Travail, protection des données et IA

Contenu du droit d’accès du travailleur à ses données personnelles (RGPD)

Publié le 13 octobre 2022 par Me Philippe Ehrenström

(Extraits de Chambre Contentieuse de l’Autorité belge de protection des données, Décision quant au fond 15/2021 du 09 février 2021, N° de dossier : DOS-2018-0612) :

A titre liminaire, la Chambre rappelle que le droit d’accès est une des exigences majeures du droit à la protection des données, il constitue la « porte d’entrée » qui permet l’exercice des autres droits que le RGPD confère à la personne concernée. La personne concernée a le droit d’obtenir du responsable de traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées. Lorsque c’est le cas, la personne concernée a le droit d’obtenir l’accès aux dites données à caractère personnel ainsi qu’à une série d’informations listées à l’article 15.1 a) – h) telles que la finalité du traitement de ses données, les destinataires éventuels de ses données ainsi que des informations relatives à l’existence de ses droits dont celui de demander la rectification ou l’effacement de ses données ou encore celui de déposer plainte.

Aux termes de l’article 15.3 du RGPD, la personne concernée a en outre le droit d’obtenir une copie des données à caractère personnel qui font l’objet du traitement. L’article 15.4 du RGPD prévoit que ce droit à la copie ne peut porter atteinte aux droits et libertés d’autrui.

L’article 12 du RGPD relatif aux modalités d’exercice de leurs droits par les personnes concernées prévoit quant à lui notamment que le responsable du traitement doit faciliter l’exercice de ses droits par la personne concernée (article 12.2 du RGPD) et lui fournir des informations sur les mesures prises à la suite de sa demande dans les meilleurs délais et au plus tard dans le délai d’un mois à compter de sa demande (article 12.3 du RGPD). Lorsque le responsable de traitement n’a pas l’intention de donner suite à la demande, il doit notifier son refus dans un délai d’un mois accompagné de l’information selon laquelle un recours contre ce refus peut être introduit auprès de l’autorité de contrôle de protection des données (12.4 du RGPD).

Quant au refus du droit d’accès aux annotations ou commentaires dans le dossier des ressources humaines du plaignant

Dans la mesure où il n’est pas contesté ni contestable que des annotations d’évaluation concernant un employé sont des données personnelles, le RGPD est bien d’application.

La Chambre Contentieuse rappelle à cet égard que la notion de donnée à caractère personnel englobe n’importe quel type d’informations : informations privées (intimes), publiques, professionnelles ou commerciales, informations objectives ou subjectives.

Dans l’arrêt Nowak [Arrêt de CJEU, 20 décembre 2017, C-434/16, Nowak, ECLI:EU:C:2017:994], la CJUE énonce clairement que la notion de données à caractère personnel couvre tant les données qui résultent d’éléments objectifs, vérifiables et contestables que des données subjectives qui contiennent une évaluation ou un jugement porté sur la personne concernée. C’est ainsi le cas des annotations d’un examen qui reflètent l’avis ou l’appréciation de l’examinateur sur les performances individuelles d’un candidat, ou des données d’évaluation des employés, que cette évaluation soit exprimée sous la forme de points, d’une échelle de valeurs ou par le biais d’autres paramètres d’évaluation. Au-delà du cas d’espèce de l’arrêt Nowak (soit l’accès à un examen), l’arrêt vise tout avis ou appréciation concernant la personne en cause.

Dans le cas d’espèce, la Chambre Contentieuse considère que l’argument de la défenderesse selon lequel le droit à l’accès porterait atteinte à la protection des données et à la vie privée des anciens supérieurs hiérarchiques et membres des ressources humaines auteurs des annotation dans le dossier des ressources humaines du plaignant, ne peut être retenu. En effet, il était loisible à la défenderesse de communiquer au plaignant, en réponse à sa demande, les données traitées qui le concernent en anonymisant le nom ou toute donnée à caractère personnel des auteurs de telles annotations.

Par. 99. « Dans la mesure où la jurisprudence de la CJUE enseigne que le fait de rendre illisible les données à caractère personnel concernant les tiers avant de permettre l’exercice de son droit d’accès à la personne concernée satisfait l’exigence de l’article 15.4 de ne pas porter atteinte aux droits des tiers, et dans la mesure où il n’existe pas en droit belge de disposition législative visant à limiter le droit d’accès d’un employé à ses données personnelles traitées par son (ex) employeur, l’argument de la défenderesse selon lequel l’accès par le plaignant à ses données violerait la protection des données à caractère personnel des anciens supérieurs hiérarchiques et responsable des ressources humaines du plaignant, auteurs de ces notes ou commentaires, est rejeté. »

Dès lors, en refusant de donner suite à la demande d’accès du plaignant aux annotations contenues dans son dossier des ressources humaines, la défenderesse a violé l’article 15.1 et 3 RGPD.

La Chambre souligne par ailleurs qu’en exécution du principe de responsabilité (articles 5.2. et 24 du RGPD), il appartient au responsable de traitement de développer les procédures internes destinées à permettre un exercice effectif de leurs droits par les personne concernées. Il lui incombe également, en application de l’article 25 du RGPD, d’intégrer le nécessaire respect des règles du RGPD en amont de ses actes et procédures.

103. « Dans la mesure où des notes prises par un employeur (ou des cadres ou membres des ressources humaines) concernant la gestion des employés sont dans la grande majorité des cas des données à caractère personnel, les garanties du RGPD doivent s’appliquer à leur égard. Ces données porteront souvent sur l’identité des employés, la formation, la gestion de la carrière, où l’évaluation professionnelle. Il revient donc, comme indiqué supra, à l’employeur de développer les procédures internes adéquates. »

Ces procédures internes dans le cadre de la gestion des ressources humaines peuvent être de nature différente. On peut relever l’exemple des zones « commentaires » prévues dans le cadre de l’évaluation de salariés. Les informations qui y sont insérées doivent être objectives, pertinentes, adéquates et non excessives. Un système de menu déroulant, ou de filtrage de mots clés peut, par exemple, faciliter ceci. Les auteurs des annotations devraient par ailleurs garder à l’esprit que les employés peuvent accéder à tout moment aux informations les concernant. L’employeur reste par ailleurs, en tant que responsable du traitement, tenu par toutes les autres obligations du RGPD.

Quant au refus du droit d’accès aux logs IT concernant le plaignant

Sur base de l’article 5, 1, f RGPD, les données à caractère personnel doivent être traitées de façon à garantir une sécurité appropriée, « y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées». En l’absence de mesures appropriées pour sécuriser les données à caractère personnel des personnes concernées, l’effectivité des droits fondamentaux à la vie privée et à la protection des données à caractère personnel ne peut être garantie, à fortiori au vu du rôle crucial joué par les technologies de l’information et de la communication dans notre société.

Les obligations des responsables de traitement quant à la sécurité des traitements reposent dans les articles 32 et suivants du RGPD.

Les composantes classiques des recommandations en termes de sécurité de l’information, telles que préconisées par la suite ISO27xxx sont la confidentialité des données, leur intégrité et leur disponibilité. A celles-ci s’ajoute la notion d’imputabilité, « qui permet de pouvoir identifier, pour toutes les actions accomplies, les personnes, les systèmes ou les processus qui les ont initiées. L’imputabilité s’exprime notamment de façon concrète par la tenue d’un registre des log files selon le principe de journalisation des accès.

La journalisation consiste donc à l’enregistrement des informations pertinentes concernant les évènements d’un système informatique (accès au système ou à un de ses dossiers, modification d’un fichier, transfert de données…) dans des fichiers appelés « log files ». Les informations reprises sont entre autres les données consultées, la date, le type d’évènement, les données permettant d’identifier l’auteur de l’évènement, ainsi que le motif de cet accès. Ceci permet notamment d’identifier toute consultation des données personnelles abusive ou pour une finalité non légitime, ou encore de déterminer l’origine d’un accident.

Bien que la journalisation ne soit pas expressément mentionnée dans le RGPD, la tenue d’un journal des log files constitue une mesure technique et organisationnelle envisagée dans l’article 32 RGPD. Elle constitue une bonne pratique, recommandée à tout responsable de traitement. Ces mesures doivent être adaptées aux risques.

La Chambre rappelle que l’article 32 RGPD doit être lu en combinaison avec l’article 5.2 RGPD et l’article 24 RGPD, soumettant le responsable du traitement au principe de responsabilité. Il incombe au responsable du traitement de démontrer son respect des dispositions du RGPD, en prenant des mesures techniques et organisationnelles appropriées, de façon transparente et traçable, permettant en cas de contrôle d’apporter la preuve des garanties appliquées.

Le principe de responsabilité, lu en conjonction avec le principe de transparence (article 5.1.a RGPD), permet aux personnes concernées d’exercer leurs droits et de contrôler la conformité des traitements opérés sur leurs données à caractère personnel. Elle permet ainsi d’assumer la responsabilité.

Le considérant 63 du RGPD ajoute en outre à cela que ce droit d’accès doit être considéré comme un mécanisme de contrôle : « Une personne concernée devrait avoir le droit d’accéder aux données à caractère personnel qui ont été collectées à son sujet et d’exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d’en vérifier la licéité. »

Ces principes de responsabilité et de transparence s’articulent avec l’article 15 du RGPD, qui garantit le droit d’accès de la personne concernées à ses données personnelles traitées. Un fichier de journalisation incomplet et une absence de mention du motif de la consultation constituent une atteinte à l’exercice utile du droit d’accès et de contrôle dont dispose la personne concernée. Cela compromet également l’exercice des autres droits tels que le droit de rectification (article 16 du RGPD), le droit à l’oubli (article 17 du RGPD), et le droit à la limitation de l’utilisation de données traitées de façon illicite (article 18 du RGPD).

L’effectivité des droits fondamentaux à la vie privée et à la protection des données à caractère personnel dépend considérablement des mesures mises en place pour assurer la sécurité de celles-ci, la tenue d’un registre des logs est donc fortement recommandée par la Chambre Contentieuse, eu égard aux bonnes pratiques suivies par nombre d’entreprises.

Au sujet de la demande d’accès aux logs IT le concernant par le plaignant, la défenderesse justifie son refus par deux arguments. Elle souligne, dans un premier argument, (à l’instar de l’accès aux annotations dans le dossier RH du plaignant) le droit à la vie privée des auteurs des logs IT comme raison pour refuser le droit d’accès du plaignant aux logs IT le concernant.

Au vu de la jurisprudence de la CJUE selon laquelle le fait de rendre illisible les données à caractère personnel concernant les tiers avant de permettre l’exercice de son droit d’accès à la personne concernée satisfait l’exigence de l’article 15.4 RGPD de ne pas porter atteinte aux droits des tiers, et dans la mesure où il n’existe pas en droit belge de disposition législative visant à limiter le droit d’accès d’un employé à ses données personnelles traitées par son (ex) employeur, l’argument de la défenderesse selon lequel l’accès par le plaignant aux logs IT le concernant violerait la protection des données à caractère personnel des auteurs de ces logs est rejeté.

La défenderesse avance comme deuxième argument pour refuser de faire droit à la demande d’accès concernant l’entièreté des logs IT au sujet du plaignant la quantité de travail disproportionnée que cela demanderait à la défenderesse, liée à l’énorme quantité de logs et d’informations à vérifier à cet effet.

En l’espèce, la défenderesse souligne la charge de travail disproportionnée que représenterait une fouille systématique de tous les logs IT concernant le plaignant, depuis son entrée en fonction en juin 2008, jusqu’à la cessation de son contrat de travail avec la défenderesse en 2019. Le plaignant n’a par ailleurs apporté aucune explication quant à son intérêt à cette demande. Il n’a pas soumis de conclusions et n’est pas revenu sur ce point dans son email envoyé à la Chambre Contentieuse après soumission de ses conclusions par la défenderesse. La Chambre Contentieuse ne peut dès lors percevoir de besoin spécifique justifiant la charge de travail importante que représenterait la fouille systématique liée à la demande d’accès à l’ensemble des logs IT le concernant par le plaignant.

Dans ces circonstances, la Chambre Contentieuse suit la défenderesse dans son raisonnement selon lequel faire droit à cette demande du plaignant lui imposerait une obligation disproportionnée à l’intérêt du plaignant à exercer son droit à la protection des données. Il n’y a dès lors pas de violation dans le chef de la défenderesse du droit d’accès quant aux logs IT concernant le plaignant.

[Excursus : la question du droit d’accès du travailleur aux logs IT le concernant fait l’objet d’une Demande de décision préjudicielle devant la CJUE (Affaire C-579/21) présentée par l’Itä-Suomen hallinto-oikeus (tribunal administratif de Finlande orientale, Finlande) le 22 septembre 2021, encore pendante https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:62021CN0579&from=EN; par ailleurs Livio Di Tria attire justement l’attention sur l’art. 57 al. 2 de la nouvelle loi sur le casier judiciaire qui prévoit l’accès aux données journalisées – https://www.linkedin.com/feed/update/urn:li:activity:6985946279134527488/)%5D

Quant au refus du droit d’accès aux évaluations du plaignant

Le plaignant demande par ailleurs l’accès et copie de ses évaluations.

