Qu’est-ce qu’une rémunération variable « convenable »?

Publié le 27 novembre 2022 par Me Philippe Ehrenström
Photo de EKATERINA BOLOVTSOVA sur Pexels.com

Introduction

Peut-on conclure un contrat de travail qui ne prévoirait qu’une rémunération variable, dépendante exclusivement des résultats, prestations et diligences de l’employé ?

L’exercice est tout à fait possible en droit suisse, même s’il peut être délicat à manier.

Il est en tout cas encadré par la notion de « rémunération convenable » tirée du droit applicable au contrat de travail des voyageurs de commerce, et appliquée par analogie aux autres travailleurs.

Mais attention, la rémunération « convenable », et surtout la différence entre la rémunération réelle et la rémunération convenable, ne sera due que si le travailleur fait preuve d’un minimum d’engagement au travail, ce qui peut notamment se juger par comparaison avec les résultats d’autres travailleurs dans des positions similaires.

La rémunération convenable

Aux termes de l’art. 322b al. 1 CO, s’il est convenu que le travailleur a droit à une provision sur certaines affaires, elle lui est acquise dès que l’affaire a été valablement conclue avec le tiers. Il faut donc, sauf convention contraire, que le travailleur, pendant le rapport contractuel, procure une affaire concrète ou trouve un client disposé à conclure ; il doit exister un rapport de causalité entre l’activité du travailleur et la conclusion du contrat. La provision est la rémunération que le salarié reçoit au prorata des affaires qu’il a permis de conclure avec des tiers.

Lorsque l’employé est rémunéré exclusivement par l’encaissement de provisions sur les affaires conclues, celles-ci doivent représenter une rémunération convenable, telle que l’entend l’art. 349a al. 2 CO dans le cadre du contrat d’engagement des voyageurs de commerce (ATF 139 III 214 consid. 5.1). Il s’agit d’« éviter que l’employeur n’exploite le travailleur en lui faisant miroiter la perception de provisions irréalistes (ATF 129 III 664 consid. 6.1), l’effet protecteur de l’art. 349a al. 2 CO devant être appliqué par analogie à tous les travailleurs payés principalement par provisions ».

Relevant que le caractère « convenable » d’une rétribution est une notion juridique imprécise qui laisse au juge du fait un pouvoir d’appréciation, le Tribunal fédéral retient qu’une provision est convenable si elle assure au voyageur un gain qui lui permet de vivre décemment, compte tenu de son engagement au travail (Arbeitseinsatz), de sa formation, de ses années de service, de son âge et de ses obligations sociales ainsi que de l’usage de la branche (ATF 139 III 214 consid. 5.2 ; ATF 129 III 664 consid. 6.1). Le fardeau de la preuve que la rémunération convenue n’est pas convenable incombe au travailleur.

Cette jurisprudence s’applique également au travailleur rémunéré principalement ou exclusivement à raison d’un pourcentage du chiffre d’affaires (TF 4A_435/2015 du 14 janvier 2016 consid. 2). Elle a été unanimement approuvée par la doctrine et par la jurisprudence cantonale (Rudolph Roger, Richterliche Rechtsfindung im Arbeitsrecht, Zurich 2021, n. 626 s. et les réf. citées ; Aubert, in : Commentaire du contrat de travail, Berne 2013, n. 28 ad art. 349a CO et les réf. citées). En effet, le législateur n’entendait pas réserver l’assurance d’un salaire convenable aux seuls voyageurs de commerce, mais partait de la prémisse – aujourd’hui dépassée – que seule cette catégorie d’employés était concernée par des rémunérations fixées principalement ou exclusivement en fonction de provisions (Rudolph, op. cit., n. 628 s.). Or, il n’y avait aucune raison objective de traiter différemment les voyageurs de commerce des autres employés, c’est pourquoi le Tribunal fédéral avait comblé une lacune en retenant une application analogique de l’art. 349a al. 2 CO dès qu’un employé était rémunéré principalement ou exclusivement par commissions.

Dans un arrêt de la Cour d’appel civile du Tribunal cantonal du Canton de Vaud (HC / 2022 / 171 du 20 avril 2022), les juges ont eu à connaître du cas d’un chauffeur de taxi qui était payé au pourcentage des recettes mensuelles des courses effectuées, de sorte que plus il travaillait, plus sa rémunération augmentait, et que son salaire variait dans une large mesure. Il avait ainsi réalisé un salaire mensuel net moyen de CHF 2’074.— pour une activité à plein temps. Dans de telles conditions, il n’était pas besoin de longues explications pour admettre que cette rétribution, qui, selon l’expérience générale, ne permettait pas de vivre correctement en Suisse, n’était pas convenable. Les juges ont établi ce qu’aurait dû être la rémunération variable convenable, au regard des critères développés par la jurisprudence, à savoir en fonction de l’engagement au travail de l’employé, de sa formation, de ses années de service, de son âge, de ses obligations sociales ainsi que de l’usage de la branche. Ils arrivent ainsi à un total de CHF 5’000.—mensuellement. Pour la Cour, au vu des critères dégagés par la jurisprudence, on ne discerne pas en quoi les premiers juges auraient ainsi violé l’art. 349a al. 2 CO, appliqué par analogie, et auraient outrepassé leur pouvoir d’appréciation.

L’engagement au travail comme condition

Cela étant dit, que l’art. 349a al. 2 CO soit applicable directement (contrat de voyageurs de commerce) ou par analogie (contrat de travail), le caractère convenable de la rémunération doit aussi tenir compte de l’« engagement au travail » (Arbeitseinsatz) : le voyageur de commerce ne pourra en effet se prévaloir de l’art. 349a al. 2 CO si le montant de la provision est trop bas en raison de prestations de travail insuffisantes.

Dit autrement : le juge ne peut ordonner une augmentation de la rémunération due si le bas niveau de la rémunération découle d’une activité fautivement insuffisante. La rémunération convenable ne saurait donc être versé à un jean-foutre ou à un paresseux chronique.

Dans un arrêt 4A_129/2022 du 27 octobre 2022, consid. 4.4, le Tribunal fédéral aveit eu à connaître du cas d’un travailleur engagé en qualité de consultant pour des services de conseil en matière financière.  Le contrat prévoyait un temps d’essai de deux mois, durant lesquels le travailleur était rémunéré exclusivement à la commission, puis une avance sur commission d’un montant mensuel brut de CHF 2’500.— était garantie. Cette rémunération correspondait à un travail hebdomadaire de 42 heures minimum incluant d’éventuelles heures supplémentaires. Le travailleur était chargé d’apporter de nouveaux clients à l’employeuse. Les nouveaux clients obtenus pas les conseillers leur donnaient droit à une pleine commission. Mais les nouveaux conseillers arrivés se voyaient confier en premier lieu un certain nombre de dossiers de clients préexistants dès le début du contrat sur lesquels ils percevaient une commission diminuée de moitié.

Dans le cas d’espèce, la cour cantonale avait retenu en fait que le travailleur avait perçu, entre mars et décembre 2017, une rémunération brute de CHF 25’129.–, équivalant à une rémunération nette de CHF 22’881.–. soit CHF 2’288.10 nets par mois. La cour cantonale a considéré que cette rémunération était faible, mais trouvait sa raison d’être non pas dans le fait que les commissions convenues étaient trop basses, mais dans le fait que les prestations du travailleur étaient insuffisantes. 

