Travail, protection des données et IA

Nullité du congé prononcé pendant une période de protection, maxime des débats

Publié le 26 juillet 2022 par Me Philippe Ehrenström

Dans les litiges de travail dont la valeur litigieuse est supérieure à 30’000 fr. (art. 234 al. 1 CPC a contrario) et qui de ce fait sont régis par la procédure ordinaire (art. 219 ss. CPC), régie par la maxime des débats (cf. art. 55al. 1 CPC), il incombe aux parties d’alléguer les faits à l’appui de leurs prétentions (« Behauptungslast ») et d’offrir les preuves permettant d’établir ces faits. La conséquence et la sanction de cette obligation résident dans le fait que le juge ne pourra tenir compte dans son jugement des faits qui n’ont pas été allégués et prouvés.

En outre, dans la mesure où un allégué de fait, dûment articulé, serait, s’il était établi, susceptible, compte tenu du droit matériel, de fonder une conclusion – p. ex. sur une conclusion condamnatoire – il incombe à la partie concernée de la formuler (cf. art. 221 al. 1 let. b CPC).

Ainsi, dans une procédure régie par la maxime des débats, il n’appartient pas au juge, en l’absence de toute conclusion topique (cf. art. 221 al. 1 let. b CPC), et motif pris à l’art. 57 CPC (« le juge applique le droit d’office ») de relever la nullité d’un congé prononcé par l’employeur durant une période de protection.

Ces règles s’appliquent également en appel.

(Arrêt de la Chambre des prud’hommes de la Cour de justice du canton de Genève CAPH/103/2022 du 06.07.2022, consid. 1.4-1.6)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Licenciement en temps inopportun, Procédure | Tagué 219 ss CPC, 221 al. 1 let b CPC, 234 al. 1 CPC, 55 AL. 1 cpc, 57 CPC, maxime des débats, nullité du congé, période de protection, procédure civile | Laisser un commentaire

Géolocalisation de véhicules de location

Publié le 21 juillet 2022 par Me Philippe Ehrenström

La société U est une société par actions simplifiée unipersonnelle, dont le siège social est situé […], à Paris. La société est une filiale du groupe […].

U met en œuvre une plateforme numérique de location de véhicules en auto-partage qu’elle propose à des clients particuliers et à des clients professionnels. Au 9 juillet 2020, la société comptait au moins […] clients en Europe dont, en France, […] clients particuliers et […] clients professionnels. Ses services sont accessibles directement via le téléchargement des applications » U » (disponibles sous IOS et sous Android) et le site internet […]. Elle exerce son activité au travers de ses filiales établies notamment en France, en Belgique, en Allemagne, en Espagne, en Italie et au Danemark. À la fin du mois de juin 2020, l’effectif d’U et de ses filiales était de 284 salariés.

La société dispose de sa propre flotte de véhicules que les utilisateurs de la plateforme peuvent louer en créant un compte sur le site internet ou les applications mobiles U.

Pour les clients particuliers, la société propose une offre de location de véhicules partagés en boucle fermée : le client est tenu de récupérer et de restituer son véhicule sur la même station. Les véhicules sont en libre accès, dans des espaces privés ou non et aucun personnel d’U n’est présent lors de la prise de véhicule ou lors de sa restitution, le service étant entièrement dématérialisé.

Au cours de leur location par des clients, la société collecte des données de géolocalisation des véhicules, notamment afin de gérer le parc de véhicules en vue des prochaines locations.

Sur les traitements en cause et la qualité de responsable de traitement d’U

Le responsable de traitement est défini, aux termes de l’article 4, point 7, du RGPD, comme

» la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement « .

Les traitements en cause dans la présente procédure sont les traitements de données relatifs à la création d’un compte utilisateur sur les applications mobiles ou le site web […] et à la collecte de données de géolocalisation des véhicules loués.

En premier lieu, s’agissant de la responsabilité du traitement, il résulte des pièces du dossier que, en ce qui concerne les données collectées sur les applications mobiles ou le site web {…}, la société indique dans sa politique de confidentialité être responsable du traitement de ces données à caractère personnel. Ensuite, la société détermine notamment, pour l’ensemble des filiales, les catégories de données qui sont collectées lors du parcours d’inscription, telles que les données de contact.

En ce qui concerne les traitements relatifs aux données de géolocalisation, il ressort des éléments fournis par la société que ces traitements sont communs à l’ensemble des filiales et que la société en a déterminé les différentes finalités (maintenance et performance du service, etc.). De plus, la société a établi une politique de durées de conservation des données unique, applicable tant à la société qu’à ses filiales. Enfin, la société a mis en place deux systèmes d’informations, […], qui sont chacunutilisés par plusieurs filiales, et la société peut accéder aux données à caractère personnel stockées dans ces deux systèmes.

En second lieu, la formation restreinte relève que la société U ne conteste pas sa qualité de responsable de traitement. Au demeurant, l’éventualité d’une responsabilité conjointe de ses filiales est sans influence sur sa responsabilité propre à l’égard des traitements en cause. En effet, la présente délibération porte sur la responsabilité d’U pour les manquements visés et non sur celle de ses éventuels responsables conjoints de traitements.

Au regard de ces éléments, la formation restreinte estime que la société U détermine les finalités et les moyens des traitements relatifs à la création d’un compte utilisateur sur les applications mobiles ou le site web […] et à la collecte de données de géolocalisation des véhicules loués. Ainsi, la société doit être qualifiée de responsable de ces traitements.

Sur le manquement relatif à l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données à caractère personnel traitées en application de l’article 5.1.c du RGPD

L’article 5, paragraphe 1, c) du RGPD prévoit que les données à caractère personnel doivent être » adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) « . Lorsque les données sont collectées sur le fondement de l’intérêt légitime, cette collecte ne doit en outre pas porter une atteinte disproportionnée à la vie privée, au regard des objectifs poursuivis par la société.

Dans le cadre de l’instruction, la délégation de contrôle de la CNIL a été informée que, au cours de la location d’un véhicule par un particulier, la société collecte des données de géolocalisation, tous les 500 mètres, lorsque le moteur s’allume et se coupe ou encore lorsque les portes s’ouvrent et se ferment. Les données de géolocalisation sont collectées par des systèmes internes aux véhicules puis transmises par le réseau GSM au système d’information du prestataire de service et ensuite communiquées aux plateformes d’U. Les équipes opérationnelles disposent également d’un bouton permettant de rafraîchir la position du véhicule et de le localiser en temps réel.

La société a indiqué que les données de géolocalisation des véhicules étaient collectées en vue de différentes finalités :

– pour assurer la maintenance et la performance du service (vérifier que le véhicule est rendu au bon endroit, surveiller l’état du parc…),

– pour retrouver le véhicule en cas de vol,

– pour porter assistance aux clients en cas d’accident.

La rapporteure considère qu’aucune des finalités avancées par la société ne justifie une collecte quasi permanente des données de géolocalisation au cours de la location d’un véhicule.

Il y a lieu d’examiner la pertinence de la collecte de ces données pour chacune de ces trois finalités. À titre liminaire, la formation restreinte souligne que, dès lors qu’un véhicule est en cours de location, les données de géolocalisation issues de ce véhicule sont associées à une personne et constituent des données à caractère personnel. Si les données de géolocalisation ne sont pas des données sensibles, au sens de l’article 9 du RGPD, elles sont néanmoins considérées par le groupe de travail de l’article 29 (dit » G29 » devenu le Comité européen de la protection des données (CEPD)) dans ses lignes directrices du 4 octobre 2017, comme étant des » données à caractère hautement personnel « . Le G29 estime que ces données sont considérées comme sensibles, au sens commun du terme, dans la mesure où elles ont un impact sur l’exercice d’un droit fondamental. En effet, la collecte des données de localisation met en jeu la liberté de circulation.

À titre d’éclairage, la formation restreinte rappelle également que le CEPD a considéré, dans ses lignes directrices 01/2020 relatives aux traitements de données à caractère personnel dans le contexte des véhicules connectés et des applications liées à la mobilité (les lignes directrices 01/2020) que » Lorsqu’ils collectent des données à caractère personnel, les constructeurs de véhicules et d’équipements, les prestataires de services et les autres responsables du traitement devraient garder à l’esprit que les données de localisation sont particulièrement révélatrices des habitudes de vie des personnes concernées. Les trajets réalisés sont très caractéristiques en ce qu’ils peuvent permettre de déduire le lieu de travail, le domicile ainsi que les centres d’intérêt (loisirs) du conducteur, et peuvent éventuellement révéler des informations sensibles comme la religion, par l’intermédiaire du lieu de culte, ou l’orientation sexuelle, par l’intermédiaire des lieux fréquentés. Par conséquent, les constructeurs de véhicules et d’équipements, les prestataires de services et les autres responsables du traitement devraient particulièrement veiller à ne pas collecter de données de localisation, à moins que cela ne soit absolument nécessaire pour la finalité du traitement « . Ces lignes directrices soulignent également que la collecte de données de localisation est subordonnée au respect du principe selon lequel la localisation peut être activée » uniquement lorsque l’utilisateur lance une fonctionnalité qui nécessite de connaître la localisation du véhicule, et non par défaut et en continu au démarrage de la voiture « .