La défenderesse informe à cet égard que dans la mesure où le plaignant a été régulièrement absent à partir d’octobre 2015 (il a travaillé moins de 30 jours en 2016, moins de la moitié de l’année en 2017, une trentaine de jours en 2018 et aucun jour en 2019), il n’y a pas eu d’évaluation ni d’entretien de fonctionnement depuis 2013. La défenderesse n’avait donc aucune donnée personnelle à communiquer au plaignant à ce titre. Dans ces circonstances, et dans la mesure où il ne peut être reproché à la défenderesse de ne pas faire droit à une demande d’accès et de copie de données personnelles n’existant pas, le grief du plaignant est rejeté.

Quant au refus à la demande de copie des emails

La Chambre relève que, comme indiqué dans sa plainte, le plaignant a pris soin d’expliquer pour quelle raison il demande spécifiquement la copie des emails. Il explique ainsi que pour des raisons de confidentialité (la politique de sécurité et de vie privée de la défenderesse l’interdit formellement) et technique (les emails étant stockés sur un système de cloud et pas sur l’ordinateur du plaignant), bien qu’il avait accès à ces emails depuis son ordinateur professionnel, il lui est impossible d’en prendre copie.

Bien qu’en l’espèce il ressort de la lecture de la plainte que le plaignant n’a pas demandé l’accès à ses emails, mais uniquement à une copie de ceux-ci, la Chambre rappelle, à toutes fins utiles, que la circonstance qu’un plaignant soit au courant des données personnelles à son sujet traitées par le responsable du traitement ne constitue pas une raison valable pour celui-ci de refuser l’accès.

En effet, aucune exception comparable à celle prévue à l’article 13.4 du RGPD (absence d’obligation d’information lorsque que, et dans la mesure où, la personne concernée dispose déjà de ses informations) ou de l’article 14.5 a) du RGPD (absence d’information à fournir en cas de collecte indirecte lors que la personne concernée dispose déjà de ces informations) n’existe à l’article 15 du RGPD. Le droit d’accès permet à la personne concernée de s’assurer qu’aucune donnée la concernant n’est traitée à son insu et constitue une première étape vers l’exercice éventuel de ses droits de rectification, d’effacement ou d’objection. L’objectif du doit d’accès va donc bien au-delà de la seule prise de connaissance des données traitées, raison pour laquelle la circonstance que les données traitées seraient connues de la personne concernée est indifférente.

L’argument de la défenderesse consistant à refuser la demande de copie, sur base du fait que le plaignant avait accès aux emails en question n’est pas pertinent et ne peut donc pas être suivit.

La défenderesse invoque, pour refuser de faire suite à la demande de copie des emails, le droit à la vie privée des autres expéditeurs ou destinataires dans ces emails, sur base de l’article 15.4 RGPD.

La Chambre se réfère au raisonnement concernant les annotations dans le dossier des ressources humaines du plaignant.

Ainsi, étant donné que la jurisprudence de la CJUE enseigne que le fait de rendre illisible les données à caractère personnel concernant les tiers avant de permettre l’exercice de son droit d’accès à la personne concernée satisfait l’exigence de l’article 15.4 RGPD de ne pas porter atteinte aux droits des tiers, et dans la mesure où il n’existe pas en droit belge de disposition législative visant à limiter le droit d’accès et copie d’un employé à ses données personnelles traitées par son (ex) employeur, l’argument de la défenderesse selon lequel l’accès par le plaignant aux email desquels il est expéditeur ou destinataire et que l’octroi de copies des emails violerait la protection des données à caractère personnel des autres destinataires ou expéditeurs des emails en question est rejeté.

Pour ce qui est de la protection du secret d’affaire de la défenderesse et l’interprétation restrictive des limitations au droit d’accès, la Chambre rappelle que le droit d’accès (qui couvre nécessairement le droit de copie, en ce qu’il en est un prérequis) est un des fondements du droit à la protection des données, il constitue la « porte d’entrée » qui permet l’exercice des autres droits que le RGPD confère à la personne concernée. Dans cette mesure, toute dérogation au droit à la protection des données et à la vie privée doit recevoir une interprétation restrictive. Une limitation au droit d’accès, dans l’éventualité où elle devait survenir, devrait par conséquent être interprétée de façon restrictive.

Concernant le traitement de données personnelles dans le cadre des relations de travail, l’article 88 RGPD prévoit que « Les États membres peuvent prévoir, par la loi ou au moyen de conventions collectives, des règles plus spécifiques pour assurer la protection des droits et libertés en ce qui concerne le traitement des données à caractère personnel des employés dans le cadre des relations de travail (…) ». La Chambre constate qu’ il n’existe pas en Belgique de disposition législative visant à limiter le droit d’accès d’un employé à ses données personnelles traitées par son (ex) employeur.

Par conséquent, au vu des développements supra, dans la mesure où le secret d’affaires tend à limiter le droit fondamental à la protection des données, celui-ci doit être interprété de façon restrictive. Néanmoins, la Chambre Contentieuse est d’avis qu’il convient d’effectuer une analyse au cas par cas, notamment lorsque le risque pour le secret des affaires est suffisamment démontré.

Dans le cas d’espèce, la Chambre Contentieuse estime qu’au vu des informations potentiellement sensibles contenues dans les emails en question le risque pour le secret d’affaire de la défenderesse est suffisamment démontré.

La Chambre est dès lors d’avis que la défenderesse n’a pas violé l’article 15.1 et 3 en refusant de donner suite à la demande du plaignant de copie des emails dans lesquels il est destinataire ou expéditeurs.

A toutes fins utiles, la Chambre ajoute que dans les cas où le risque n’est pas démontré, il convient d’appliquer l’enseignement de la jurisprudence de la CJUE (voir supra), selon laquelle le fait de rendre illisible les données à caractère personnel concernant les tiers avant de permettre l’exercice de son droit d’accès à la personne concernée satisfait l’exigence de l’article 15.4 de ne pas porter atteinte aux droits des tiers.

(Chambre Contentieuse de l’Autorité belge de protection des données, Décision quant au fond 15/2021 du 09 février 2021, N° de dossier : DOS-2018-0612 – https://www.autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n-15-2021.pdf; commentée par Livio di Tria, Droit d’accès : quelles limites pour l’ancien employé ?, 14 mars 2021 in http://www.swissprivacy.law/62)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Protection des données, RGPD | Tagué 12 RGPD, 15 RGPD, annotations dossier, évaluations, dossier du personnel, droit d'accès, emails, logs IT, protection des données | Laisser un commentaire

Licenciement abusif en lien avec un conflit dans l’entreprise

Publié le 6 octobre 2022 par Me Philippe Ehrenström

L’appelant (= le travailleur) fait valoir que son licenciement serait abusif du fait que l’intimée (= l’employeuse) n’aurait pas cherché à désamorcer le conflit qui existait entre lui et le chef de cuisine K.________. De plus, l’existence de manquements professionnels de sa part ne serait pas établie.

Le contrat de travail de durée indéterminée peut être résilié par chacune des parties (art. 335 al. 1 CO). En droit suisse du travail, la liberté de résiliation prévaut de sorte que, pour être valable, un congé n’a en principe pas besoin de reposer sur un motif particulier. Le droit de chaque cocontractant de mettre fin au contrat unilatéralement est toutefois limité par les dispositions sur le congé abusif (art. 336 ss CO). L’art. 336 al. 1 et 2 CO énumère des cas dans lesquels la résiliation est abusive, soit notamment lorsque le congé est donné pour une raison inhérente à la personnalité de l’autre partie, à moins que cette raison n’ait un lien avec le rapport de travail ou ne porte sur un point essentiel un préjudice grave au travail dans l’entreprise (art. 336 al. 1 let. a CO). La liste de l’art. 336 al. 1 et 2 CO n’est pas exhaustive ; elle concrétise avant tout l’interdiction générale de l’abus de droit. Un congé peut donc se révéler abusif dans d’autres situations que celles énoncées par la loi ; elles doivent toutefois apparaître comparables, par leur gravité, aux hypothèses expressément envisagées.

La manière dont le congé est donné peut aussi le faire apparaître comme abusif. Même lorsque le motif de la résiliation est en soi légitime, celui qui exerce son droit de mettre fin au contrat doit agir avec des égards. Si l’employeur porte une grave atteinte à la personnalité du travailleur dans le contexte d’une résiliation, celle-ci doit être considérée comme abusive ; un comportement simplement inconvenant ne suffit pas. Le caractère abusif est en principe retenu lorsque le motif invoqué n’est qu’un simple prétexte tandis que le véritable motif n’est pas constatable.

Ainsi, l’abus pourra résider dans l’exploitation par l’employeur qui résilie de sa propre violation du devoir imposé par l’art. 328 CO de protéger la personnalité du travailleur. Par exemple, lorsqu’une situation conflictuelle sur le lieu de travail nuit notablement au travail en commun dans l’entreprise, le congé donné à l’un des employés en cause est abusif si l’employeur ne s’est pas conformé à l’art. 328 CO en prenant préalablement toutes les mesures que l’on pouvait attendre de lui pour désamorcer le conflit. De même, un licenciement motivé par une baisse des prestations du travailleur est abusif si celle-ci est la conséquence d’un harcèlement psychologique toléré par l’employeur en violation de l’art. 328 CO.

S’il est établi qu’une situation conflictuelle sur le lieu du travail, due au caractère difficile d’un employé, nuit notablement au travail en commun dans l’entreprise, le congé donné à ce travailleur n’est pas abusif, à condition toutefois que l’employeur ait pris toutes les mesures que l’on pouvait attendre de lui pour désamorcer le conflit. Cette exigence repose sur le devoir de l’employeur de protéger et de respecter, dans les rapports de travail, la personnalité de ses travailleurs. L’abus réside alors dans le fait que l’employeur exploite la propre violation de ses devoirs contractuels. En effet, après avoir laissé une situation conflictuelle s’envenimer parmi ses salariés sans prendre les mesures adéquates pour l’atténuer, l’employeur se prévaut du fait que l’ambiance est devenue préjudiciable au travail dans l’entreprise pour licencier le salarié apparaissant, en raison de son caractère difficile, comme un fauteur de troubles. La question de savoir si l’employeur a pris les mesures nécessaires pour désamorcer le conflit avant d’en arriver à la résiliation relève du droit, car elle revient à examiner si l’employeur s’est conformé aux devoirs que lui impose l’art. 328 CO. De même, est abusif le licenciement prononcé par un employeur dont il est avéré qu’il voulait se débarrasser à tout prix d’un collaborateur et a agi par pure convenance personnelle, sans parvenir à démontrer l’existence de manquements professionnels de la part de l’employé.

Le licenciement est par ailleurs abusif lorsque l’employé est licencié, après l’échéance du délai de protection de l’art. 336c al. 1 let. b CO, en raison d’une incapacité de travail persistante consécutive à des actes de harcèlement imputables à l’employeur.

En vertu de l’art. 328 CO, l’employeur protège et respecte, dans les rapports de travail, la personnalité du travailleur ; il manifeste les égards voulus pour sa santé et veille au maintien de la moralité. En particulier, il veille à ce que les travailleurs ne soient pas harcelés sexuellement et qu’ils ne soient pas, le cas échéant, désavantagés en raison de tels actes (al. 1). Il prend, pour protéger la vie, la santé et l’intégrité personnelle du travailleur, les mesures commandées par l’expérience, applicables en l’état de la technique, et adaptées aux conditions de l’exploitation ou du ménage, dans la mesure où les rapports de travail et la nature du travail permettent équitablement de l’exiger de lui (al. 2).

Le devoir de l’employeur de protéger la personnalité de ses employés lui impose notamment d’intervenir pour aplanir un conflit. Il a notamment le devoir de prendre les mesures que l’on peut raisonnablement attendre de lui pour désamorcer le conflit.

Dans un arrêt TF 4A_390/2021 du 1er février 2022, le Tribunal fédéral a précisé sa jurisprudence en matière de licenciement abusif en ce sens que le congé est considéré comme abusif dans le cas d’un employeur, qui aurait dû tenter de trouver une solution à des conflits personnels, [et qui] licencie le travailleur. Autre était la situation examinée [en l’espèce], dans la mesure où c’était l’incapacité de l’employée de fournir une quelconque prestation de travail en raison de sa maladie, et non ses relations avec d’autres employés ou ses prestations de travail existantes mais jugées insuffisantes, qui avait fondé son congé.

En l’espèce, l’intimée a justifié le licenciement de l’appelant par le fait que le délai de protection de l’employé en cas d’incapacité de travail était venu à échéance et que l’incapacité de travail perdurait. Or, malgré un motif de résiliation légitime, l’appelant invoque une résiliation abusive au vu du conflit existant avec le chef de cuisine sur le lieu de travail, raison de son incapacité de travail. Il convient dès lors d’examiner si cette incapacité est due à une violation du devoir de protection de l’employeur.

[Selon l’appréciation des preuves de l’instance cantonale], il convient de retenir l’existence d’une mauvaise ambiance en cuisine et d’un conflit entre l’appelant et le chef de cuisine K.________. (….) L’employeur a été informé en avril 2017 déjà de la situation en cuisine. Il s’en est suivi de nombreux entretiens avec l’appelant lors desquels il a réitéré ses plaintes. Face à cette situation, l’intimée, en sa qualité d’employeur, se devait d’agir en vertu de son devoir de protection de la personnalité de l’employeur et prendre des mesures pour aplanir un conflit, ce qu’elle n’a pas fait. En effet, l’intimée n’a pas tenté de désamorcer le conflit, alors que son devoir de protection l’imposait. Aucun échéancier n’a été fixé et imposé à l’appelant pour remplir les objectifs discutés, aucune pièce n’ayant été produite en ce sens. Il ne ressort pas non plus du dossier que des alternatives aient été proposées à l’appelant par rapport aux problèmes rencontrés, notamment une médiation avec son chef, un éventuel changement de poste, une formation avec un tiers sur les nouvelles méthodes en cuisine, etc.