En effet, la cour cantonale a retenu, à la lumière des témoignages de ses superviseurs, que le travailleur n’avait pas fourni les prestations qui étaient attendues de lui en termes de performances commerciales. Le travailleur préférait sa propre façon de travailler mais n’obtenait pas les résultats attendus. Il promettait systématiquement des affaires, qui ne se concrétisaient pas. Au vu de l’absence de résultats, le travailleur avait dû suivre un plan personnel de développement, qui n’avait pas porté ses fruits et il n’avait réalisé qu’environ 7% à 8% de ce qui pouvait être attendu d’un consultant.

En outre, le travailleur a réalisé très peu d’affaires durant son activité pour l’employeuse. Un tel critère, envisagé seul, ne suffirait pas pour déterminer si les commissions prévues étaient convenables, dès lors qu’il est possible qu’un faible nombre d’affaires conclues puisse être usuel dans la branche. Or, la cour cantonale s’est fondée sur la comparaison avec les résultats de trois collègues du recourant durant leurs neuf premiers mois d’engagement auprès de l’employeuse, étant entendu que les premiers mois de travail sont ceux durant lesquels la conclusion d’affaires est la plus ardue. Deux de ces collègues avaient réalisé des commissions de GBP 30’000, respectivement de GBP 44’573 pour les neuf premiers mois, tandis que le travailleur en avait généré que pour GBP 7’299 durant ses neuf premiers mois. Un troisième collègue du travailleur, qui avait eu de la peine à réaliser des commissions au début de son activité et fait l’objet de plans d’amélioration des performances, tout comme le recourant, avait atteint 65% de ses objectifs, qui étaient de l’ordre de GBP 10’000 par mois.

Au regard de ces éléments, la cour cantonale a considéré que si le travailleur avait perçu une rémunération faible en vertu de son contrat, ce n’était pas en raison d’une fixation de commissions ne permettant pas d’obtenir une rémunération convenable pour l’activité du travailleur et le temps qu’il y a consacré, mais bien en raison de son incapacité à réaliser des affaires.

 Dès lors qu’en vertu du même contrat, les collègues du travailleur pouvaient, eux, réaliser un revenu nettement supérieur au sien, les conditions prévues par le contrat de travail ne sont effectivement pas en cause. La cour cantonale n’a donc pas violé le droit en se fondant sur l’inadéquation de l’activité du travailleur au regard des instructions reçues de l’employeuse par l’intermédiaire de ses superviseurs. 

Conclusion

Une rémunération basée à 100% sur les résultats peut s’avérer difficile à manier.

Si elle est trop « écrasante » dans ses formes et conditions, les juges seront tentés de la rectifier par l’application du « salaire convenable ». Il sera alors déterminant, dans les contentieux, de donner les éléments de fait nécessaires pour que la comparaison puisse être établie avec d’autres travailleurs, pour établir que le système de rémunération, bien loin d’être abusif, peut aussi simplement sanctionner de piètres performances.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Salaire | Tagué , , , , , | Laisser un commentaire

Le fait religieux sur le lieu de travail

Publié le 24 novembre 2022 par Me Philippe Ehrenström

Un responsable des ressources humaines peut aujourd’hui se retrouver confronté à des revendications et demandes découlant du fait religieux sur le lieu de travail. Comment répondre quand une employée entend soudainement porter le voile, qu’un autre refuse de serrer la main de ses collègues d’un autre sexe ou d’une autre confession, que l’on demande des horaires aménagés en fonction de certaines fêtes ou rituels religieux, etc. ? De la réponse que l’on donnera à ces questions pourront découler, dans une large mesure, la concorde, la sérénité ou leur absence dans les relations entre employés et avec la hiérarchie.

L’employeur suisse n’est toutefois pas démuni face au fait religieux, pour autant qu’il s’organise et utilise les moyens à sa disposition.

Le premier d’entre eux, et le plus important, est le droit de donner des directives écrites et générales découlant de l’art. 321d CO sous la forme d’un Règlement du personnel (ci-après le « Règlement »).

La prestation de travail étant souvent décrite de manière sommaire dans le contrat, les directives permettent à l’employeur de détailler et d’adapter les termes de ce qui est attendu du travailleur. Elles pourront porter sur les besoins de l’entreprise, sur la conduite des travailleurs et sur les modalités pratiques de l’exercice de la profession ou du métier.

Le droit de donner des directives, même générales, ne peut par contre pas élargir le cadre des obligations découlant du contrat de travail ni modifier le contenu de celui-ci. Le Règlement est donc subordonné au contrat de travail (et, bien évidemment, au droit applicable en la matière). L’employeur est toutefois relativement libre du contenu et de la forme du règlement, dans les limites notamment des art. 321d, 328 et 328b  CO.

Le Règlement doit toutefois être utilisé avec précaution.

Prenons le droit de porter le voile islamique sur le lieu de travail, qui a suscité et continue de susciter des débats très enflammés en Europe et en Suisse.

L’interdiction, dans un Règlement du personnel, de porter le voile islamique sur le lieu de travail, pour d’autres raisons que l’hygiène ou la sécurité, apparaîtrait probablement comme disproportionnée et ne portant pas sur un point nécessaire ou important pour l’exécution des prestations de travail. Une disposition du Règlement sur cette question aurait dès lors de bonne chance d’être illicite.

Toute autre est la question des relations que doivent entretenir entre eux les collaborateurs, et particulièrement ceux de sexes différents. L’employeur est en droit d’exiger, par des dispositions du Règlement, que les employés manifestent les uns envers les autres la courtoisie et les égards qui ont dus, et il doit aussi insister sur le respect de l’égalité entre les sexes. La mention de ces exigences dans le cadre du règlement permet évidemment de sanctionner les éventuels contrevenants, et de favoriser l’exécution des prestations de travail dans un climat serein et respectueux.

Le prosélytisme religieux (et politique) est à bannir absolument dans le cadre du Règlement pour garantir des bonnes relations de travail.

Toute autre est la question du port de symboles religieux sur le lieu de travail, qui devrait être toléré comme une expression légitime de la liberté de croyance (art. 15 Cst). Ce port n’a toutefois pas à être mentionné dans le Règlement, sauf à dresser une longue et inutile liste de ce qui est admissible et de ce qui ne le serait pas.

L’aménagement des horaires de travail pour permettre le respect de fêtes religieuses non reconnues comme jours fériés et de prières quotidiennes doit recevoir une réponse nuancée. En appliquant avec discernement les critères de la jurisprudence (par exemple CAPH-GE/200/2006), on devrait pouvoir retenir que des aménagements sont possibles au cas par cas, et pour autant que l’exécution des prestations de travail n’en souffre pas. Le critère déterminant devrait être ici l’exécution des prestations contractuelles par l’employé, et le fait que l’aménagement l’entrave ou non. Il n’y a donc pas de solutions générales qui devraient être consignées dans le Règlement.

On peut conclure de ce qui précède que si le Règlement du personnel ne peut pas tout, il peut en tout cas traiter de certaines des manifestations pathologiques du fait religieux sur le lieu de travail. C’est particulièrement le cas des relations interpersonnelles, qui doivent être régulées pour éviter les comportements discriminants ou conflictuels.

