIH considère que l’utilisation de l’IA pour identifier des états émotionnels devrait être considérée comme un traitement de nature sensible au sens de l’art. 9 (1) RGPD. Toutefois, dans le cas d’espèce, elle relève que l’analyse de la voix ne produisait pas de données permettant d’identifier de manière unique une personne concernée – et ne pouvait donc pas être considérée comme une donnée biométrique, et en raison du fait qu’aucune déduction significative quant à l’état de santé physique ou mental de la personne concernée ne pouvait être tirée du résultat du traitement (art. 4 ch. 14 RGPD).

La NAIH estime que l’utilisation du logiciel s’accompagne d’une prise de décision automatisée, étant donné qu’il n’est pas nécessaire que le logiciel prenne lui-même la décision, et qu’il suffit que le traitement vise à produire un résultat qui influence les décideurs. Il y a aussi profilage au sens de l’art. 4 ch. 4 RGPD, puisque la hiérarchisation des clients mécontents sur la base de mots-clés et d’émotions implique l’évaluation des aspects personnels cités dans cette disposition.

Sur cette base, et compte tenu du fait qu’il s’agit d’une nouvelle technologie, la NAIH a noté que le traitement a créé des risques accrus pour les droits fondamentaux, ce qui implique également des responsabilités accrues pour le contrôleur. Par conséquent, la NAIH a estimé qu’avant de déployer l’analyse vocale automatisée utilisant l’IA émotionnelle, la Banque aurait dû évaluer si le traitement était réalisable dans les circonstances techniques et sociales actuelles, et prendre en considération les garanties appropriées pour se conformer aux lois sur la protection des données et au principe de protection des données dès la conception. Sur la base de ces considérations, le NAIH a estimé que le manquement de la Banque à ces obligations constituait une violation des articles 24(1), 25(1) et 25(2) RGPD.

Le NAIH a aussi noté qu’aucune information n’a été donnée aux personnes concernées concernant l’analyse vocale, en particulier sur les types spécifiques de données traitées, ainsi que sur la manière dont leurs réactions émotionnelles ont été traitées et évaluées.

En outre, l’absence d’informations fournies aux personnes concernées concernant leur droit d’opposition entraînait une violation de l’article 21 RGPD. Le traitement à des fins de fidélisation de la clientèle constituant aussi une finalité de marketing similaire à l’acquisition de clientèle, la Banque avait également violé le droit d’opposition des personnes concernées au sens de 21 (2) RGPD.

Quant à la balance des intérêts et à la licéité du traitement (art. 6 let. f RGPD), la Banque n’avait fourni aucune preuve concrète qu’elle avait procédé à une mise en balance adéquate des intérêts entre son prétendu intérêt légitime à effectuer le traitement et les droits des personnes concernées. Par ailleurs, selon la documentation technique fournie par la Banque, l’efficacité du logiciel d’analyse des émotions était relativement faible. La  Banque n’a pas démontré que, dans sa forme actuelle, son utilisation était apte à atteindre les objectifs proposés d’une manière proportionnée à l’atteinte des droits des personnes concernées. La Banque n’avait pas davantage démontré que des alternatives à ce traitement avaient été envisagées.

La NAIH cite également cité l’avis conjoint 5/2021 du Comité européen de protection des données et du Contrôleur européen de la protection des données sur la loi relative à l’intelligence artificielle, qui stipule que « l’utilisation de l’IA pour déduire les émotions d’une personne physique est hautement indésirable et devrait être interdite, sauf dans certains cas d’utilisation bien spécifiés, à savoir à des fins de santé ou de recherche. » Sur la base de ces critères, la NAIH considère que les objectifs d’efficacité avancés par la Banque n’étaient pas proportionnés pour justifier l’utilisation d’une forme de traitement des données que les organes de protection des données de l’UE ont jugée indésirable et qui constitue un risque élevé pour les droits fondamentaux des personnes concernées.

La NAIH a également noté que les voix des clients de la Banque n’étaient pas les seules à être analysées, mais également celles de ses employés. La NAIH a déclaré que bien que le suivi des performances et l’assurance qualité puissent donner lieu à des intérêts légitimes dans certaines circonstances selon le droit du travail, la question de l’adéquation et de la proportionnalité était également pertinente en l’espèce, notamment parce que les employés se trouvent dans une position vulnérable dans le contexte d’une relation de travail. La NAIH a établi que ces facteurs n’avaient pas été pris en compte en raison du fait que la Banque n’avait pas procédé à une pesée adéquate des intérêts et qu’un système de garanties adéquat n’avait pas été prévu pour les employés.

Par conséquent, le NAIH a estimé que la banque ne pouvait pas invoquer l’intérêt légitime comme base juridique ou toute autre base juridique selon l’art. 6 (1) RGPD.

Appréciation en droit suisse

En droit suisse, la protection des données dans le cadre des rapports de travail obéit (notamment) aux art. 328 et 328b CO, cette dernière disposition renvoyant à la loi fédérale du 19 juin 1992 sur la protection des données (LPD ; RS 235.1).