Au contraire, l’intimée a stigmatisé l’appelant en lui reprochant un problème d’attitude en matière de collaboration ou, encore, de ne pas remplir ses objectifs, alors que ces éléments factuels ne sont pas établis à satisfaction, (…).

Il ressort par ailleurs des documents médicaux produits que l’incapacité de travail de l’appelant a été provoquée par la situation sur le lieu de travail, à laquelle l’intimée n’a pas remédié comme vu ci-avant. (….)

Au vu de ce qui précède, il y a lieu de considérer que le congé donné à l’appelant est abusif, tel qu’il le dénonce à juste titre, l’incapacité de travail invoquée comme motif de résiliation des rapports contractuels, ayant été causée par une violation du devoir de protection de l’intimée.

Il est précisé que l’on ne se trouve pas dans le même cas de figure que celui de l’arrêt TF 4A_390/2021 précité dans la mesure où en l’occurrence, l’incapacité de travail de l’appelant a été causée par une violation du devoir de protection de l’intimée, qui devait désamorcer la situation conflictuelle au travail, alors qu’il n’est pas question d’un tel état de fait dans l’arrêt TF 4A_390/2021.

Conformément à l’art. 336a CO, la partie qui résilie abusivement le contrat doit verser à l’autre une indemnité (al. 1). L’indemnité est fixée par le juge, compte tenu de toutes les circonstances ; toutefois, elle ne peut dépasser le montant correspondant à six mois de salaire du travailleur. Sont réservés les dommages-intérêts qui pourraient être dus à un autre titre (al. 2).

Le montant de l’indemnité doit être évalué selon les règles du droit et de l’équité, conformément à l’art. 4 CC (Code civil suisse du 10 décembre 1907 ; RS 210). Il faut notamment prendre en considération la gravité de la faute commise par l’employeur, une éventuelle faute concomitante du travailleur, la gravité de l’atteinte à sa personnalité, son âge, la durée et l’intensité de la relation de travail, les effets du licenciement et les difficultés de réinsertion dans la vie économique.

En l’occurrence, les prétentions chiffrées de l’appelant correspondent à quatre mois de salaire, soit à un montant de 24’827 fr. 60 (6’206 fr. 90 x 4), et n’ont pas été remises en cause par la partie adverse, qui s’est contentée en première instance de conclure au rejet de la demande du 7 septembre 2020 sans prendre de conclusions subsidiaires quant à la quotité du montant réclamé, et qui, en appel, ne s’est pas déterminée. L’intimée a du reste admis l’allégué 86 de la demande précitée concernant le salaire mensuel moyen de l’appelant de 6’206 fr. 90.

Celui-ci a été employé par l’intimée pendant plus de dix ans avant son licenciement. Les deux rapports médicaux au dossier mettent en évidence ses problèmes de santé en lien avec la situation sur le lieu de travail et l’incapacité totale de travail qui en a découlé. Il y a aussi lieu de prendre en considération la faute de l’intimée, d’une certaine importance au vu de la durée du conflit, sans prise de mesures concrètes autres que des entretiens d’évaluation avec l’appelant, ainsi que les circonstances dans lesquelles le congé est intervenu, soit durant une période d’arrêt maladie.

Au vu de ces éléments, il convient d’allouer à l’appelant le montant réclamé de 24’827 fr. 60, correspondant à quatre mois de salaire.

(Arrêt de la Cour d’appel civile vaudoise HC / 2022 / 482 du 19 juillet 2022)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Licenciement abusif, Protection de la personnalité | Tagué 328 CO, 336 ss CO, conflit dans l'entreprise, devoirs de l'employeur, licenciement abusif, protection de la personnalité | Laisser un commentaire

Travail sur appel (psychologue), congé-représailles

Publié le 4 octobre 2022 par Me Philippe Ehrenström

E.________ est un médecin psychologue pratiquant dans un cabinet de groupe à… (VD).

3.1 L’Employé est engagé, sous la responsabilité directe de l’Employeur, en qualité de psychologue-psychothérapeute en psychothérapie déléguée, en charge de tous les patients qui lui auront été confiés par l’Employeur.

4. TAUX D’ACTIVITÉ ET DURÉE HEBDOMADAIRE DU TRAVAIL

4.1 Le taux d’activité de l’Employé est variable selon les besoins du cabinet.

4.2 La durée hebdomadaire du Travail est variable selon les besoins du cabinet.

(…)

7. SALAIRE DE BASE

7.1 (…) Le salaire horaire brut [est] fixé à 80 CHF/heure.

(…)

7.3 Le salaire est versé au Prorata du paiement des factures effectives. »

A réception du premier relevé de facturation au début du mois d’octobre 2017, l’employée a interpellé son employeur; elle considérait que la répartition des montants ne correspondait pas à ce qui avait été convenu. (…)

Le 13 février 2018, l’intéressé a accordé un entretien à l’employée et trois autres collaborateurs qui dénonçaient aussi des irrégularités dans le système de rémunération. (…)

Le 21 février 2018, il [l’employeur] a demandé à l’organisme d’encaissement d’opérer une modification de la répartition sous son compte et celui de T.________, à raison de 50 % chacun.

Le même jour, il a proposé à la prénommée un nouveau contrat de travail qui prévoirait une entrée en fonction au 1er janvier 2018 et instituerait un nouveau temps d’essai, ainsi qu’une indexation du salaire selon les modifications du point TarMed.

Le 24 février 2018, l’employée a dit préférer un avenant et ne pas vouloir modifier son salaire; ou du moins attendait-elle des simulations qui lui permettraient de réaliser la portée de l’indexation. Elle a aussi proposé au médecin qu’il explique à son père [juge suppléant au Tribunal fédéral] la manière dont il envisageait de fixer le salaire; les deux hommes pourraient ainsi rechercher une manière claire de formuler le contrat.

L’employée avait déjà mentionné [les qualités de son père] dans un échange de correspondances (…). En effet, dans un courriel du 25 janvier 2018, elle s’était réservé le droit de dénoncer d’éventuelles erreurs relatives à son décompte salarial 2017 et avait précisé adresser une copie à » Monsieur X.________, juge fédéral suppléant « .

Dès février 2018, l’employeur a cessé d’attribuer de nouveaux patients à la travailleuse.

Le 13 juin 2018, il lui a remis en mains propres un courrier lui signifiant son congé pour le 30 septembre 2018. Il l’a libérée sur-le-champ de son obligation de travailler.

Dans l’attestation fournie à la Caisse de chômage le 18 septembre 2018, il a justifié le licenciement par le fait que le profil de l’employée ne correspondait plus au poste.

L’employée s’est opposée au congé par courrier du 27 septembre 2018 et a offert ses services. Elle a émis des doutes quant au véritable motif du licenciement, qu’elle estimait lié aux prétentions élevées en lien avec son contrat.

Le 5 octobre 2018, l’employeur a justifié sa décision par le fait que leur collaboration était « compliquée, peu constructive et ne pouvait s’inscrire dans la durée »; l’employée avait créé une ambiance de méfiance et de franche hostilité qui était devenue insupportable. La situation n’avait fait qu’empirer et le lien de confiance s’était définitivement rompu, au point qu’il s’était vu obligé de se séparer d’elle. Le motif indiqué à la Caisse de chômage devait être compris dans le sens suivant: le « profil psychologique » de l’employée , « c’est-à-dire [sa] personnalité (menaçante, méfiante) […] ne correspond (ait) pas aux conditions pour une bonne collaboration dans l’activité de psychothérapie déléguée, laquelle se bas[ait] sur un lien de confiance indéfectible ».

Le 25 mars 2019, T.________ a assigné en conciliation son ex-employeur devant le Tribunal des prud’hommes de l’arrondissement de l’Est vaudois. Elle a ensuite déposé une demande en paiement de 29’999 fr. nets, exigeant d’une part un complément de salaire pour le manque à gagner subi au cours des relations contractuelles, d’autre part une indemnité pour licenciement abusif.

Statuant le 3 mai 2021, le tribunal prud’homal a alloué à la demanderesse un solde salarial de 24’941 fr. 20, sous déduction des charges sociales, cumulé avec une indemnité de 5’057 fr. 80 nets pour le licenciement abusif. Il a rejeté la demande reconventionnelle.

Le Tribunal cantonal vaudois, plus précisément sa Cour d’appel civile, a confirmé cette décision. L’employeur interjette un recours en matière civile. Il demande au Tribunal fédéral de débouter l’employée de toutes ses prétentions.

Il est admis qu’un contrat de travail a lié les parties, avant que l’employeur le résilie le 13 juin 2018 pour le 30 septembre suivant. Le litige porte, d’une part, sur le différentiel de salaire réclamé par l’employée et, d’autre part, sur le caractère abusif du congé.

L’employeur conteste d’abord devoir un solde salarial de 24’941 fr. 20. Il dénonce une violation des art. 324 et 326 CO.

L’employée s’est plainte de ne pas avoir reçu du travail en suffisance. Elle a établi le salaire moyen (7’914 fr. 30) touché durant les mois où l’entente était encore bonne (septembre à décembre 2017) et a conclu qu’elle aurait dû percevoir 110’800 fr. 20 sur toute la durée du contrat (7’914 fr. 30 x 14 mois). N’ayant recueilli que 85’859 fr. bruts, elle a réclamé le différentiel (24’941 fr. 20).

L’autorité précédente a lu dans les clauses 3.1, 4.1 et 4.2 du contrat (let. A.a supra) la marque claire d’un [contrat de travail] sur appel, aménagé dans le seul intérêt de l’employeur. Un tel système, où l’employeur pouvait déterminer unilatéralement, en fonction de ses propres besoins, la durée du travail et la rétribution de l’employée, était proscrit par les art. 324 al. 1 et 326 CO. L’employeur ne pouvait pas refuser subitement les services du travailleur et le priver de toute rémunération. Il restait débiteur du salaire lorsqu’il ne procurait plus au travailleur, qui était disposé à en prendre, du travail en suffisance. Le motif du refus – économique ou non – importait peu.

En l’occurrence, le motif invoqué n’était pas même vraisemblable; il ne méritait de toute façon aucune protection. La collaboratrice n’avait soi-disant pas la maturité suffisante pour pratiquer sa fonction, défaut qui se serait révélé au moment où elle avait fait intervenir son père dans leur relation professionnelle. Il était pourtant légitime de demander conseil à un juriste, fût-il son propre père. Au demeurant, s’il jugeait sa collaboratrice trop immature, l’employeur aurait dû non seulement renoncer à lui confier de nouveaux patients, mais aussi lui retirer ceux qu’elle suivait déjà, ce qu’il n’avait pas fait. Il avait bien plutôt appliqué une mesure de rétorsion contre une employée qui tentait de faire valoir ses droits. Aussi avait-elle droit à un salaire calculé d’après la moyenne des rémunérations perçues pendant la période où elle recevait du travail en quantité suffisante.

La Cour d’appel a souverainement constaté en fait que l’employeur avait cessé d’attribuer de nouveaux patients à l’employée dès février 2018, ce qu’il ne remet pas en cause, à tout le moins pas de manière conforme aux réquisits légaux. (…) L’analyse juridique développée dans l’arrêt attaqué ne prête pas le flanc à la critique.

L’autorité précédente a dûment exposé la jurisprudence topique concernant le travail sur appel (ATF 125 III 65 consid. 3b; 124 III 249 consid. 2a; arrêt 4A_534/2017 du 27 août 2018 consid. 4.1 et 4.3) et l’a correctement appliquée au cas d’espèce.

N’en déplaise au recourant, elle n’a pas détourné le propos de l’ATF 125 III 65. Il résulte de cet arrêt que l’employeur peut tomber sous le coup de l’art. 324 al. 1 CO (même) lorsque la demeure tient à des motifs économiques (consid. 5 p. 69). Le législateur n’a pas voulu permettre à l’employeur de déterminer unilatéralement, en fonction de ses propres besoins, la durée du travail et la rétribution du travailleur (consid. 5 p. 70). La Cour d’appel n’a pas trahi ces préceptes en concluant que l’employeur devait procurer du travail en quantité suffisante à l’employée ou payer son salaire – que le motif de son refus ait une cause économique ou non. Pour le surplus, l’on se référera à l’arrêt attaqué, qui explique à satisfaction de droit pour quelles raisons les griefs repris dans le cadre du présent recours sont inopérants (cf. art. 109 al. 3 LTF). Concernant la thématique du salaire convenable, le recourant n’explique d’ailleurs pas où résideraient les failles de la motivation proposée par la cour cantonale.

En bref, c’est à tort que l’employeur a cru détenir un pouvoir absolu sur le revenu de l’intimée, en cessant dès février 2018 de lui attribuer de nouveaux patients. Et les juges d’appel n’ont pas outrepassé les limites du droit fédéral en exigeant qu’il verse la différence avec le salaire que l’employée aurait dû toucher en se basant sur la période durant laquelle elle avait reçu suffisamment de patients. La méthode de calcul appliquée n’est pas contestée.

Au chapitre du licenciement abusif, l’employeur dénonce une violation de l’art. 8 CC et de l’art. 336 CO.