(Extrait de Philippe Ehrenström, Le droit du travail suisse de A à Z, Zurich 2022, pp. 238-239)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Divers, liberté d'expression, Protection de la personnalité | Tagué , , , , | Laisser un commentaire

Curriculum vitae inexact – invalidation du contrat de travail?

Publié le 24 novembre 2022 par Me Philippe Ehrenström
Photo de Rodolfo Clix sur Pexels.com

Peut-on invalider un contrat de travail quand on découvre, postérieurement, que le cv du candidat que l’on a embauché était inexact?

L’art. 28 al. 1 CO prévoit que la partie induite à contracter par le dol de l’autre n’est pas obligée, même si son erreur n’est pas essentielle.

Selon l’art. 31 CO, le contrat entaché d’erreur ou de dol ou conclu sous l’empire d’une crainte fondée est tenu pour ratifié lorsque la partie qu’il n’oblige point a laissé s’écouler une année sans déclarer à l’autre sa résolution de ne pas le maintenir, ou sans répéter ce qu’elle a payé (al. 1). Le délai court dès que l’erreur ou le dol a été découvert, ou dès que la crainte s’est dissipée (al. 2).

Si le travailleur fournit de bonne foi un travail pour l’employeur en vertu d’un contrat qui se révèle nul par la suite, tous deux sont tenus de s’acquitter des obligations découlant du rapport de travail, comme s’il s’agissait d’un contrat valable, jusqu’à ce que l’un ou l’autre mette fin aux rapports de travail en raison de l’invalidité du contrat (art. 320 al. 3 CO).

En principe un contrat invalidé par la partie qui se prévaut d’un vice du consentement est annulé avec effet ex tunc. Les prestations déjà effectuées doivent être restituées. Lorsqu’il s’agit de l’invalidation de rapports contractuels de durée totalement ou partiellement exécutés, une restitution selon les principes de revendication ou de l’enrichissement illégitime se heurte en général à de grandes difficultés pratiques et peut même s’avérer impossible. C’est la raison pour laquelle la loi prévoit, pour le contrat de travail, une règle particulière à l’art. 320 al. 3 CO.

Quand un travailleur effectue de bonne foi des prestations au service d’un employeur en vertu d’un contrat de travail qui est invalidé par la suite, les deux parties sont tenues de s’acquitter des obligations découlant des rapports de travail comme si le contrat était valable, jusqu’à ce que l’une ou l’autre mette fin à ces rapports en invoquant l’invalidité du contrat. Ainsi, par l’effet de cette disposition, l’invalidation justifiée d’un contrat de durée partiellement ou totalement exécuté déploie ses effets ex nunc.

Dans l’intérêt d’une liquidation simplifiée d’un rapport de travail de fait, il se justifie de ne pas interpréter de manière trop restrictive les conditions de l’art. 320 al. 3 CO et de ne pas poser des exigences trop élevées quant à celle de la bonne foi. Un travailleur ne peut se prévaloir de l’art. 320 al. 3 que s’il est prouvé de manière positive qu’il connaissait l’invalidité du contrat. On exige ainsi la connaissance de l’invalidité, c’est-à-dire de la conséquence juridique et non seulement du caractère illicite d’un accord (ATF 132 III 142 = JT 2006 I 49, consid. 4).

Exemple tiré de la pratique :

En l’espèce, il est constant que la déclaration d’invalidation du contrat de travail a été émise en mars 2013, soit plusieurs mois après que ledit contrat de travail avait pris fin. Ainsi, à supposer que l’invalidation ait été justifiée, celle-ci ne pourrait déployer d’effet ex tunc, vu les principes découlant de l’art. 320 al. 3 CO pour autant que celui-ci s’applique. Pour exclure l’application de l’art. 320 al. 3 CO, la jurisprudence rappelée ci-dessus exige que l’employé, qui a conduit l’autre partie à contracter sous l’empire d’un dol, ait eu connaissance de l’invalidité du contrat.

En l’occurrence, le curriculum vitae présenté par l’intimée lors de son engagement, était rédigé d’une façon peu scrupuleuse, laissant un lecteur peu attentif croire que son auteur avait obtenu une maîtrise fédérale, ainsi qu’une licence en russe. Pareille conclusion ne pouvait toutefois être tirée avec certitude d’une lecture rigoureuse du document, lequel indiquait non pas une date précise d’obtention de ces titres, mais une période s’étendant sur plusieurs années (variant entre les versions française et anglaise du document) correspondant manifestement à un cursus d’études et non à la délivrance d’un certificat, le tout figurant sous l’intitulé « formation » et non sous un intitulé de diplômes. Il n’y a donc pas eu de tromperie intentionnelle de l’intimée. Au demeurant, il est d’usage pour un employeur de ne pas se fier inconditionnellement à des assurances données par un candidat quant à ses diplômes, mais de requérir copie de ceux-ci, singulièrement si une importance particulière y est attachée, ce qui n’a sciemment pas été fait en l’occurrence.

Pour le surplus, rien n’indique que l’intimée, à supposer qu’elle ait intentionnellement trompé l’appelante, aurait eu connaissance de l’invalidité qui aurait alors frappé son contrat de travail, au demeurant exécuté sans protestation d’aucune des parties pendant près de six ans, l’employeur s’étant montré satisfait, selon les témoignages recueillis, de la clientèle apportée par la collaboratrice.

Par conséquent, l’art. 320 al. 3 CO trouve application. L’invalidation opérée après que les rapports de travail avaient pris fin ne déploie en tout état pas d’effets ex tunc, de sorte qu’elle ne peut pas conduire au déboutement des prétentions de l’intimée fondée sur les rapports de travail.

C’est donc à raison que le Tribunal n’a pas retenu que l’intimée devait être déboutée de ses conclusions en raison de la déclaration d’invalidation de l’appelante du 1er mars 2013.

(CAPH/146/2015, consid. 3)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Astuces pratiques, Divers, Fin des rapports de travail | Tagué , , , , , , | Laisser un commentaire

Les contrats de travail « en chaîne »

Publié le 23 novembre 2022 par Me Philippe Ehrenström

Si le droit suisse autorise en principe les parties à passer un nouveau contrat de durée déterminée à la suite d’un contrat de durée déterminée, l’art. 2 al. 2 CC, qui prohibe la fraude à la loi, s’oppose à la conclusion de «contrats en chaîne» (« Kettenverträge ») dont la durée déterminée ne se justifie par aucun motif objectif et qui ont pour but d’éluder l’application des dispositions sur la protection contre les congés ou d’empêcher la naissance de prétentions juridiques dépendant d’une durée minimale des rapports de travail (ATF 129 III 618 consid. 6.2).

À titre d’exemples de motifs objectifs pour la conclusion successive de contrats à durée déterminée, le Tribunal fédéral a notamment mentionné l’engagement d’artistes, de sportifs professionnels ou d’enseignants donnant des cours par semestre ou année académique (arrêt 2P.26/2007 du 28 juin 2007 consid. 3.7, dans lequel le Tribunal fédéral avait rejeté le recours d’un enseignant ayant conclu de multiples contrats successifs (…)).