L’employeur est tenu de protéger et respecter, dans les rapports de travail, la personnalité du travailleur (art. 328 al. 1 CO). Concernant plus particulièrement le traitement de données en lien avec le contrat de travail, l’employeur ne peut traiter des données concernant le travailleur que dans la mesure où elles portent sur les aptitudes du travailleur à remplir son emploi ou sont nécessaires à l’exécution du contrat de travail ; en outre, les dispositions de la LPD sont applicables (art. 328b CO).

L’aptitude à remplir son emploi concerne toutes les informations permettant de déterminer si la personne possède les capacités et qualités personnelles et professionnelles requises : diplômes, certificats de travail, etc. Concernant les données nécessaires à l’exécution du contrat de travail, il s’agit de toutes les informations permettant à l’employeur de remplir ses obligations légales et conventionnelles, par exemple vis-à-vis des assurances sociales, de l’impôt à la source, etc.

Le Tribunal fédéral a précisé que l’art. 328b CO introduit une présomption de licéité du traitement de données lorsqu’elles «portent sur les aptitudes du travailleur à remplir son emploi ou sont nécessaires à l’exécution du contrat» (ATF 130 II 425 consid. 3.3). Le traitement de données est donc en principe licite lorsqu’il est en relation directe avec la conclusion ou l’exécution d’un contrat.

On admet toutefois qu’un traitement de données s’inscrivant dans le champ de l’art. 328b CO (donc a priori licite) doit aussi respecter les principes généraux de la LPD, en particulier la licéité, la bonne foi et la proportionnalité (arrêt du Tribunal fédéral 4A_518/2020 du 25 août 2021, consid. 4). Lorsque le traitement de données n’entre pas dans le cadre de l’art. 328b CO, il est présumé illicite et doit pouvoir se fonder sur un motif justificatif (loi, intérêt public ou privé prépondérant, consentement – qui ne pourra pas être invoqué au détriment du travailleur).

Sous l’angle de la nouvelle loi sur la protection des données (nLPD ; FF 2020 7397), qui entrera en vigueur le 01.09.2023, l’utilisation de tels logiciels d’analyse des émotions par le traitement de conversations enregistrées constituerait un traitement de données à caractère personnel, voire de données sensibles dans la mesure où des informations sur la santé ou la sphère intime pourraient être traitées (art. 5 let. a, c et d nLPD).

L’analyse vocale pourrait rentrer dans le cadre de l’art. 328bCO et/ou de l’art. 26 OLT3, dans la mesure où il s’agirait de mesurer l’aptitude à exercer un emploi ou le caractère probant de mesures d’instruction sur le plan interne. Le traitement pourrait donc bénéficier d’une présomption de licéité… pour autant qu’il respecte aussi les conditions de la nLPD, et notamment les principes de l’art. 6 nLPD.

Si on veut bien partir du principe que l’employeur, dans ces circonstances, traiterait les données de manière licite, pour des finalités déterminées et reconnaissables et après une information conforme et de bonne foi, le critère de la proportionnalité (art. 6 al. 2 nLPD) poserait beaucoup plus de problème, et ce sous l’angle des règles de l’aptitude (la mesure est propre à atteindre le but visé), de la nécessité (il n’existe pas de mesure moins incisive pour atteindre le but visé) et de la proportionnalité au sens étroit (il existe un rapport raisonnable entre les effets de la mesure sur la situation de la personne visée et le résultat escompté du point de vue de l’employeur (règle de la proportionnalité au sens étroit).

Sous l’angle de l’aptitude, il importe de rappeler que ces logiciels d’analyse des émotions par le traitement du signal sonore, comme beaucoup d’autres outils similaires utilisés par le RH Techs, sont d’une fiabilité qui ne fait pas consensus. L’Information Commissioner’s Office (GB), dans une prise de position du 26 octobre 2022, a ainsi relevé que les technologies d’analyse émotionnelles pouvaient présenter des biais affectant les résultats, et que la fiabilité n’était pas assurée en l’état de la technologie (https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2022/10/immature-biometric-technologies-could-be-discriminating-against-people-says-ico-in-warning-to-organisations/). Par ailleurs, des données sensibles pouvaient être révélées de manière inconsciente par les personnes concernées, ce qui posait problème au niveau de la protection de leurs droits (Information Commissioner’s Office, Biometrics : insight, 26.10.2022 version 1.0, p. 18). Concernant la règle de la nécessité, que ce soit dans le recrutement ou dans le cadre d’enquêtes internes, il existe quantité d’autres outils moins incisifs pour arriver au même but : vérification d’antécédents, analyse des certificats de travail, entretiens directs, etc. Enfin, pour ce qui est de la proportionnalité au sens étroit, l’impact de tels outils sur la personne concernée apparaissait bien supérieur au gain que pourraient en tirer l’employeur.