La Cour d’appel a retenu un congé abusif pour les raisons suivantes:

Dans un premier temps, l’employeur avait soutenu s’être séparé de sa collaboratrice parce qu’elle ne correspondait plus au poste. Dans son appel, il lui reprochait d’avoir recouru aux conseils de son père, juriste de profession et juge fédéral suppléant, pour faire valoir ses prétentions.

Le fait de prendre conseil dans une matière que l’on ne maîtrise pas – fût-ce auprès de son père – était, au contraire, un signe de maturité. L’employée avait simplement révélé, en toute transparence, qu’elle s’était renseignée sérieusement sur ses droits avant de conclure que la proposition de l’employeur n’était pas conforme et devait être rediscutée. En réalité, le licenciement était un congé-représailles visé par l’art. 336 al. 1 let. d CO.

La règle précitée déclare abusif le congé donné par une partie (ici l’employeur) parce que l’autre partie (en l’occurrence l’employée) fait valoir de bonne foi des prétentions résultant du contrat de travail. On parle à cet égard de congé-représailles.

Pour retenir une telle hypothèse, il faut déterminer le motif réel du congé – opération qui relève du fait. Il importe peu que la prétention existe ou non. Il suffit que celui qui l’invoque puisse de bonne foi penser qu’elle est fondée (ATF 136 III 513 consid. 2.3 et 2.4). La bonne foi est présumée (art. 3 al. 1 CC). Les prétentions émises doivent avoir joué un rôle causal dans la décision de licencier. Déterminer s’il existe un rapport de causalité naturelle est une question de fait (ATF 136 III 513 consid. 2.6).

Dans le passage résumé ci-dessus, la Cour d’appel a laissé entendre qu’elle voyait dans les prétentions émises par l’employée la cause véritable du congé. S’il devait subsister un léger doute quant au motif retenu, il est définitivement levé à lecture d’un autre chapitre, dans lequel la Cour a clairement interprété le refus de fournir des nouveaux clients comme une « mesure de rétorsion face à une employée qui tent[ait] de faire valoir ses droits ».

[Le congé-représailles est donc confirmé]

Quant au montant de l’indemnité pour licenciement abusif, il n’est pas spécifiquement remis en cause.

(Arrêt du Tribunal fédéral 4A_89/2022 du 20 septembre 2022)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Licenciement abusif | Tagué congé-représailles, différence de salaire, licenciement abusif, psychologue, représailles, TF 4A_89/2022, travail sur appel | Laisser un commentaire

Etablissement d’un profil ADN en procédure pénale

Publié le 28 septembre 2022 par Me Philippe Ehrenström

Depuis le 20 décembre 2021, une enquête pénale est ouverte pour violence ou menace contre les autorités et les fonctionnaires (art. 285 CP), pour rixe (art. 133 CP) – éventuellement pour émeute (art. 260 CP) -, pour empêchement d’accomplir un acte officiel (art. 286 CP), pour contravention au sens de l’art. 86 de la loi fédérale du 20 décembre 1957 sur les chemins de fer (LCdF; RS 742.101) et pour infractions au sens des art. 15 (conduite inconvenante) et 17a (refus d’obtempérer) de la loi jurassienne du 9 novembre 1978 sur l’introduction du Code pénal (LiCP; RS/JU 311) en raison des faits survenus le 19 décembre 2021 aux alentours de la gare CFF de X.________ en marge du match de hockey opposant le HC F.________ et le HC G.________.

Les images vidéos des caméras de surveillance à l’intérieur de la patinoire, des CFF et de différentes caméras présentes sur les lieux des événements ont notamment permis de démontrer la présence ce jour-là de A.________ sur le chemin menant à la gare – respectivement […] -, puis à la place V.________, ainsi qu’à […].

Ce 11 janvier 2022, A.________ a été mis en prévention pour les chefs d’infraction énumérés ci-dessus par le Ministère public. Ce dernier a également ordonné la perquisition de documents et d’enregistrements du ou des téléphone (s) portable (s) du prévenu, ainsi que leur analyse. Le 11 janvier 2022 toujours, le Ministère public a ordonné la saisie des données signalétiques de A.________, ainsi qu’un frottis de muqueuse jugale pour l’établissement d’un profil ADN, au motif que le prévenu était mis en cause pour un crime ou un délit et qu’il avait été identifié comme l’un des auteurs des faits survenus le 19 décembre 2021 à X.________.

Le casier judiciaire de A.________ fait état d’une enquête pénale des autorités neuchâteloises pour émeute, violence ou menace contre les autorités et les fonctionnaires en lien avec des événements survenus le 20 août 2020 [recte 21 février 2020] (cause MP/NE_2020).

S’agissant de l’établissement d’un profil ADN et de la saisie des données signalétiques, ces deux mesures n’ont pas été ordonnées pour les besoins exclusifs de la procédure jurassienne en cours à l’encontre du recourant, mais également en vue d’élucider d’autres crimes ou délits, anciens ou futurs, sans lien avec celle-ci. Il s’agit donc d’une décision finale au sens de l’art. 90 LTF.

Se référant en particulier à l’art. 255 CPP, le recourant reproche à l’autorité précédente une violation du principe de proportionnalité. Il soutient en substance que rien ne laisserait apparaître qu’il pourrait être impliqué dans d’autres procédures passées ou futures. Selon le recourant, une telle démonstration ne serait en particulier pas apportée par l’ordonnance pénale du 23 mars 2022 rendue à son encontre par les autorités neuchâteloises; il s’agirait en outre d’un cas bagatelle.

Les mesures de reconnaissance et la conservation des données peuvent porter atteinte au droit à la liberté personnelle (art. 10 al. 2 Cst.) et à la protection contre l’emploi abusif de données personnelles (art. 13 al. 2 Cst. et 8 CEDH). Elles doivent ainsi être fondées sur une base légale suffisamment claire et précise, être justifiées par un intérêt public et être proportionnées au but visé (cf. art. 36 al. 1 à 3 Cst.).

Selon l’art. 197 al. 1 CPP, des mesures de contrainte ne peuvent être prises que si elles sont prévues par la loi (let. a), si des soupçons suffisants laissent présumer une infraction (let. b), si les buts poursuivis ne peuvent pas être atteints par des mesures moins sévères (let. c) et si elles apparaissent justifiées au regard de la gravité de l’infraction (let. d).

A teneur de l’art. 255 al. 1 let. a CPP, pour élucider un crime ou un délit, le prélèvement d’un échantillon et l’établissement d’un profil d’ADN peuvent être ordonnés sur le prévenu.

Cette possibilité n’est pas uniquement limitée à l’élucidation du crime ou du délit pour lequel le prévenu est poursuivi; ces mesures peuvent également être ordonnées afin d’élucider des infractions passées ou futures qui sont encore inconnues des autorités de poursuites pénales (cf. art. 259 CPP et art. 1 al. 2 let. a de la loi fédérale du 20 juin 2003 sur l’utilisation de profils d’ADN dans les procédures pénales et sur l’identification de personnes inconnues ou disparues [RS 363]). Le profil ADN a notamment pour but d’éviter de se tromper sur l’identification d’une personne ou de jeter le soupçon sur des innocents; il peut aussi avoir des effets préventifs et contribuer à la protection de tiers. Malgré ces indéniables avantages, l’art. 255 CPP n’autorise pas le prélèvement d’échantillons d’ADN et leur analyse de manière systématique.

Selon la jurisprudence, l’établissement d’un profil ADN, qui ne sert pas à élucider une infraction pour laquelle une instruction pénale est en cours, est conforme au principe de la proportionnalité uniquement s’il existe des indices sérieux et concrets que le prévenu pourrait être impliqué dans d’autres infractions, mêmes futures. Il doit toutefois s’agir d’infractions d’une certaine gravité. Il convient à cet égard également de prendre en considération les éventuels antécédents du prévenu; l’absence d’antécédents n’empêche pas encore de prélever un échantillon et d’établir le profil ADN de celui-ci, mais il faudra tenir compte de cet élément dans la pesée d’intérêts à réalise. Lorsque la mesure vise à élucider des infractions passées ou futures, elle n’est pas soumise à la condition de l’existence de soupçons suffisants laissant présumer une infraction au sens de l’art. 197 al. 1 CPP : des indices au sens susmentionné suffisent. Des soupçons suffisants doivent cependant exister en ce qui concerne l’acte qui a fondé le prélèvement ou l’établissement du profil d’ADN.

Les considérations émises en lien avec le prélèvement et l’établissement d’un profil ADN valent également pour la saisie de données signalétiques au sens de l’art. 260 CPP, à la différence que cette mesure peut également être ordonnée en cas de contravention.

En l’espèce, il n’est pas contesté que le prélèvement et l’établissement d’un profil ADN ordonné, respectivement la saisie des données signalétiques, ne tendaient pas à identifier le recourant eu égard à la procédure pénale jurassienne en cours à son encontre : il avait été en effet identifié par le biais des images de vidéo- surveillance et il n’apparaît pas établi que des prélèvements ADN aient été effectués, par exemple sur le mobilier du restaurant où se sont rendus les supporters de F.________, afin de pouvoir les confronter avec l’ADN du recourant, de manière à établir son rôle lors des événements du 19 décembre 2021.

Il sied donc d’examiner si la mesure se justifie eu égard à d’éventuelles infractions passées en lien avec d’autres procédures ou futures.

Dans le cadre de l’examen du séquestre du téléphone portable du recourant ordonné dans la procédure jurassienne en cours, la cour cantonale a confirmé l’existence de soupçons suffisants de la commission d’infractions en lien avec les faits du 19 décembre 2021, dont celle d’émeute (art. 260 CP). Elle s’est référée à cet égard aux constatations du rapport de police (attroupement compact, uni et menaçant, refus d’obtempérer aux injonctions de la police) et aux images issues des caméras de surveillance attestant de la présence du recourant sur les lieux à plusieurs moments; en particulier, elle a rappelé, à juste titre, que le comportement délictueux consistait à participer volontairement à l’attroupement et que la participation active aux actes de violence n’était pas une condition de punissabilité.

Le seul fait que le recourant conteste avoir commis des infractions – notamment sous l’angle de la condition subjective – ne suffit pas pour remettre en cause à ce stade de la procédure le raisonnement de l’autorité précédente. Cela vaut d’autant plus que le recourant reconnaît avoir été sur les lieux – au demeurant aux endroits correspondant à ceux relevés dans le rapport de police – en compagnie des supporters de F.________. Devant le Tribunal fédéral, il ne prétend en particulier pas avoir ignoré que les supporters des deux équipes se trouvaient à la gare et qu’il existait donc un risque concret de confrontation. Ce dernier élément et les circonstances d’espèce (groupes d’ « ultras ») permettent également à ce stade d’écarter l’hypothèse d’une manifestation à vocation pacifique, ce que ne prétend d’ailleurs pas le recourant. Il peut aussi être constaté que ce dernier ne soutient pas que les faits sous enquête, à la suite desquels deux agents de police ont été blessés, ne présenteraient pas la gravité nécessaire permettant, le cas échéant, d’ordonner un prélèvement et l’établissement d’un profil ADN. Il en découle l’existence de soupçons suffisants de la commission d’infractions en lien avec les événements du 19 décembre 2021, soit les faits à la suite desquels le prélèvement contesté a été ordonné.

Les motifs précédents permettent d’ailleurs de rejeter le recours – dans la mesure de sa recevabilité – en ce qui concerne le séquestre du téléphone portable du recourant. Cette appréciation s’impose d’autant plus que ce dernier ne développe aucune argumentation visant à démontrer que l’analyse du contenu de son appareil téléphonique ne permettrait pas de faire avancer l’enquête.

Il existe ensuite en l’espèce un risque sérieux et concret que le recourant puisse être impliqué dans d’autre (s) infraction (s), notamment future (s), et la mesure ordonnée est donc propre à prévenir et/ou à élucider la commission de celle (s) -ci.

En effet, en date du 19 décembre 2021, le recourant, supporter du HC F.________ était alors interdit de stade et faisait l’objet d’une enquête pénale neuchâteloise pour dommages à la propriété (art. 144 CP), émeute (art. 260 CP), violence ou menace contre les autorités et les fonctions (art. 285 CP), ainsi que désobéissance à la police en application du droit cantonal neuchâtelois en raison de faits manifestement similaires réalisés le 21 février 2020 à l’issue d’un match de hockey. Ces circonstances ne l’ont pourtant pas empêché de se rendre, le 19 décembre 2021, sur des lieux où il semblait savoir que pouvaient se trouver les supporters d’une équipe adverse, respectivement de se joindre aux « ultras » de son club. On ne saurait donc écarter toute probabilité que le recourant se retrouve dans une configuration similaire à l’avenir et la mesure ordonnée pourrait permettre, le cas échéant, de l’identifier.

Partant, la Chambre pénale des recours pouvait, sans violer le droit fédéral, confirmer, notamment sous l’angle de la proportionnalité, le prélèvement et l’établissement d’un profil ADN, ainsi que la saisie des données signalétiques du recourant.

Il s’ensuit que le recours est rejeté dans la mesure où il est recevable.

(Arrêt du Tribunal fédéral 1B_230/2022 du 7 septembre 2022)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Droit pénal, Protection de la personnalité, Protection des données | Tagué 10 al. 2 Csr, 13 al. 2 Cst, 255 al. 1 let a CPP, 8 CEDH, procédure pénale, profil ADN | Laisser un commentaire

Bêtisier (1): le certificat de travail

Publié le 27 septembre 2022 par Me Philippe Ehrenström

Depuis 2014, 878 notes ont été (à ce jour) publiées sur ce site. Il s’agissait de se faire l’écho de la pratique des tribunaux et des administrations en matière de droit du travail et de la protection des données, de montrer ce qui se faisait.