Exemple de la pratique

S’il est vrai que l’activité d’enseignant peut justifier la conclusion de contrats successifs à durée déterminée, l’examen des circonstances de l’espèce permet d’affirmer qu’il n’existait aucune raison objective justifiant le recours à pareil procédé. Selon les constatations de l’autorité précédente, qui lient le Tribunal fédéral, le demandeur a enseigné au sein de l’école depuis l’an 2000 sans interruption et était dès lors  » stabilisé  » dans cet emploi. Il s’agissait en l’espèce d’une relation de travail stable portant sur une durée d’environ 14 ans. La situation du demandeur se distinguait ainsi de celle d’un professeur invité par une université à donner un cours sur un semestre ou une année académique sans que l’on sache si le cours en question continuerait à être donné par le professeur en question à l’avenir. Le demandeur, enseignant les mêmes matières dans des conditions identiques ou similaires sur une longue période, se trouvait au contraire de facto dans une relation de travail à durée indéterminée avec la défenderesse. C’est ainsi à juste titre que l’autorité précédente a retenu que rien ne pouvait motiver en l’espèce la conclusion successive de multiples contrats en chaîne si ce n’est la volonté d’éluder l’application des dispositions légales relatives au contrat à durée indéterminée.

(Arrêt du Tribunal fédéral 4A_215/2019, 4A_217/2019 du 7 octobre 2019, consid. 3.1 et 4)

(Extrait de Philippe Ehrenström, Le droit du travail suisse de A à Z, Zurich 2022, pp. 78-79)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Qualification du contrat | Tagué , , , , | Laisser un commentaire

Droit du travail et protection des données

Publié le 22 novembre 2022 par Me Philippe Ehrenström

La portée du renvoi de l’art. 328b CO aux dispositions de la loi fédérale du 19 juin 1992 sur la protection des données est controversé (LPD, RS 235.1).

L’arrêt du Tribunal fédéral 4A_518/2020 du 25 août 2021, en son consid. 4 non destiné à la publication, revient sur les rapports entre l’art. 328b CO et la LPD.

L’employeur est tenu de protéger et respecter, dans les rapports de travail, la personnalité du travailleur (art. 328 al. 1 CO).

Il ne peut traiter des données concernant le travailleur que dans la mesure où elles portent sur les aptitudes du travailleur à remplir son emploi ou sont nécessaires à l’exécution du contrat de travail. L’aptitude à remplir son emploi concerne toutes les informations permettant de déterminer si la personne possède les capacités et qualités personnelles et professionnelles requises : diplômes, certificats de travail, etc. Ces données peuvent donc être traitées avant la conclusion du contrat de travail, et même si celui-ci ne vient pas à chef. Concernant les données nécessaires à l’exécution du contrat de travail, il s’agit de toutes les informations permettant à l’employeur de remplir ses obligations légales et conventionnelles, par exemple vis-à-vis des assurances sociales, de l’impôt à la source, etc. En outre, les dispositions de la LPD sont applicables (art. 328b CO).

Selon l’art. 3 LPD, constituent des données (personnelles) toutes les informations se rapportant à une personne identifiée ou identifiable (let. a). Les informations/données visées par l’art. 3 let. a LPD peuvent consister en des constatations de fait ou en des jugements de valeur se rapportant à une personne identifiée ou identifiable. Peu importe la forme des données (signe, mot, image, son ou une combinaison de ces éléments) et le support sur lequel elles reposent (matériel ou électronique). Constituent ainsi des données au sens de l’art. 328b CO tous les renseignements, indications ou notes concernant la personne du travailleur, ses relations et ses activités, qu’elles portent sur sa vie privée ou professionnelle.

Par traitement, il faut comprendre toute opération relative à des données personnelles – quels que soient les moyens et procédés utilisés – notamment la collecte, la conservation, l’exploitation, la modification, la communication, l’archivage ou la destruction de données (let. e).

Tout traitement de données doit être licite, et effectué conformément aux principes de la bonne foi et de la proportionnalité (art. 4 al. 1 et 2 LPD).

Une atteinte à la personnalité est illicite à moins d’être justifiée par le consentement de la victime, par un intérêt prépondérant privé ou public, ou par la loi (art. 13 al. 1 LPD; cf. aussi art. 28 al. 2 CC).

Les droits de la personnalité d’une personne physique englobent le droit au respect de la vie privée, qui comprend une sphère privée et une sphère intime. En font notamment parties les informations de nature personnelle transmises au moyen de la messagerie électronique. L’irruption d’un tiers dans cette sphère, notamment pour rassembler des informations, constitue une atteinte à la personnalité.

Il existe des dissensions doctrinales sur la nature et la portée de l’art. 328b CO. Pour la majorité toutefois, cette norme concrétise les principes de proportionnalité et de finalité ancrés à l’art. 4 al. 2 et 3 LPD.

Cela étant, le Tribunal fédéral a précisé que l’art. 328b CO introduit une présomption de licéité du traitement de données lorsqu’elles «portent sur les aptitudes du travailleur à remplir son emploi ou sont nécessaires à l’exécution du contrat» (ATF 130 II 425 consid. 3.3 p. 434). Le traitement de données est donc en principe licite lorsqu’il est en relation directe avec la conclusion ou l’exécution d’un contrat. L’art. 328b CO concrétise ce fait justificatif dans le domaine des rapports de travail en désignant deux situations qui autorisent a priori le traitement de données.

On admet aussi qu’un traitement de données s’inscrivant dans le champ de l’art. 328b CO (i.e. a priori licite) doit néanmoins aussi respecter les principes généraux de la LPD, en particulier la bonne foi et la proportionnalité. Ce dernier principe commande de mettre en balance l’intérêt de l’auteur du traitement des données et celui de la personne concernée par ce traitement. Lorsque le traitement de données n’entre pas dans le cadre de l’art. 328b CO, il est présumé illicite et doit pouvoir se fonder sur un autre motif justificatif au sens de l’art. 13 LPD.

La nécessité de recueillir des preuves en prévision d’un procès portant sur la fin des rapports de travail peut entrer dans le champ de l’art. 328b CO. Toutefois le principe de proportionnalité s’applique également, et on procèdera à une pesée des intérêts pour savoir si le traitement de données en vue du litige pouvait être fait de manière moins intrusive.

Exemple de la pratique 

On tend à distinguer selon que l’employeur a interdit, autorisé ou toléré l’utilisation de la messagerie électronique et du téléphone portable professionnels à des fins privées. La marge de manœuvre de l’employeur serait plus large lorsqu’il a interdit l’utilisation privée de ces moyens de communication, parce qu’il est alors légitimé à contrôler si l’employé respecte ses directives. Des limites doivent toutefois être posées. Même en cas d’interdiction, l’employeur doit en principe s’abstenir de prendre connaissance du contenu des courriels ou des conversations téléphoniques de l’employé quand ceux-ci sont manifestement privés et reconnaissables comme tels.

La récolte et le traitement de données, cas échéant en vue d’un procès, devra aussi respecter les principes généraux de la LPD, au premier rang desquels le principe de proportionnalité.

Il apparaît ainsi souvent peu vraisemblable que l’exploitation de données de messagerie électronique ou de conversations téléphoniques privées de l’employé satisfasse à ce principe, le Tribunal fédéral soulignant que l’employeur peut recourir à d’autres moyens tels que la possibilité de recueillir des renseignements auprès des employés et de les faire auditionner comme témoins. (Arrêt du Tribunal fédéral 4A_518/2020 du 25 août 2021)

(Extrait de Philippe Ehrenström, Le droit du travail suisse de A à Z, Zurich, 2022, pp. 218-220)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Protection des données | Tagué , , , , | Laisser un commentaire

Qu’est-ce qu’un contrat de travail?