Pour toutes ces raisons, l’emploi, par les ressources humaines, de tels instruments d’analyse émotions par traitement de la voix apparaît peu souhaitable en l’état, et devrait être évité.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans nouvelle LPD, Protection de la personnalité, Protection des données, RGPD | Tagué , , , , , , , , | Laisser un commentaire

L’employeur qui informe ses clients d’infractions pénales commises par un employé licencié

Publié le 26 janvier 2023 par Me Philippe Ehrenström
Photo de Sora Shimazaki sur Pexels.com

Une société (responsable du traitement) informe un certain nombre de ses clients par courrier électronique qu’un ancien employé (personne concernée) a commis des infractions pénales au cours de sa période d’emploi et avait été licencié.

L’autorité danoise de protection des données (Datatilsynet ; DPA), dans une décision du 02.12.2022, établi d’abord qu’en vertu du droit danois sur la protection des données, la description détaillée de l’infraction pénale par le responsable du traitement dans le courriel envoyé signifiait que le destinataire de l’information pouvait la considérer comme vraie. De telles informations ne peuvent être partagées que si le responsable du traitement avait l’autorité pour ce faire, ce qui peut être le cas si la divulgation est faite pour servir des intérêts propres qui dépassent clairement les raisons de maintenir la confidentialité.

La DPA a  estimé que le responsable du traitement avait un intérêt légitime à transmettre des informations sur le licenciement de la personne concernée à ses clients et à les informer qu’elle ne pourrait donc plus conclure de contrats au nom de la société.

Cela étant dit, la description de l’infraction pénale, qui était le motif du licenciement, n’était pas nécessaire à l’entreprise pour sauvegarder ses intérêts légitimes (l’annonce du licenciement suffisait). En outre, le responsable du traitement n’a pas prouvé qu’il n’avait informé que les clients avec lesquels la personne concernée avait été en contact.

(Décision originale : https://www.datatilsynet.dk/afgoerelser/afgoerelser/2022/dec/privat-virksomhed-indstillet-til-boede; présentation et traduction en anglais : https://gdprhub.eu/index.php?title=Datatilsynet_(Denmark)_-_Decision_of_2_December_2022&mtc=today)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Droit pénal, Fin des rapports de travail, Protection des données, RGPD | Tagué , , , , | Laisser un commentaire

Fête de la musique: statistiques et flûtiau

Publié le 25 janvier 2023 par Me Philippe Ehrenström
Photo de cottonbro studio sur Pexels.com

Or donc il advient qu’une association privée, dans laquelle la collectivité publique était bien représentée, fut chargé d’organiser la Fête de la musique dans une grande ville de Suisse romande. Les candidats musiciens devaient remplir cette année un formulaire, dans lequel il était obligatoire de remplir des rubriques indiquant « Nombre de personnes de genre masculin », « Nombre de personnes de genre féminin » et «Nombre de personnes de genre non-binaire » dans l’ensemble ou le groupe candidat à une prestation scénique.

Interrogé sur cette nouveauté, les organisateurs avancèrent que le but était d’établir des statistiques. Ils avaient signé une charte pour promouvoir la « diversité » dans les arts de la scène, et récolter des données chiffrées leur permettrait de poursuivre la réalisation de ce but.

Des candidats musiciens apparaissaient moins certains de la pureté du but poursuivi, et expliquaient craindre que ces rubriques permettent de sélectionner les groupes et ensembles appelés à se produire selon des critères de « genre » (comme on dit aujourd’hui) et non sur la qualité de leurs prestations.

Rappelons que l’art. 4 al. 3 LPD précise que les données personnelles ne doivent être traitées que dans le but indiqué lors de la collecte, qui est prévu par la loi ou qui ressort des circonstances.

En l’absence d’information sur le but poursuivi sur le formulaire et de toute base légale dans le cas d’espèce, la seule finalité qui pourrait être admissible au traitement de ces données est ce « qui ressort des circonstances ». Et on voit mal que ces circonstances, soit sélectionner des ensembles musicaux régionaux pour des productions scéniques gratuites et de qualité, justifient la collecte et le traitement de données sur le « genre ». En d’autres termes, le scepticisme de certains candidats n’est peut-être pas tout à fait injustifié….

Le formulaire : https://www.fetemusiquelausanne.ch/inscription/

L’article du Blick de ce jour : https://www.blick.ch/fr/news/suisse/pas-assez-de-femmes-sur-scene-a-lausanne-la-fete-de-la-musique-impose-t-elle-des-quotas-de-genre-id18255703.html

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Non classé, Protection de la personnalité, Protection des données | Tagué , , , , | Laisser un commentaire

L’enregistrement du collaborateur par l’employeur

Publié le 24 janvier 2023 par Me Philippe Ehrenström
Photo de Mads Thomsen sur Pexels.com

Une entreprise (responsable du traitement) a commencé à enregistrer un employé (personne concernée) à l’aide de son système de surveillance afin de le contrôler, et ce après avoir constaté, sur les images fournies par ce même système, que la personne concernée aurait fait un mauvais usage des machines mises à sa disposition. Elle a activé ainsi une fonctionnalité d’enregistrement audio du collaborateur.

Une des conversations enregistrées entre le collaborateur et un client aurait été considérée par le responsable de traitement comme inappropriée, ce qui a conduit au licenciement de la personne concernée. La conversation avait eu lieu en dehors des heures de travail.

