Travail, protection des données et IA

Débauchage, activité concurrente et licenciement immédiat

Publié le 13 septembre 2022 par Me Philippe Ehrenström

B______ SA est une société de droit suisse dont le but est notamment les services et entreprise générale d’installations électriques, de télécommunications, d’automatisme et de systèmes informatiques ; son siège est à Genève.

A______ a été engagé par B______ SA, en qualité de monteur électricien chef d’équipe, à partir du 1er octobre 2015, par contrat de travail à durée indéterminée.

Le ______ 2021, a été inscrite au Registre du commerce de la République et canton de Genève l’entreprise individuelle A______ , D______.

Par courrier du 28 janvier 2020, A______ a annoncé à B______ SA qu’il mettait un terme à son contrat de travail avec effet au 31 mars 2020.

Le 6 mars 2020, B______ SA a informé A______ qu’il était licencié avec effet immédiat au motif qu’il avait, durant ses heures de travail, essayé de débaucher des employés en mission temporaire pour le compte de son futur employeur.

Selon l’art. 337 al. 1 CO, l’employeur et le travailleur peuvent résilier immédiatement le contrat en tout temps pour de justes motifs ; la partie qui résilie immédiatement le contrat doit motiver sa décision par écrit si l’autre partie le demande. Sont notamment considérées comme de justes motifs toutes les circonstances qui, selon les règles de la bonne foi, ne permettent pas d’exiger de celui qui a donné le congé la continuation des rapports de travail (art. 337 al. 2 CO).

La résiliation immédiate pour justes motifs est une mesure exceptionnelle et doit être admise de manière restrictive ; les faits invoqués à l’appui d’une résiliation immédiate doivent avoir entraîné la perte du rapport de confiance qui constitue le fondement du contrat de travail. Un juste motif est un fait propre à détruire la confiance qu’impliquent dans leur essence les rapports de travail ou à les ébranler de telle façon que la poursuite du travail ne peut plus être exigée de celui qui a donné le congé, de sorte qu’il ne peut lui être demandé d’attendre l’expiration du délai de résiliation ordinaire ou l’échéance du contrat. Il doit s’agir de manquements particulièrement graves du travailleur à ses obligations découlant de son contrat de travail, en particulier à son obligation d’exécuter le travail ou à son devoir de fidélité.

Une résiliation immédiate peut intervenir alors que le congé a déjà été signifié de manière ordinaire. Toutefois, il convient de se montrer d’autant plus strict dans l’admission du caractère justifié du licenciement immédiat que la durée du contrat qui reste à courir est faible.

A raison de son obligation de fidélité, l’employé est tenu de sauvegarder les intérêts légitimes de son employeur (art. 321a al. 1 CO), en se consacrant entièrement à l’exécution de ses tâches et en prenant les mesures adéquates pour prévenir la survenance d’un dommage ou en réduire les conséquences et, par conséquent, de s’abstenir de tout ce qui peut lui nuire. L’obligation de fidélité trouve ses limites dans les intérêts légitimes du travailleur qui comprennent le droit au libre épanouissement de sa personnalité et le droit à la sauvegarde de ses intérêts financiers. La préparation d’une activité future peut, sous certaines conditions, constituer une violation du droit de fidélité. Il y a violation de l’obligation de fidélité si les préparatifs contreviennent à la bonne foi. C’est essentiellement le cas lorsque le travailleur se met à faire concurrence à son employeur avant la fin du délai de congé, par exemple en recrutant des employés ou en débauchant les clients.

En l’espèce, il importe peu de déterminer si A______ (=l’employé) a bel et bien tenté de démarcher débaucher des collègues de travail. En effet, dans l’hypothèse où cela était le cas, il y a néanmoins lieu de considérer que le licenciement avec effet immédiat est injustifié.

Le licenciement avec effet immédiat pour juste motif doit être admis de façon restrictive. Si le fait de débaucher des employés pendant la période de préavis constitue une violation grave du devoir de fidélité envers son employeur (art. 321a al. 1 CO), il est toutefois nécessaire de prendre en compte l’ensemble des circonstances du cas d’espèce afin d’apprécier le caractère justifié ou non du licenciement avec effet immédiat.

A______ avait, au moment de son licenciement, déjà présenté sa démission et il ne lui restait que quelques jours de travail à accomplir au sein de l’entreprise. Dans cette situation, bien que la débauche [sic ! le débauchage] d’employé soit une faute grave, il y a lieu de faire preuve d’une grande retenue.

L’employeur estime que le licenciement immédiat était la seule mesure à sa disposition pour éviter que A______ ne débauche d’autres employés. Or, la libération de l’obligation de travailler aurait été une mesure suffisante afin de prévenir le risque que A______ continue à débaucher des employés, d’autant plus qu’il ne restait qu’une dizaine de jours de travail à l’Appelant avant que ses rapports de travail ne prennent fin.

Partant, la Cour de céans arrive donc à la même conclusion que le Tribunal des prud’hommes et confirme que le licenciement avec effet immédiat est injustifié.

L’art. 337c al. 3 CO prévoit qu’en cas de résiliation immédiate injustifiée, le juge peut allouer au travailleur une indemnité dont il fixera librement le montant, en tenant compte de toutes les circonstances, mais sans dépasser l’équivalent de six mois de salaire.

Cette indemnité, qui s’ajoute aux droits découlant de l’art. 337c al. 1 CO, revêt une double finalité, à la fois réparatrice et punitive, quand bien même elle ne consiste pas en des dommages-intérêts au sens classique, car elle est due même si la victime ne subit ou ne prouve aucun dommage ; revêtant un caractère sui generis, elle s’apparente à la peine conventionnelle.

Sauf cas exceptionnel, elle doit être versée pour tout licenciement immédiat dénué de justes motifs. Elle peut être refusée dans des circonstances particulières, par exemple lorsque tout manquement de l’employeur ou tout reproche d’un autre ordre est exclu ou encore lorsque la faute concomitante de l’employé est grave. Une éventuelle faute concomitante du travailleur est prise en considération et peut donner lieu à une réduction, voire à une suppression de l’indemnité lorsque la faute du travailleur est grave, mais insuffisante pour justifier le licenciement avec effet immédiat, ou encore lorsque tout manquement de l’employeur ou tout reproche d’un autre ordre est exclu.

Pour fixer cette indemnité, le juge prend en considération la gravité de la faute de l’employeur et de l’atteinte portée aux droits de la personnalité du travailleur, mais également d’autres éléments tels que la faute concomitante du travailleur, la durée des rapports de travail, l’âge du lésé, sa situation sociale et les effets économiques du licenciement, ce qui présuppose de prendre en considération aussi bien la situation économique de l’employeur que celle de l’employé; aucun de ces facteurs n’est décisif en lui-même.

Le juge du fait possède un large pouvoir d’appréciation tant en ce qui concerne le principe que l’ampleur de l’indemnisation prévue à l’art. 337c al. 3 CO (art. 4 CC).

En l’espèce, le Tribunal n’a pas fait preuve d’arbitraire ni dans l’établissement des faits, ni dans l’appréciation des preuves en retenant que A______ a clairement joué un rôle dans la démission de ses deux collègues, raison de son licenciement, et que cela justifiait le refus d’une indemnité pour licenciement avec effet immédiat injustifié.

(Arrêt de la Chambre des prud’hommes de la Cour de justice du canton de Genève CAPH/125/2022 du 12.08.2022)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Licenciement immédiat | Tagué 337 CO, concurrence, débauchage, délai de congé, fidélité, licenciement immédiat | Laisser un commentaire

Durée de conservation et sécurité des données personnelles

Publié le 13 septembre 2022 par Me Philippe Ehrenström

I____ (ci-après » l’organisme » ou » le groupement « ), dont le siège social est situé _____ à Vincennes (94300), est un groupement d’intérêt économique (GIE) des greffes des tribunaux de commerce de France qui édite depuis 1986 le service de diffusion de l’information légale et officielle sur les entreprises à travers plusieurs canaux, notamment le site web » _____.fr » depuis 1996.

Le site web » ____.fr » permet de consulter des informations légales sur les entreprises et de commander des documents certifiés par les greffes des tribunaux de commerce. Les utilisateurs souhaitant visualiser ou commander un acte payant sur le site web doivent obligatoirement disposer d’un compte et sont désignés par I____ comme étant des » membres « . Il est également possible pour les utilisateurs de souscrire un abonnement annuel, permettant notamment aux » abonnés » d’accéder à certains services dans la rubrique de consultations d’affaires. Lors de la création d’un compte, membre ou abonné, l’utilisateur doit remplir les champs obligatoires suivants : nom, prénom, adresses postale et électronique, téléphone fixe ou portable et choix d’une question secrète et de sa réponse. Les données bancaires des abonnés (IBAN et BIC) sont également traitées par I____.

Le 12 décembre 2020, la Commission nationale de l’informatique et des libertés (ci-après » la CNIL » ou » la Commission « ) a été saisie d’une plainte à l’encontre de l’organisme, d’une personne indiquant que le site web » ____.fr » conserve les mots de passe des utilisateurs en clair et qu’elle a été capable d’obtenir son mot de passe par téléphone en donnant simplement son nom à l’interlocutrice du service d’assistance téléphonique.

En application de la décision n° 2021-032C du 6 janvier 2021 de la présidente de la CNIL, une mission de contrôle a été réalisée afin de vérifier la conformité de tout traitement accessible à partir du domaine » ____.fr « , ou portant sur des données à caractère personnel collectées à partir de ce dernier (…).