La formation restreinte rappelle que l’appréciation du respect du principe de minimisation des données repose sur le caractère limité à ce qui est nécessaire des données traitées au regard de la finalité pour laquelle elles sont collectées. Son appréciation implique de procéder à une analyse de la proportionnalité des données à caractère personnel qui sont collectées au regard des finalités visées.

En outre, la formation restreinte souligne que l’appréciation du caractère limité à ce qui est nécessaire, au sens de l’article 5.1.c du RGPD, est éclairée par les dispositions du considérant 39 du RGPD, selon lequel » [l]es données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens « . L’existence de moyens moins intrusifs pour atteindre les mêmes finalités doit ainsi être prise en compte, qu’il s’agisse de moyens alternatifs ou de données traitées moins fréquemment ou en moins grand nombre.

[Concernant le risque de vol] a formation restreinte souligne que les cas où, d’une part, la géolocalisation est le seul moyen de connaître la dernière position connue du véhicule et où, d’autre part, cette dernière position connue est effectivement proche de la localisation du véhicule, apparaissent limités. Dans ces situations, la formation restreinte ne remet pas en cause l’utilité de connaître la dernière position connue du véhicule grâce à la dernière donnée de géolocalisation. Cependant, cette hypothèse ne suffit pas à justifier la collecte de l’ensemble des données de géolocalisation de l’ensemble des trajets des utilisateurs.

Au surplus, la formation restreinte relève que d’autres mesures de sécurité pourraient être mises en place pour prévenir le vol des véhicules. En effet, par exemple, aucun dépôt de garantie n’est demandé à l’utilisateur pour louer un véhicule. La formation restreinte souligne que l’absence de mise en place de moyens alternatifs de prévention du vol, moins attentatoires à la vie privée des utilisateurs, tend à renforcer la conclusion selon laquelle il est disproportionné de faire reposer la prévention du vol de véhicules sur la collecte quasi permanente de données de géolocalisation.

S’agissant de la localisation du véhicule en cas d’accident, il est légitime pour la société de vouloir porter assistance aux utilisateurs victimes d’un accident de la circulation pendant la location d’un véhicule. Cependant, pour porter une telle assistance aux utilisateurs, la société doit nécessairement avoir connaissance de la survenance d’un incident ou d’un accident.

La formation restreinte considère que, dès lors que la société a connaissance de la survenance d’un accident concernant un véhicule loué, elle peut géolocaliser ce véhicule pour, le cas échéant, porter assistance à l’utilisateur. En revanche, la formation restreinte estime que la géolocalisation tous les 500 mètres de l’ensemble des véhicules au cours de toute la durée de location, préalablement à toute information relative à un accident, n’est pas nécessaire pour porter assistance à un utilisateur. La collecte de données de géolocalisation quasi permanente n’est donc ni adéquate, ni pertinente au regard de cette finalité.

Il résulte de l’ensemble de ce qui précède que la formation restreinte considère qu’aucune des finalités avancées par la société ne justifie une collecte tous les 500 mètres des données de géolocalisation au cours de la location d’un véhicule. Une telle pratique est en effet très intrusive dans la vie privée des utilisateurs dans la mesure où elle est susceptible de révéler leurs déplacements, leurs lieux de fréquentation, la totalité des arrêts effectués au cours d’un parcours journalier, ce qui revient à mettre en cause leur liberté de circulation. La formation restreinte relève à cet égard que la société pourrait proposer un service identique sans collecter des données de géolocalisation de manière quasi permanente.

La formation restreinte considère par conséquent que ces faits constituent un manquement à l’article 5.1.c du RGPD.

Sur le manquement à l’obligation de définir et de respecter une durée de conservation des données à caractère personnel proportionnée à la finalité du traitement en application de l’article 5.1.e du RGPD

Aux termes de l’article 5.1.e du Règlement, les données à caractère personnel doivent être » conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation) « .

Il ressort de la politique de conservation des données de la société que les données de géolocalisation des clients particuliers sont conservées en base active pendant toute la durée de la relation commerciale puis durant trois ans à compter de la date de dernière activité de l’utilisateur.

La formation restreinte rappelle que la durée de conservation des données à caractère personnel doit être déterminée en fonction de la finalité poursuivie par le traitement. Lorsque cette finalité est atteinte, les données doivent être supprimées ou anonymisées, ou faire l’objet d’un archivage intermédiaire, pour une durée déterminée, lorsque leur conservation est nécessaire par exemple pour le respect d’obligations légales ou à des fins précontentieuses ou contentieuses. La formation restreinte souligne également que l’effectivité de la mise en œuvre d’une politique de durées de conservation des données est le pendant nécessaire de sa définition et permet d’assurer que les données sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Cela permet par ailleurs, notamment, de réduire les risques d’usage non autorisé des données en cause, par un salarié ou par un tiers.

A la date des contrôles de la délégation de la CNIL, la société conservait, dans le système d’information […], un historique des données de géolocalisation. Les données de géolocalisation étaient conservées, en application de la politique de durées de conservation, en base active durant trois ans à compter de la date de dernière activité de l’utilisateur. Le point de départ de la durée de conservation de ces données était ainsi lié à la fin de la relation commerciale entre la société et l’utilisateur. Cette pratique concernait une partie de l’activité de la société, c’est-à-dire les données collectées dans les pays où le système d’information […] était utilisé (France, Italie et, partiellement, Belgique).

La formation restreinte remarque que les finalités pour lesquelles des données de géolocalisation sont collectées ne sont pas liées à l’ensemble de cette relation commerciale mais à chaque contrat de location d’un véhicule. En effet, s’agissant, premièrement, de la finalité liée à la gestion de la flotte de véhicules et du contrat de location, les données de géolocalisation du véhicule ne sont plus nécessaires à cette finalité dès lors que le véhicule a été restitué et que la location a pris fin. Deuxièmement, s’agissant de la finalité liée à la prévention du vol, les données de géolocalisation seraient nécessaires uniquement en cas de vol du véhicule, le temps de l’instruction du dossier par les autorités judiciaires compétentes ou jusqu’à l’issue d’une procédure de levée de doute n’aboutissant pas à la confirmation du vol du véhicule. Troisièmement, s’agissant de la finalité liée à l’assistance des utilisateurs en cas d’accident, si des données de géolocalisation des véhicules peuvent être nécessaires à l’accomplissement d’un service d’assistance, elles ne le sont plus dès lors que ce service ou les procédures qui y sont liées prennent fin.

La formation restreinte souligne que, le cas échéant, à l’issue des procédures liées au vol d’un véhicule ou à un accident, des données de géolocalisation en lien avec ces procédures peuvent être conservées par la société, notamment en vertu d’obligations légales ou pour se constituer une preuve en cas de contentieux et dans la limite du délai de prescription applicable. Ces données doivent cependant faire l’objet d’un tri puis être conservées dans une base d’archivage dédiée, distincte de la base active, pour une durée liée aux finalités recherchées. En outre, le point de départ de la durée de conservation de ces données doit être lié aux situations et événements justifiant la collecte de ces données et ne saurait, en l’espèce, dépendre de manière mécanique et systématique de la fin de la relation commerciale avec le client.

Par conséquent, la formation restreinte considère que le fait que le point de départ de la durée de conservation des données de géolocalisation soit lié non pas au contrat de location mais à la fin de la relation commerciale avec l’utilisateur ne permettait pas de respecter le principe selon lequel les données à caractère personnel ne doivent pas être conservées pour une durée qui excède celle nécessaire au regard des finalités pour lesquelles elles sont traitées.

La formation restreinte en conclut que la société a conservé les données de géolocalisation en cause pour une durée qui excède celle nécessaire au regard des finalités pour lesquelles elles sont traitées et a ainsi méconnu ses obligations au regard de l’article 5.1.e du RGPD.