Publié le 22 novembre 2022 par Me Philippe Ehrenström
Photo de Sam sur Pexels.com

Retour sur le critère de subordination dans le contrat de travail, à la lumière de deux décisions récentes.

Rappelons les principes d’abord :

Par le contrat individuel de travail, le travailleur s’engage, pour une durée déterminée ou indéterminée, à travailler au service de l’employeur et celui-ci à payer un salaire fixé d’après le temps ou le travail fourni (art. 319 al. 1 CO). Les éléments caractéristiques de ce contrat sont une prestation de travail, un rapport de subordination, un élément de durée et une rémunération.

Le contrat de travail se distingue avant tout des autres contrats de prestation de services, en particulier du mandat, par l’existence d’un lien de subordination, qui place le travailleur dans la dépendance de l’employeur sous l’angle personnel, organisationnel et temporel ainsi que, dans une certaine mesure, économique. Le travailleur est assujetti à la surveillance, aux ordres et instructions de l’employeur ; il est intégré dans l’organisation de travail d’autrui et y reçoit une place déterminée.

Le critère de la subordination doit toutefois être relativisé en ce qui concerne les personnes exerçant des professions typiquement libérales ou ayant des fonctions dirigeantes. Comme l’indépendance de l’employé est beaucoup plus grande, la subordination est alors essentiellement organisationnelle. Dans un tel cas, plaident notamment en faveur du contrat de travail la rémunération fixe ou périodique, la mise à disposition d’une place de travail et des outils de travail, ainsi que la prise en charge par l’employeur du risque de l’entreprise. Le travailleur renonce à participer au marché comme entrepreneur assumant le risque économique et abandonne à un tiers l’exploitation de sa prestation, en contrepartie d’un revenu assuré.

Dans deux décisions récentes, le Tribunal fédéral et la Chambre des prud’hommes ont donné des contours intéressants au critère de subordination, notamment en ce qui concerne la subordination « économique » découlant du fait qu’il était impossible au travailleur d’obtenir d’autres sources de revenus (dépendance économique) :

Dans un arrêt du 4A_365/2021 du 28 janvier 2022, le Tribunal fédéral a notamment admis que des circonstances qui imposent une certaine organisation du travail des travailleurs dans la structure d’une entreprise puissent relativiser le critère de la subordination, en particulier quant au lieu où le travailleur exerce son activité. Cela ne peut toutefois s’appliquer qu’aux critères qui sont strictement imposés par le modèle d’activité. La relativisation du critère du lien de subordination en raison du modèle d’affaires choisi n’empêche donc pas que, par ailleurs, le travailleur présente d’autres liens de dépendance à la société, en particulier par le fait qu’il consacrait l’intégralité de son temps à celle-ci et n’exerçait pas d’autre activité lucrative, se rendant ainsi économiquement dépendant d’elle. Dans le cas d’espèce le lien de subordination excédait celui qui était strictement nécessaire en raison du modèle d’affaires choisi, notamment sur le plan de la dépendance économique.

Dans un autre arrêt, la Chambre des prud’hommes de la Cour de justice du canton de Genève (CAPH/148/2022 du 13.09.2022) s’était penchée sur le cas d’un sportif professionnel (sport de combat). Le contrat de travail avait été retenu en raison des circonstances suivantes : l’existence d’un « contrat de travail » prévoyant notamment le versement d’un « salaire » annuel de 48’000 fr. « bruts » payé en douze mensualités ainsi que la mise à disposition d’un logement à « l’employé » ; le fait que le club qui avait émis ce contrat était dirigé par un homme d’affaires avisé ; un communiqué de presse qui mentionnait une rémunération versée à un « combattant professionnel » ; l’utilisation des termes « rapports de travail » par les parties ; le fait que le combattant effectuait ses entraînements au club et y consacrait l’intégralité de son temps ; la prise en charge de son encadrement personnel et professionnel, ainsi que des frais ; le fait que le club supportait le risque économique de l’entreprise. Par ailleurs, bien « (…) qu’il ait lui-même organisé son planning et défini ses besoins en termes d’encadrement – chose parfaitement admissible dans la mesure où il bénéficiait en la matière de qualifications supérieures à celle de l’appelante (= le club)  qui était novice dans le domaine des arts martiaux –, l’intimé (= le sportif) n’était en outre pas libre de s’organiser selon son bon vouloir. Il devait notamment attendre la validation de l’appelante pour pouvoir faire appel à des aides externes. » Il s’ensuit que l’intéressé se trouvait bel et bien dans un rapport de subordination sur le plan organisationnel. Il devait en principe en aller de même sur le plan économique, dès lors que le club entendait que le sportif lui rétrocède, à terme, les revenus du sponsoring ainsi que ses primes de match en contrepartie du salaire qu’il lui garantissait.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Qualification du contrat | Tagué , , , | Laisser un commentaire

Hausse des coûts de l’énergie = revoir la fiscalité?

Publié le 20 novembre 2022 par Me Philippe Ehrenström
Photo de Juan Pablo Serrano Arenas sur Pexels.com

L’augmentation, vertigineuse, des coûts d’énergie a déjà fait couler beaucoup d’encre en cette fin d’année 2022. Les observateurs, acteurs et commentateurs ont pu s’écharper sur les causes, signaler les responsabilités des uns et des autres, déplorer ou se réjouir de ceci ou de cela, mettre en avant des objectifs plus ou moins transparents, et ce tout en proposant des mesures disparates et parfois pratique ou utiles (ou non), tout en étant eux-mêmes apparemment parfois de bonne foi.

Il n’empêche, dans les faits, quantité d’employeurs se retrouvent maintenant face à des hausses insupportables de charges, ce qui ne semble d’ailleurs qu’intéresser que très moyennement le monde politique et médiatique.

Que faire ?

Il est d’abord évident que la situation présente résulte d’abord de la structuration politique des facteurs de production de l’énergie depuis des décennies, d’une part, et de la détermination des prix sans (ou avec peu de rapports) avec les coûts de production objectifs d’autre part. Ces questions, essentiellement politiques, et internationales, n’évolueront pas, en tout cas pas à court terme, tant les intérêts particuliers, les œillères politiques et l’inertie dans ce domaine sont importants.

Reste une autre piste, qui est celle de la fiscalité proprement helvétique de la production et de la distribution d’électricité. Elle est, à maints égards, tout à fait baroque : multiplications de taxes, de fonds et de cagnottes dédiés à tels ou tels buts politiques, taxes incitatives, « suppléments », etc. (Pour ceux que la question amuserait : Philippe Ehrenström, Fiscalité de la distribution d’électricité : questions choisies, in: Jusletter 12. November 2018). Il en résulte des factures que les GRD doivent accompagner de modes d’emploi pour que l’on y comprenne quelque chose (et encore…)

Une réforme et une simplification de cette fiscalité très particulière pourrait permettre de faire baisser (un peu) le niveau effrayant de taxes et de tuyaux divers qui aboutissent un peu partout pour faire un peu tout (et n’importe quoi). Mais il faut être lucide : cette fiscalité baroque est d’abord le reflet de la sédimentation pendant des années des pressions exercées par des intérêts divers. Chaque réforme nécessiterait en conséquence que tel ou tel groupe particulier renonce à sa taxe ou à son produit spécifique édictés pour viser telle ou telle fin particulière. Autant dire mission impossible….