Selon le responsable du traitement, la personne concernée avait été informée qu’un système de surveillance était en place pour le contrôle des performances, et que ce système de surveillance pouvait enregistrer le son. Il y avait également deux bannières indiquant l’existence de ce système. En outre, la personne concernée avait reçu un manuel sur l’utilisation des systèmes de surveillance qui faisait référence à la fonctionnalité d’enregistrement audio.

Selon l’autorité espagnole de protection des données (DPA ; Agencia Española de Protección de Datos) dans une décision PS-00188-2022 du 09.05.2022, la personne concernée n’avait pas reçu suffisamment d’informations sur le traitement (art. 13 RGPD). Le responsable de traitement a allégué que cet enregistrement était mentionné dans le manuel sur l’utilisation des systèmes de surveillance remis à la personne concernée, mais la DPA a noté que le manuel ne mentionnait que la possibilité d’activer cette fonctionnalité.

La DPA a aussi considéré que l’installation et l’utilisation de ce système n’étaient pas proportionnées. Elle fait référence à la jurisprudence de la Cour constitutionnelle espagnole, qui indique qu’en vertu du droit du travail espagnol, la surveillance du lieu de travail doit respecter la dignité des travailleurs et que ceux-ci ont leur propre sphère privée sur le lieu de travail. Par conséquent, les systèmes qui limitent la vie privée des travailleurs doivent être indispensables et strictement nécessaires à l’objectif poursuivi. Une simple utilité ou commodité ne peut être assimilée à une stricte nécessité. La Cour a également mentionné l’effet paralysant que l’enregistrement audio peut avoir sur les travailleurs.

La DPA a lié la condition de proportionnalité au principe de minimisation de l’article 5 par. 2 let. c RGPD et à une disposition de droit interne (89 al. 3 LPPDGDD) selon laquelle l’utilisation de systèmes d’enregistrement audio sur le lieu de travail n’est autorisée que lorsque les risques pour la sécurité des installations, des biens et des personnes sont pertinents et toujours en respectant le principe de proportionnalité, le principe d’intervention minimale et les garanties prévues.

La DPA a conclu que le responsable du traitement n’a pas été en mesure de prouver pourquoi l’enregistrement audio était strictement nécessaire aux fins du contrôle de son employé. Par ailleurs la simple activation de l’enregistrement audio impliquait la collecte et le traitement de la voix de la personne concernée, c’est-à-dire de ses données personnelles. Par conséquent, le responsable du traitement avait traité ces données à caractère personnel sans base légitime, en violation de l’article 6 RGPD.

(Décision originale : https://www.aepd.es/es/documento/ps-00188-2022.pdf; présentation et traduction en anglais : https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_PS-00188-2022&mtc=today)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Protection des données, RGPD | Tagué , , , , , | Laisser un commentaire

Un numéro de matricule est-il une donnée à caractère personnel ?

Publié le 24 janvier 2023 par Me Philippe Ehrenström
Photo de Markus Spiske sur Pexels.com

Une municipalité italienne (responsable du traitement) a publié sur son tableau d’affichage public en ligne, ainsi que dans un communiqué de presse, des informations sur le licenciement de la personne concernée, dont son numéro de matricule (mais son nom).

Sur plainte de l’ancien employé, le responsable du traitement a fait valoir que les informations avaient d’abord été pseudonymisées et que seuls les employés savaient comment les décrypter. En outre, le tableau d’affichage en ligne n’était pas indexé dans les moteurs de recherche

Dans une décision no 9815665 du 15.09.2022 l’autorité italienne de protection des données (DPA ; Garante per la protezione dei dati personali) écrit que le numéro de matricule est considéré comme un numéro d’identification, car il permet à des tiers de retrouver l’identité de la personne concernée, et pas seulement au personnel autorisé.  La DPA a rappelé au responsable du traitement que, comme le définit le considérant 26 RGPD, la pseudonymisation est une simple mesure technique qui permet de retrouver l’identité d’une personne concernée de manière indirecte ou en utilisant des informations supplémentaires.

Par conséquent, la DPA a estimé qu’un numéro de matricule figurant sur des publications en ligne relève de la définition de « données à caractère personnel » au sens de l’art. 4 ch. 1 RGPD.

(Décision originale : https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9815665; présentée et résumée en anglais ici : https://gdprhub.eu/index.php?title=Garante_per_la_protezione_dei_dati_personali_(Italy)_-_9815665&mtc=today)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Protection des données, RGPD | Tagué , , , , | Laisser un commentaire

La minimisation des données à la piscine

Publié le 23 janvier 2023 par Me Philippe Ehrenström
Photo de Vlada Karpovich sur Pexels.com

Le responsable du traitement est propriétaire d’un « parc de vacances ». La personne concernée est propriétaire de l’un des appartements de ce parc.

Le responsable du traitement a fourni une carte de membre spéciale pour les propriétaires d’un appartement, qui comprenait une réduction pour l’accès à la piscine. Les membres de la famille, dans un certain degré de parenté, étaient également autorisés à utiliser la carte.