Sur le manquement à l’obligation de conserver les données pour une durée proportionnée à la finalité du traitement en application de l’article 5, paragraphe 1, e) du RGPD

Aux termes de l’article 5, paragraphe 1, e) du RGPD, les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.

Dans le cadre du contrôle, la délégation a constaté que la » Charte de confidentialité » du site web » ____.fr » prévoit que les données à caractère personnel des membres et des abonnés sont conservées 36 mois à compter de la dernière commande de prestation et/ou documents.

Toutefois, l’organisme a fourni à la délégation de la CNIL un fichier de tableur dont il ressort qu’au 1er mai 2021, il conservait les données à caractère personnel de 946 023 membres et de 17 558 abonnées dont la dernière commande, la dernière formalité ou encore la dernière facture pour les abonnés, date de plus de 36 mois, sans que l’organisme soit en mesure de justifier d’un contact récent avec lesdits membres ou abonnés.

Le rapporteur relève qu’aucune procédure de suppression automatique des données à caractère personnel n’a été mise en place par l’organisme et que les données étaient conservées pour des durées excessives par rapport à leur finalité et la propre politique fixée par l’organisme.

En défense, l’organisme admet que des données à caractère personnel ont été conservées plus longtemps que la durée indiquée au sein de sa Charte mais conteste le fait que la durée indiquée dans cette Charte soit prise comme seule référence alors qu’au regard d’autres finalités, comme par exemple celle relative aux opérations de recouvrement, il serait justifié que certaines données soient conservées pour une durée supérieure à 36 mois. S’agissant de l’anonymisation des données à caractère personnel, l’organisme admet que 25% des comptes ont été conservés au-delà de 36 mois après la dernière commande, formalité ou facture, sans être anonymisés. Il admet également le retard pris dans l’automatisation de l’anonymisation mais conteste le fait qu’il n’y ait eu aucune anonymisation des comptes.

En premier lieu, la formation restreinte relève que la finalité relative aux opérations de recouvrement, citée par l’organisme, et la durée de conservation afférente ne pourraient a priori concerner que les données des abonnés et non des membres, ces derniers payant immédiatement en échange de la réception d’un acte. En outre, la formation restreinte relève que, pour cette finalité comme pour les finalités comptables et fiscales, l’organisme n’avait pas identifié ces finalités et les durées correspondantes dans sa Charte de confidentialité à la date du contrôle. En tout état de cause, la formation restreinte relève que si la conservation de certaines données pour ces finalités peut apparaître justifiée, elle requiert que différentes actions soient réalisées. Ainsi, la formation restreinte rappelle qu’une fois la finalité du traitement atteinte, la conservation de certaines données pour le respect d’obligations légales ou à des fins précontentieuses ou contentieuses est possible, mais les données doivent être alors placées en archivage intermédiaire, pour une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles sont conservées, conformément aux dispositions en vigueur. Seules les données pertinentes doivent être placées en archivage intermédiaire, soit dans une base de données d’archive dédiée, soit en effectuant une séparation logique au sein de la base active, permettant que seules les personnes habilitées puissent y accéder. La formation restreinte relève qu’au jour du contrôle, aucune de ces actions n’était mise en œuvre par l’organisme.

En second lieu, la formation restreinte relève que l’anonymisation manuelle mise en œuvre par l’organisme sur demande des utilisateurs ne concernait qu’une très faible quantité de compte puisqu’au jour du contrôle en ligne, 25% des comptes n’étaient pas anonymisés alors qu’ils auraient dû l’être. La formation restreinte relève qu’aucune procédure d’anonymisation automatique n’était mise en œuvre au jour du contrôle en ligne, l’organisme conservant ainsi des données identifiantes sans limitation de durée en l’absence de demande d’anonymisation de la part des utilisateurs.

Dès lors, la formation restreinte considère que les faits précités constituent un manquement structurel à l’article 5, paragraphe 1, e) du RGPD.

Sur les manquements à l’obligation d’assurer la sécurité des données à caractère personnel (article 32 RGPD).

L’article 32 du RGPD prévoit que » 1. Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :

a) la pseudonymisation et le chiffrement des données à caractère personnel ;

b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;

c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;

d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. «

Le rapporteur relève, en premier lieu, que la délégation a constaté que les mots de passe de connexion des utilisateurs à leurs comptes, accessibles depuis le site web de l’organisme, sont d’une robustesse insuffisante en ce qu’ils sont limités à huit caractères, sans aucun critère de complexité, et ne sont associés à aucune mesure de sécurité complémentaire. En outre, le rapporteur relève qu’au jour des constats, il était impossible pour l’ensemble des utilisateurs ou des abonnés du site web » ____.fr « , soit pour plus de 3,7 millions de comptes, de saisir un mot de passe sécurisé en raison de la limitation de leur taille à 8 caractères maximum.

Le rapporteur relève, en deuxième lieu, que l’organisme transmet en clair par courriel des mots de passe non temporaires permettant l’accès aux comptes.

Le rapporteur souligne, en troisième lieu, que l’organisme conserve également en clair dans sa base de données, les mots de passe ainsi que les questions et réponses secrètes utilisés lors de la procédure de réinitialisation des mots de passe par les utilisateurs.

En dernier lieu, le rapporteur relève que l’organisme ne confirme pas non plus à l’utilisateur la modification de son mot de passe. Le rapporteur considère que l’utilisateur qui n’est pas alerté en cas de modification non autorisée, n’est donc à ce titre pas protégé contre les tentatives d’usurpation de son compte.

Au regard de ces éléments, le rapporteur considère que les différentes mesures de sécurité mises en place par l’organisme sont insuffisantes au regard de l’article 32 du RGPD.

En défense, l’organisme fait valoir que l’obligation de sécurité est une obligation de moyens qui doit être appréciée in concreto et que son inexécution doit être constatée par un constat de l’inefficacité des mesures mises en œuvre, ayant conduit à un accès non autorisé, ce qui n’est pas le cas en l’espèce. Il souligne que la recommandation relative aux mots de passe évoquée par le rapporteur constitue du droit souple, qu’il ne s’agit pas de règles impératives, applicables in abstracto, indépendamment de tout contexte et dont le non-respect serait, en lui-même, de nature à justifier une sanction administrative. En outre, l’organisme précise que l’analyse d’impact relative à la protection des données a révélé un risque faible pour les données à caractère personnel en cas d’accès non autorisé puisque pour les comptes membres, représentant la majorité des comptes, les données bancaires ne sont pas enregistrées, contrairement aux comptes abonnés et qu’un tiers non autorisé ne pourra effectuer d’autres démarches que l’achat de documents et l’envoi de formalités à la place du titulaire du compte. Enfin, l’organisme souligne que les informations accessibles en se connectant sur le compte d’un utilisateur sont pour l’essentiel des données à caractère personnel présentes dans les extraits K ou KBIS et les autres actes pouvant être commandés, sauf pour les comptes créés par des non-professionnels dont les données d’identification et de localisation ne sont pas publiques.

Tout d’abord, la formation restreinte rappelle que, en application de l’article 32 du RGPD, pour assurer la protection des données à caractère personnel, il incombe au responsable de traitement de prendre des » mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque « . La formation restreinte considère que l’utilisation d’un mot de passe court ou simple sans imposer de catégories spécifiques de caractères et sans mesure de sécurité complémentaire, peut conduire à des attaques par des tiers non autorisés, telles que des attaques par » force brute » ou » par dictionnaire « , qui consistent à tester successivement et de façon systématique de nombreux mots de passe et conduisent, ainsi, à une compromission des comptes associés et des données à caractère personnel qu’ils contiennent. Elle relève, à cet égard, que la nécessité d’un mot de passe fort est recommandée tant par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) que par la Commission dans sa délibération n° 2017-012 du 19 janvier 2017. En l’espèce, la formation restreinte relève que les mots de passe en cause sont limités à huit caractères sans aucun critère de complexité, et ne sont associés à aucune mesure de sécurité complémentaire. La formation restreinte considère que le risque encouru par les personnes concernées est réel : un tiers ayant eu accès au mot de passe pourrait non seulement accéder à toutes les données à caractère personnel présentes dans le compte de la personne concernée, mais également consulter l’historique de ses commandes, télécharger ses factures et/ou changer le mot de passe du compte et les informations de contact à l’insu de l’utilisateur.

En outre, la formation restreinte considère que les modalités de transmission et de conservation des mots de passe mises en œuvre par l’organisme ne sont pas adaptées au regard du risque que ferait peser sur la personne concernée la captation de leur identifiant et de leur mot de passe par un tiers. En effet, la transmission, en clair, d’un mot de passe qui n’est ni temporaire, ni à usage unique et dont le renouvellement n’est pas imposé, le rend aisément et immédiatement utilisable par un tiers qui aurait un accès indu au message qui le contient. La formation restreinte rappelle qu’une simple erreur de manipulation peut conduire à divulguer à des destinataires non habilités des données personnelles et à porter ainsi atteinte au droit à la vie privée des personnes. Enfin, la formation restreinte considère que l’utilisateur qui n’est pas alerté en cas de modification non autorisée n’est donc pas protégé contre les tentatives d’usurpation de son compte.

Dès lors, la prise en compte de ces risques pour la protection des données à caractère personnel et de la vie privée des personnes conduit la formation restreinte à considérer que les mesures déployées pour garantir la sécurité des données en l’espèce sont insuffisantes.