Sur le manquement relatif à l’obligation d’informer les personnes en application de l’articles 12 du RGPD

L’article 12.1 du Règlement dispose que » le responsable de traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. […] «

A titre d’éclairage, s’agissant du caractère aisément accessible de l’information, le G29 précise, dans ses lignes directrices du 11 avril 2018 sur la transparence au sens du règlement (UE) 2016/679, que » le critère » aisément accessible » signifie que la personne concernée ne devrait pas avoir à rechercher les informations mais devrait pouvoir tout de suite y accéder : par exemple, ces informations pourraient être communiquées aux personnes concernées directement ou au moyen d’un lien qui leur serait adressé […] « . Il » recommande à titre de bonne pratique que, dans un contexte en ligne, un lien vers la déclaration ou l’avis sur la protection de la vie privée soit fourni au point de collecte des données à caractère personnel, ou que ces informations soient consultables sur la même page que celle où les données à caractère personnel sont collectées « .

$Ces lignes directrices précisent également que les informations » devraient être clairement différenciées des autres informations non liées à la vie privée telles que des clauses contractuelles ou des modalités d’utilisation générale « . Les lignes directrices indiquent que »la personne concernée ne doit pas avoir à chercher activement les informations couvertes par [les articles 13 et 14] parmi d’autres informations telles que les conditions d’utilisation d’un site […] « .

Il a été constaté que, pour s’inscrire, un utilisateur devait renseigner différentes données à caractères personnel (prénom, nom, date de naissance, coordonnées) sur un formulaire d’inscription. Il a également été constaté que le formulaire d’inscription contenait un lien renvoyant vers les conditions générales d’utilisation. Dans ce document, se trouvait un lien vers la politique de confidentialité de la société, dans laquelle étaient présentées les informations prévues à l’article 13 du RGPD.

La formation restreinte relève que la page du formulaire d’inscription ne permettait ainsi pas à l’utilisateur d’accéder directement à une information exhaustive relative à la protection des données dans la mesure où un parcours de plusieurs clics était nécessaire pour l’obtenir. Elle note également que, pour prendre connaissance des informations relatives à la protection des données à caractère personnel, les personnes étaient amenées à les rechercher parmi les conditions générales d’utilisation. Or, la présentation des informations relatives à la protection des données à caractère personnel dans un document accessible depuis un lien présent dans les conditions générales d’utilisation du site web ne saurait être regardée comme satisfaisant aux exigences d’une information aisément accessible. En effet, s’il n’est pas nécessaire de faire figurer les informations visées par l’article 13 du RGPD dès le formulaire de collecte, celui-ci doit, à tout le moins, présenter un moyen tel qu’un lien hypertexte permettant à l’utilisateur de prendre aisément connaissance de l’ensemble des informations obligatoires.

[CNIL, délibération de la formation restreinte no SAN-2022-015 du 7 juillet 2022 concernant la société U (https://www.cnil.fr/fr/geolocalisation-de-vehicules-de-location-sanction-de-175-000-euros-lencontre-dubeeqo-international)]

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Protection des données, RGPD | Tagué données, durée de conservation, géolocalisation, information, minimisation des données, RGPD, voitures de location | Laisser un commentaire

Les dispositifs de vidéo augmentée dans l’espace public

Publié le 19 juillet 2022 par Me Philippe Ehrenström

La CNIL vient de publier une prise de position sur les caméras dites « intelligentes » ou « augmentées » dans les espaces publics (communiqué de presse : https://www.cnil.fr/fr/cameras-dites-augmentees-dans-les-espaces-publics-la-position-de-la-cnil; document : https://www.cnil.fr/sites/default/files/atoms/files/cameras-intelligentes-augmentees_position_cnil.pdf):

Photo de Jan van der Wolf sur Pexels.com

Les dispositifs de vidéo « augmentée » se distinguent des dispositifs de reconnaissance biométriques, comme par exemple les dispositifs de reconnaissance faciale. Deux critères permettent de distinguer ces dispositifs :

la nature des données traitées : caractéristique physique, physiologique ou comportementale ;

l’objectif du dispositif : identifier ou authentifier de manière unique une personne.

Un dispositif de reconnaissance biométrique cumulera toujours ces deux critères, tandis qu’une caméra « augmentée » n’en remplira aucun (par exemple une caméra « augmentée » qui filme la rue pour classer les différents usages : voitures, vélos, etc.) ou seulement un des deux (par exemple une caméra « augmentée » qui détecte les bagarres dans une foule).

Cette distinction a des conséquences juridiques : les dispositifs de reconnaissance biométrique impliquent des traitements de données dites « sensibles » qui sont, par principe, interdits par le RGPD, sauf exceptions.

La notion de caméra ou vidéo « augmentée » désigne des dispositifs vidéo auxquels sont associés des logiciels permettant une analyse automatique de l’image afin de détecter par exemple des formes ou des objets, d’analyser des mouvements, etc. Ces caméras sont, par nature, très différentes de celles traditionnellement déployées : les personnes ne sont plus seulement filmées mais analysées de manière automatisée, en temps réel, afin de collecter certaines informations les concernant.

Ces nouveaux outils vidéo peuvent conduire à un traitement massif de données personnelles, potentiellement à l’insu des personnes du fait du caractère « invisible » des logiciels d’analyse d’images associés aux caméras.

La CNIL souligne que le risque d’une surveillance généralisée induit par la multiplication des dispositifs vidéo prend aujourd’hui une nouvelle dimension avec l’essor des dispositifs de vidéo « augmentée » : cette surveillance se double d’une analyse des personnes.

Le déploiement de ces dispositifs dans les espaces publics, où s’exercent de nombreuses libertés individuelles (liberté d’aller et venir, d’expression, de réunion, droit de manifester, liberté de culte, etc.), présente incontestablement des risques pour les droits et libertés fondamentaux des personnes et la préservation de leur anonymat dans l’espace public.

Ces dispositifs posent également de nouveaux enjeux pour les personnes lorsqu’ils ont vocation à automatiser entièrement certaines activités de la vie courante. Des actes simples de la vie quotidienne pourraient ainsi être filmés et analysés par des caméras « augmentées », renforçant encore le sentiment de surveillance des personnes à mesure que ces dispositifs se généraliseront dans les espaces publics : rues, transports, commerces, lieux culturels et sportifs, etc.

En l’absence de textes spécifiques encadrant l’usage des dispositifs de vidéo « augmentée », la CNIL a notamment considéré que le Code de la sécurité intérieure, qui fixe le cadre applicable aux dispositifs de vidéoprotection traditionnels, n’était pas adapté à cette nouvelle technologie. Mais il n’interdit pas non plus son déploiement. La CNIL appelle plus particulièrement l’attention sur trois points :

La nécessité de respecter les grands principes de la réglementation protégeant les données personnelles.

Tout acteur qui souhaiterait déployer un dispositif de vidéo « augmentée » devra se fonder sur une base légale déterminée au cas par cas. Si aucune n’est exclue ou privilégiée par principe, la base légale de « l’intérêt légitime » ne doit pas conduire à un déséquilibre manifeste entre les intérêts poursuivis par l’utilisateur d’un dispositif de vidéo « augmentée » et les attentes raisonnables des personnes (par exemple un magasin qui analyserait l’humeur des clients pour leur afficher des publicités adaptées). De façon plus générale, il faut faire, au préalable, une démonstration de la proportionnalité (c’est-à-dire des conditions de mise en œuvre du dispositif par rapport aux objectifs poursuivis) du dispositif envisagé.

À ce titre, des mécanismes effectifs de protection des données et de la vie privée dès la conception (privacy by design) doivent être mis en œuvre pour permettre de réduire les risques pour les personnes concernées. Des garanties fortes consistent, par exemple, à intégrer des mesures permettant la suppression quasi-immédiate des images sources ou la production d’informations anonymes.

La nécessité d’une loi pour la mise en œuvre de certains dispositifs.

La CNIL rappelle que les dispositifs les plus intrusifs, c’est-à-dire ceux susceptibles de modifier les conditions fondamentales d’exercice des droits et libertés fondamentaux des personnes, ne pourront être déployés que si une loi les autorise et les encadre spécifiquement.

La question spécifique du droit d’opposition des personnes concernées.

Les personnes filmées et analysées par les dispositifs de caméras « augmentées » disposent de droits reconnus par la réglementation sur la protection des données (droit à l’information notamment). Parmi ceux-ci, figure souvent la possibilité de s’opposer au traitement mis en œuvre.

Or, la CNIL a constaté que les personnes ne peuvent généralement pas s’opposer à l’analyse de leurs images, par exemple, lorsque les algorithmes ne conservent pas les images, ou que les conditions d’exercice de ce droit ne sont pas praticables (marquer son opposition impose d’appuyer sur un bouton, de faire un geste particulier devant une caméra, de stationner dans une zone dédiée, etc.).