Avec les années, il nous est venu l’envie de montrer aussi ce qui ne devrait pas se faire, les motifs d’énervements, les bévues, les couacs, les cuirs, bref tout ce qui pouvait aussi instruire (et amuser), mais sous la forme de contre-exemples (y compris au détriment du rédacteur de ce site…)

Le certificat de travail est un document crucial sur le marché du travail en Suisse.

Que l’on s’en félicite ou qu’on le regrette, c’est souvent lui qui va aider les recruteurs (humains – les bots n’y arrivent pas encore tout à fait) à faire un premier tri entre la pile des « retours à l’envoyeur » et celle des « premiers entretiens ( ?) ».

[Concernant les principes légaux applicables au certificat de travail en droit suisse :

Certificat de travail: grands principes

& choix de notes et de jurisprudences sur le certificat de travail :

https://droitdutravailensuisse.com/category/certificat-de-travail/%5D

Mais il y a le droit, et il y a la pratique.

Je me souviens ainsi d’une expérience de dissociation.

On croit que l’exercice est réservé aux chamans, mais pas du tout.

J’étais au téléphone, il y a quelques années, en train de m’écharper avec une responsable des ressources humaines sur les termes d’un certificat de travail qui devait être destiné à mon client.

L’entretien était long, et difficile, mon interlocutrice renâclant sur chaque terme, sur toutes les virgules, d’un ton aigre et condescendant.

Après un Xe échange de vues sur le félidé à quatre pattes pourvues de moustache que l’on n’osait appeler un chat, il me fut opposé que le contenu du certificat de travail n’allait pas être modifié selon mes vœux car il « engageait la responsabilité de l’employeur ». Le chat n’était ainsi pas un chat, mais quelque chose qui ressemblait plus à un sur-mulot de grande taille.

Et c’est là que, frappé de stupeur, mon double est sorti de mon corps physique pour s’installer en surplomb, dans un des coins du plafond. Assis confortablement en position du lotus, il se mit à penser à la réponse qui pourrait être faite à cette peu aimable « responsable ».

Le certificat engageait la responsabilité de l’employeur ? Sans blague ! Après plus de vingt ans de pratique, dont de nombreuses formations destinées aux semblables de mon interlocutrice (avec un succès relatif apparemment), je le savais pertinemment.

Mais en pratiques ?

Les cas venus à ma connaissance de mise en œuvre de cette responsabilité se comptaient sur les doigts d’une main, et concernaient tous des cas crasses d’abus flagrants : on attestait de la plus parfaite probité de délinquants avérés, de la moralité de diables cornus… En d’autres termes, la balance entre le caractère bienveillant du certificat, qui devait favoriser la réinsertion du travailleur, et la réalité de ce qu’il décrivait, n’aurait dû avoir que marginalement à souffrir d’une responsabilité très théorique, et qui s’appliquait surtout dans des cas particulièrement « gratinés ».

En vérité, il n’y a pas de bonne raison de ne pas délivrer rapidement un certificat de travail, certes conforme à la vérité, mais aussi favorable et bienveillant à un employé licencié. C’est d’ailleurs ce que retiennent maints juges, qui comprennent de plus en plus mal que cette question ne soit pas réglée quand s’ouvre une procédure devant eux.

L’excuse de l’utilisation potentiellement dommageable d’un tel certificat dans une procédure contentieuse ne tient pas non plus. Il en effet possible de passer une convention de procédure entre les parties, à teneur de laquelle le certificat, par hypothèse favorable, ne serait pas produit en la procédure, sous peine de s’en voir écarté en application de l’art. 152 al. 2 CPC.

Passer donc un temps considérable sur des nuances picrocholines de ternes et de syntaxe, comme le faisait mon interlocutrice, était une perte de temps et de ressources pour tout le monde.

J’étais bien tenté, sur mon nuage, d’envoyer un email au supérieur de cette « responsable » où j’aurais intégré son coût horaire, les cotisations patronales en rapport avec son salaire, le coût du nombre de mètres carrés que son bureau occupait, et ce en rapport avec le caractère parfaitement inutile (pour l’employeur), mesquin et vexatoire (pour l’employé) de ses atermoiements.

Je ne l’ai pas fait.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans bêtisier, Certificat de travail | Tagué bêtisier, certificat de travail | Laisser un commentaire

La solitude du gestionnaire de fortune

Publié le 21 septembre 2022 par Me Philippe Ehrenström

Le Tribunal fédéral, dans un arrêt 4A_479/2020 du 30 août 2022 publié le 19 septembre, se penchait sur le cas d’un gestionnaire de fortune d’un desk US prétendant être pris entre le marteau et l’enclume.

Le premier serait constitué par les directives et instructions de l’employeur, qui toutes l’inviteraient à être vertueux en ses agissements cross-border (i.e. ne pas aller draguer des clients US aux USA), le second par la pratique-même de l’employeur qui encouragerait à faire ce que l’on prétendait vouloir interdire (i.e. aller draguer effectivement des clients US aux USA). Un cas où la main droite ignorerait la main gauche et vice-versa, somme toute, ce qui aurait constitué, de la part de l’employeur, une atteinte à la personnalité de l’employé, atteinte qui rendait abusif de surcroît le licenciement prononcé ultérieurement par l’employeur.

Le Tribunal fédéral le nie, dans un raisonnement que j’ai présenté ici : https://droitdutravailensuisse.com/2022/09/19/la-protection-de-la-personnalite-du-cadre-superieur/ – retenant en substance que la faute de l’employé, qui s’était en quelque sorte accommodé du risque et n’en aurait pas tiré les conséquences, avait interrompu le lien de causalité entre la faute de l’auxiliaire de l’employeur (le supérieur hiérarchique qui n’aurait pas mis en œuvre avec beaucoup de zèle les principes vertueux de la banque sur les clients US) et le dommage.

L’arrêt est intéressant, et aurait mérité d’être retenu pour publication aux ATF.

Je note notamment ce qui suit :

Le TF nie au passage que les actes de l’employé et d’autres semblables aient été connus par les organes de la banque. C’est assez difficile à croire, d’abord parce que la pratique (dire et ne pas faire, faire et ne pas dire) semblait assez répandue dans l’industrie bancaire (voir notamment le commentaire de Me Jean-Cédric Michel sur ce même arrêt : https://www.revolawtion.ch/post-mortem-du-cross-border-banking-par-le-tribunal-federal-larret-4a_479-2020/), d’une part, et parce que l’employeur aurait lui-même reconnu certaines de ces charmantes pratiques dans des procédures aux USA d’autre part. Mais il fallait effectivement que la connaissance puisse être concrètement imputée à des organes de la banque employeuse, par opposition à l’allégation d’un simple « lieu commun », ce qui n’avait pas été fait dans la procédure.

Le fait d’écarter les « aveux » de l’employeur dans des procédures US au motif que cela serait une sorte de figure imposée dans un « plaider-coupable » est plus surprenant, intellectuellement et juridiquement. Je me demande comment le Tribunal fédéral aurait interprété un aveu similaire, dans un même cadre, fait par un employé visé en parallèle par une procédure de licenciement en Suisse…. Le dommage n’est de toute façon pas grand car le Tribunal fédéral a retenu la faute de l’auxiliaire, i.e. le supérieur hiérarchique de l’employé.

La procédure semble par ailleurs ne pas avoir tiré toutes les conséquences de l’atteinte à la personnalité alléguée, et ce en son développement particulier qui était la transmission de données relatives à l’employé aux autorités US par l’employeur. En effet, l’atteinte à la personnalité de l’art. 328 CO se concrétise, en matière de protection des données, par l’art. 328b CO qui renvoie à la loi sur la protection des données. Il aurait dès lors appartenu à l’employé de contester en parallèle à la procédure prud’homale la transmission de ses données à un pays (les USA) dont le droit n’assurait pas un niveau de protection adéquat (on renverra ici aux différents arrêts Schrems, dont le dernier CJUE arrêt C-311/18 Data Protection Commissioner/Maximillian Schrems et Facebook Ireland du 16 juillet 2020). Le dommage résultant de cette transmission aurait d’ailleurs pu être démontré sans trop de peine : risques de procédures US ou d’arrestations, risques de réputation, etc. L’employé ne s’est toutefois pas opposé à cette transmission, ce qui rend effectivement difficile par la suite de soutenir dans la procédure prud’homale l’existence d’un dommage résultant de cette même transmission. A la décharge de l’employé, l’organisation judiciaire est ainsi faite à Genève qu’il aurait dû saisir le Tribunal de première instance sur ces questions (et non le tribunal du travail), ce qui ne simplifie pas les choses.

De la même manière, certaines questions relatives aux conflits d’intérêts des conseils de l’employeur interpellent, et aurait dû être soulevées dans la procédure tant elles apparaissaient manifestes. Cela n’aurait sans pas changé grand-chose l’issue du litige, mais aurait peut-être rééquilibré temporairement les forces entre le pot-de-terre (l’employé) et le pot-de-fer (l’employeur).

En définitive, cet arrêt suscite des sentiments mitigés.

Le Tribunal fédéral peut certes rappeler que l’employé était bien formé, qu’il bénéficiait de responsabilités, qu’il gagnait bien sa vie, etc. et qu’il aurait donc dû tirer les conséquences d’ue situation schizophrénique ; il semble quand même faire peu de cas de l’inégalité consubstantielle aux rapports de travail.

La morale de cette histoire semble donc être de choisir plutôt la fuite dans ce genre de circonstances, et que le gestionnaire de fortune apparaît parfois être bien seul…

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Licenciement abusif, Protection des données | Tagué 4A_479/2020, cross-border, gestionnaire de fortune, licenciement abusif, protection des données, Transmission de données, US desk | Laisser un commentaire

La protection de la personnalité du cadre supérieur

Publié le 19 septembre 2022 par Me Philippe Ehrenström

L’employeur a un devoir général d’assistance envers le travailleur dont les contours sont définis par les règles de la bonne foi ( Fürsorgepflicht; art. 2 al. 1 CC). Il s’explique par le lien de subordination qui caractérise cette relation contractuelle: le salarié doit observer les instructions qui lui sont données (art. 321d al. 2 CO) et faire preuve de diligence et de fidélité (art. 321a CO). En contrepartie, l’employeur lui doit assistance, protection et respect de sa personnalité (art. 328 CO).

Les droits de la personnalité englobent l’ensemble des valeurs essentielles – physiques, affectives et sociales – liées à la personne humaine, notamment la vie, l’intégrité physique et psychique, l’honneur, la considération sociale et professionnelle.

Le recourant (=l’employé) reproche à la banque de l’avoir contraint à travailler dans des conditions nocives pour sa réputation professionnelle. Tout en élaborant des directives et en prenant d’autres mesures censées assurer le respect de la législation américaine, elle aurait incité ses employés à maintenir, derrière ce « paravent chinois », des méthodes de travail contraires à ce droit. Il incrimine plusieurs de ses supérieurs.

En d’autres termes, il s’agit de rechercher si la banque, via ses organes (art. 55 CC), a manqué à son devoir de protéger la personnalité du recourant, et/ou si elle assume une responsabilité du fait de ses auxiliaires (art. 101 CO).

La Cour de justice a elle-même constaté que dans le contexte des nouvelles directives et mesures adoptées par la banque, les employés « étaient néanmoins incités à augmenter le volume des affaires […] et [à] apporter de nouveaux clients ». En particulier, le chef du département « Amérique du Nord » ( D.1.________) « incitait [le recourant] et les autres membres de son équipe à faire des affaires » et à voyager aux Etats-Unis pour y rencontrer des clients existants ou potentiels. Le procès-verbal de la séance tenue le 10 janvier 2003 (let. A.e) est accablant: tout voyage devait inclure la prospection de clients – contrairement à ce que prescrivait la directive US Person fraîchement entrée en vigueur – et les conseillers devaient tenter de dénicher au moins un client par jour. Les voyages devaient avoir lieu durant les week-ends – manifestement pour faire croire à des séjours vacanciers. Ces éléments n’autorisent qu’une seule conclusion: D.1.________ a tenu des propos de pure convenance en attirant l’attention sur les directives applicables, tout en imposant à ses équipes des objectifs de performance et des méthodes de travail qui n’étaient guère compatibles avec celles-ci. La FINMA a fait une lecture semblable. On ne saurait en imposer une autre. D.1.________ évoquait un risque « gérable ». L’expression est révélatrice: il avait bien compris que les anciennes méthodes de travail contrevenaient aux nouvelles réglementations, avec les risques y afférents: la directive US Personet les formations ultérieures y consacraient des avertissements précis. C’est en réalité le risque encouru qui a été largement sous-évalué. Le chef de département n’a pas anticipé la vigueur des réactions américaines et a cru pouvoir passer entre les mailles du filet.

L’auxiliaire étant le délégataire implicite des devoirs de l’employeuse (cf., mutatis mutandis, l’arrêt précité 4A_310/2019 consid. 4.3.1), il faut imputer à la banque une violation de ses obligations contractuelles par ce canal. On peut aussi postuler que D.1.________ agissait « dans l’accomplissement de son travail », sachant que le fait d’outrepasser ses compétences ou de violer les instructions de l’employeuse ne tient pas nécessairement en échec ce requisit énoncé à l’art. 101 al. 1 CO.