Ensuite, la formation restreinte précise que si la délibération n° 2017-012 du 19 janvier 2017, le guide de la CNIL relatif à la sécurité des données à caractère personnel et la note technique de l’ANSSI relative aux mots de passe cités dans les écrits du rapporteur n’ont certes pas de caractère impératif, ils exposent toutefois les précautions élémentaires de sécurité correspondant à l’état de l’art. Dès lors, la formation restreinte rappelle qu’elle retient un manquement aux obligations découlant de l’article 32 du RGPD et non du non-respect des recommandations, qui constituent au demeurant un éclairage pertinent pour évaluer les risques et l’état de l’art en matière de sécurité des données à caractère personnel.

Outre ces recommandations, la formation restreinte souligne qu’elle a, à plusieurs reprises, adopté des sanctions pécuniaires où la caractérisation d’un manquement à l’article 32 du RGPD est le résultat de mesures insuffisantes pour garantir la sécurité des données traités, et non pas seulement le résultat de l’existence d’une violation de données à caractère personnel. Les délibérations n° SAN-2019-006 du 13 juin 2019 et n° SAN-2019-007 du 18 juillet 2019 visent notamment l’insuffisante robustesse des mots de passe ainsi que leur transmission aux clients de l’organisme par courriel, en clair, après la création du compte.

Dans ces conditions, eu égard aux risques encourus par les personnes, rappelés ci-dessus, ainsi qu’au volume et à la nature des données à caractère personnel qui peuvent être contenues dans plus de 3,7 millions de comptes (données bancaires des comptes abonnés, nom, prénom, adresse postale et électronique, numéros de téléphone fixe ou portable, question secrète et sa réponse de l’ensemble des comptes), la formation restreinte considère que l’organisme a manqué aux obligations qui lui incombent en vertu de l’article 32 du RGPD.

(CNIL, Délibération SAN-2022-018 du 8 septembre 2022)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Protection des données, RGPD | Tagué 32 RGPD, 5 par. 1 let. e RGPD, cryptage, données, durée de conservation, mot de passe, protection des données, RGPD | Laisser un commentaire

Le recrutement par l’intelligence artificielle (IA)

Publié le 12 septembre 2022 par Me Philippe Ehrenström

Il est peu fréquent que la presse généraliste se penche sur les RH Tech modernes, i.e. sur les outils d’aide automatisée aux RH utilisant peu ou prou l’intelligence artificielle. La presse dominicale s’y est risquée en évoquant le recrutement par l’IA, où le soin de faire un premier (voire un second) tri dans des campagnes de recrutement de masse est laissé à un algorithme. L’article évoque les principaux prestataires de service dans ce domaine et spécule sur les sociétés qui, en Suisse, utiliseraient ou non ce genre d’outils (cf.https://www.20min.ch/fr/story/emploi-toujours-plus-de-robots-pour-selectionner-les-bons-cv-320177813660).

Mais comme souvent, la presse ne fait que la moitié du travail. En effet, elle omet de mentionner que l’entrée en vigueur de la nouvelle loi fédérale sur la protection des données (nLPD) au 1^er septembre 2023 va considérablement modifier la pratique du recrutement par l’IA (cf. https://www.fedlex.admin.ch/eli/fga/2020/1998/fr pour le texte de la nouvelle loi).

En effet, le recrutement par l’IA constitue un traitement de données au sens de l’art. 5 let. d nLPD, soit toute opération relative à des données personnelles, quels que soient les moyens et procédés utilisés, notamment la collecte, l’enregistrement, la conservation, l’utilisation, la modification, la communication, l’archivage, l’effacement ou la destruction de données. Le responsable de traitement est ici l’employeur, i.e. la personne privée ou l’organe fédéral qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données personnelles ; il peut à cet effet avoir recours à un sous-traitant, qui peut être l’entreprise qui exploite ou met à disposition les logiciels ou les applications et/ou qui effectue le traitement pour le responsable (art. 5 let. j et k nLPD).

Le traitement, en lui-même, est une décision individuelle automatisée (DIA) soumise à un devoir d’information qualifié (art. 21 nLPD), lequel s’applique dès la récolte des données (art. 19 nLPD). Le responsable du traitement informe ainsi la personne concernée de toute décision qui est prise exclusivement sur la base d’un traitement de données personnelles automatisé et qui a des effets juridiques pour elle ou l’affecte de manière significative (décision individuelle automatisée). Si la personne concernée le demande, le responsable du traitement lui donne la possibilité de faire valoir son point de vue. La personne concernée peut exiger que la décision individuelle automatisée soit revue par une personne physique. Ce devoir d’information qualifié ne s’applique pas dans certaines circonstances, dont celle du consentement express préalable à ce que la décision soit prise exclusivement de manière automatisée (art. 21 al. 3 let. b nLPD).

La personne concernée doit par ailleurs recevoir les informations nécessaires pour qu’elle puisse faire valoir ses droits selon la nLPD et que la transparence du traitement soit garantie ; cela inclut l’existence d’une décision individuelle informatisée ainsi que la logique sur laquelle se base cette décision (art. 25 al. 2 let. f nLPD). Cette dernière notion n’entraîne pas qu’il faille révéler les algorithmes utilisés, qui sont couverts par le secret d’affaire, mais bien les hypothèses de base qui sous-tendent la logique algorithmiques sur laquelle repose la décision individuelle automatisée (FF 2017 6684).

La personne concernée ne peut pas renoncer à l’avance aux droits que lui ouvrent un recrutement par l’IA qui procède à des décisions individuelles automatisées. En effet, le consentement n’est valable que si la personne exprime librement sa volonté concernant un ou plusieurs traitements déterminés et après avoir été dûment informée (art. 6 al. 6 nLPD). Eu égard à l’inégalité des parties lors du processus de recrutement et, plus généralement, dans le contrat de travail, on peut fortement douter qu’un consentement serait librement exprimé dans ce contexte.

On relèvera pour finir que la violation des art. 19 et 21 nLPD peut faire l’objet de sanctions pénales (art. 60 nLPD). Le Préposé fédéral à la protection des données personnelles et à la transparence peut aussi ouvrir une enquête administrative d’office ou sur dénonciation en cas de traitements de données ne respectant pas la loi (art. 49 al. 1 nLPD), ce qui lui permet d’exercer les pouvoirs de l’art. 50 nLPD dans le cadre d’une enquête, puis de prendre les mesures de l’art. 51 nLPD. L’insoumission à une décision du Préposé peut aussi être réprimée pénalement.

Les employeurs qui utilisent les logiciels de recrutement par l’AI feraient donc bien de se mettre à jour avant le 1^er septembre 2023.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans nouvelle LPD, Protection des données | Tagué décision individuelle automatisée, IA, intelligence artificielle, recrutement, Rh tech | Laisser un commentaire

L’authentification par jeton individuel de connexion

Publié le 8 septembre 2022 par Me Philippe Ehrenström

La CNIL vient de publier ce jour une note sur Les jetons individuels de connexion ou token access (https://www.cnil.fr/fr/les-jetons-individuels-de-connexion-ou-token-access) dont on extrait les développements ci-dessous, avant de conclure sur quelques remarques quant à l’identification :

Introduction et définitions

L’authentification par jeton est une forme d’authentification qui permet à un utilisateur d’accéder à un service en ligne, une application, ou un site web sans qu’il n’ait à ressaisir ses identifiants. Par conséquent, grâce à cette forme d’authentification, l’utilisateur pourra accéder à ses ressources en ligne, au moyen de ce jeton d’accès, tant qu’il reste valide.

Par ailleurs, les jetons sont également souvent utilisés dans une procédure d’authentification à double facteur afin de réduire les risques d’usurpation de comptes. Dans ce cas, à l’ouverture d’une session de connexion par identifiant et mot de passe, un jeton d’accès est transmis à l’utilisateur afin de confirmer son identité.

Si les jetons sont parfois des jetons physiques de longue durée (clés, disques, carte à puce, identification biométrique, etc.), ils sont plus souvent des jetons numériques ou dématérialisés, transmis par un serveur vers un terminal et qui ont généralement une durée de validité limitée. Il peut alors s’agir d’un code ou d’un lien contenant un jeton alphanumérique, transmis par SMS ou courrier électronique.

Dans le cadre de sa note, la CNIL n’aborde que l’authentification à distance par jeton numérique, qui est la technique la plus répandue.

Usages courants du jeton numérique

L’authentification par jeton numérique s’est fortement généralisée ces dernières années et est notamment mise en œuvre pour :

les procédures de confirmation de création de compte, de génération et de renouvellement de mot de passe ;

la connexion automatisée à un serveur pour faciliter l’accès à un service donné :

la validation d’un formulaire pour le recueil du consentement ; ou

la consultation directe de documents et de données en ligne par la transmission d’un lien avec un jeton à l’utilisateur ou à un robot pour qu’il puisse accéder à des documents ou des informations.

Dans tous ces cas, le serveur émet à l’utilisateur un lien à suivre incluant un jeton d’authentification : lorsque l’utilisateur clique sur ce lien, le serveur vérifie la validité du jeton, accepte l’authentification et active la fonctionnalité demandée par l’utilisateur.

Menaces et risques

Un jeton d’accès, matérialisé sous la forme de lien, peut être considéré comme un moyen d’accès continu à des données personnelles accessibles depuis Internet. Cette « porte d’entrée » est, en soi, une vulnérabilité dont le risque en matière de sécurité doit être pris en compte.