À ce stade, la CNIL considère que la mise en œuvre de caméras augmentées conduit fréquemment à limiter les droits des personnes filmées.

Une telle limitation des droits n’est possible que dans deux cas de figure :

soit le traitement impliqué par le dispositif de vidéo « augmentée » poursuit une finalité statistique au sens du RGPD : c’est-à-dire que le traitement ne tend qu’à la production de résultats statistiques constitués de données agrégées et anonymes. Le traitement n’a pas de vocation directement opérationnelle ;

soit le droit d’opposition est écarté, sur le fondement de l’article 23 du RGPD, par un texte spécifique, de nature au moins réglementaire. Cet acte devra acter la légitimité et la proportionnalité du traitement opéré au regard de l’objectif poursuivi, la nécessité d’exclure la faculté pour les personnes de s’y opposer, tout en fixant des garanties appropriées au bénéfice de ces dernières.

Dans de nombreux cas, il sera donc nécessaire que des textes, réglementaires ou législatifs, autorisent l’usage des caméras augmentées dans l’espace public. Cette analyse juridique rejoint la nécessité politique pour la puissance publique de tracer la ligne, au-delà du « techniquement faisable », entre ce qu’il est souhaitable de faire d’un point de vue éthique et social et ce qui ne l’est pas dans une société démocratique.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Protection de la personnalité, Protection des données, RGPD | Tagué camera augmentée, reconnaissance biométrique, vidéo augmentée | Laisser un commentaire

Conflit avec l’employeur: que faire?

Publié le 16 juillet 2022 par Me Philippe Ehrenström

Il est évidemment difficile de donner des conseils qui s’appliqueraient à toutes les situations et à toutes les personnes indistinctement en cas de litige avec un employeur en Suisse.

Les conflits en matière de contrat de travail dépendent en effet des parties concernées, de leurs rapports, mais aussi des questions posées (licenciement, heures supplémentaires, mobbing, etc.) et ils mettent en œuvre des domaines du droit très différents (droit privé ou public, droit collectif, assurances, prévoyance, fiscalité, protection de la personnalité, protection des données, etc.)

Cela étant dit, après plus de vingt années de pratique, il est possible, je crois, de proposer quelques règles de conduite générale pour permettre au justiciable de s’orienter au début d’un conflit avec son employeur. Certaines seront, je l’espère, utiles à ceux qui liront ces lignes, sachant qu’elles ne sauraient être exhaustives.

Règle no 1 : garder son calme. Il n’y a pas de moment où il est plus important de maîtriser ses nerfs, et où il est si difficile de le faire. La situation n’est pas sans rappeler certaines séparations conjugales. Il faudra bien se contrôler, cependant, car un conflit avec l’employeur implique que tôt ou tard (et souvent beaucoup plus tôt qu’on ne le croit), il faudra prendre des décisions difficiles et qui engagent l’avenir. Doit-on demander un certificat de travail intermédiaire ? Contester une évaluation ? Réclamer une rémunération que l’on estime due ? Etc. etc. L’employeur, surtout s’il a un service de ressources humaines, a l’habitude de ce genre de situation, l’employé pas (à moins d’avoir eu une vie professionnelle mouvementée !) Il est donc très facile de tirer parti du stress et de l’émotion ressentis par l’employé pour le mener à accepter des choses qui ne seraient pas forcément en sa faveur.

Règle no 2 : se faire assister. Les questions à résoudre en cas de litige avec l’employeur peuvent s’avérer complexes, et tisser des rapports délicats entre plusieurs domaines du droit. Or on croit souvent qu’il est difficile et couteux de trouver des conseils et de l’assistance de la part de professionnels. Ce n’est pas le cas. Des conseils juridiques sont en effet prodigués aisément par des syndicats, des associations professionnelles, des permanences juridiques d’ordres des avocats cantonaux et (également) par des avocats versés dans le domaine [dont l’auteur de ces lignes]. Il suffit de se renseigner. Et, très souvent, une consultation ou un conseil ponctuel permettent de voir clair et d’avancer, sans compter la possibilité d’une assistance plus soutenue ou d’un suivi.

Règle no 3 : se faire suivre. Il faut être clair, les situations de conflit professionnel sont extrêmement stressantes. Il n’est dès lors pas rare que cela se traduise par divers problèmes physiques ou psychiques, d’intensité et de gravité variables, que l’on choisit de traiter (ou non). La préservation de sa propre santé est donc un aspect essentiel, et doit faire l’objet d’un dialogue responsable et constructif avec son médecin traitant. Les situations de burn out, par exemple, sont sérieuses et nécessitent souvent des arrêts de travail conséquents et fréquemment contestés par les assurances perte de gain. Il en va de même des conséquences du harcèlement psychologique ou sexuel. Il faut donc aussi s’écouter et savoir ne pas se mettre en danger. Cela étant dit, il faut être clair : un problème médical est un problème… médical, pas une manœuvre ou une tactique dans le cadre d’un conflit juridique. Ce n’est pas un alibi, une excuse, un moyen de pression ou un outil pour gagner du temps.

Règle no 4 : ne pas traîner. Evitez à tout prix la procrastination ! Le temps arrange rarement les affaires. En général, s’il y a une situation de conflit, c’est qu’il y a un historique, des relations difficiles ou tendues entre certaines personnes, des difficultés récurrentes, etc. Il est donc souvent illusoire de penser que ne rien faire améliorera les choses. A cela s’ajoute que plus le temps s’écoule, dans ce genre de situation, plus il est difficile de négocier un « départ » amiable, un reclassement, etc. Il ne sert dès lors à rien d’attendre le licenciement pour chercher des conseils et agir.

Règle no 5 : établir des priorités. C’est une des choses les plus difficiles à faire, mais une des plus nécessaire. Que voulez-vous, au fond, obtenir comme résultats dans la situation de litige qui est la vôtre ? Conserver votre travail ? Vous faire muter ? Pourquoi pas, mais encore faut-il que cela soit possible, et les attentes, souvent, ne sont guère raisonnables en ce domaine. Rompre avec l’employeur de manière négociée ? C’est souvent plus utile et plus efficace, mais encore faut-il savoir s’y prendre. Et que réclamer ? On pense souvent indemnités, alors que le certificat de travail est probablement l’enjeu principal de toute rupture des relations de travail. Bref, en relativement peu de temps, et sans attendre que les événements et les propres décisions prises par l’employeur limitent vos choix, il va falloir arbitrer entre plusieurs possibilités, et parfois savoir choisir la moins mauvaise.

Règle no 6 : ne pas se tromper de vision ou de tempo. Très souvent, on reste bloqué sur des épisodes passés alors que l’employeur est déjà passé à autre chose, à l’étape d’après. Il ne faut pas se tromper de temporalité : quand l’employeur en est à faire des évaluations assassines, c’est précisément que les services que vous avez rendus il y a deux ans sont oubliés ou les lauriers que l’on vous a tressés à propos de tel dossier ou de telle affaire sont fanés. Il faut savoir (et pouvoir) évoluer très rapidement dans certaines situations pour trouver une porte de sortie, même si c’est seulement la moins mauvaise possible.

Règle no 7 : oser. Il y a près d’un quart de siècle, quand l’auteur de ces lignes commençait la pratique du barreau, on pouvait, à la rigueur, dire que dans certaines professions le contentieux pouvait avoir des effets indésirables sur la réputation ou l’employabilité des intéressés. Aujourd’hui, la situation a évidemment bien changé. Les contentieux sont devenus plus nombreux, et les employeurs savent et connaissent ce que cela implique. Dans la mesure où, en plus, on ne peut pas dire que le droit du travail suisse soit particulièrement protecteur, il ne faut pas hésiter à réclamer ce à quoi on a droit.

Règle no 8 : ne pas se tromper de perspectives. Un conflit du travail est un conflit… du travail. Le juge du travail n’est pas un psychologue ou un psychiatre, et il n’est pas davantage Saint Louis sous son chêne. Il ne s’agira pas de vous aider à « faire le deuil » ou quelque autre faribole psychologisante. On traitera par contre de questions relatives au licenciement, aux heures supplémentaires, au droit aux vacances, au bonus, etc. ce qui est déjà pas mal.

Et surtout bon courage (vous allez en avoir besoin) !