La banque n’a d’ailleurs pas mis en place une surveillance efficace sur l’application de ses nouvelles directives et, surtout, n’a pas adapté les objectifs de ses gestionnaires, maintenant un système de rémunération qui n’incitait pas à se conformer aux nouvelles directives. Le recourant a ainsi touché de juteux boni jusqu’en 2010.

On s’abstiendra de disserter sur le lien de causalité naturelle entre les manquements de l’auxiliaire et le dommage subi. Il est patent que si le chef du département « Amérique du Nord » avait appliqué les directives émises, pris au sérieux le risque découlant de leurs violations et adapté en conséquence les objectifs, le recourant n’aurait très vraisemblablement pas réalisé des opérations contraires aux lois américaines. Il subsiste cependant l’examen de la causalité adéquate.

Il s’agit à ce stade d’apprécier si l’équité commande de faire supporter à la banque le dommage subi par le recourant ou si sa responsabilité doit être écartée. A la lumière des circonstances concrètes, il faut soupeser l’intensité respective des diverses causes du dommage. Plus précisément, le dilemme est le suivant: les manquements de la banque – via son auxiliaire D.1.________ – ont-ils un poids plus lourd, dans l’enchaînement de la causalité, que ceux de l’employé demandeur, au point de reléguer ces derniers à l’arrière-plan? La Cour de justice a répondu indirectement par la négative. Quant aux premiers juges, ils ont tenu le raisonnement inverse, considérant que la « faute » propre de l’employé n’était que d’un cinquième. Ils l’ont en réalité totalement sous-estimée.

Le recourant s’est placé sur le terrain des droits de la personnalité et a reproché à son employeuse de l’avoir fait travailler dans des conditions néfastes à sa réputation économique et à son avenir professionnel. Le devoir de protection de l’employeur est lié à la position de subordination du travailleur. Or, le recourant n’était pas un simple subordonné au pied de l’échelle hiérarchique, qui aurait accompli de basses besognes et aurait grandement dépendu de la banque; il était bien plutôt un cadre supérieur rompu au système, doté d’une bonne formation et d’une vaste expérience. Ses revenus avaient atteint un niveau plus que confortable. Les exemples jurisprudentiels cités au gré de son recours ne visent pas une telle situation; de toute façon, les circonstances d’espèce sont déterminantes.

Le recourant avait par ailleurs dûment été informé de la problématique spécifique aux Etats-Unis. Dès juin 2002, une directive proscrivait l’aide active à l’évasion fiscale. En novembre 2002 était entrée en vigueur la directive US Person, qui énonçait une série d’interdictions à propos des activités avec la clientèle US et pointait les risques civils et pénaux auxquels s’exposaient les employés personnellement, ce qui a encore été répété dans les formations ultérieures. Le projet « P.+.________ » de 2006 interdisait les voyages à but prospectif. Si les incitations de D.1.________ contrevenaient à ces directives, le recourant était parfaitement à même de s’en apercevoir.

A compter du moment où le recourant, sous la houlette de D.1.________, ne parvenait plus à concilier la direction de l’antenne genevoise avec le respect des règlements bancaires et de la législation américaine, il aurait pu et dû s’en ouvrir auprès de la banque. La cour de céans partage l’avis des juges cantonaux. Ce cadre supérieur n’était pas pieds et poings liés à son poste.

Dénoncer cette problématique pouvait certes exposer le recourant à une baisse de revenus. Il y avait probablement un prix à payer, mais le recourant était averti des risques, qui étaient dus en particulier au changement d’attitude des autorités américaines. Si sa faculté de jugement a été embrumée aussi longtemps, c’est en raison de l’intérêt financier qu’il retirait, comme l’a insinué l’autorité précédente. Le recourant a préféré courir des risques que de baisser son standard de vie. Certes, il a mal mesuré le danger et n’a pas anticipé la vigueur des attaques américaines. Mais vu son niveau de formation et l’expérience qu’il avait, il ne peut guère reprocher à la banque (par son auxiliaire D.1.________) une faute nettement plus importante que la sienne, au point qu’elle relègue cette dernière à l’arrière-plan. C’est au contraire l’inverse qui doit être retenu. L’intimée l’avait prévenu du risque de sanctions civiles et pénales. Tout au plus ne l’a-t-elle pas détourné de son erreur d’appréciation et lui a-t-elle permis de continuer à réaliser des profits fort importants mais risqués.

Le procès-verbal du 7 novembre 2003 mentionné dans le jugement de première instance est révélateur: ce document – que le recourant ne commente pas – indique qu’il a incité ses subordonnés à modifier le lieu de signature de certains mandats en désignant Genève plutôt que les Etats-Unis. Il appert ainsi que le recourant, à l’instar de son supérieur direct, voulait aussi éviter qu’un autre département de la banque – tel le service de révision interne – leur mette des bâtons dans les roues, fustige leurs méthodes de prospection et puisse ainsi les priver d’une source de revenus conséquents. La section précitée avait observé des corrélations suspectes entre les voyages aux Etats-Unis et des ordres sur titres. Les « supérieurs hiérarchiques » avaient alors fait modifier la saisie interne des transactions. Il n’est pas certain que ce constat vise le recourant, mais le procès-verbal précité montre en tout cas qu’il était animé du même état d’esprit que son supérieur hiérarchique. Or, il avait lui aussi des subordonnés sous sa responsabilité, envers lesquels il assumait, par délégation, un devoir de protection.

En définitive, les circonstances bien particulières du présent litige commandent de retenir une rupture de la causalité adéquate. Cette appréciation en équité est notamment influencée par la position élevée du recourant, qui avait lui-même des subalternes sous son aile; sa bonne formation et sa longue expérience sur ce marché; la situation financière très profitable qu’il s’était construite et qu’il a voulu maintenir; enfin, son attitude après avoir reçu des avertissements quant aux risques encourus. Le recourant a manifestement fait prévaloir ses intérêts financiers; il peut difficilement reprocher à la banque d’avoir manqué à son devoir de protection – obligation dont il a fait la pierre angulaire de son recours. Il est patent que l’intimée elle-même réalisait des bénéfices importants grâce aux manquements de ses employés et du recourant en particulier, mais elle l’a rémunéré en conséquence, et il n’était manifestement pas disposé à renoncer à une telle aubaine. En outre, la banque a consacré une coquette somme à l’indemnisation de ses frais de défense et a maintenu son salaire pendant quelque trois ans et demi après qu’il eut été inculpé et libéré de son devoir de travailler.

(Arrêt du Tribunal fédéral 4A_479/2020 du 30 août 2022, consid. 4 et 5)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Protection de la personnalité | Tagué 4A_479/2020, banque, Cadre supérieur, clients US, protection de la personnalité | Laisser un commentaire

Imposition d’une indemnité de résiliation des rapports de travail

Publié le 16 septembre 2022 par Me Philippe Ehrenström

Photo de Karolina Grabowska sur Pexels.com

A.X.________ était employé par Swissmedic, Institut suisse des produits thérapeutiques (ci-après : Swissmedic) depuis le 1er février 2003. Il y a occupé le poste de collaborateur scientifique et, dès le 1er juillet 2003, celui de chef de la division […]. Le 30 novembre 2018, au départ du chef du service juridique, Swissmedic a délivré au prénommé un certificat intermédiaire de travail dans lequel ses compétences et qualités étaient soulignées. Le 18 mars 2019, Swissmedic a résilié son contrat de travail pour le 30 juin 2019. Une convention de fin de rapport de travail lui a été présentée le jour même, qu’il a refusé de signer. Par courrier du 20 mars 2019, Swissmedic a confirmé le licenciement, notamment en raison des différends opposant A.X.________ à sa nouvelle supérieure hiérarchique. L’intéressé y a fait opposition le 15 avril 2019 estimant que le licenciement était abusif et qu’il a été donné sans aucune raison objective. Il a en outre demandé à Swissmedic de rendre une décision susceptible de recours ainsi qu’une indemnité équivalente à un salaire annuel, soit 160’170.40 francs. Au terme des négociations entamées par les parties, ces dernières ont signé, les 30 septembre et 14 octobre 2019, une convention de départ (ci-après : convention) par laquelle il était notamment convenu ce qui suit : « Swissmedic richtet dem Arbeitnehmer – ohne Anerkennung einer Rechtspflicht – gestützt auf Art. 13 Abs. 2 der Verordnung des Schweizerischen Heilmittelinstituts über sein Personal vom 4. Mai 2018 (SR 812.215.4) eine Entschädigung von CHF 80’085.20 (entsprechend sechs Monatslöhnen) (nachfolgend die Entschädigung) aus ».

Par décisions du 10 juin 2021, et après plusieurs échanges de correspondance entre le Service des contributions (ci-après : le service) et A.X.________, les époux X.________ (ci-après : les contribuables) se sont vu notifier deux taxations définitives pour l’impôt direct cantonal et communal 2019, respectivement l’impôt fédéral direct 2019. Ces taxations précisaient que « [l]e montant retenu au titre d’indemnité pour tort moral exonéré au sens l’article 27 let g LCdir se monte à 1/4 de l’indemnité perçue, la preuve de l’existence d’un préjudice moral supérieur à ce montant n’ayant pas été apportée ».

Saisi par les contribuables d’une réclamation contre ces taxations, le service l’a rejetée par décision du 9 septembre 2021, en retenant que seul le quart de l’indemnité perçue par A.X.________ pouvait être qualifié de réparateur et par conséquent exonérée d’impôt, qu’en effet, le prénommé n’avait pas apporté les éléments démontrant que l’intégralité du montant de l’indemnité avait été versée à titre de réparation du tort moral et que la prise en compte d’un montant de 20’021 francs (recte CHF 20’066.20) à ce titre était conforme à la jurisprudence et au droit applicable.

A.X.________ et B.X.________ recourent contre ce prononcé, en concluant, sous suite de frais et dépens, à son annulation et à ce qu’il soit dit et constaté que la somme de 80’085.20 francs doit être totalement exonérée. À leur sens, il n’appartient pas à l’intimé d’apprécier l’intensité de l’atteinte aux droits de la personnalité et de se substituer à la volonté des parties en exonérant seulement 25 % de l’indemnité versée, alors que celle-ci servait à couvrir intégralement le tort moral subi.

Dans ses observations, l’intimé conclut, sous suite de frais, au rejet du recours et à la confirmation de sa décision sur réclamation, en rappelant sa pratique consistant à admettre au titre de tort moral 1/5 de l’indemnité perçue mais au maximum 20’000 francs.

L’Administration fédérale des contributions (ci-après : AFC) conclut, dans ses déterminations, au rejet du recours, sous suite de frais et dépens, et à la confirmation de la décision sur réclamation entreprise. En substance, elle retient que c’est à bien plaire et en faveur des recourants que l’intimé a admis l’exonération du versement en cause à hauteur de 20’066 francs dans la mesure où ce montant se situe dans la fourchette supérieure des sommes accordées pour tort moral par la jurisprudence. Les recourants n’ayant pas réussi à prouver que l’indemnité servait à réparer un tel préjudice, l’AFC retient que l’indemnité versée n’entre pas dans la catégorie des exonérations fiscales et qu’elle devrait donc être imposée.

[Consid. 3] En droit fédéral comme en droit cantonal, l’impôt sur le revenu a pour objet tous les revenus du contribuable, qu’ils soient uniques ou périodiques (art. 16 al. 1 LIFD; art. 7 al. 1 LHID; art. 19 LCdir). Sont imposables tous les revenus provenant d’une activité exercée dans le cadre d’un rapport de travail, qu’elle soit régie par le droit privé ou par le droit public, y compris les revenus accessoires, tels que les indemnités pour prestations spéciales, les commissions, les allocations, les primes pour ancienneté de service, les gratifications, les pourboires, les tantièmes, les avantages appréciables en argent dérivant de participations de collaborateurs et les autres avantages appréciables en argent (art. 17 al. 1 LIFD; art. 7 al. 1 LHID; art. 20 al. 1 LCdir). Sont également imposables les indemnités obtenues lors de la cessation d’une activité ou de la renonciation à l’exercice de celle-ci (art. 23 let. c LIFD; art. 26 let. c LCdir). Sont en revanche exonérés de l’impôt les versements à titre de réparation du tort moral (art. 24 let. g LIFD; 7 al. 4 let. i LHID; 27 let. g LCdir). La doctrine énumère une liste non exhaustive de versements qui s’y apparentent, dont notamment l’indemnité de l’employeur versée à la suite d’un congé abusif (art. 336a CO) ou d’un congé injustifié (art. 337c CO) (Laffely Maillard, in Noël/Aubry Girardin [éd.], Commentaire romand de la LIFD, 2e éd., 2017, no 52 ad art. 24 LIFD et les références citées).

Le traitement fiscal de tels versements ne dépend pas de la dénomination choisie par les parties à une convention ou de ce qu’elles soutiennent, que ce soit en faveur de l’imposition ou plutôt l’exonération. Dans le cadre de ce type de transaction, il est en effet notoire que l’employeur prend soins d’exclure toute reconnaissance de responsabilité en rapport avec un licenciement abusif (RJN 2020, p. 604 cons. 5c ; arrêt du Tribunal cantonal de Bâle-Campagne du 14.06.2017 [810 16 356] cons. 7.1 ; arrêt du TA du 03.04.2009 [TA.2007.218] cons. 6 b). Le versement doit être appréhendé, par l’autorité fiscale, respectivement le tribunal, en tenant compte de l’ensemble des circonstances concrètes et objectives (arrêt du Tribunal fiscal du canton de Soleure du 09.12.2013 [SGSTA.2013.30] cons. 6.2.4 s ; arrêt de la Cour de justice du canton de Genève du 27.05.2014 [ATA/394/2014] cons. 13). Il appartient [par ailleurs] à celui qui fait valoir l’existence d’un fait de nature à éteindre ou à diminuer sa dette fiscale d’en apporter la preuve et de supporter les conséquences de l’échec de cette preuve (cf. ATF 143 II 661 cons. 7.2, 140 II 248 cons. 3.5, 133 II 153 cons. 4 et les références citées).