Plusieurs détails devaient être fournis pour obtenir la carte, tels que le nom du propriétaire de la carte, une photo de chaque membre de la famille qui l’utilisait, et leur degré de parenté avec le propriétaire.

La carte avait été utilisée frauduleusement dans le passé en étant prêtée à des tiers non autorisés pour profiter de la réduction.

La Gegevensbeschermingsautoriteit (autorité belge de protection des données ou DPA) considère, dans une décision 147/2022 du 17.10.2022, que le responsable du traitement pouvait se fonder sur l’article 6 par. 1 let b RGPD pour réglementer l’accès à sa piscine [i.e. le traitement est licite s’il est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci].

La DPA a déterminé que le responsable du traitement avait violé l’article 5 par. 1 let. c RGPD, selon lequel  les données à caractère personnel ne peuvent être traitées que si l’objectif du traitement ne peut être atteint d’une autre manière (minimisation des données). Elle a certes estimé que l’identification des personnes concernées pour la prévention de la fraude était une finalité déterminée, explicite et légitime. Toutefois, le fait de fournir uniquement les noms des personnes pouvant utiliser la carte était suffisant pour atteindre l’objectif de prévention de la fraude. La DPA n’était pas d’accord avec le responsable du traitement, qui avait déclaré qu’il serait nécessaire de charger également une photo et d’indiquer un degré de parenté sur la carte, et de lire cette carte automatiquement avec un lecteur chaque fois que la carte était utilisée à la piscine. La DPA a estimé que cela n’était pas nécessaire pour atteindre l’objectif visé et a déterminé que cela pouvait même entraîner un traitement automatique au sens de l’art. 2 par. 1 RGPD.

En ce qui concerne la photo obligatoire, un contrôle humain à la réception était suffisant pour prévenir la fraude. Il n’était pas non nécessaire de fournir le degré de parenté des membres de la famille. Ce degré de parenté n’apportait en effet aucune valeur ajoutée, car le responsable du traitement ne serait de toute façon même pas en mesure de le vérifier. Par conséquent, la mesure violait le principe de minimisation des données.

(Décision originale : https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-147-2022.pdf; présentation et traduction en anglais https://gdprhub.eu/index.php?title=APD/GBA_(Belgium)_-_147/2022&mtc=today)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Protection des données, RGPD | Tagué , , | Laisser un commentaire

Le consentement au traitement de données sensibles dans un cabinet d’avocats

Publié le 23 janvier 2023 par Me Philippe Ehrenström
Photo de Neo sur Pexels.com

Le responsable du traitement est un cabinet d’avocats dont les principaux services consistent à fournir des conseils juridiques aux clients blessés dans des accidents de la route et à les représenter dans des procédures judiciaires concernant les dommages-intérêts. Dans le cadre de ses activités, le responsable du traitement traite avec des clients potentiels (personnes concernées) afin d’évaluer leur situation juridique ainsi que les possibilités de prendre en charge leur dossier. A cette fin, le responsable du traitement leur demandait verbalement leur consentement au traitement de leurs données à caractère personnel. Aucune preuve du consentement n’était gardée. Sur la base d’une simple déclaration orale et avant la conclusion de tout contrat, le responsable du traitement obtenait des personnes concernées les données suivantes : nom, prénom, numéro de téléphone, adresse électronique, informations sur le décès d’un tiers et données de santé liées aux accidents de la circulation.

L’autorité polonaise de protection des données (APD ; Prezes Urzędu Ochrony Danych Osobowych), dans une décision DKN.5112.5.2021 du 30.11.2022, souligne que le traitement des données à caractère personnel ne peut avoir lieu que lorsqu’il existe une base juridique valable (art. 5 par. 1 let. a et 6 par. 1 RGPD). Par ailleurs, dans le cas des données relatives à la santé qui constituent des données sensibles, leur traitement est en principe interdit sous réserve des exceptions de l’art. 9 par. 2 RGPD.

L’APD a alors analysé si le responsable du traitement avait une base juridique valable pour le traitement. Étant donné que l’offre de services à des clients potentiels relevait du marketing direct et que le responsable du traitement n’avait pas prouvé l’existence d’une autre base juridique valable au titre du RGPD, l’APD a conclu que la seule possibilité aurait été de fonder le traitement sur le consentement de la personne concernée (article 6 par. 1 let. a RGPD), consentement qui devait d’ailleurs être explicite en présence de données sensibles (art. 9 par. 2 let. a RGPD).

Or, le responsable du traitement ne recueillait que le consentement oral des intéressés, et il n’était pas enregistré. et non enregistré. Or l’art. 5 par. 2 RGPD oblige le responsable du traitement à démontrer sa conformité aux dispositions du RGPD, ce qui inclut l’obtention d’une preuve du consentement conformément à l’art. 7 par. 1 RGPD. En particulier dans le contexte de l’art. 9 par. 2 let. a RGPD, le consentement explicite recueilli pour le traitement des données relatives à la santé doit avoir un caractère distinct. Par conséquent, l’APD a estimé que le consentement n’était pas valable et que le responsable du traitement traitait les données à caractère personnel sans base juridique valable.