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Astuces pratiques, Litiges, contentieux | Tagué conflit au travail, conflit avec l'employeur, conflit du travail, conseils pratiques, contentieux, droit du travail, litige, Suisse | Laisser un commentaire

Rh tech, web scraping et protection des données

Publié le 13 juillet 2022 par Me Philippe Ehrenström

Introduction

Les « rh tech » ont d’abord été, historiquement, des logiciels, applications et plateformes qui permettaient de simplifier et d’automatiser certaines tâches classiques des ressources humaines : saisie du temps, calcul de délais, gestion des notes de frais, etc. Avec le temps, ces outils se sont de plus en plus hybridés avec l’intelligence artificielle pour devenir analytiques ou prédictifs. Il est devenu alors possible de définir des indices divers et variés sur le comportement ou d’analyser la posture corporelle et la voix lors du recrutement par exemple. Un certain nombre de ces nouveaux outils recourent maintenant peu ou prou au web scraping, i.e. à l’aspiration et la copie par différents mécanismes de données publiques trouvées sur le net. Les acteurs économiques qui proposent ces nouvelles « rh tech » matinées d’intelligence artificielle se comptent aujourd’hui par centaines, et développent des tactiques de promotion agressives pour capter la clientèle.

Dans ce contexte, nous traiterons ici de la sous-traitance, des données accessibles et de la protection des données du travailleur à l’aune de la nouvelle loi fédérale du 25 septembre 2020 sur la protection des données, adoptée le 25 septembre 2020, et qui devrait renter en vigueur en septembre 2023 (nLPD ; FF 2020 7397).

Sous-traitance

Les outils « rh tech » constituent d’abord bien évidemment des traitements de données, i.e. des opérations relatives à des données personnelles, quels que soient les moyens et procédés utilisés, notamment la collecte, l’enregistrement, la conservation, l’utilisation, la modification, la communication, l’archivage, l’effacement ou la destruction de données (art. 5 let. d nLPD). Et il s’agit bien de données, i.e. d’informations concernant une personne physique identifiée ou identifiable (le travailleur), voire de données sensibles (art. 5 let. a et let. c nLPD).

La particularité est ici que ce n’est pas l’employeur qui traite directement ces données récoltées par web scraping, mais bien la société de « rh tech » qui vend ses services. Celle-ci agit alors comme un sous-traitant, soit comme une personne privée qui traite des données personnelles pour le compte du responsable de traitement, qui serait l’employeur (art. 5 let. j et let. k nLPD). La sous-traitance de données est possible, mais si et pour autant qu’un contrat ou la loi le prévoie, que seuls soient effectués les traitements que le responsable de traitement serait en droit d’effectuer lui-même et qu’aucune obligation légale ou contractuelle de garde rle secret ne l’interdise (art. 9 al. 1 nLPD). Le responsable du traitement doit en particulier s’assurer que le sous-traitant est en mesure de garantir la sécurité des données (art. 9 al. 2 nLPD).

Données librement accessibles ?

La particularité des « rh tech » qui utilisent le web scraping est qu’il est fait usage de données librement accessibles sur le net, et qui sont « aspirées » puis traitées par l’intelligence artificielle.

On pourrait dès lors en conclure qu’un tel traitement ne porte pas atteinte à la personnalité des personnes concernées en application de l’art. 30 al. 3 nLPD, lequel prévoit qu’« en règle générale, il n’y a pas atteinte à la personnalité lorsque la personne concernée a rendu les données personnelles accessibles à tout un chacun et ne s’est pas opposée expressément au traitement ». Rappelons ici qu’en droit suisse, ce n’est pas le traitement de données en tant que tel qui doit être justifié, mais bien l’atteinte à la personnalité qu’il peut entraîner (contrairement au droit européen). Celui qui traite des données personnelles ne doit ainsi pas porter une atteinte illicite à la personnalité de la personne concernée (art. 30 al. 1 nLPD). Constitue notamment une telle atteinte le fait de traiter des données personnelles en violation des principes définis aux art. 6 et 8 nLPD, le traitement de données contre la manifestation expresse de volonté de la personne concernée ou la communication à des tiers de données sensibles (art. 30 al. 2 nLPD).

Cela étant dit, l’art. 30 al. 3 nLPD est une présomption légale (FF 2017 6565), ce qui signifie que la personne concernée aura toujours la possibilité de démontrer qu’elle a subi une atteinte à la personnalité. L’art. 30 al. 2 n’est, soulignons-le, pas exhaustif (« notamment »).

Dans les rapports de travail, une telle atteinte peut résulter de l’application de l’art. 328b CO.

Atteinte à la personnalité du travailleur (art. 328b CO)

L’employeur est tenu de protéger et respecter, dans les rapports de travail, la personnalité du travailleur (art. 328 al. 1 CO).

Concernant plus particulièrement le traitement de données en lien avec le contrat de travail, l’employeur ne peut traiter des données concernant le travailleur que dans la mesure où elles portent sur les aptitudes du travailleur à remplir son emploi ou sont nécessaires à l’exécution du contrat de travail. En outre, les dispositions de la LPD sont applicables. (Art. 328b CO).

L’aptitude à remplir son emploi concerne toutes les informations permettant de déterminer si la personne possède les capacités et qualités personnelles et professionnelles requises : diplômes, certificats de travail, etc. Ces données peuvent donc être traitées avant la conclusion du contrat de travail, et même si celui-ci ne vient pas à chef. Concernant les données nécessaires à l’exécution du contrat de travail, il s’agit de toutes les informations permettant à l’employeur de remplir ses obligations légales et conventionnelles, par exemple vis-à-vis des assurances sociales, de l’impôt à la source, etc.

Le Tribunal fédéral a précisé que l’art. 328b CO introduit une présomption de licéité du traitement de données lorsqu’elles «portent sur les aptitudes du travailleur à remplir son emploi ou sont nécessaires à l’exécution du contrat» (ATF 130 II 425 consid. 3.3). Le traitement de données est donc en principe licite lorsqu’il est en relation directe avec la conclusion ou l’exécution d’un contrat.

On admet toutefois u’un traitement de données s’inscrivant dans le champ de l’art. 328b CO (i.e. a priori licite) doit aussi respecter les principes généraux de la LPD, en particulier la licéité, la bonne foi et la proportionnalité (arrêt du Tribunal fédéral 4A_518/2020 du 25 août 2021, consid. 4). Lorsque le traitement de données n’entre pas dans le cadre de l’art. 328b CO, il est présumé illicite et doit pouvoir se fonder sur un motif justificatif (loi, intérêt public ou privé prépondérant, consentement – qui ne pourra pas être invoqué au détriment du travailleur.

En d’autres termes, la présomption de l’art. 30 al. 3 nLPD peut être renversée si (i) le traitement de données concernant le travailleur porte sur les aptitudes du travailleur à remplir son emploi ou sont nécessaires à l’exécution du contrat de travail mais viole les autres principes découlant de la nLPD ou (ii) si le traitement ne satisfait pas aux critères de l’art. 328b CO et ne repose pas sur d’autres faits justificatifs.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Protection de la personnalité, Protection des données | Tagué 328b CO, données mises à disposition, nLPD, protection des données, Rh tech, sous-traitance, web scraping | Laisser un commentaire

La décision individuelle automatisée

Publié le 11 juillet 2022 par Me Philippe Ehrenström

Photo de Miguel u00c1. Padriu00f1u00e1n sur Pexels.com

La décision individuelle automatisée est une nouveauté, introduite dans la nouvelle loi fédérale sur la protection des données (nLPD ; FF 2020 7397) qui devrait entrer en vigueur (espérons-le) en septembre 2023. Elle est déjà connue du droit européen.

Le responsable du traitement informe la personne concernée de toute décision qui est prise exclusivement sur la base d’un traitement de données personnelles automatisé et qui a des effets juridiques pour elle ou l’affecte de manière significative (décision individuelle automatisée) (art. 21 al. 1 nLPD).

Si la personne concernée le demande, le responsable du traitement lui donne la possibilité de faire valoir son point de vue. La personne concernée peut exiger que la décision individuelle automatisée soit revue par une personne physique (art. 21 al. 2 nLPD).

La personne concernée doit recevoir les informations nécessaires pour qu’elle puisse valoir ses droits selon la nLPD et que la transparence du traitement soit garantie ; cela inclut l’existence d’une décision individuelle informatisée ainsi que la logique sur laquelle se base cette décision (art. 25 al. 2 let. f nLPD). Cette dernière notion n’entraîne pas qu’il faille révéler les algorithmes utilisés, qui sont couverts par le secret d’affaire, mais bien les hypothèses de base qui sous-tendent la logique algorithmiques sur laquelle repose la décision individuelle automatisée (FF 2017 6684).