En effet, le jeton d’accès, s’il est transmis/accessible à des tiers qui n’ont pas à le connaître ou fait l’objet d’une interception par des acteurs malveillants, peut entraîner la compromission de l’intégrité ou la confidentialité de données personnelles (par exemple dans le cas de documents bureautiques partagés ou de bons de livraison), de comptes utilisateurs ou encore d’espaces personnels en ligne.

Dans ces conditions, il est nécessaire de mettre en œuvre des contre-mesures afin d’éviter l’accès non autorisé à des données personnelles.

Hameçonnage – Phishing – Token

L’envoi de jetons frauduleux par courriel ou SMS est devenu une pratique d’hameçonnage (ou phishing en anglais) qui s’est largement développée et qui permet à des attaquants d’obtenir des renseignements personnels qui peuvent ensuite leur permettre d’usurper l’identité de la victime.

Face à la multiplication de ces arnaques, les sites utilisant des jetons de manière légitime ont intérêt à sensibiliser leurs utilisateurs sur ces risques et à les informer sur leur usage de jetons.

Préconisations générales

En l’absence d’authentification à double facteur, le jeton individuel de connexion à distance entraîne un risque accru en matière de sécurité, ce que la CNIL a pu constater lors de ses contrôles au cours de ces derniers mois.

Les risques liés à l’utilisation du jeton d’accès sont nombreux et variés mais certains principes permettent de réduire la probabilité qu’ils surviennent :

Journaliser la création et l’utilisation des jetons.
Définir une durée de validité aux jetons, adaptée aux finalités (ou objectifs).
Générer un lien d’authentification ne contenant aucune donnée personnelle ou des variables au contenu facilement compréhensible et réexploitable, comme un contenu haché.
Imposer une nouvelle authentification (par identifiant et mot de passe, par exemple) dans le cas où le jeton permet l’accès à des données personnelles ou si le jeton a une durée de vie insuffisamment limitée.
Limiter le nombre d’accès comme l’usage unique ou temporaire en fonction des finalités visées.
Restreindre l’utilisation du jeton à certains services ou ressources en évitant sa réutilisation pour tous les parcours utilisateurs.
Supprimer automatiquement, de manière temporaire ou définitive, l’accès à la ressource demandée en cas de demandes intensives suspecte.
Permettre la révocation d’un jeton depuis un compte utilisateur ou en cas de comportement suspect automatiquement détecté.

En fonction de la nature des services et des ressources demandées, les utilisateurs devraient pouvoir choisir les modalités de transmission de leur de jeton d’accès à distance. Cela concerne notamment : le mode d’expédition du jeton : courriel, SMS, envoi postal, appel téléphonique ; et le mode de notification à l’utilisateur de l’usage d’un jeton.

Note personnelle (en sourdine) :

L’utilisation de jetons permet notamment de mettre en œuvre le principe de minimisation des données en limitant les données personnelles utilisées par le responsable de traitement, par exemple dans le cadre d’un droit d’accès. Il est en effet contraire au principe de proportionnalité d’exiger systématiquement et sans raison impérieuse l’utilisation d’un formulaire signé ou d’une copie signée d’une pièce d’identité.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Protection des données | Tagué authentification, CNIL, jeton de connexion, protection des données, token access | Laisser un commentaire

Clause de prohibition de concurrence (directeur de fiduciaire)

Publié le 7 septembre 2022 par Me Philippe Ehrenström

Selon l’art. 340 al. 2 CO, la prohibition de concurrence n’est valable que si les rapports de travail permettent au travailleur d’avoir connaissance de la clientèle ou de secrets de fabrication ou d’affaires de l’employeur et si l’utilisation de ces renseignements est de nature à causer à l’employeur un préjudice sensible.

Dans une jurisprudence ancienne, le Tribunal fédéral a considéré que l’employé ne pouvait tirer profit de sa connaissance de la clientèle lorsque les rapports entre la clientèle et l’employeur ont essentiellement un caractère personnel, fondé sur la compétence de cet employeur, par exemple s’il s’agit d’un avocat célèbre ou d’un chirurgien réputé; dans ce cas, en effet, la connaissance que l’employé possède de la clientèle ne lui procure pas, à elle seule, le moyen de rompre ou de distendre le lien existant entre l’employeur et sa clientèle (ATF 78 II 39 consid. 1 et les arrêts cités).

Ultérieurement, la jurisprudence a eu l’occasion de se pencher sur la situation inverse, à savoir le cas où une relation personnelle était établie entre le client et l’employé lui-même, en l’occurrence un dentiste; il a été conclu que, dans ce cas également, la clause de prohibition de concurrence n’était pas valable, parce que la personnalité de l’employé revêtait pour le client une importance prépondérante et interrompait le rapport de causalité qui doit exister entre la simple connaissance de la clientèle et la possibilité de causer un dommage sensible à l’employeur (arrêt 4C.100/2006 du 13 juillet 2007 consid. 2.6). Dans une affaire mettant en cause un gestionnaire de fortune au sein d’une banque, le Tribunal fédéral a estimé, à l’instar de la cour cantonale, que ses prestations étaient caractérisées par une forte composante personnelle qui contrecarrait la validité de la clause d’interdiction de concurrence (arrêt 4A_116/2018 du 28 mars 2019 consid. 4.3). S’agissant d’un conseiller fiscal, le Tribunal fédéral s’est défendu de dénier, de manière générale, toute validité à une interdiction de concurrence dans ce type de cas (arrêts 4A_340/2011 du 13 septembre 2011 consid. 4.4.4.1; 4A_209/2008 du 31 juillet 2008 consid. 2.1). Cela étant, il n’existe aucune profession pour laquelle une interdiction de concurrence soit absolument et dans tous les cas exclue. Le juge doit apprécier les circonstances de chaque cas (ATF 78 II 39 consid. 1; arrêt 4C.100/2006 précité consid. 2.3). Tout au plus peut-on dire que, s’agissant des professions libérales, la facette personnelle de la relation au client revêt une importance toute particulière (ATF 78 II 39 consid. 1; 56 II 439 consid. 2; arrêt 4C.100/2006 précité consid. 2.6).

Une clause de prohibition de concurrence, fondée sur la connaissance de la clientèle, ne se justifie que si l’employé, grâce à sa connaissance des clients réguliers et de leurs habitudes, peut facilement leur proposer des prestations analogues à celles de l’employeur et ainsi les détourner de celui-ci. Ce n’est que dans une situation de ce genre que, selon les termes de l’art. 340 al. 2 CO, le fait d’avoir connaissance de la clientèle est de nature, par l’utilisation de ce renseignement, à causer à l’employeur un préjudice sensible. Il apparaît en effet légitime que l’employeur puisse dans une certaine mesure se protéger, par une clause de prohibition de concurrence, contre le risque que le travailleur détourne à son profit les efforts de prospection effectués par le premier ou pour le compte du premier.

La situation se présente différemment lorsque l’employé noue un rapport personnel avec le client en lui fournissant des prestations qui dépendent essentiellement des capacités propres à l’employé. Dans ce cas, en effet, le client attache de l’importance à la personne de l’employé dont il apprécie les capacités personnelles et pour lequel il éprouve de la confiance et de la sympathie. Une telle situation suppose que le travailleur fournisse une prestation qui se caractérise surtout par ses capacités personnelles, de telle sorte que le client attache plus d’importance aux capacités personnelles de l’employé qu’à l’identité de l’employeur. Si, dans une telle situation, le client se détourne de l’employeur pour suivre l’employé, ce préjudice pour l’employeur résulte des capacités personnelles de l’employé et non pas simplement du fait que celui-ci a eu connaissance du nom des clients.

Pour admettre une telle situation – qui exclut la clause de prohibition de concurrence – il faut que l’employé fournisse au client une prestation qui se caractérise par une forte composante personnelle (ATF 138 III 67 consid. 2.2.1; arrêt 4A_116/2018 précité consid. 4.1). Dire si tel est le cas dépend des circonstances, dont la constatation relève du fait et qui lient le Tribunal fédéral (art. 105 al. 1 LTF).

En l’espèce, les recourants soutiennent que la clause de prohibition de concurrence est valable. A les croire, l’activité déployée par l’intimé (= l’employé) au service de B.________ se limitait au bouclement de la comptabilité et à l’établissement de déclarations d’impôt. Les recourants dépeignent cette activité comme celle » que toute fiduciaire offr (irait) à sa clientèle « , ce qui exclurait » des prestations particulières qui dépend (r) aient essentiellement d (es) propres capacités professionnelles » de l’intimé.

Certes, selon les cas, ces tâches peuvent revêtir un caractère relativement simple et répétitif. Mais de toute évidence, les prestations de l’intimé ne se réduisaient pas à cela. Ni la Cour civile, ni la Cour d’appel cantonale ne se sont laissé convaincre du contraire. A juste titre. L’autorité précédente a constaté que l’intimé était notamment le mandataire et l’homme de confiance du ressortissant de Y.________, N.________ ainsi que de sociétés du groupe éponyme dès 1980. Les recourants ne sauraient sérieusement prétendre qu’aucune expertise particulière n’était à cet égard nécessaire et qu’un lien de confiance, voire de confidence, n’y avait pas son importance. Comme s’il n’existait qu’une manière de présenter des chiffres et comme si le choix importait peu.

S’agissant du rapport que l’intimé avait établi avec les clients, les recourants font valoir qu’il n’avait rien d’exceptionnel, contrairement à ce que la cour cantonale a retenu. C’est faire abstraction des différents témoins évoqués dans l’arrêt attaqué, lesquels ont fait état du lien de confiance qu’ils avaient tissé avec l’intimé et du fait que la personne de l’employeur était, pour eux, reléguée à l’arrière plan, à tel point que celle-ci leur était totalement indifférente. Nul arbitraire ne se loge dès lors dans les faits constatés dans la décision entreprise.