Mais il faut être clair : la hausse durable des coûts de l’énergie, ce sera, dans le meilleur des cas, et à terme, des licenciements, des baisses de salaire et la dégradation des conditions de travail dans les secteurs concernés. Tout le reste, comme le chantaient Mina et Alberto Lupo en 1973, c’est Parole, parole…., particulièrement dans le domaine fiscal.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Divers | Tagué , , , , | Laisser un commentaire

Durée de conservation des données

Publié le 18 novembre 2022 par Me Philippe Ehrenström
Photo de Designecologist sur Pexels.com

Sur le manquement à l’obligation de définir et de respecter une durée de conservation des données proportionnée à la finalité du traitement [nos 26-35]

Aux termes de l’article 5, paragraphe 1, e), du RGPD, les données à caractère personnel doivent être  » conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées […] « .

La société n’a pas défini de politique de durée de conservation des données et son registre des activités de traitements ne mentionne aucune durée de conservation des données à caractère personnel traitées. Ainsi, les données sont conservées depuis plus de six ans, date à laquelle le service D. a été lancé, la société ne procédant à aucun effacement ou archivage régulier des données à l’issue d’une période définie. Elle note qu’il existe au sein de la base de données D. 2 474 000 millions de comptes d’utilisateurs français n’ayant pas utilisé leur compte depuis plus de trois ans et 58 000 comptes non utilisés depuis plus de cinq ans, sans que la société ait fourni d’explication ou de justification particulière quant à la conservation de ces comptes inactifs.

Le référentiel de la CNIL relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion des activités commerciales du 3 février 2022 précise – s’agissant des activités commerciales impliquant la création d’un compte en ligne par les clients – que les données ont vocation à être conservées jusqu’à la suppression du compte par l’utilisateur. Toutefois, il souligne qu’il est fréquent que les utilisateurs n’utilisent plus ces comptes sans pour autant les effacer, ce qui les conduit à perdurer indéfiniment. Dans ce cas, la Commission recommande que les comptes soient considérés comme inactifs au bout de deux ans et soient supprimés à l’issue de ce délai, sauf si l’utilisateur exprime le souhait de maintenir son compte actif.

En défense, la société indique qu’elle n’avait pas de politique écrite de conservation des données en février 2021, mais soutient qu’elle était toutefois en conformité avec l’article 5 du RGPD, puisqu’elle avait déterminé et mis en œuvre des durées de conservation directement codées dans le service D. en tant que tel. Elle indique que la durée de conservation mise en œuvre correspond à la durée de la relation contractuelle avec ses utilisateurs, ainsi qu’à des durées déterminées en fonction de ses obligations légales et de ses obligations en matière de sécurité qu’elle est tenue de respecter sans pour autant les préciser.

En outre, la société soulève l’inopposabilité des recommandations de la CNIL, en particulier du référentiel de la CNIL du 3 février 2022, lequel est postérieur au contrôle en ligne réalisé le 17 novembre 2020 et réserve l’hypothèse  » pour les activités commerciales qui impliquent la création d’un compte en ligne par les clients (par exemple, les sites de rencontres ou les réseaux sociaux), [où] les données peuvent être conservées jusqu’à la suppression du compte par l’utilisateur « . La société souligne également la nature spécifique du Service D., qui est un service de communication impliquant de maintenir les comptes dits inactifs dans l’intérêt même des utilisateurs.

La formation restreinte relève que, dans le cadre de la procédure de contrôle, la société a indiqué :  » Discord n’a pas de politique de conservation des données écrite. […] La société […] développe actuellement une politique de conservation des données pour supprimer des comptes inactifs lorsque la société peut conclure que l’utilisateur a abandonné son compte « . À cet égard, le registre des activités de traitements communiqué par la société lors de la procédure de contrôle ne mentionne aucune durée de conservation des données à caractère personnel traitées.

Les constatations effectuées par la délégation de contrôle de la CNIL confirment qu’il existait, au sein de la base de données DISCORD 2 474 000 comptes d’utilisateurs français n’ayant pas utilisé leur compte depuis plus de trois ans et 58 000 comptes non utilisés depuis plus de cinq ans.

La formation restreinte rappelle que l’obligation de ne conserver les données  » pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées […]  » résulte de l’article 5, paragraphe 1, e) du RGPD qui est une disposition impérative. La Commission considère de manière constante que la conservation de comptes en ligne créés gratuitement sans action des utilisateurs au-delà d’une certaine durée conduit à conserver des données de manière illimitée, en méconnaissance du RGPD. La formation restreinte considère que la société ne saurait se prévaloir en l’espèce du maintien d’une relation contractuelle pour conserver indéfiniment des comptes d’utilisateurs totalement inactifs, mais qui ne se seraient pas désinscrits, dès lors que le compte a été créé gratuitement et qu’un utilisateur inactif qui souhaiterait utiliser à nouveau le service peut le faire en recréant un compte à tout moment.

Ainsi, la formation restreinte considère que la société a méconnu ses obligations résultant de l’article 5, paragraphe 1, e) du RGPD, la nature du service offert aux utilisateurs étant inopérante.

Elle prend néanmoins acte de ce que la société DISCORD INC. dispose désormais d’une politique de durée de conservation des données à caractère personnel traitées écrite, laquelle prévoit notamment la suppression des comptes après deux ans d’inactivité de l’utilisateur. La formation restreinte considère dès lors que la société s’est mise en conformité avec les obligations découlant de l’article 5, paragraphe 1, e) du RGPD.

Sur le manquement à l’obligation d’information des personnes [nos 41-46]

L’article 13 du RGPD dresse la liste des informations devant être communiquées par le responsable de traitement aux personnes concernées lorsque leurs données à caractère personnel sont collectées directement auprès d’elles. L’article 13, paragraphe 2, du RGPD dispose qu’ » en plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée, au moment où les données à caractère personnel sont obtenues, les informations complémentaires suivantes qui sont nécessaires pour garantir un traitement équitable et transparent :

a) la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée […] « .

Les lignes directrices sur la transparence au sens du règlement (UE) 2016/679, venant éclairer les dispositions de l’article 13, précisent que  » la durée de conservation […] devrait être formulée de manière à ce que la personne concernée puisse évaluer, selon la situation dans laquelle elle se trouve, quelle sera la période de conservation s’agissant de données spécifiques ou en cas de finalités spécifiques. Le responsable du traitement ne peut se contenter de déclarer de façon générale que les données à caractère personnel seront conservées aussi longtemps que la finalité légitime du traitement l’exige. Le cas échéant, différentes périodes de stockage devraient être mentionnées pour les différentes catégories de données à caractère personnel et/ou les différentes finalités de traitement, notamment les périodes à des fins archivistiques « .

La rapporteure relève que les durées de conservation étaient énoncées de manière générique, sans être suffisamment explicites, puisqu’elles étaient précisées en ces termes :  » Nous conservons généralement les données personnelles le temps nécessaire aux fins définies dans ce document. Pour nous débarrasser des données personnelles, nous pouvons les rendre anonymes, les supprimer ou prendre d’autres mesures nécessaires. Il est possible que des données persistent quelque temps sous la forme de copies de sauvegarde ou à des fins commerciales « . La rapporteure conclut donc qu’un manquement à l’obligation d’information est caractérisé.