Le devoir d’informer ne s’applique toutefois pas (i) si la décision individuelle automatisée est en relation directe avec la conclusion ou l’exécution d’un contrat entre le responsable du traitement et la personne concernée et la demande de cette dernière est satisfaite ou (ii) la personne concernée a expressément consenti de manière libre et éclairée à ce que la décision soit prise de manière automatisée.

Le consentement doit bien évidemment être libre et éclairé, et ne sera pas opposable au détriment du travailleur ou du candidat à un emploi, par exemple, en raison du rapport de force entre les parties. Le point est ici important car, de plus en plus, les procédures de sélection passent, en tout cas pour les premières étapes, par des processus automatisés, ce qui devrait entraîner l’impossibilité, pour les candidats, de renoncer à l’avance à la révision de la décision par une personne physique.

Le projet de nouvelle ordonnance sur la protection des données (qui est en révision ensuite d’une première procédure de consultation) ajoute par ailleurs que la personne concernée par une décision individuelle automatisée, qui demande à faire valoir son point de vue ou un réexamen de la décision par une personne physique, ne peut pas être désavantagée pour ce motif (art. 17 P-OLPD). La précision n’est pas sans importance, même si elle semblait déjà découler de principes généraux, et s’appliquera sans doute utilement en matière d’octroi de crédits, d’examens, etc.

L’information relative à la possibilité de procéder par décisions individuelles automatisées doit être également donnée au stade de la récolte des données (art. 19 nLPD), par exemple dans le cadre d’une déclaration sur la protection des données (Privacy Notice).

Enfin, la violation des dispositions relatives à la décision individuelle informatisée est susceptible de donner lieu à des prétentions civiles en dommages-intérêts (41 ss CO, parfois 97 ss CO), à des mesures administratives du Préposé fédéral à la Protection des données (art. 51 al. 1 nLPD) et au prononcé d’amendes pénales jusqu’à CHF 250’000.—par les autorités de poursuite ordinaires (art. 60 alé 1 let. a nLPD).

En droit européen, et contrairement au droit suisse, l’art. 22 RGPD pose une interdiction de principe assortie d’exceptions.

Selon l’art. 22 par. 1 RGPD (Décision individuelle automatisée, y compris le profilage), la personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire.

L’art. 22 par. 2 RGPD ajoute que le paragraphe 1 ne s’applique toutefois pas (exceptions à l’interdiction de principe) lorsque la décision:

a) est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement;

b) est autorisée par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée; ou

c) est fondée sur le consentement explicite de la personne concernée.

Dans les cas visés au paragraphe 2, points a) et c), le responsable du traitement doit mettre en œuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit de la personne concernée d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision.

Les décisions visées au paragraphe 2 ne peuvent être fondées sur les catégories particulières de données à caractère personnel visées à l’article 9, paragraphe 1 RGPD (ce que nous appellerions en Suisse les données sensibles), à moins que l’article 9, paragraphe 2, point a) ou g) (consentement, intérêt public), ne s’applique et que des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ne soient en place.

L’art. 13 par. 2 let. f RGPD prévoit qu’en cas de décision informatisée, le responsable de traitement informe la personne concernée de l’existence d’une telle décision, ainsi que des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée. Une ordonnance de la Cour de cassation italienne du 25.05.2021 (résumée et présentée par Eva Cellina, Nécessité d’un algorithme transparent pour un consentement valable, 31 août 2021 in www.swissprivacy.law/88) précisait, à propos de la « logique sous-jacente », que l’exigence de connaissance de la logique derrière l’algorithme ne peut être considérée comme satisfaite « lorsque le schéma de mise en œuvre de l’algorithme et les éléments qui le composent restent inconnus ou ne peuvent être connus des personnes concernées. »

L’art. 35 par. 3 let. a RGPD requiert également qu’une analyse d’impact soit effectuée dans l’hypothèse d’une évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondé sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affecte de manière significative.

Selon le consid. 72 RGPD, la personne concernée devrait ainsi avoir le droit de ne pas faire l’objet d’une décision, qui peut comprendre une mesure, impliquant l’évaluation de certains aspects personnels la concernant, qui est prise sur le seul fondement d’un traitement automatisé et qui produit des effets juridiques la concernant ou qui, de façon similaire, l’affecte de manière significative, tels que le rejet automatique d’une demande de crédit en ligne ou des pratiques de recrutement en ligne sans aucune intervention humaine. Ce type de traitement inclut le «profilage» qui consiste en toute forme de traitement automatisé de données à caractère personnel visant à évaluer les aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des aspects concernant le rendement au travail de la personne concernée, sa situation économique, sa santé, ses préférences ou centres d’intérêt personnels, sa fiabilité ou son comportement, ou sa localisation et ses déplacements, dès lors qu’il produit des effets juridiques concernant la personne en question ou qu’il l’affecte de façon similaire de manière significative.

Toutefois, la prise de décision fondée sur un tel traitement, y compris le profilage, devrait être permise lorsqu’elle est expressément autorisée par le droit de l’Union ou le droit d’un État membre auquel le responsable du traitement est soumis, y compris aux fins de contrôler et de prévenir les fraudes et l’évasion fiscale conformément aux règles, normes et recommandations des institutions de l’Union ou des organes de contrôle nationaux, et d’assurer la sécurité et la fiabilité d’un service fourni par le responsable du traitement, ou nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement, ou si la personne concernée a donné son consentement explicite. En tout état de cause, un traitement de ce type devrait être assorti de garanties appropriées, qui devraient comprendre une information spécifique de la personne concernée ainsi que le droit d’obtenir une intervention humaine, d’exprimer son point de vue, d’obtenir une explication quant à la décision prise à l’issue de ce type d’évaluation et de contester la décision. Cette mesure ne devrait pas concerner un enfant.

Afin d’assurer un traitement équitable et transparent à l’égard de la personne concernée, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère personnel sont traitées, le responsable du traitement devrait utiliser des procédures mathématiques ou statistiques adéquates aux fins du profilage, appliquer les mesures techniques et organisationnelles appropriées pour faire en sorte, en particulier, que les facteurs qui entraînent des erreurs dans les données à caractère personnel soient corrigés et que le risques d’erreur soit réduit au minimum, et sécuriser les données à caractère personnel d’une manière qui tienne compte des risques susceptibles de peser sur les intérêts et les droits de la personne concernée et qui prévienne, entre autres, les effets discriminatoires à l’égard des personnes physiques fondées sur la l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions, l’appartenance syndicale, le statut génétique ou l’état de santé, ou l’orientation sexuelle, ou qui se traduisent par des mesures produisant un tel effet. La prise de décision et le profilage automatisés fondés sur des catégories particulières de données à caractère personnel ne devraient être autorisés que dans des conditions spécifiques.

La violation des dispositions de droit européen relatives aux décisions individuelles informatisées est susceptible de fonder des prétentions civiles en dommages-intérêts (art. 82 RGPD) et le prononcé d’une amende administrative (art. 83 par. 5 let. c RGPD).

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans nouvelle LPD, Protection des données, RGPD | Tagué 21 al. 1 nLPD, 22 RGPD, 25 al. 2 let f nLPD, décision individuelle automatisée | Laisser un commentaire

Ransomware: faut-il payer la rançon?

Publié le 10 juillet 2022 par Me Philippe Ehrenström

La situation se présente journellement dans quantités d’entreprises en Suisse et en Europe : un hacker malicieux pénètre dans votre système, crypte vos données et exige le paiement d’une « rançon » pour que vous puissiez les récupérer, usuellement en cryptomonnaies plus ou moins exotiques.

Que faire ?

Il est d’abord certainement bénéfique de jurer un bon coup, et de maudire l’état du monde et la méchanceté des hommes.

Regretter de ne pas avoir nommé un Data Protection Officer qui vous aurait préparé à ce genre de calamité en édictant des check-lists et des mesures d’urgence à prendre (cf. https://droitdutravailensuisse.com/data-protection-officer/)? C’est un peu tard.

Il est en tout cas une question à laquelle vous devrez répondre assez vitre, c’est de payer la rançon ou non.

Le National Cyber Security Centre (NCSC) et l’Information Commissioner’s Office (ICO) ont publié une lettre conjointe à ce propos qu’ils ont adressé à la Law Society le 7 juillet 2022 concernant The legal profession and its role in supporting a safer UK online :

Cliquer pour accéder à ico-ncsc-joint-letter-ransomware-202207.pdf

https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2022/07/ico-and-ncsc-stand-together-against-ransomware-payments-being-made/

Qu’en retenir ?