(Décision originale : https://uodo.gov.pl/decyzje/DKN.5112.5.2021; présentation et traduction en anglais : https://gdprhub.eu/index.php?title=UODO_(Poland)_-_DKN.5112.5.2021&mtc=today&mtc=hubasm)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Avocats (règles professionnelles), Protection des données, RGPD | Tagué , , , , , , , , | Laisser un commentaire

Une photographie est-elle une donnée à caractère personnel ?

Publié le 23 janvier 2023 par Me Philippe Ehrenström
Photo de cottonbro studio sur Pexels.com

On entend par «données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale (art. 4 ch. 1 RGPD).

L’autorité de protection des données (APD) de Croatie (Agencija za zaštitu osobnih podataka), dans une décision du 16.11.2021, a eu à connaître d’une plainte dans laquelle le plaignant soulignait qu’une agence immobilière (responsable du traitement) avait publié sa photo prise lors de la visite d’un appartement mis en vente, sans son consentement et à son insu. La photo était disponible sur un site web public via un lien URL.

Le responsable de traitement avançait notamment, en défense, qu’il ne s’agissait pas d’une donnée à caractère personnel du plaignant, puisque la personne figurant sur la photo était vêtue d’une veste et un masque de protection, et n’était donc pas identifiable.

L’APD croate a rejeté la plainte en soulignant qu’il n’était pas possible de déterminer l’identité de la personne concernée à partir de la photo contestée. En particulier, l’évaluation de l’identité doit être fondée sur des facteurs objectifs et raisonnables, de sorte qu’une personne moyenne puisse déterminer de manière non équivoque, directement ou indirectement, l’identité d’un individu.

Or dans le cas d’espèce l’identité du plaignant était impossible à déterminer par des facteurs objectifs accessibles à une personne moyenne qui n’était pas une connaissance préalable du plaignant, et ce en regardant simplement la photo jointe. En effet, la photo n’était pas nette et le visage du plaignant n’était pas visible, car couvert en grande partie par un masque chirurgical.

Par conséquent, la photo en question ne pouvait pas être considérée comme une donnée à caractère personnel au sens de l’article 4 ch. 1 RGPD et le responsable de traitement n’était donc pas tenu de supprimer la supprimer.

(Décision originale : https://azop.hr/wp-content/uploads/2022/09/Rjesenje-objava-fotografije-na-oglasniku-za-promet-nekretnina.pdf; présentation et traduction en anglais : https://gdprhub.eu/index.php?title=AZOP_(Croatia)_-_Decision_of_16_November_2021_-_Real_Estate_Agency&mtc=today)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Protection des données, RGPD | Tagué , , | Laisser un commentaire

Certificat de travail perdu par l’employeur : informer l’autorité de protection des données ?

Publié le 19 janvier 2023 par Me Philippe Ehrenström
Photo de Sharad Kachhi sur Pexels.com

X SA, un fabricant polonais de remorques pour voitures (le responsable du traitement), a perdu le certificat de travail d’un employé qui comprenait des données telles que le nom, le prénom, le lieu de résidence et la date de naissance. Le certificat contenait également des informations sur la procédure et la base juridique de la cessation de la relation de travail ainsi que sur la saisie des revenus. Le responsable du traitement n’a pas informé l’autorité de protection des données de la violation des données.

Lorsque la violation des données a été découverte par l’autorité de protection des données au cours d’une enquête, le responsable du traitement a expliqué qu’il n’avait pas notifié l’autorité de protection des données parce que la violation des données n’entraînait pas de risque pour les droits et libertés de la personne concernée. Le responsable du traitement a également déclaré qu’il avait informé la personne concernée de la perte de son certificat et qu’elle n’avait fait aucune réclamation contre la société à cet égard. Le responsable du traitement a donc fait valoir qu’il n’avait pas violé l’article 33 par.1 RGPD.

L’autorité de protection des données (APD) a estimé au contraire que la violation des données comportait un risque de violation des droits et libertés de la personne concernée et qu’elle aurait dû être notifiée à l’autorité de protection des données en vertu de l’article 33 par. 1 RGPD [à teneur duquel « [e]n cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente (…) dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.]

C’est notamment, pour l’autorité, parce que les informations figurant sur le certificat pouvaient directement ou indirectement divulguer des informations sur la vie personnelle de la personne concernée, ses problèmes juridiques et son statut financier.

L’APD a également estimé qu’il n’était pas pertinent de savoir si une personne non autorisée avait effectivement pris connaissance des données personnelles de la personne concernée. Ce qui est important, c’est qu’il y ait un simple risque que les données soient consultées par une personne non autorisée.

L’autorité a en conséquence a infligé une amende d’environ 3 492 € (16 000 PLN) au responsable du traitement.