Enfin, les recourants soutiennent que la cour cantonale aurait mal appliqué la jurisprudence fédérale. Ils ne peuvent toutefois être suivis. Le juge doit apprécier les circonstances de chaque cas et, à en juger par les considérants qu’elle y a consacrés, l’autorité précédente ne s’est pas épargnée cet exercice.

Les recourants tirent encore argument, de manière très générale, du principe de la bonne foi, de la fidélité contractuelle, de la sécurité juridique et de la prévisibilité, tous éléments sur lesquels la cour cantonale s’est exprimée sans que les recourants ne pipent mot de ses considérations. Le Tribunal fédéral peut dès lors se dispenser de traiter ce moyen. Pour les mêmes motifs, il en fera de même s’agissant de l’argument tiré de la sentence arbitrale rendue dans un litige parallèle opposant les recourants à J.________.

En conclusion, c’est à bon droit que la cour cantonale a jugé que la clause de prohibition de concurrence n’était pas valable.

(Arrêt du Tribunal fédéral 4A_205/2021 du 20 décembre 2021)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Clause de non concurrence | Tagué caractère personnel des prestations, clause de non concurrence, directeur de fiduciaire, prohibition de concurrence | Laisser un commentaire

Licenciement abusif d’un travailleur âgé: indemnité maximale

Publié le 5 septembre 2022 par Me Philippe Ehrenström

Selon l’art. 335 al. 1 CO, le contrat de travail conclu pour une durée indéterminée peut être résilié par chacune des parties. En droit suisse du travail, la liberté de la résiliation prévaut, de sorte que, pour être valable, un congé n’a en principe pas besoin de reposer sur un motif particulier.

Le droit de chaque cocontractant de mettre unilatéralement fin au contrat est toutefois limité par les dispositions sur le congé abusif (art. 336 ss CO. L’art. 336 al. 1 et 2 CO énumère des cas dans lesquels la résiliation est abusive ; cette liste n’est cependant pas exhaustive. Elle concrétise avant tout l’interdiction générale de l’abus de droit et en aménage les conséquences juridiques pour le contrat de travail. D’autres situations constitutives de congé abusif sont donc également admises par la pratique. Elles doivent toutefois comporter une gravité comparable aux cas expressément mentionnés à l’art. 336 CO, l’abus de la résiliation pouvant découler non seulement des motifs du congé, mais également de la façon dont la partie qui met fin au contrat exerce son droit. A cet égard, la jurisprudence du Tribunal fédéral a rappelé que le licenciement peut être notamment tenu pour abusif lorsqu’il répond à un motif de simple convenance personnelle de l’employeur (TF 4C.25/2006 du 21 mars 2006 et les références citées).

Le Tribunal fédéral a ainsi admis que l’employeur avait agi de manière abusive en licenciant un travailleur, quelques mois avant sa retraite, après quarante-quatre années de bons et loyaux services, alors que le fonctionnement de l’entreprise ne commandait pas une telle mesure et qu’une solution socialement plus supportable pour l’intéressé n’avait pas été recherchée (ATF 132 III 115). A plusieurs reprises par la suite, le Tribunal fédéral a écarté l’application de cette jurisprudence qualifiée d’exceptionnelle au motif que l’âge de l’employé ne suffisait pas à qualifier le congé d’abusif, notamment si l’employé n’était pas si proche de la retraite légale et/ou plus en mesure de fournir des prestations suffisantes, les circonstances du cas d’espèce étant déterminantes (TF 4A_419/2007 du 28 janvier 2008 consid. 2.5 ; TF 4A_60/2009 du 3 avril 2009 consid. 3.2). On peut ainsi citer les cas suivants : un travailleur de 55 ans, ayant reçu plusieurs admonestations et pas en mesure de fournir des prestations suffisantes à un autre poste de travail où il avait été muté (TF 4A_419/2007 précité consid. 2.6) ; un travailleur âgé de 57 ans, soit à 8 ans de la retraite ordinaire (TF 4A_72/2008 du 2 avril 2008) ; un employé licencié en raison de ses mauvaises prestations de travail, dues notamment à des abus d’alcool au cours des pauses de midi et de la circonstance qu’il n’effectuait pas le nombre d’heures quotidiennes que requéraient les tâches qui lui étaient dévolues au sein de l’entreprise (TF 4A_60/2009 précité consid. 2.3.2 et 3.2). Plus récemment, le Tribunal fédéral a cependant écarté l’arrêt TF 4A_419/2007 précité en faveur de l’ATF 132 III 115, considérant que les faits étaient très similaires, dans la mesure où l’employé était à 14 mois de la retraite légale et, bien que lent, continuait à fournir des prestations satisfaisantes – aucune dégradation sensible des prestations n’ayant été constatée entre l’évaluation effectuée deux mois auparavant et le licenciement – et avait été licencié sans mise en demeure, ni recherche d’une solution moins incisive par la personne responsable. Il a souligné à cet égard qu’il était dans le cours ordinaire de la vie qu’un travailleur se trouvant à une année de la retraite puisse être moins motivé qu’un jeune, mais que cela ne dispensait pas l’employeur d’avoir des égards envers une personne depuis longtemps à son service, tant que celle-ci accomplissait ses tâches de manière objectivement satisfaisante (TF 4A_558/2012 du 18 février 2012 consid. 2).

En préambule, avec les premiers juges, il y a lieu de retenir que la durée exacte des rapports de travail ayant lié les parties n’est pas en soi déterminante, l’ancienneté de l’appelante (= l’employée) au sein de l’entreprise intimée (= l’employeuse) étant indéniable, qu’elle soit de plus de vingt ans comme le soutient la première ou de quatorze ans selon la seconde.

Les premiers juges ont considéré que l’ATF 132 III 115 constituait un cas exceptionnel qui ne saurait empêcher le licenciement d’un collaborateur ayant œuvré longtemps au service du même employeur lorsque l’intéressé n’est plus en mesure d’exécuter à satisfaction les tâches qui lui sont confiées. Le Tribunal fédéral a effectivement renoncé à l’application de cette jurisprudence à plusieurs reprises lorsque le collaborateur, certes âgé, n’était soit pas proche de l’âge légal de la retraite, soit ne donnait plus satisfaction, un simple manque de motivation n’étant pas suffisant à cet égard. Au contraire, dans un arrêt 4A_558/2012 (cf. consid. 4.2.1.1), en présence d’un cas « très similaire » à celui de l’ATF 132 III 115, le Tribunal fédéral a admis un licenciement abusif.

En l’espèce, au moment de son licenciement, l’appelante était à dix mois de l’âge légal de la retraite et travaillait depuis au moins quatorze ans pour l’entreprise intimée. A plusieurs reprises au long de la collaboration, il a été fait part que l’appelante donnait entière satisfaction, était fiable et entretenait des relations cordiales avec ses collègues et sa hiérarchie. Il n’est pas établi qu’elle aurait manqué d’efficacité ou de motivation, au contraire, ni qu’elle n’aurait plus donné satisfaction à son employeur de quelque manière que ce soit. Le fait que l’appelante soit en incapacité de travail ne saurait lui être reproché ni justifier son licenciement. L’intimée n’a en particulier pas établi que la réorganisation à l’interne pour remplacer l’appelante durant son absence commandait la résiliation des rapports de travail. L’intimée a certes pris des nouvelles de son employée à deux reprises par téléphone. L’intimée n’a cependant pas recherché une solution moins incisive pour l’appelante, notamment en vue d’une reprise de l’activité progressive dans un poste adapté pour le temps courant jusqu’à l’entrée en retraite.

Pour tous ces motifs, la cour de céans considère que le cas d’espèce – très similaire à ceux des ATF 132 III 115 et TF 4A_558/2012 – constitue un cas de licenciement abusif, de sorte que l’appel doit être admis.

Aux termes de l’art. 336a al. 2 CO, l’indemnité pour licenciement abusif est fixée par le juge, compte tenu de toutes les circonstances.

Pour fixer l’indemnité au sens de l’art. 336a CO, le juge jouit d’un large pouvoir d’appréciation (cf. art. 4 CC) qui n’est limité que dans la mesure où il ne peut allouer au maximum qu’un montant correspondant à six mois de salaire. Selon la jurisprudence, il faut notamment prendre en considération dans ce cadre la gravité de la faute commise par l’employeur, une éventuelle faute concomitante du travailleur, la gravité de l’atteinte à sa personnalité, son âge, la durée et l’intensité de la relation de travail, les effets du licenciement et les difficultés de réinsertion dans sa vie économique (ATF 123 III 391 consid. 3, JdT 1998 1126 ; ATF 123 III 246 consid. 6a, JdT 1998 I 300 ; TF 4A_31/2017 du 17 janvier 2018 consid. 3).

Dans le cas d’espèce, il y a lieu de tenir compte de la longue durée du rapport de travail ayant lié les parties – au moins quatorze ans –, du fait que le licenciement est intervenu dix mois avant la retraite de l’employée, ainsi que de l’impact moral du licenciement. Le Dr […] a confirmé que les décisions et communications de l’employeur avaient particulièrement ébranlé sa patiente et qu’ils avaient joué un rôle dans la prolongation de son incapacité de travail jusqu’à la fin du mois d’août 2016 ; le témoin a certes précisé qu’il n’était pas en mesure de se prononcer sur le lien de causalité dès lors que son travail consistait à soigner sa patiente et non à effectuer une expertise judiciaire. On comprend de ces déclarations que le médecin s’est contenté de répondre en termes médicaux et pas en termes juridiques, ce qui n’enlève rien à la teneur exacte de son témoignage à défaut d’éléments permettant de douter de sa force probante.