[Consid. 4] En l’espèce, les recourants soutiennent que l’indemnité de 80’085.20 francs en cause doit être intégralement exonérée dans la mesure où elle a été versée par Swissmedic à titre de tort moral, qu’elle est fondée sur l’article 13 al. 2 de l’Ordonnance de l’Institut suisse des produits thérapeutiques sur son personnel (RS 812.215.4 ; ci-après : Ordonnance sur le personnel de Swissmedic), qui correspond à l’article 336a CO et que la volonté des parties s’exprime non seulement dans la convention mais également par le fait qu’aucune cotisation sociale n’a été prélevée sur cette indemnité.

Outre que ni l’autorité fiscale, ni le tribunal, ne sont liés par les dénominations choisies par les parties à une transaction extrajudiciaire, auxquelles il n’appartient pas de décider quel montant doit ou ne doit pas être exonéré de l’impôt, on ne saurait appliquer mutatis mutandis le régime de l’article 336a CO à l’indemnité fixée selon l’article 13 al. 2 de l’ordonnance sur le personnel de Swissmedic. Comme le souligne l’AFC dans ses observations sur le recours, l’article 336a al. 2 CO traite de l’indemnité fixée par le juge en cas de licenciement abusif, tandis que l’article 13 al. 2 de l’ordonnance précitée réserve le versement d’une indemnité à deux hypothèses : en cas de résiliation abusive des rapports de travail, d’une part, et en cas de résiliation des rapports de travail sans raison objective, d’autre part. Dès lors, le seul renvoi, dans la convention conclue entre A.X.________ et son ex-employeur, à l’article 13 al. 2 de cette ordonnance, sans autre précision, ne suffit pas pour justifier le versement de l’indemnité litigieuse par l’existence d’un congé abusif, respectivement d’un tort moral. À supposer même qu’un congé abusif soit à l’origine de ce versement, encore faudrait-il pour que la totalité de cette importante somme (CHF 80’085.20) puisse être exonérée de l’impôt que les circonstances ayant entouré le licenciement du prénommé aient été à ce point blâmables qu’elles étaient propres à lui causer un grave préjudice moral. Tel n’est manifestement pas le cas, ce dernier n’ayant pas apporté le moindre indice en ce sens qui justifierait le versement de six mois de salaire, soit le maximum prévu par l’article 336a CO (art. 13 al. 2 de l’ordonnance sur le personnel prévoyant jusqu’à un salaire annuel). La seule durée de la relation de travail (16 ans) et les difficultés rencontrées par A.X.________ avec sa nouvelle supérieure hiérarchique, entrée en fonction au mois de décembre 2018, ne suffisent pas à retenir l’existence d’un tort moral d’une intensité telle à justifier le versement d’une indemnité aussi conséquente. Sa situation se distingue par ailleurs de celle qui prévalait dans le cas publié au RJN 2020, p. 604 en ce sens que les motifs de son licenciement, tels qu’exposés par Swissmedic dans sa lettre de résiliation du 20 mars 2019, ne se trouvaient pas en porte-à-faux avec les qualités mises en exergue dans le certificat de travail intermédiaire élogieux qui lui avait établi quelques mois auparavant. En effet, la résiliation des rapports de travail était principalement motivée par des problèmes de communication et de profondes divergences survenus au sujet de la conception directoriale avec sa nouvelle supérieure – que l’intéressé n’a du reste pas véritablement contestés – et non par une remise en cause de ses compétences professionnelles louées dans le certificat de travail précité. À défaut d’autres preuves et dans la mesure où les recourants en assument l’absence, on ne peut que suivre l’opinion de l’AFC et retenir que c’est à bien plaire que l’intimé leur a accordé une exonération généreuse d’un montant de 20’066 francs à titre de réparation d’un tort moral (cf. à sujet : arrêts du TF du 13.10.2004 [4C.343/2003] cons. 8 et du 23.04.2004 [4C.94/2003] cons. 5).

Il découle des considérants qui précèdent que le recours doit être rejeté et que la décision entreprise, ainsi que les taxations définitives du 10 juin 2021 relatives à l’impôt cantonal et communal 2019 et à l’impôt fédéral direct 2019 doivent être confirmées. Les recourants qui succombent supporteront les frais judiciaires (art. 47 LPJA). Ils n’ont pas droit à des dépens (art. 48 LPJA a contrario).

(Arrêt du Tribunal cantonal (NE) CDP.2021.319 du 25.05.2022, publié le 16.09.2022)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Fiscalité du revenu dépendant | Tagué 16 al. 1 LIFD, 23 litt. c LIFD, 24 litt. g LIFD, 7 al. 1 LHID, 7 al. 4 litt. i LHID, convention de départ, exonération, imposition, Indemnité, rapports de travail, tort moral | Laisser un commentaire

Débauchage, activité concurrente et licenciement immédiat

Publié le 13 septembre 2022 par Me Philippe Ehrenström

B______ SA est une société de droit suisse dont le but est notamment les services et entreprise générale d’installations électriques, de télécommunications, d’automatisme et de systèmes informatiques ; son siège est à Genève.

A______ a été engagé par B______ SA, en qualité de monteur électricien chef d’équipe, à partir du 1er octobre 2015, par contrat de travail à durée indéterminée.

Le ______ 2021, a été inscrite au Registre du commerce de la République et canton de Genève l’entreprise individuelle A______ , D______.

Par courrier du 28 janvier 2020, A______ a annoncé à B______ SA qu’il mettait un terme à son contrat de travail avec effet au 31 mars 2020.

Le 6 mars 2020, B______ SA a informé A______ qu’il était licencié avec effet immédiat au motif qu’il avait, durant ses heures de travail, essayé de débaucher des employés en mission temporaire pour le compte de son futur employeur.

Selon l’art. 337 al. 1 CO, l’employeur et le travailleur peuvent résilier immédiatement le contrat en tout temps pour de justes motifs ; la partie qui résilie immédiatement le contrat doit motiver sa décision par écrit si l’autre partie le demande. Sont notamment considérées comme de justes motifs toutes les circonstances qui, selon les règles de la bonne foi, ne permettent pas d’exiger de celui qui a donné le congé la continuation des rapports de travail (art. 337 al. 2 CO).

La résiliation immédiate pour justes motifs est une mesure exceptionnelle et doit être admise de manière restrictive ; les faits invoqués à l’appui d’une résiliation immédiate doivent avoir entraîné la perte du rapport de confiance qui constitue le fondement du contrat de travail. Un juste motif est un fait propre à détruire la confiance qu’impliquent dans leur essence les rapports de travail ou à les ébranler de telle façon que la poursuite du travail ne peut plus être exigée de celui qui a donné le congé, de sorte qu’il ne peut lui être demandé d’attendre l’expiration du délai de résiliation ordinaire ou l’échéance du contrat. Il doit s’agir de manquements particulièrement graves du travailleur à ses obligations découlant de son contrat de travail, en particulier à son obligation d’exécuter le travail ou à son devoir de fidélité.

Une résiliation immédiate peut intervenir alors que le congé a déjà été signifié de manière ordinaire. Toutefois, il convient de se montrer d’autant plus strict dans l’admission du caractère justifié du licenciement immédiat que la durée du contrat qui reste à courir est faible.

A raison de son obligation de fidélité, l’employé est tenu de sauvegarder les intérêts légitimes de son employeur (art. 321a al. 1 CO), en se consacrant entièrement à l’exécution de ses tâches et en prenant les mesures adéquates pour prévenir la survenance d’un dommage ou en réduire les conséquences et, par conséquent, de s’abstenir de tout ce qui peut lui nuire. L’obligation de fidélité trouve ses limites dans les intérêts légitimes du travailleur qui comprennent le droit au libre épanouissement de sa personnalité et le droit à la sauvegarde de ses intérêts financiers. La préparation d’une activité future peut, sous certaines conditions, constituer une violation du droit de fidélité. Il y a violation de l’obligation de fidélité si les préparatifs contreviennent à la bonne foi. C’est essentiellement le cas lorsque le travailleur se met à faire concurrence à son employeur avant la fin du délai de congé, par exemple en recrutant des employés ou en débauchant les clients.

En l’espèce, il importe peu de déterminer si A______ (=l’employé) a bel et bien tenté de démarcher débaucher des collègues de travail. En effet, dans l’hypothèse où cela était le cas, il y a néanmoins lieu de considérer que le licenciement avec effet immédiat est injustifié.

Le licenciement avec effet immédiat pour juste motif doit être admis de façon restrictive. Si le fait de débaucher des employés pendant la période de préavis constitue une violation grave du devoir de fidélité envers son employeur (art. 321a al. 1 CO), il est toutefois nécessaire de prendre en compte l’ensemble des circonstances du cas d’espèce afin d’apprécier le caractère justifié ou non du licenciement avec effet immédiat.

A______ avait, au moment de son licenciement, déjà présenté sa démission et il ne lui restait que quelques jours de travail à accomplir au sein de l’entreprise. Dans cette situation, bien que la débauche [sic ! le débauchage] d’employé soit une faute grave, il y a lieu de faire preuve d’une grande retenue.

L’employeur estime que le licenciement immédiat était la seule mesure à sa disposition pour éviter que A______ ne débauche d’autres employés. Or, la libération de l’obligation de travailler aurait été une mesure suffisante afin de prévenir le risque que A______ continue à débaucher des employés, d’autant plus qu’il ne restait qu’une dizaine de jours de travail à l’Appelant avant que ses rapports de travail ne prennent fin.

Partant, la Cour de céans arrive donc à la même conclusion que le Tribunal des prud’hommes et confirme que le licenciement avec effet immédiat est injustifié.

L’art. 337c al. 3 CO prévoit qu’en cas de résiliation immédiate injustifiée, le juge peut allouer au travailleur une indemnité dont il fixera librement le montant, en tenant compte de toutes les circonstances, mais sans dépasser l’équivalent de six mois de salaire.

Cette indemnité, qui s’ajoute aux droits découlant de l’art. 337c al. 1 CO, revêt une double finalité, à la fois réparatrice et punitive, quand bien même elle ne consiste pas en des dommages-intérêts au sens classique, car elle est due même si la victime ne subit ou ne prouve aucun dommage ; revêtant un caractère sui generis, elle s’apparente à la peine conventionnelle.

Sauf cas exceptionnel, elle doit être versée pour tout licenciement immédiat dénué de justes motifs. Elle peut être refusée dans des circonstances particulières, par exemple lorsque tout manquement de l’employeur ou tout reproche d’un autre ordre est exclu ou encore lorsque la faute concomitante de l’employé est grave. Une éventuelle faute concomitante du travailleur est prise en considération et peut donner lieu à une réduction, voire à une suppression de l’indemnité lorsque la faute du travailleur est grave, mais insuffisante pour justifier le licenciement avec effet immédiat, ou encore lorsque tout manquement de l’employeur ou tout reproche d’un autre ordre est exclu.

Pour fixer cette indemnité, le juge prend en considération la gravité de la faute de l’employeur et de l’atteinte portée aux droits de la personnalité du travailleur, mais également d’autres éléments tels que la faute concomitante du travailleur, la durée des rapports de travail, l’âge du lésé, sa situation sociale et les effets économiques du licenciement, ce qui présuppose de prendre en considération aussi bien la situation économique de l’employeur que celle de l’employé; aucun de ces facteurs n’est décisif en lui-même.

Le juge du fait possède un large pouvoir d’appréciation tant en ce qui concerne le principe que l’ampleur de l’indemnisation prévue à l’art. 337c al. 3 CO (art. 4 CC).

En l’espèce, le Tribunal n’a pas fait preuve d’arbitraire ni dans l’établissement des faits, ni dans l’appréciation des preuves en retenant que A______ a clairement joué un rôle dans la démission de ses deux collègues, raison de son licenciement, et que cela justifiait le refus d’une indemnité pour licenciement avec effet immédiat injustifié.

(Arrêt de la Chambre des prud’hommes de la Cour de justice du canton de Genève CAPH/125/2022 du 12.08.2022)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Licenciement immédiat | Tagué 337 CO, concurrence, débauchage, délai de congé, fidélité, licenciement immédiat | Laisser un commentaire

Durée de conservation et sécurité des données personnelles

Publié le 13 septembre 2022 par Me Philippe Ehrenström

I____ (ci-après » l’organisme » ou » le groupement « ), dont le siège social est situé _____ à Vincennes (94300), est un groupement d’intérêt économique (GIE) des greffes des tribunaux de commerce de France qui édite depuis 1986 le service de diffusion de l’information légale et officielle sur les entreprises à travers plusieurs canaux, notamment le site web » _____.fr » depuis 1996.