« (…) In recent months, we have seen an increase in the number of ransomware attacks and ransom amounts being paid and we are aware that legal advisers are often retained to advise clients who have fallen victim to ransomware on how to respond and whether to pay. It has been suggested to us that a belief persists that payment of a ransom may protect the stolen data and/or result in a lower penalty by the ICO should it undertake an investigation. We would like to be clear that this is not the case.

Law Enforcement does not encourage, endorse nor condone the payment of ransoms. While payments are not usually unlawful, payers should be mindful of how relevant sanctions regimes (particularly those related to Russia) – and their associated public guidance – may change that position. More importantly, payment incentivises further harmful behaviour by malicious actors and does not guarantee decryption of networks or return of stolen data. UK data protection law requires organisations to take appropriate technical and organisational measures to keep personal information secure and to restore information in the event of an information security incident. As regulator, the ICO recognises in setting its response and any penalty level the actions taken to mitigate the risk of harm to individuals involved in a data breach. For the avoidance of doubt the ICO does not consider the payment of monies to criminals who have attacked a system as mitigating the risk to individuals and this will not reduce any penalties incurred through ICO enforcement action.

Where the ICO will recognise mitigation of risk is where organisations have taken steps to fully understand what has happened and learn from it, and, where appropriate, they have raised their incident with the NCSC, reported to Law Enforcement via Action Fraud, and can evidence that they have taken advice from or can demonstrate compliance with appropriate NCSC guidance and support. »

On ne saurait être plus clair.

Payer ne représente donc pas une garantie quant au recouvrement des données, à leur sécurité et au risque de leur utilisation postérieure par des tiers. Ce n’est pas davantage une mesure adéquate pour limiter le risque ou un facteur qui serait pris en compte au moment de la fixation d’éventuelles sanctions.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Protection des données, RGPD | Tagué ico, rançon, ransomware, RGPD | Laisser un commentaire

Bail à loyer, formule officielle et faux dans les titres

Publié le 10 juillet 2022 par Me Philippe Ehrenström

Photo de Anastasia Shuraeva sur Pexels.com

Le recourant invoque ensuite une violation l’art. 251 CP. Il conteste en particulier que les formules officielles et les contrats de bail puissent être considérés comme des titres au sens de cette disposition.

Selon l’art. 251 ch. 1 CP, se rend coupable de faux dans les titres celui qui, dans le dessein de porter atteinte aux intérêts pécuniaires ou aux droits d’autrui, ou de se procurer ou de procurer à un tiers un avantage illicite, aura créé un titre faux, falsifié un titre, abusé de la signature ou de la signature ou de la marque à la main réelles d’autrui pour fabriquer un titre supposé, ou constaté ou fait constater faussement, dans un titre, un fait ayant une portée juridique, ou aura, pour tromper autrui, fait usage d’un tel titre.

Sont des titres tous les écrits destinés et propres à prouver un fait ayant une portée juridique et tous les signes destinés à prouver un tel fait (art. 110 al. 4 CP).

L’art. 251 ch. 1 CP vise non seulement un titre faux ou la falsification d’un titre (faux matériel), mais aussi un titre mensonger (faux intellectuel). Il y a faux matériel lorsque l’auteur réel du document ne correspond pas à l’auteur apparent, alors que le faux intellectuel vise un titre qui émane de son auteur apparent, mais dont le contenu ne correspond pas à la réalité. Un simple mensonge écrit ne constitue cependant pas un faux intellectuel. Le document doit revêtir une crédibilité accrue et son destinataire pouvoir s’y fier raisonnablement. Tel est le cas lorsque certaines assurances objectives garantissent aux tiers la véracité de la déclaration. Il peut s’agir, par exemple, d’un devoir de vérification qui incombe à l’auteur du document ou de l’existence de dispositions légales qui définissent le contenu du document en question. En revanche, le simple fait que l’expérience montre que certains écrits jouissent d’une crédibilité particulière ne suffit pas, même si dans la pratique des affaires il est admis que l’on se fie à de tels documents. Le caractère de titre d’un écrit est relatif. Par certains aspects, il peut avoir ce caractère, par d’autres non. La destination et l’aptitude à prouver un fait précis d’un document peuvent résulter directement de la loi, des usages commerciaux ou du sens et de la nature dudit document.

Une garantie spéciale de véracité peut notamment résulter du fait que la loi prescrit de façon précise l’établissement du titre, son contenu, et la méthode qu’il faut suivre pour l’établir. Ainsi, de jurisprudence constante, la comptabilité commerciale et ses éléments (pièces justificatives, livres, extraits de compte, bilans ou comptes de résultat) sont, en vertu de la loi (cf. en particulier art. 957 ss CO), propres et destinés à prouver des faits ayant une portée juridique. Ils ont en ce sens une valeur probante accrue (ATF 141 IV 369 consid. 7.1; ATF 138 IV 130 consid. 2.2.1; ATF 132 IV 12 consid. 8.1; ATF 129 IV 130 consid. 2.2 et 2.3). De tels documents dont le contenu est faux doivent dès lors être qualifiés de faux intellectuels (ATF 146 IV 258 consid. 1.1.1).

Il est également admis qu’un formulaire A, dont le contenu est inexact quant à la personne de l’ayant droit économique, constitue un faux dans les titres au sens de l’art. 251 CP (cf. arrêts 6B_261/2020 du 10 juin 2020 consid. 4.2; 6B_383/2019 du 8 novembre 2019 consid. 8.3.3.2 non publié aux ATF 145 IV 470; 6B_891/2018 du 31 octobre 2018 consid. 3.3.1 et les références citées; 6S.293/2005 du 24 février 2006 consid. 8, in SJ 2006 I 309; cf. ATF 139 II 404 consid. 9.9.2). Cela découle du fait que la loi fédérale concernant la lutte contre le blanchiment d’argent et le financement du terrorisme (LBA; RS 955.0) impose à l’intermédiaire financier, notamment aux banques, une identification de l’ayant droit économique dans certaines circonstances, si le cocontractant n’est pas l’ayant droit économique ou qu’il y a un doute à ce sujet, si le cocontractant est une société de domicile ou une personne morale exerçant une activité opérationnelle ou si une opération de caisse d’une somme importante au sens de l’art. 3 al. 2 LBA est effectuée (art. 4 al. 2 LBA).

Par le passé, le Tribunal fédéral a aussi notamment admis l’existence d’un faux intellectuel dans le cas d’un grossiste qui avait importé de la viande d’antilope africaine qu’il avait désignée comme étant de la viande de gibier européen, la législation en matière de commercialisation de denrées alimentaires lui imposant de donner des indications exactes, notamment pour empêcher de tromper le consommateur (cf. art. 54 de l’ancienne loi fédérale sur le commerce des denrées alimentaires [LCDA]; ATF 119 IV 289 consid. 4c). Il a également été reconnu que le rapport de révision bancaire avait une valeur probante accrue notamment en raison du fait que la législation fédérale sur les banques en prescrivait alors l’existence et le contenu (cf. art. 21 aLB et 43 ss aOB; ATF 126 IV 65 consid. 3b).

Selon une jurisprudence bien établie, un contrat dont le contenu est faux ne constitue en revanche pas un titre car il ne bénéficie pas de la crédibilité accrue nécessaire. En effet, un tel contrat prouve que deux personnes ont fait, de manière concordante, une déclaration de volonté déterminée, mais n’établit pas que les deux manifestations de volonté concordantes correspondent à la volonté réelle des stipulants. Il ne prouve ni l’absence de vice de la volonté ni l’inexistence d’une simulation. Ce n’est que s’il existe des garanties spéciales de ce que les déclarations concordantes des parties correspondent à leur volonté réelle, qu’un contrat en la forme écrite simple peut être qualifié de faux intellectuel (ATF 146 IV 258 consid. 1.1.1; ATF 123 IV 61 consid. 5c/cc; ATF 120 IV 25 consid. 3f; arrêt 6B_472/2011 du 14 mai 2012 consid. 14.2).

Sur le plan subjectif, le faux dans les titres est une infraction intentionnelle. L’intention doit porter sur tous les éléments constitutifs de l’infraction, le dol éventuel étant suffisant. Ainsi, l’auteur doit être conscient que le document est un titre. Il doit savoir que le contenu ne correspond pas à la vérité. Enfin, il doit avoir voulu (faire) utiliser le titre en le faisant passer pour véridique, ce qui présuppose l’intention de tromper. Par ailleurs, l’art. 251 CP exige un dessein spécial, à savoir que l’auteur agisse afin de porter atteinte aux intérêts pécuniaires ou aux droits d’autrui ou de se procurer ou de procurer à un tiers un avantage illicite.