En défense, la société indique que l’article 13, paragraphe 2, a) du RGPD n’impose pas de fournir la durée de conservation en tant que telle, mais qu’il laisse au contraire la possibilité au responsable de traitement de fournir les  » critères utilisés pour déterminer cette durée « . Elle ajoute qu’afin de se conformer à cette obligation, la société DISCORD INC. a fourni aux utilisateurs lesdits critères, à savoir la durée nécessaire pour réaliser les finalités par ailleurs explicitement décrites dans la politique de confidentialité. Enfin, la société ajoute qu’elle a développé une note d’information qui fournit plus de détails en matière de conservation des données à caractère personnel et qu’un lien vers la page  » Combien de temps Discord conserve vos informations  » a été inclus directement dans la politique de confidentialité.

La formation restreinte considère qu’au moment du contrôle en ligne effectué, les durées de conservation étaient énoncées de manière générique et n’étaient pas suffisamment explicites. L’information était lacunaire s’agissant des durées de conservation puisqu’elle ne comportait ni durée précise, ni critères permettant de déterminer ces durées. En tout état de cause, la formation restreinte rappelle que le recours aux  » critères utilisés pour déterminer cette durée  » n’est permis que lorsqu’il n’est pas possible de fournir une durée précise. Or, tel n’est pas le cas en l’espèce s’agissant des traitements mis en œuvre par la société. Il en résulte que les personnes ne pouvaient pas connaître les durées de conservation établies par la société DISCORD INC., alors que cette information est importante afin de garantir  » un traitement équitable et transparent  » puisqu’elle contribue à assurer pour les utilisateurs la maîtrise sur le traitement de leurs données.

Dès lors, la formation restreinte considère que la société a méconnu ses obligations résultant de l’article 13, paragraphe 2, a) du RGPD.

(CNIL, Délibération de la formation restreinte no SAN-2022-020 du 10 novembre 2022 concernant la société D. INC, Nos 26-35, 41-46)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Protection des données, RGPD | Tagué , , , , , | Laisser un commentaire

Exigences relatives aux mots de passe

Publié le 18 novembre 2022 par Me Philippe Ehrenström
Photo de Pixabay sur Pexels.com

Aux termes de l’article 32 du RGPD,  » compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins : […]

b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ; […]

d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement « .

La rapporteure a relevé que, lors de la création d’un compte sur D., un mot de passe composé de six caractères incluant des lettres et des chiffres était accepté. La rapporteure a considéré que de tels mots de passe, sans critère de complexité suffisant et n’étant associés à aucune mesure de sécurité complémentaire, ne permettent pas d’assurer la sécurité des données à caractère personnel traitées par la société et d’empêcher que des tiers non autorisés aient accès à ces données.

En défense, la société conteste l’analyse de la rapporteure et considère avoir mis en place des mesures permettant de garantir un niveau élevé de sécurité pour l’accès de ses utilisateurs à son système, y compris des mesures afin d’empêcher les attaques par force brute : limitation des tentatives de connexion à une par seconde ; vérification par courriel ou SMS pour valider l’identifiant lorsque la société reçoit une demande de connexion provenant d’une adresse IP située en dehors de la zone de l’adresse IP de connexion précédente ; rejet des mots de passe couramment utilisés et compromis et implémentation d’un  » captcha  » pour les connexions à partir de nouvelles plages d’adresses IP.

La société a par ailleurs apporté des modifications à ses processus de sécurité des mots de passe dans le cadre de la procédure de sanction :

– elle exige désormais des utilisateurs français qu’ils définissent des mots de passe d’une longueur minimale de huit caractères, dont au moins trois de ces caractères sont des lettres minuscules, des lettres majuscules, des chiffres ou des caractères spéciaux ;

– après dix tentatives de connexion infructueuses, la société exige la résolution d’un  » captcha « .

La formation restreinte considère que la longueur et la complexité d’un mot de passe demeurent des critères élémentaires permettant d’apprécier la force de celui-ci. Elle relève à cet égard que la nécessité d’un mot de passe fort est également soulignée par l’Agence nationale de sécurité des systèmes d’information.

À titre d’éclairage, la formation restreinte rappelle que pour assurer un niveau de sécurité suffisant et satisfaire aux exigences de robustesse des mots de passe, si l’authentification prévoit une restriction de l’accès au compte, la CNIL recommande, dans sa délibération n° 2017-012 du 19 janvier 2017, que le mot de passe comporte au minimum huit caractères, contenant au moins trois des quatre catégories de caractères (majuscules, minuscules, chiffres et caractères spéciaux) et que l’authentification fasse intervenir une restriction de l’accès au compte comme par exemple la temporisation d’accès au compte après plusieurs échecs (suspension temporaire de l’accès dont la durée augmente à mesure des tentatives), la mise en place d’un mécanisme permettant de se prémunir contre les soumissions automatisées et intensives de tentatives (comme un  » captcha « ) et/ou le blocage du compte après plusieurs tentatives d’authentification infructueuses.

En l’espèce, la formation restreinte relève qu’un un mot de passe composé de six caractères incluant des lettres et des chiffres était accepté au moment du contrôle en ligne. La formation restreinte estime qu’au regard des règles peu exigeantes encadrant leur composition, ainsi que du volume de données personnelles à protéger, la robustesse des mots de passe admis par la société était trop faible, conduisant à un risque de compromission des comptes associés et des données à caractère personnel qu’ils contiennent, et ce malgré les mesures de sécurité complémentaires mises en place avant la procédure de sanction.

Dans ces conditions, eu égard aux risques encourus par les personnes, la formation restreinte considère que les faits précités constituent un manquement à l’article 32 du RGPD, dès lors que la politique de gestion des mots de passe de la société n’était pas suffisamment robuste et contraignante pour garantir la sécurité des données, au sens de cet article.

(CNIL, délibération de la formation restreinte no SAN-2022-020 du 10 novembre 2022 concernant la société D. INC., Nos 65-73)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Protection des données, RGPD | Tagué , , , , | Laisser un commentaire

Effacement des données d’un employé licencié sur le site internet de l’employeur

Publié le 17 novembre 2022 par Me Philippe Ehrenström

La décision no 159/2022 du 7 novembre 2022 de la Chambre Contentieuse de l’Autorité de protection des données belge (N° de dossier : DOS-2022-03933 ; lien : https://www.gegevensbeschermingsautoriteit.be/publications/bevel-nr.-159-2022.pdf) traite d’une plainte relative au maintien de la mention de l’identité d’une ex-employée, de sa fonction et de photographies sur des pages Internet d’une entreprise.

Photo de Brayden Law sur Pexels.com

La plaignante (=l’employée) indique avoir travaillé auprès de la défenderesse (l’employée) jusqu’en février 2022, date à laquelle elle a été licenciée.

Le 1er septembre 2022, soit plus de 6 mois après son licenciement, la plaignante a indiqué par courriel à la défenderesse qu’elle ne souhaitait plus apparaître comme un membre de son personnel sur son site Internet. La rubrique « Notre équipe » de ce site reprenait en effet une photo individuelle de la plaignante avec l’intitulé de la fonction «….» qu’elle exerçait auprès d’elle ainsi qu’une photo de groupe de l’équipe de la défenderesse (4 personnes), dont la plaignante. La plaignante indique qu’à la date du dépôt de sa plainte le 28 septembre 2022, aucune suite favorable n’avait été donnée à sa demande de faire le nécessaire pour qu’elle n’apparaisse plus comme membre du personnel sur le site de la défenderesse.