Le site web » ____.fr » permet de consulter des informations légales sur les entreprises et de commander des documents certifiés par les greffes des tribunaux de commerce. Les utilisateurs souhaitant visualiser ou commander un acte payant sur le site web doivent obligatoirement disposer d’un compte et sont désignés par I____ comme étant des » membres « . Il est également possible pour les utilisateurs de souscrire un abonnement annuel, permettant notamment aux » abonnés » d’accéder à certains services dans la rubrique de consultations d’affaires. Lors de la création d’un compte, membre ou abonné, l’utilisateur doit remplir les champs obligatoires suivants : nom, prénom, adresses postale et électronique, téléphone fixe ou portable et choix d’une question secrète et de sa réponse. Les données bancaires des abonnés (IBAN et BIC) sont également traitées par I____.

Le 12 décembre 2020, la Commission nationale de l’informatique et des libertés (ci-après » la CNIL » ou » la Commission « ) a été saisie d’une plainte à l’encontre de l’organisme, d’une personne indiquant que le site web » ____.fr » conserve les mots de passe des utilisateurs en clair et qu’elle a été capable d’obtenir son mot de passe par téléphone en donnant simplement son nom à l’interlocutrice du service d’assistance téléphonique.

En application de la décision n° 2021-032C du 6 janvier 2021 de la présidente de la CNIL, une mission de contrôle a été réalisée afin de vérifier la conformité de tout traitement accessible à partir du domaine » ____.fr « , ou portant sur des données à caractère personnel collectées à partir de ce dernier (…).

Sur le manquement à l’obligation de conserver les données pour une durée proportionnée à la finalité du traitement en application de l’article 5, paragraphe 1, e) du RGPD

Aux termes de l’article 5, paragraphe 1, e) du RGPD, les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.

Dans le cadre du contrôle, la délégation a constaté que la » Charte de confidentialité » du site web » ____.fr » prévoit que les données à caractère personnel des membres et des abonnés sont conservées 36 mois à compter de la dernière commande de prestation et/ou documents.

Toutefois, l’organisme a fourni à la délégation de la CNIL un fichier de tableur dont il ressort qu’au 1er mai 2021, il conservait les données à caractère personnel de 946 023 membres et de 17 558 abonnées dont la dernière commande, la dernière formalité ou encore la dernière facture pour les abonnés, date de plus de 36 mois, sans que l’organisme soit en mesure de justifier d’un contact récent avec lesdits membres ou abonnés.

Le rapporteur relève qu’aucune procédure de suppression automatique des données à caractère personnel n’a été mise en place par l’organisme et que les données étaient conservées pour des durées excessives par rapport à leur finalité et la propre politique fixée par l’organisme.

En défense, l’organisme admet que des données à caractère personnel ont été conservées plus longtemps que la durée indiquée au sein de sa Charte mais conteste le fait que la durée indiquée dans cette Charte soit prise comme seule référence alors qu’au regard d’autres finalités, comme par exemple celle relative aux opérations de recouvrement, il serait justifié que certaines données soient conservées pour une durée supérieure à 36 mois. S’agissant de l’anonymisation des données à caractère personnel, l’organisme admet que 25% des comptes ont été conservés au-delà de 36 mois après la dernière commande, formalité ou facture, sans être anonymisés. Il admet également le retard pris dans l’automatisation de l’anonymisation mais conteste le fait qu’il n’y ait eu aucune anonymisation des comptes.

En premier lieu, la formation restreinte relève que la finalité relative aux opérations de recouvrement, citée par l’organisme, et la durée de conservation afférente ne pourraient a priori concerner que les données des abonnés et non des membres, ces derniers payant immédiatement en échange de la réception d’un acte. En outre, la formation restreinte relève que, pour cette finalité comme pour les finalités comptables et fiscales, l’organisme n’avait pas identifié ces finalités et les durées correspondantes dans sa Charte de confidentialité à la date du contrôle. En tout état de cause, la formation restreinte relève que si la conservation de certaines données pour ces finalités peut apparaître justifiée, elle requiert que différentes actions soient réalisées. Ainsi, la formation restreinte rappelle qu’une fois la finalité du traitement atteinte, la conservation de certaines données pour le respect d’obligations légales ou à des fins précontentieuses ou contentieuses est possible, mais les données doivent être alors placées en archivage intermédiaire, pour une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles sont conservées, conformément aux dispositions en vigueur. Seules les données pertinentes doivent être placées en archivage intermédiaire, soit dans une base de données d’archive dédiée, soit en effectuant une séparation logique au sein de la base active, permettant que seules les personnes habilitées puissent y accéder. La formation restreinte relève qu’au jour du contrôle, aucune de ces actions n’était mise en œuvre par l’organisme.

En second lieu, la formation restreinte relève que l’anonymisation manuelle mise en œuvre par l’organisme sur demande des utilisateurs ne concernait qu’une très faible quantité de compte puisqu’au jour du contrôle en ligne, 25% des comptes n’étaient pas anonymisés alors qu’ils auraient dû l’être. La formation restreinte relève qu’aucune procédure d’anonymisation automatique n’était mise en œuvre au jour du contrôle en ligne, l’organisme conservant ainsi des données identifiantes sans limitation de durée en l’absence de demande d’anonymisation de la part des utilisateurs.

Dès lors, la formation restreinte considère que les faits précités constituent un manquement structurel à l’article 5, paragraphe 1, e) du RGPD.

Sur les manquements à l’obligation d’assurer la sécurité des données à caractère personnel (article 32 RGPD).

L’article 32 du RGPD prévoit que » 1. Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :

a) la pseudonymisation et le chiffrement des données à caractère personnel ;

b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;

c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;

d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. «

Le rapporteur relève, en premier lieu, que la délégation a constaté que les mots de passe de connexion des utilisateurs à leurs comptes, accessibles depuis le site web de l’organisme, sont d’une robustesse insuffisante en ce qu’ils sont limités à huit caractères, sans aucun critère de complexité, et ne sont associés à aucune mesure de sécurité complémentaire. En outre, le rapporteur relève qu’au jour des constats, il était impossible pour l’ensemble des utilisateurs ou des abonnés du site web » ____.fr « , soit pour plus de 3,7 millions de comptes, de saisir un mot de passe sécurisé en raison de la limitation de leur taille à 8 caractères maximum.

Le rapporteur relève, en deuxième lieu, que l’organisme transmet en clair par courriel des mots de passe non temporaires permettant l’accès aux comptes.

Le rapporteur souligne, en troisième lieu, que l’organisme conserve également en clair dans sa base de données, les mots de passe ainsi que les questions et réponses secrètes utilisés lors de la procédure de réinitialisation des mots de passe par les utilisateurs.

En dernier lieu, le rapporteur relève que l’organisme ne confirme pas non plus à l’utilisateur la modification de son mot de passe. Le rapporteur considère que l’utilisateur qui n’est pas alerté en cas de modification non autorisée, n’est donc à ce titre pas protégé contre les tentatives d’usurpation de son compte.

Au regard de ces éléments, le rapporteur considère que les différentes mesures de sécurité mises en place par l’organisme sont insuffisantes au regard de l’article 32 du RGPD.

En défense, l’organisme fait valoir que l’obligation de sécurité est une obligation de moyens qui doit être appréciée in concreto et que son inexécution doit être constatée par un constat de l’inefficacité des mesures mises en œuvre, ayant conduit à un accès non autorisé, ce qui n’est pas le cas en l’espèce. Il souligne que la recommandation relative aux mots de passe évoquée par le rapporteur constitue du droit souple, qu’il ne s’agit pas de règles impératives, applicables in abstracto, indépendamment de tout contexte et dont le non-respect serait, en lui-même, de nature à justifier une sanction administrative. En outre, l’organisme précise que l’analyse d’impact relative à la protection des données a révélé un risque faible pour les données à caractère personnel en cas d’accès non autorisé puisque pour les comptes membres, représentant la majorité des comptes, les données bancaires ne sont pas enregistrées, contrairement aux comptes abonnés et qu’un tiers non autorisé ne pourra effectuer d’autres démarches que l’achat de documents et l’envoi de formalités à la place du titulaire du compte. Enfin, l’organisme souligne que les informations accessibles en se connectant sur le compte d’un utilisateur sont pour l’essentiel des données à caractère personnel présentes dans les extraits K ou KBIS et les autres actes pouvant être commandés, sauf pour les comptes créés par des non-professionnels dont les données d’identification et de localisation ne sont pas publiques.

Tout d’abord, la formation restreinte rappelle que, en application de l’article 32 du RGPD, pour assurer la protection des données à caractère personnel, il incombe au responsable de traitement de prendre des » mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque « . La formation restreinte considère que l’utilisation d’un mot de passe court ou simple sans imposer de catégories spécifiques de caractères et sans mesure de sécurité complémentaire, peut conduire à des attaques par des tiers non autorisés, telles que des attaques par » force brute » ou » par dictionnaire « , qui consistent à tester successivement et de façon systématique de nombreux mots de passe et conduisent, ainsi, à une compromission des comptes associés et des données à caractère personnel qu’ils contiennent. Elle relève, à cet égard, que la nécessité d’un mot de passe fort est recommandée tant par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) que par la Commission dans sa délibération n° 2017-012 du 19 janvier 2017. En l’espèce, la formation restreinte relève que les mots de passe en cause sont limités à huit caractères sans aucun critère de complexité, et ne sont associés à aucune mesure de sécurité complémentaire. La formation restreinte considère que le risque encouru par les personnes concernées est réel : un tiers ayant eu accès au mot de passe pourrait non seulement accéder à toutes les données à caractère personnel présentes dans le compte de la personne concernée, mais également consulter l’historique de ses commandes, télécharger ses factures et/ou changer le mot de passe du compte et les informations de contact à l’insu de l’utilisateur.

En outre, la formation restreinte considère que les modalités de transmission et de conservation des mots de passe mises en œuvre par l’organisme ne sont pas adaptées au regard du risque que ferait peser sur la personne concernée la captation de leur identifiant et de leur mot de passe par un tiers. En effet, la transmission, en clair, d’un mot de passe qui n’est ni temporaire, ni à usage unique et dont le renouvellement n’est pas imposé, le rend aisément et immédiatement utilisable par un tiers qui aurait un accès indu au message qui le contient. La formation restreinte rappelle qu’une simple erreur de manipulation peut conduire à divulguer à des destinataires non habilités des données personnelles et à porter ainsi atteinte au droit à la vie privée des personnes. Enfin, la formation restreinte considère que l’utilisateur qui n’est pas alerté en cas de modification non autorisée n’est donc pas protégé contre les tentatives d’usurpation de son compte.

Dès lors, la prise en compte de ces risques pour la protection des données à caractère personnel et de la vie privée des personnes conduit la formation restreinte à considérer que les mesures déployées pour garantir la sécurité des données en l’espèce sont insuffisantes.

Ensuite, la formation restreinte précise que si la délibération n° 2017-012 du 19 janvier 2017, le guide de la CNIL relatif à la sécurité des données à caractère personnel et la note technique de l’ANSSI relative aux mots de passe cités dans les écrits du rapporteur n’ont certes pas de caractère impératif, ils exposent toutefois les précautions élémentaires de sécurité correspondant à l’état de l’art. Dès lors, la formation restreinte rappelle qu’elle retient un manquement aux obligations découlant de l’article 32 du RGPD et non du non-respect des recommandations, qui constituent au demeurant un éclairage pertinent pour évaluer les risques et l’état de l’art en matière de sécurité des données à caractère personnel.

Outre ces recommandations, la formation restreinte souligne qu’elle a, à plusieurs reprises, adopté des sanctions pécuniaires où la caractérisation d’un manquement à l’article 32 du RGPD est le résultat de mesures insuffisantes pour garantir la sécurité des données traités, et non pas seulement le résultat de l’existence d’une violation de données à caractère personnel. Les délibérations n° SAN-2019-006 du 13 juin 2019 et n° SAN-2019-007 du 18 juillet 2019 visent notamment l’insuffisante robustesse des mots de passe ainsi que leur transmission aux clients de l’organisme par courriel, en clair, après la création du compte.

Dans ces conditions, eu égard aux risques encourus par les personnes, rappelés ci-dessus, ainsi qu’au volume et à la nature des données à caractère personnel qui peuvent être contenues dans plus de 3,7 millions de comptes (données bancaires des comptes abonnés, nom, prénom, adresse postale et électronique, numéros de téléphone fixe ou portable, question secrète et sa réponse de l’ensemble des comptes), la formation restreinte considère que l’organisme a manqué aux obligations qui lui incombent en vertu de l’article 32 du RGPD.

(CNIL, Délibération SAN-2022-018 du 8 septembre 2022)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Protection des données, RGPD | Tagué 32 RGPD, 5 par. 1 let. e RGPD, cryptage, données, durée de conservation, mot de passe, protection des données, RGPD | Laisser un commentaire

Travail, protection des données et IA

Contenu du droit d’accès du travailleur à ses données personnelles (RGPD)

Licenciement abusif en lien avec un conflit dans l’entreprise

Travail sur appel (psychologue), congé-représailles

Etablissement d’un profil ADN en procédure pénale

Bêtisier (1): le certificat de travail

La solitude du gestionnaire de fortune

La protection de la personnalité du cadre supérieur

Imposition d’une indemnité de résiliation des rapports de travail

Débauchage, activité concurrente et licenciement immédiat

Durée de conservation et sécurité des données personnelles

Articles récents

Catégories

Méta

S'abonner au blog via courriel

Partager:

Partager:

Partager:

Partager:

Partager:

Partager:

Partager:

Partager:

Partager:

Partager:

Articles récents

Catégories

Méta

S'abonner au blog via courriel