Une fois le licenciement intervenu (le 25 janvier 2016 pour le 31 mars 2016), l’incapacité de travail totale de l’appelante a duré encore environ quatre mois (jusqu’au 2 juin 2016), avant de passer à 80 % du 3 juin 2016 au 6 juillet 2016, à 50 % du 7 juillet 2016 au 31 juillet 2016, puis à 20 % du 1er août 2016 jusqu’au 1er septembre 2016, date à partir de laquelle l’appelante a recouvré sa pleine capacité de travail puis s’est inscrite au chômage. On peut donc considérer que l’impact moral du licenciement a été de moyenne portée, puisque l’incapacité n’a pas perduré sur le long terme. Néanmoins, au mois de septembre 2016, l’appelante se trouvait être à quatre mois de la retraite et ses possibilités de réinsertion professionnelle étaient nulles ; elle a alors bénéficié pour les mois restants des prestations de l’assurance-chômage. Au niveau de la perte financière sur la rente annuelle du deuxième pilier, un expert s’est prononcé sur les allégués 136 et 137 pour constater une différence de la rente annuelle au titre du deuxième pilier de 4’892 fr. 40, ce qui représente un préjudice capitalisé de 100’000 fr. 65. Ce préjudice, dûment établi par expertise judiciaire, justifie l’octroi d’une large indemnité, au regard de l’absence de toute faute pouvant être mise à la charge de l’appelante.

Compte tenu de l’importante perte de rente du deuxième pilier, de la marge de manœuvre très faible à disposition de l’appelante pour rebondir vu les circonstances du licenciement – au seuil de la retraite, après de nombreuses années de service et sans baisse de motivation ni satisfaction) – et de l’impact moral, il y a lieu d’accorder à l’appelante une pleine indemnité, correspondant à six mois de salaire (6 x [6’515 fr. x 13 / 12]. En définitive, l’appelante a droit à une indemnité de 42’345 francs.

(Arrêt de la Cour d’appel civile du Tribunal cantonal [VD] HC/2021/474 du 5 juillet 2021)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Licenciement abusif, Non classé | Tagué 336 ss CO, ancienneté, ATF 132 III 115, calcul de l'indemnité, dommage, licenciement abusif, perte de prévoyance, travailleur âgé | Laisser un commentaire

Protection des données: enfin du nouveau!

Publié le 2 septembre 2022 par Me Philippe Ehrenström

Rappelons que la nouvelle loi sur la protection des données a été adoptée en septembre… 2020, après un long et tortueux processus de réforme de la loi de 1992 (texte de la nouvelle LPD : https://www.fedlex.admin.ch/eli/fga/2020/1998/fr).

Après avoir passablement lambiné, on a évoqué une mise en vigueur dans le 2^e semestre 2022, puis fin 2022/début 2023, alors qu’enfin une brève mention sur un site internet de la Confédération évoquait septembre 2023.

Bingo !

Dans un communiqué du 31.08.2022 (https://www.admin.ch/gov/fr/accueil/documentation/communiques.msg-id-90134.html), on nous annonce maintenant que ce sera effectivement au 1^er septembre 2023.

Ce délai, selon le Conseil fédéral, laissera suffisamment de temps aux milieux économiques pour entreprendre les démarches nécessaires à la mise en œuvre du nouveau droit, ce qui comprend notamment la formation du personnel à la protection des données (cf. https://droitdutravailensuisse.com/2021/11/24/former-ses-employes-a-la-protection-des-donnees/).

Pour se faire pardonner sa lenteur, le Conseil fédéral publie également avec son communiqué le texte révisé de l’ordonnance d’application (OPDo) et son rapport explicatif.

Le tout devrait également permettre à la Suisse de ratifier la version révisée de la Convention 108 du Conseil de l’Europe sur la protection des données, et d’espérer que l’UE continuera de reconnaître la Suisse comme un État tiers ayant un niveau de protection des données adéquat.

Pour en savoir plus sur la nouvelle loi (présentation générale):

Philippe Ehrenström, La protection des données de A à Z, Zurich, Weka Business Media, 2022

https://www.weka.ch/fr/ressources-humaines/contrats-de-travail-et-r-glements/la-protection-des-donn-es-de-a-z.html

Se former:

Formations droit du travail

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans nouvelle LPD, Protection des données | Tagué 1er septembre 2023, entrée en vigueur, formation, loi sur la protection des données, nLPD, OPDo, ordonnance d'application | Laisser un commentaire

Juridiction du travail: compétence, double pertinence et négligence

Publié le 1 septembre 2022 par Me Philippe Ehrenström

Par jugement JTPH/135/2021 du 21 avril 2021, le Tribunal des prud’hommes [du canton de Genève] a déclaré irrecevable la demande en paiement formée le 13 novembre 2020 par A______ contre B______ SA (chiffre 1 du dispositif), invité A______ à mieux agir s’il s’y estime fondé (ch. 2), mis à sa charge les frais judiciaires, arrêtés à 2’500 fr., en les laissant provisoirement à la charge de l’Etat de Genève (ch. 3 et 4) et débouté les parties de toute autre conclusion.

En substance, le Tribunal a retenu que les parties n’étaient pas liées par un contrat de travail, de sorte qu’il n’était pas compétent à raison de la matière. Il n’était pas non plus compétent en raison du lieu compte tenu de l’élection de for contenue dans le contrat conclu entre les parties.

Invoquant la théorie des faits de double pertinence, l’appelant A______ soutient que le Tribunal aurait dû entrer en matière sur sa demande.

La compétence matérielle des tribunaux est du ressort des cantons (art. 4 al. 1 CPC). Selon l’art. 1 al. 1 let. a de la Loi sur le Tribunal des prud’hommes (ci-après: LTPH), ledit Tribunal est compétent pour connaître des litiges découlant d’un contrat de travail, au sens du titre dixième du Code des obligations.

Les faits doublement pertinents sont des faits déterminants non seulement pour la compétence du tribunal mais aussi pour le bien-fondé de l’action. Lorsqu’un canton institue une juridiction spécialisée pour connaître des litiges découlant d’un contrat de travail, ledit contrat constitue un fait doublement pertinent.

Les faits doublement pertinents ne doivent pas être prouvés, mais sont présumés établis sur la seule base des écritures du demandeur. Ainsi, le tribunal saisi examine sa compétence sur la seule base des allégués, moyens et conclusions de la demande, sans tenir compte des contestations du défendeur et sans procéder à aucune administration de preuves. Il faut et il suffit que le demandeur allègue correctement les faits doublement pertinents, c’est-à-dire de telle façon que leur contenu permette au tribunal d’apprécier sa compétence. L’administration des preuves sur les faits doublement pertinents est renvoyée à la phase du procès au cours de laquelle est examiné le bien-fondé de la prétention au fond. Si le demandeur invoque l’existence d’un contrat de travail, il s’agit d’évaluer si ses allégations permettent de conclure à l’existence d’un tel contrat de travail. Cela ne dispense cependant pas le tribunal, dans le cadre de l’examen de sa compétence, d’examiner si les faits à double pertinence allégués par le demandeur – qui sont réputés établis – sont concluants et permettent juridiquement de fonder sa compétence.

S’il se pose une question délicate de délimitation (par exemple s’il est possible, sur la base des éléments allégués, de désigner aussi bien un contrat de travail qu’un autre contrat), elle devra être tranchée lors de l’examen du bien-fondé de la prétention au fond, en même temps que celle de savoir si un contrat a réellement été passé.

Si, en fonction de l’examen restreint aux éléments précités, le tribunal arrive à la conclusion qu’il n’est pas compétent, il doit rendre une décision d’irrecevabilité.

En revanche, s’il admet sa compétence au regard des allégations du demandeur, le tribunal procède alors à l’administration des preuves puis à l’examen du bien-fondé de la prétention au fond.

Il est fait exception à l’application de la théorie de la double pertinence qu’en cas d’abus de droit de la part du demandeur, par exemple lorsque la demande est présentée sous une forme destinée à en déguiser la nature véritable ou lorsque les allégués sont manifestement faux.

En l’espèce, il n’est pas contesté que l’existence du contrat de travail allégué par l’appelant constitue un fait doublement pertinent puisque celui-ci est pertinent tant pour la compétence que pour le fond. Cet élément doit donc être examiné, dans un premier temps, sur la seule base de la demande.

Dans sa demande du 13 novembre 2020, l’appelant a soutenu que le contrat conclu entre les parties, intitulé « contrat d’agence », devait être requalifié en contrat de travail et a formé des prétentions typiques de ce contrat. Il a allégué que malgré l’intitulé du contrat, l’intimée avait une mainmise complète sur son activité et la manière dont il la menait, ne disposant ainsi d’aucune liberté inhérente à une activité indépendante. Selon sa version des faits, l’appelant était soumis à une dépendance complète, aussi bien d’un point de vue logistique, organisationnel que financier, vis-à-vis de l’intimée.

L’appelant a ainsi allégué les éléments susceptibles d’être constitutifs d’un contrat de travail, en particulier un fort lien de subordination, sans qu’aucun élément ne permette de retenir que les faits invoqués seraient manifestement faux, étant relevé que ses allégués sont en partie étayés par les pièces produites, dont la documentation contractuelle.