(Décision : Prezes Urzędu Ochrony Danych Osobowych (Pol.), UODO – DKN.5110.12.2021 ; présenté et traduit ici : https://gdprhub.eu/index.php?title=UODO_(Poland)__DKN.5110.12.2021&mtc=today)

[En droit suisse, selon l’art. 24 al. 1 nLPD (la nouvelle loi sur la protection des données entrera en vigueur le 01.09.2023 : https://droitdutravailensuisse.com/2022/09/02/protection-des-donnees-enfin-du-nouveau/), le responsable du traitement doit annoncer dans les meilleurs délais au PFPDT les cas de violation de la sécurité des données entraînant vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. Il est à noter que la solution est différente du droit européen. L’art. 33 par. 1 RGPD prévoyant ainsi la notification à l’autorité de contrôle dans tous les cas, sauf si la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés de la personne concernée.

Il faut souligner ici que le certificat de travail « polonais » comprend bien plus d’indications que le certificat suisse (art. 330a CO), en particulier (apparemment) des données sur des saisies de salaire ou des procédures qui sont des données sensibles en droit suisse (art. 5 let. 4 nLPD). Sa divulgation  pourrait ainsi constituer un « risque élevé » pour la personne concernée, ce qui ne serait pas le cas de la divulgation d’un certificat de travail « suisse » qui comprend bien moins de données.]

Concernant l’obligation d’information en droit suisse de manière générale: https://droitdutravailensuisse.com/2021/06/27/obligation-dannoncer-les-violations-de-la-securite-des-donnees-data-breach/)

Pour ce qui est certificat de travail en droit suisse : https://droitdutravailensuisse.com/category/certificat-de-travail/page/2/

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Certificat de travail, nouvelle LPD, Protection de la personnalité, Protection des données, RGPD | Tagué , , , , , , , , , | Laisser un commentaire

Protection des données et analyse des émotions

Publié le 16 janvier 2023 par Me Philippe Ehrenström
Photo de Michelangelo Buonarroti sur Pexels.com

Dans une décision NAIH-85-3/2022 du 08.02.2022, l’autorité hongroise de protection des données (Nemzeti Adatvédelmi és Információszabadság Hatóság ; ci après NAIH) traite de l’utilisation, par une banque, d’un logiciel d’analyse vocale des communications téléphoniques des clients :  

En septembre 2021, la NAIH ouvre donc d’office une enquête contre la Banque B (responsable de traitement) liée à l’utilisation d’un logiciel d’intelligence artificielle (IA) appliqué aux enregistrements audios des conversations téléphoniques du service clientèle.

Le logiciel utilise le traitement du signal vocal pour analyser les périodes de silence, les différentes voix parlant en même temps, les mots clés et les éléments émotionnels (tels que la vitesse, le volume et la hauteur de la voix) au sein des fichiers sonores enregistrés afin d’identifier les situations d’insatisfaction des clients. Il prend ensuite la décision automatisée d’individualiser les différents appels sur cette base, afin qu’un employé puisse écouter les enregistrements, puis rappeler les clients afin de résoudre le problème

La Banque a déclaré que la base juridique de ce traitement était fondée sur l’intérêt légitime (art. 6 let. f RGPD) et que son objectif était de procéder à un contrôle de la qualité des appels, de prévenir les plaintes et la perte de clientèle, ainsi que d’accroître l’efficacité.

[Rappel : selon l’art. 6 let. f RGPD, le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie: (…) f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, (…)].

La Banque a déclaré que les clients étaient informés au début des appels qu’ils étaient enregistrés, mais a admis qu’elle ne les avait pas informés que le logiciel d’IA serait utilisé pour analyser les appels, car des informations détaillées rendraient l’introduction aux appels trop longue.

Dans une analyse d’impact sur la protection des données réalisée par le délégué à la protection des données de la Banque B, il est mentionné que:  » La finalité du traitement est licite sur la base des droits des personnes concernées et des intérêts commerciaux de la Banque (…). Le traitement est à haut risque pour plusieurs raisons, notamment la nouveauté de la technologie utilisée, puisque les enregistrements audio sont analysés et les conclusions sont faites automatiquement par l’intelligence artificielle. Les données agrégées se prêtent au profilage ou au scoring pour les deux groupes de personnes concernées [clients et employés], et bien qu’aucune décision automatisée ne soit prise, le traitement des données peut avoir des effets juridiques sur les personnes concernées. Le risque élevé est atténué par le responsable du traitement par des mesures identifiées dans l’analyse d’impact, telles que la prise de décision humaine à la fin du traitement automatisé. L’exercice des droits des personnes concernées est assuré conformément aux pratiques habituelles. »

La NAIH établit d’abord que le logiciel traitait des données à caractère personnel (art. 4 ch. 1 RGPD) puisque la personne concernée était identifiable dans le cadre de ce traitement. Les  appels au service clientèle se voient en effet attribuer un numéro d’identification interne unique qui peut être lié à la fois à l’appelant et à l’employé. Selon la NAIH, ce traitement est analogue à la jurisprudence de la Cour de justice de l’Union européenne C-582/14, qui a établi que les adresses IP dynamiques sont des données à caractère personnel.