Extraits des considérants :

6. La Chambre Contentieuse rappelle que les coordonnées d’une personne physique telles ses noms, prénoms, sa fonction de même que sa photographie constituent des données à caractère personnel au sens de l’article 4.1 du RGPD. Il s’agit en effet d’informations se rapportant à une personne physique identifiée ou identifiable (la «personne concernée»), ici la plaignante qui peut être directement identifiée au départ de ces informations.

7. La publication de telles données sur le site Internet de la défenderesse est constitutive d’un traitement au sens de l’article 4.2. du RGPD.

8. En application de l’article 5.1.b) du RGPD tout traitement doit poursuivre une finalité déterminée, explicite et légitime (principe de finalité).

9. En sa qualité de responsable de traitement, il incombe à la défenderesse, compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, de mettre en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au RGPD (articles 5.2. et 24 du RGPD).

10. La Chambre Contentieuse est d’avis que dès lors que la plaignante ne travaillait plus pour la défenderesse, la finalité de traitement des données susmentionnées la concernant par cette dernière visant à informer les internautes de qui travaille auprès d’elle et avec quelle fonction, s’est éteinte avec le départ de la plaignante. Cette extinction de la finalité a pour conséquence automatique – soit sans qu’il ne soit requis que la personne concernée (ici la plaignante) en fasse la demande – un effacement de ces données dès lors qu’elles ne sont plus nécessaires au regard des finalités pour lesquelles elles étaient traitées (article 5.1.b) et e) du RGPD).

11. En effet, en vertu de la combinaison des principes de finalité (article 5.1.b) du RGPD) et de limitation de la conservation des données (article 5.1. e) du RGPD), le responsable de traitement n’est en droit de conserver les données que pour autant que cette conservation se justifie au regard de la finalité du traitement. Partant, dès l’instant où les données personnelles ne sont plus nécessaires à la poursuite de cette finalité, le responsable de traitement doit effacer les données en cause, ou, à tout le moins, les anonymiser sauf s’il traite ces mêmes données pour une finalité distincte qu’il peut légitimement poursuivre en conformité avec le RGPD. Le droit à l’effacement tel que prévu à l’article 17.1.a) du RGPD reconnait explicitement aux personnes concernées le droit de vérifier que le responsable de traitement a bien respecté cette obligation.

12. Aux termes de l’article 17.1. a) du RGPD, la personne concernée a en effet le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant. A défaut de l’avoir fait spontanément (voy. points 10 et 11 ci-dessus), le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais lorsque les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été traitées [i.e. après une requête basée sur l’art. 17.1 a) RGPD].

13. Aux termes de l’article 12.3. du RGPD par ailleurs, le responsable du traitement est tenu de fournir à la personne concernée des informations sur les mesures prises à la suite d’une demande formulée en application des articles 15 à 22 du RGPD (en ce compris donc une demande d’effacement sur la base de l’article 17.1.a) du RGPD), dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes adressées par la personne concernée au responsable de traitement.

14. La Chambre Contentieuse est d’avis qu’il résulte de la combinaison des articles 12.3. et 17.1.a) du RGPD qu’idéalement, la demande d’effacement introduite par la personne concernée sur la base de l’article 17.1.a) du RGPD devrait être suive d’un effacement des données dans un délai d’un mois. Toutefois, la Chambre Contentieuse estime qu’en fonction du contexte concret dans lequel la demande d’effacement est formulée, une distinction peut être faite entre : a. le délai de réaction d’un mois (article 12.3. du RGPD) en application duquel le responsable de traitement informe la personne concernée de la suite qu’il entend donner (ou non) à sa demande d’une part et b. l’effacement concret des données lequel pourrait nécessiter un délai plus long au vu des implications techniques et opérationnelles complexes liées à cet effacement d’autre part.

15. En cas de départ d’un membre du personnel comme en l’espèce, la Chambre Contentieuse est d’avis que le responsable de traitement doit mettre tout en œuvre pour supprimer, le plus rapidement possible et de sa propre initiative, l’identité, la fonction et la/les photographies de celui-ci de son site Internet/page de réseau social le présentant comme faisant partie de son personnel alors que ce n’est plus le cas. Une procédure devrait être mise en place en cas de départ de membres du personnel à cet effet au même titre que d’autres questions de protection des données qui doivent être réglées à cette occasion2 . Quelques semaines, un mois tout au plus semble adéquat. Si cette suppression n’intervient pas d’initiative, le responsable de traitement saisi d’une demande d’effacement doit, a fortiori, réagir dans les meilleurs délais.

16. Ce délai dans lequel l’effacement doit intervenir de manière spontanée de même que ce « meilleur délai » visé à l’article 17.1.a) du RGPD, peut varier en fonction du responsable de traitement concerné qu’il s’agisse d’une PME comme en l’espèce ou d’une entreprise de plus grande taille qui dispose de son propre gestionnaire de site Internet. La nature de la fonction et le contexte du départ du membre du personnel concerné peuvent également justifier un effacement plus ou moins rapide. En cas de photographie ciblée comme celle de la plaignante au regard de laquelle sa fonction était mentionnée ainsi que celle présentant l’équipe de la défenderesse, le responsable de traitement veillera à être particulièrement diligent. Le délai d’un mois visé par l’article 12.3. du RGPD doit quant à lui être respecté, le responsable de traitement pouvant, le cas échéant, et comme indiqué ci-dessus, exposer qu’il a donné instruction pour que cet effacement s’opère ou indiquer que cet effacement aura lieu à une date rapprochée.

17. En l’espèce, à l’appui des pièces produites par la plaignante, la Chambre Contentieuse relève que le responsable de traitement semble ne pas avoir effacé les données de la plaignante dès après son licenciement en février 2022. Il ne semble pas non plus avoir réagi à la demande formulée près de 7 mois après celui-ci le 1 er septembre 2022 par la plaignante, ni sous la forme d’une réponse quant aux mesures prises ou envisagées au regard de sa demande ni sous la forme d’un effacement effectif des données sur son site. La Chambre Contentieuse estime dès lors qu’il semble y avoir une absence de procédure mise en place pour gérer ce type de situation et de demande ou à tout le moins une absence de suivi en l’espèce.

18. En d’autres termes, il semble bien qu’au minimum, les données de la plaignante soient restées visibles sur son site Internet pendant 7 mois (entre le licenciement de février 2022 et le dépôt de la plainte le 28 septembre 2022), délai que la Chambre Contentieuse juge à priori excessif.

19. A la lumière de ce qui précède et à l’appui de l’ensemble des éléments du dossier dont elle a connaissance et des compétences qui lui ont été attribuées par le législateur en vertu de l’article 95.1. LCA, la Chambre Contentieuse décide dès lors d’adresser à la défenderesse un ordre de se conformer à la demande d’effacement de la plaignante sur la base de l’article 95.1.5° de la LCA ainsi qu’un avertissement sur la base de l’article 95.1.4° de la LCA.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Fin des rapports de travail, Protection des données, RGPD | Tagué , , , , , , , | Laisser un commentaire