Dans l’examen de sa compétence à raison de la matière, le Tribunal ne s’est pas limité à un examen prima facie des allégués, moyens et conclusions de la demande, comme l’impose la théorie de la double pertinence. Il s’est livré à un examen sur la nature juridique du contrat litigieux conclu entre les parties en procédant à une appréciation, à tout le moins partielle, des faits et des preuves sur la question du lien de subordination et du caractère indépendant de l’activité de l’appelant et en s’écartant des allégués de l’appelant. Il a, en effet, retenu des faits qui n’étaient pas allégués et certains critères formels, tels que les termes et la teneur du contrat ou le versement de cotisations sociales, alors même que l’appelant plaidait que cela ne représentait pas la manière dont son activité était effectivement menée, citant divers exemples à l’appui. Ce faisant, le Tribunal a méconnu la théorie des faits de double pertinence, qui lui imposait à ce stade, sous réserve d’un abus de droit, s’en tenir aux allégués de la demande, qui n’avaient pas à être prouvés.

La délimitation entre un contrat de travail et un contrat d’agence, compte tenu de l’ensemble des éléments allégués, n’apparaît en l’occurrence pas si évidente. Le Tribunal a d’ailleurs procédé sans réserve à réception de la demande, en requérant une demande de frais et en transmettant l’écriture et ses pièces à l’intimée en l’invitant à y répondre par écrit sur le fond. Les écritures des parties, qui comprennent respectivement environ nonante et quarante pages en première instance et plus de septante et cinquante pages en seconde instance, sans compter les trois classeurs de pièces, reflètent d’elles-mêmes la complexité de la distinction à effectuer.

Au vu de ce qui précède, l’existence d’un contrat de travail ne saurait être d’emblée exclue au vu des allégations de l’appelant. La question de l’existence d’un contrat de travail devra être tranchée lors de l’examen du bien-fondé de la prétention au fond.

A ce stade de la procédure, en application de la théorie de la double pertinence, il n’y pas lieu de tenir compte des contestations ni des allégations de sa partie adverse. La position du défendeur ne joue, en effet, aucun rôle pour les faits doublement pertinents, ceux-ci étant présumés établis sur la seule base des allégués du demandeur. L’intimée ne peut être suivie lorsqu’elle soutient qu’il y aurait lieu de faire exception à l’application de la théorie de la double pertinence en raison d’un abus de droit commis de la part de l’appelant. En effet, attendu que le contrat de travail et celui d’agence présentent certaines similitudes ainsi que des critères communs et que leur distinction n’est, dans le cas présent, pas d’une facilité flagrante, on ne saurait reprocher à l’appelant de considérer être lié à l’intimée par un contrat de travail et, partant, d’avoir saisi les juridictions spécialisées en la matière.

La compétence ratione materiae des juridictions des prud’hommes doit dès lors être admise à ce stade, indépendamment des contestations de l’intimée et sans préjudice quant à la décision à rendre sur le fond, sur la qualification du contrat notamment.

Le jugement sera annulé et la cause renvoyée au Tribunal pour qu’il entre en matière sur la demande formée par l’appelant.

(Arrêt de la Chambre des prud’hommes de la Cour de justice du canton de Genève CAPH/119/2022 du 26.07.2022)

Note (en sourdine) :

Cet arrêt est curieux, non par la solution juridique à laquelle la Cour arrive, qui expose et applique correctement la théorie des faits de double pertinence en matière de compétence de la juridiction du travail, mais de ce qu’il montre de la décision de première instance (tribunal des prud’hommes).

Les juges du travail sont, rappelons-le, des « laïcs » en première instance dans le canton de Genève. Dans leur immense majorité, ce ne sont pas des juristes, même s’ils reçoivent une formation ad hoc en droit du travail et en droit de procédure. C’est ce qui explique qu’ils soient assistés par des greffiers vacataires qui sont eux-mêmes juristes, avocats ou avocats-stagiaires, et que – en tout cas dans mon souvenir – les projets de jugement soient relus par les juristes du Tribunal des prud’hommes pour en assurer une sorte de « contrôle de qualité ».

Comment dès lors, dans ces circonstances, retenir que le Tribunal ait pu rendre une décision le 21 avril 2021 qui méconnaisse à ce point la jurisprudence du Tribunal fédéral sur la question de l’application de la théorie des faits de double pertinence à la compétence de la juridiction du travail ? Rappelons que l’arrêt du Tribunal fédéral qui tranche la question (4A_484/2018) date du 10 décembre 2019, qu’il a été largement présenté et commenté et que, dès cette date, la pratique qui consistait à rendre un jugement d’irrecevabilité en renvoyant les parties à mieux agir n’avait plus lieu d’être. C’est pour le moins curieux. (Cf. notamment François Bohnet, Le double paradoxe de la théorie des faits de double pertinence (…), Newsletter DroitDuTravail.ch, février 2020 ; Philippe Ehrenström, Les faits de double pertinence et les juges du travail genevois, in : Jusletter 29 juin 2020)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Procédure | Tagué autre contrat, CAPH/119/2022, compétence, contrat de travail, Faits de double pertinence, irrecevabilité, Procédure, prud'hommes | Laisser un commentaire

Dispense de travailler de la femme qui allaite

Publié le 30 août 2022 par Me Philippe Ehrenström

Les travailleuses enceintes et les mères qui allaitent bénéficient d’une protection spéciale instaurée par la loi sur le travail (loi fédérale sur le travail dans l’industrie, l’artisanat et le commerce du 13 mars 1964, LTr; RS 822.11). Aux termes de l’art. 35a LTr, les femmes enceintes et les mères qui allaitent ne peuvent être occupées sans leur consentement (al. 1). Sur simple avis, les femmes peuvent se dispenser d’aller au travail ou le quitter. Les mères qui allaitent peuvent disposer du temps nécessaire à l’allaitement (al. 2).

Selon l’art. 60 al. 2 de l’ordonnance 1 relative à la loi sur le travail du 10 mai 2000 (OLT1; RS 822.111), les mères qui allaitent peuvent disposer des temps nécessaires pour allaiter ou tirer leur lait. Au cours de la première année de vie de l’enfant, le temps pris pour allaiter ou tirer le lait est comptabilisé comme temps de travail rémunéré dans les limites prévues par la loi (art. 60 al. 2 OLT 1).

La loi sur le travail ne prévoit pas formellement que les femmes qui allaitent peuvent se dispenser de travailler sur simple avis. Toutefois, bien que la loi ne l’exprime pas de manière explicite, la doctrine majoritaire estime que l’art. 35a al. 2 LTr permet non seulement aux mères qui allaitent de bénéficier de temps pour allaiter (l’art. 60 al. 2 OLT 1), mais que celles-ci peuvent également se dispenser d’aller au travail ou le quitter sur simple avis, au même titre que les femmes enceintes. Quant au Secrétariat d’Etat à l’économie, il est plus restrictif. Il considère en effet que l’exercice de l’activité professionnelle des femmes enceintes et des mères qui allaitent est subordonné à leur consentement jusqu’à la 16ème semaine qui suit la naissance de l’enfant uniquement (art. 35a al. 1 LTr). Passé ce délai, il préconise un retour au travail avec la prise d’aménagements pour accorder aux travailleuses qui allaitent le temps de le faire (art. 60 al. 2 OLT 1), étant précisé que l’activité professionnelle ne doit pas porter atteinte à la santé des employées ou empêcher les mères d’allaiter leur enfant si elles le souhaitent (SECO, Commentaire de la loi sur le travail, 2014, art. 35a LTr).

Ainsi, compte tenu de la lettre de la loi et des différentes opinions précitées, il convient d’admettre que la loi ne reconnait pas formellement aux mères qui allaitent un droit à se dispenser de travailler après la 16ème semaine suivant la naissance de leur enfant, mais qu’à tout le moins, passé ce délai, si les mesures proposées par l’employeur ne permettent pas à l’employée d’allaiter son nourrisson à satisfaction, celle-ci peut demander à être dispensée de travailler sur la base de l’art. 35a LTr. L’art. 35a al. 2 LTr fonde néanmoins une obligation d’avis imposée femmes qui souhaitent se dispenser de travailler. L’avis peut être oral ou écrit, mais doit être adressé à un supérieur. Ainsi, il appartient à la travailleuse qui souhaite exercer son droit d’allaiter son nourrisson d’en informer l’employeur et, cas échéant, d’indiquer les périodes qui seront consacrées à l’allaitement. Il s’agit d’une incombance qui a pour but de permettre à l’employeur d’identifier le motif de la non-fourniture du travail. En effet, bien qu’informé de l’allaitement, l’employeur doit pouvoir savoir si l’absence de son employée est due à l’allaitement, à l’exercice du droit à ne pas être occupée ou à d’autres motifs. Le temps consacré à l’allaitement est en effet considéré comme du temps de travail dans la mesure indiquée à l’art. 60 al. 2 OLT 1. En revanche, le temps pendant lequel les mères qui allaitent se dispensent de travailler n’est pas pris en compte comme temps de travail et celles-ci ne sont donc pas rémunérées. En l’absence d’avis, et pour autant qu’il soit informé de l’allaitement de la travailleuse, l’employeur doit faire preuve d’une certaine mansuétude et ne pas prononcer de sanction sans un rappel préalable du devoir d’avis.