La NAIH considère que l’utilisation de l’IA pour identifier des états émotionnels devrait être considérée comme un traitement de nature sensible au sens de l’art. 9 (1) RGPD. Toutefois, dans le cas d’espèce, elle relève que l’analyse de la voix ne produisait pas de données permettant d’identifier de manière unique une personne concernée – et ne pouvait donc pas être considérée comme une donnée biométrique, et en raison du fait qu’aucune déduction significative quant à l’état de santé physique ou mental de la personne concernée ne pouvait être tirée du résultat du traitement (art. 4 ch. 14 RGPD).

La NAIH estime que l’utilisation du logiciel s’accompagne d’une prise de décision automatisée, étant donné qu’il n’est pas nécessaire que le logiciel prenne lui-même la décision, et qu’il suffit que le traitement vise à produire un résultat qui influence les décideurs. Il y a aussi profilage au sens de l’art. 4 ch. 4 RGPD, puisque la hiérarchisation des clients mécontents sur la base de mots-clés et d’émotions implique l’évaluation des aspects personnels cités dans cette disposition.

Sur cette base, et compte tenu du fait qu’il s’agit d’une nouvelle technologie, la NAIH a noté que le traitement a créé des risques accrus pour les droits fondamentaux, ce qui implique également des responsabilités accrues pour le contrôleur. Par conséquent, la NAIH a estimé qu’avant de déployer l’analyse vocale automatisée utilisant l’IA émotionnelle, la Banque aurait dû évaluer si le traitement était réalisable dans les circonstances techniques et sociales actuelles, et prendre en considération les garanties appropriées pour se conformer aux lois sur la protection des données et au principe de protection des données dès la conception. Sur la base de ces considérations, le NAIH a estimé que le manquement de la Banque à ces obligations constituait une violation des articles 24(1), 25(1) et 25(2) RGPD.

Le NAIH a noté qu’aucune information n’a été donnée aux personnes concernées concernant l’analyse vocale, en particulier sur les types spécifiques de données traitées, ainsi que sur la manière dont leurs réactions émotionnelles ont été traitées et évaluées.

En outre, l’absence d’informations fournies aux personnes concernées concernant leur droit d’opposition entraînait une violation de l’article 21 RGPD. Le traitement à des fins de fidélisation de la clientèle constituant aussi une finalité de marketing similaire à l’acquisition de clientèle, la Banque avait également violé le droit d’opposition des personnes concernées au sens de 21 (2) RGPD.

Quant à la balance des intérêts et à la licéité du traitement (art. 6 let. f RGPD), la Banque n’avait fourni aucune preuve concrète qu’elle avait procédé à une mise en balance adéquate des intérêts entre son prétendu intérêt légitime à effectuer le traitement et les droits des personnes concernées. Par ailleurs, selon la documentation technique fournie par la Banque, l’efficacité du logiciel d’analyse des émotions était relativement faible. La  Banque n’a pas démontré que, dans sa forme actuelle, son utilisation était apte à atteindre les objectifs proposés d’une manière proportionnée à l’atteinte des droits des personnes concernées. La Banque n’avait pas davantage démontré que des alternatives à ce traitement avaient été envisagées.

La NAIH cite également cité l’avis conjoint 5/2021 du Comité européen de protection des données et du Contrôleur européen de la protection des données sur la loi relative à l’intelligence artificielle, qui stipule que « l’utilisation de l’IA pour déduire les émotions d’une personne physique est hautement indésirable et devrait être interdite, sauf dans certains cas d’utilisation bien spécifiés, à savoir à des fins de santé ou de recherche. » Sur la base de ces critères, la NAIH considère que les objectifs d’efficacité avancés par la Banque n’étaient pas proportionnés pour justifier l’utilisation d’une forme de traitement des données que les organes de protection des données de l’UE ont jugée indésirable et qui constitue un risque élevé pour les droits fondamentaux des personnes concernées.

La NAIH a également noté que les voix des clients de la Banque n’étaient pas les seules à être analysées, mais également celles de ses employés. La NAIH a déclaré que bien que le suivi des performances et l’assurance qualité puissent donner lieu à des intérêts légitimes dans certaines circonstances selon le droit du travail, la question de l’adéquation et de la proportionnalité était également pertinente en l’espèce, notamment parce que les employés se trouvent dans une position vulnérable dans le contexte d’une relation de travail. La NAIH a établi que ces facteurs n’avaient pas été pris en compte en raison du fait que la Banque n’avait pas procédé à une pesée adéquate des intérêts et qu’un système de garanties adéquat n’avait pas été prévu pour les employés.

Par conséquent, le NAIH a estimé que la banque ne pouvait pas invoquer l’intérêt légitime comme base juridique ou toute autre base juridique selon l’art. 6 (1) RGPD.

Appréciation :

(Présentation et traduction de la décision : https://gdprhub.eu/index.php?title=NAIH_(Hungary)_-_NAIH-85-3/2022&mtc=today)

La décision est intéressante pour les ressources humaines, qui seraient tentées, par exemple, d’utiliser le même genre d’outil (analyse vocale) dans des processus de recrutement.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Protection des données, RGPD | Tagué , , , , , , | Laisser un commentaire