L’employeur nécessitant également une certaine prévisibilité pour s’organiser, la faculté d’être dispensée de travailler ne permet pas à l’employée de déterminer de manière unilatérale son taux d’activité ou son horaire de travail, sans égard aux intérêts de l’employeur. La travailleuse doit informer son employeur des contraintes auxquelles elle est soumise pour l’aménagement de son emploi du temps. Elle ne peut pas décider unilatéralement de son horaire au gré de souhaits qui ne sont pas objectivement liés à l’allaitement. Si les parties n’arrivent pas à s’entendre, l’employeur peut ensuite décider en tenant compte des indications de l’employée et de ses contraintes organisationnelles, dans une approche équilibrée du respect de la personnalité de la mère, de la loi et de ses propres contraintes organisationnelles. Moyennant un délai d’annonce raisonnable, la travailleuse peut également modifier son choix.

(Arrêt de la II Cour d’appel civil du tribunal cantonal fribourgeois 102 2022 42 du 8 août 2022)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Loi sur le travail | Tagué 35a LTr, 60 OLT1, allaitement, dispense de travail, mère, obligation d'aviser | Laisser un commentaire

Incapacité de travail d’un collaborateur: que peut-on dire aux autres ?

Publié le 26 août 2022 par Me Philippe Ehrenström

La situation se présente fréquemment : un employé est absent, pour cause de maladie ou autre (incarcération par exemple), comment alors informer les autres membres du personnel et que dire ?

Il m’a paru utile de restituer ci-après les consid. 28-41 d’une Décision 115/2022 de l’Autorité de protection des données belge du 19 juillet 2022 (par ailleurs présenté et commentée plus exhaustivement par David Dias Matos, Une annonce de départ d’un employé se transforme en communication à des tiers, 24 août 2022 in www.swissprivacy.law/167), quand bien même la règlementation, par le RGPD, des données sensibles est différente de celle du droit suisse. Les principes posés quant à l’utilisation ultérieure de donnée, d’une part, et à la minimisation de données d’autres part, m’apparaissent pourtant aisément transposables dans le cadre de l’art. 328b CO. Les voilà :

Tout traitement de données à caractère personnel doit s’appuyer sur une des bases de licéité prévues à l’article 6.1 du RGPD. Pour ce qui est du traitement des catégories particulières de données telles des données relatives à la santé comme en l’espèce ([données « sensibles »]), la condition de licéité visée à l’article 6.1 du RGPD ne s’applique que si l’article 9.2 du RGPD prévoit une dérogation spécifique à l’interdiction générale de traiter les catégories particulières de l’article 9.1. En d’autres termes, lorsque des données au sens de l’article 9 sont traitées, leur traitement doit trouver un fondement à l’article 9.2, du RGPD lu conjointement avec l’article 6.1. du RGPD.

Dès lors que la défenderesse (= l’employeuse) a traité des données relatives à la santé de la plaignante (= l’employée), le traitement de telles données devait, comme il vient d’être mentionné, trouver un fondement à l’article 9.2 du RGPD, lu conjointement avec l’article 6.1. du RGPD.

En l’espèce, la plaignante ne conteste pas la licéité du traitement par la défenderesse de l’information selon laquelle, au terme du rapport de X., elle a été déclarée inapte au travail. (…) Ce qui est contesté par la plaignante, c’est la communication ultérieure d’informations relatives à sa santé aux collègues de son service ainsi qu’à l’ensemble du personnel de la défenderesse via la mise à disposition d’un procès-verbal de réunion sur le serveur.

Comme elle a déjà eu l’occasion de le préciser dans d’autres décisions, la Chambre Contentieuse rappelle ici que le traitement de données à caractère personnel opéré pour d’autres finalités que celles pour lesquelles les données à caractère personnel ont été collectées initialement ne peut être autorisé conformément à l’article 5.1. b) du RGPD que s’il est compatible avec les finalités pour lesquelles les données à caractère personnel ont été collectées initialement.

Compte tenu des critères repris à l’article 6.4. du RGPD et au considérant 50, il convient de vérifier si le traitement ultérieur – soit en l’espèce la communication des dites informations à d’autres membres du personnel destinée à les informer sur les mouvements du personnel – est ou non compatible avec la finalité du traitement initial.

En l’espèce, la Chambre Contentieuse relève que cette communication ultérieure poursuit un objectif distinct de la finalité première laquelle consistait à recevoir l’information et à la traiter au niveau des services de ressources humaines à des fins de gestion du personnel (fin de la relation de travail, octroi de droits, reclassement /mobilité éventuel(le) etc.) A cet égard, seules certaines personnes sont, dans l’exercice de leur fonction spécifique, habilitées à recevoir cette information compte tenu notamment de la sensibilité de celle-ci et de son impact pour la personne concernée et du principe de minimisation des données (proportionnalité – article 5.1.c) du RGPD).

La Chambre Contentieuse conclut en l’espèce que cette communication ultérieure n’est pas compatible avec la finalité initiale. Cette communication n’entre pas dans les attentes raisonnables de la personne concernée. Vu l’encadrement légal spécifique dont le traitement des informations traitées par [le Rapport] (données à caractère personnel relatives à la santé)fait l’objet (limitation des destinataires, absence de diagnostic précis), la personne concernée – ici la plaignante – ne peut raisonnablement pas s’attendre à ce que ces mêmes données soient, au contraire, communiquées largement au-delà des seules personnes ayant un besoin fonctionnel de les connaître. La sensibilité des données se heurte également à une compatibilité conçue de manière large.

Il en résulte qu’il n’est pas question d’un traitement ultérieur compatible de sorte qu’une base juridique distincte était requise pour que ladite communication puisse être qualifiée de licite.

Un traitement de données à caractère personnel, en ce compris un traitement ultérieur incompatible comme en l’espèce, n’est en effet licite que s’il s’appuie sur une base de licéité propre. Le considérant 50 du RGPD est explicite à cet égard : […] Afin d’établir si les finalités d’un traitement ultérieur sont compatibles avec celles pour lesquelles les données à caractère personnel ont été collectées initialement, le responsable du traitement, après avoir respecté toutes les exigences liées à la licéité du traitement initial, devrait tenir compte, entre autres : de tout lien entre ces finalités et les finalités du traitement ultérieur prévu ; du contexte dans lequel les données à caractère personnel ont été collectées, en particulier les attentes raisonnables des personnes concernées, en fonction de leur relation avec le responsable du traitement, quant à l’utilisation ultérieure desdites données ; la nature des données à caractère personnel ; les conséquences pour les personnes concernées du traitement ultérieur prévu ; et l’existence de garanties appropriées à la fois dans le cadre du traitement initial et du traitement ultérieur prévu.

La défenderesse ne fait elle-même état d’aucune base de licéité et la Chambre Contentieuse pourrait se limiter à ce constat. La Chambre Contentieuse est toutefois d’avis que la communication de données (de santé) de la plaignante ne peut en l’espèce se fonder sur aucune base de licéité propre. La Chambre Contentieuse ne remet assurément pas en cause la volonté ni la légitimité de la défenderesse à informer ses collaborateurs quant aux mouvements de personnel. En ce sens, la Chambre Contentieuse a déjà énoncé dans sa décision 63/2021, qu’il est approprié, dans le cadre de la politique du personnel, d’informer les collaborateurs de tels mouvements. Toutefois, pour respecter le principe de minimisation des données (proportionnalité) des données, il est suffisant que cette communication reste limitée à la communication factuelle du fait que la personne concernée, telle ici la plaignante, n’est plus en service.

S’agissant des hypothèses de l’article 9.2. lues conjointement avec l’article 6.1. du RGPD, la Chambre Contentieuse constate en effet que – ladite communication aux autres membres du personnel et sa consignation dans un procès-verbal de réunion ne s’appuient pas sur le consentement de la plaignante, bien au contraire (article 9.2. a) du RGPD). [Les autres hypothèses de l’art. 9.2 ne sont pas non plus remplies].

En l’absence de base de licéité légitimant le traitement dénoncé (ultérieur incompatible) des données de la plaignante, la Chambre contentieuse conclut que la défenderesse a enfreint les articles 5.1.b) juncto 6.4 et 9.2. lus en combinaison avec l’article 6.1.12 du RGPD. Les données de la plaignante ont en effet fait l’objet d’un traitement ultérieur incompatible avec les finalités déterminées, licites et légitimes pour lesquelles elles ont initialement été collectées, sans pouvoir s’appuyer sur une base de licéité propre.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Protection des données, RGPD | Tagué 328b CO, 5 par. 1 let. c RGPD, 6 par. 1 RGPD, 9 par. 2 RGPD, communication, données personnelles, données sensibles, finalité, minimisation, traitement | Laisser un commentaire

Travail, protection des données et IA

Débauchage, activité concurrente et licenciement immédiat

Durée de conservation et sécurité des données personnelles

Le recrutement par l’intelligence artificielle (IA)

L’authentification par jeton individuel de connexion

Clause de prohibition de concurrence (directeur de fiduciaire)

Licenciement abusif d’un travailleur âgé: indemnité maximale

Protection des données: enfin du nouveau!

Juridiction du travail: compétence, double pertinence et négligence

Dispense de travailler de la femme qui allaite

Incapacité de travail d’un collaborateur: que peut-on dire aux autres ?

Articles récents

Catégories

Méta

S'abonner au blog via courriel

Partager:

Partager:

Partager:

Partager:

Partager:

Partager:

Partager:

Partager:

Partager:

Partager:

Articles récents

Catégories

Méta

S'abonner au blog via courriel