Il est constant à ce stade que les documents incriminés [formules officielles, baux] contenaient des indications mensongères communiquées par le recourant à la régie, ayant trait, pour les formules officielles de notification du loyer initial, aux montants des loyers payés par les anciens locataires et, pour les contrats de bail, à l’identité de ces anciens locataires. Il est tout aussi constant que l’auteur réel des documents litigieux correspondait à leur auteur apparent, soit en l’occurrence à la bailleresse, représentée par la régie.

Cela étant, pour déterminer si ces documents consacrent des faux intellectuels tombant sous le coup de l’art. 251 CP, il faut encore examiner si ceux-là revêtent la qualité de titres au sens des développements qui précèdent.

Pour sa part, au terme de son examen, la cour cantonale a conclu que tel était le cas, tant pour ce qui était des formules officielles que des contrats de bail.

En cas de pénurie de logements, les cantons peuvent rendre obligatoire pour les baux d’habitations, sur tout ou partie de leur territoire, l’usage de la formule officielle mentionnée à l’art. 269d CO, lors de la conclusion de tout nouveau bail (art. 270 al. 2 CO).

L’usage de la formule officielle poursuit dans ce contexte un objectif de protection du locataire. Elle a ainsi pour but, d’une part, d’informer le locataire de sa possibilité de saisir l’autorité de conciliation afin de contester le montant du loyer en lui fournissant toutes les indications utiles et, d’autre part, à empêcher les hausses abusives de loyer lors d’un changement de locataire, de sorte que l’indication du loyer versé par le précédent locataire doit y figurer.

Il n’est pas contesté qu’au moment des faits, en application de l’art. 270 al. 2 CO, le canton de Vaud avait rendu obligatoire l’usage de la formule officielle sur son territoire, à tout le moins s’agissant des communes de Lausanne et de Morges (cf. art. 1 al. 1 et 3 al. 1 de la loi cantonale sur l’utilisation d’une formule officielle au changement de locataire [LFOCL; RS/VD 221.315]).

L’art. 2 LFOCL précise que la formule est agréée par le canton et doit contenir la mention du montant du loyer et des frais accessoires dus par le précédent locataire, de la date de leur entrée en vigueur, du montant du nouveau loyer et des nouveaux frais accessoires, des motifs précis de la hausse éventuelle, du droit de contestation du locataire au sens de l’art. 270 al. 1 CO ainsi que du délai de contestation et de l’adresse des commissions de conciliation en matière de baux à loyer. Ces indications correspondent pour l’essentiel à celles énumérées par l’art. 19 al. 1 OBLF.

Au regard des caractéristiques de la formule officielle, dont le caractère obligatoire et le contenu sont en l’occurrence strictement définis par la législation, il apparaît indéniable que ce document se voit conférer une valeur probante accrue, le locataire destinataire devant ainsi pouvoir raisonnablement s’y fier au moment d’envisager une contestation du loyer initial, sans avoir à cet égard à vérifier l’exactitude des informations données par le bailleur quant au montant du loyer précédemment payé par l’ancien locataire.

Il faut de surcroît prendre en considération que, selon la jurisprudence, la notification viciée du loyer initial par le bailleur entraîne en principe la nullité partielle du bail en tant qu’il porte sur le montant du loyer. C’est à cet égard en vain que le recourant soutient que le bailleur n’a » aucune obligation particulière de vérité » envers le locataire.

Cela étant, au regard des circonstances décrites ci-avant, la cour cantonale n’a pas violé le droit fédéral en considérant que les formules officielles prévues par la législation en matière de droit du bail constituaient des titres au sens des 110 ch. 4 et 251 CP.

Enfin, sur le plan subjectif, il apparaît qu’en cherchant à éviter aux bailleresses des procédures en contestation du loyer initial et à ainsi leur permettre, par l’emploi de formules officielles fausses quant à leur contenu, d’augmenter le rendement des immeubles, le recourant a bien agi dans le but de leur procurer un avantage illicite.

La condamnation du recourant pour faux dans les titres doit dans cette mesure être confirmée.

Une distinction doit cependant être opérée en tant que la condamnation du recourant porte également sur la confection de faux contrats de bail.

En effet, dans la mesure où il était uniquement reproché au recourant d’y avoir fait reporter des noms fictifs de précédents locataires, et non précisément les montants des loyers payés par ces derniers, il n’est pas démontré que le droit fédéral, voire le droit cantonal ou une quelconque disposition réglementaire ou contractuelle, exigeait la mention, sur le contrat de bail, de l’identité de l’ancien locataire. Dans ce contexte, on ne saurait considérer que le bailleur était tenu de garantir au locataire la véracité des informations données à cet égard. On ne voit pas non plus d’emblée qu’en l’espèce, l’indication fausse, par les bailleresses, du nom des précédents locataires a pu contribuer à vicier la volonté des nouveaux locataires de conclure le bail.

Sur ce point, la condamnation du recourant pour faux dans les titres est donc contraire au droit fédéral.

Il se justifie en conséquence d’annuler l’arrêt attaqué en tant qu’il porte sur la condamnation du recourant en lien avec la confection de faux contrats de bail.

(Arrêt du Tribunal fédéral 6B_1270/2021 du 2 juin 2022 destiné à la publication ; résumé par Hadrien Monod, Faux dans les titres : la formule officielle en matière de bail à loyer est un titre au sens de l’art. 110 al. 4 CP, in : https://www.crimen.ch/119/ du 5 juillet 2022)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Autres contrats, Droit pénal | Tagué 110 ch. 4 CP, 251 ch. 1 CP, 270 al. 2 CO, bail à loyer, faux dans les titres, formule officielle | Laisser un commentaire

Commandement de payer, contrainte (art. 181 CP)

Publié le 10 juillet 2022 par Me Philippe Ehrenström

Se rend coupable de contrainte au sens de l’art. 181 CP, celui qui, en usant de violence envers une personne ou en la menaçant d’un dommage sérieux, ou en l’entravant de quelque autre manière dans sa liberté d’action, l’aura obligée à faire, à ne pas faire ou à laisser faire un acte.

L’art. 181 CP protège la liberté d’action et de décision. La contrainte est une infraction de résultat. Pour qu’elle soit consommée, il faut que la victime, sous l’effet de moyens de contrainte illicites, commence à modifier son comportement, subissant ainsi l’influence voulue par l’auteur. Lorsque la victime ne se laisse pas intimider et n’adopte pas le comportement voulu par l’auteur, ce dernier est punissable de tentative de contrainte (art. 22 al. 1 CP). Pour qu’il y ait tentative de contrainte, il faut que l’auteur ait agi avec conscience et volonté, soit au moins qu’il ait accepté l’éventualité que le procédé illicite employé entrave le destinataire dans sa liberté de décision.

Alors que la violence consiste dans l’emploi d’une force physique d’une certaine intensité à l’encontre de la victime, la menace est un moyen de pression psychologique consistant à annoncer un dommage futur dont la réalisation est présentée comme dépendante de la volonté de l’auteur, sans toutefois qu’il soit nécessaire que cette dépendance soit effective ni que l’auteur ait réellement la volonté de réaliser sa menace. La loi exige un dommage sérieux, c’est-à-dire que la perspective de l’inconvénient présenté comme dépendant de la volonté de l’auteur soit propre à entraver le destinataire dans sa liberté de décision ou d’action. La question doit être tranchée en fonction de critères objectifs, en se plaçant du point de vue d’une personne de sensibilité moyenne.

Il peut également y avoir contrainte lorsque l’auteur entrave sa victime » de quelque autre manière « . Cette formule générale doit être interprétée de manière restrictive. N’importe quelle pression de peu d’importance ne suffit pas. Il faut que le moyen de contrainte utilisé soit, comme pour la violence ou la menace d’un dommage sérieux, propre à impressionner une personne de sensibilité moyenne et à l’entraver d’une manière substantielle dans sa liberté de décision ou d’action. Il s’agit donc de moyens de contrainte qui, par leur intensité et leur effet, sont analogues à ceux qui sont cités expressément par la loi.

La contrainte est illicite lorsque le moyen ou le but est contraire au droit ou encore lorsque le moyen est disproportionné pour atteindre le but visé, soit encore parce qu’un moyen conforme au droit utilisé pour atteindre un but légitime constitue, au vu des circonstances, un moyen de pression abusif ou contraire aux mœurs.

Pour une personne de sensibilité moyenne, faire l’objet d’un commandement de payer d’une importante somme d’argent est, à l’instar d’une plainte pénale, une source de tourments et de poids psychologique, en raison des inconvénients découlant de la procédure de poursuite elle-même et de la perspective de devoir peut-être payer le montant en question. Un tel commandement de payer est ainsi propre à inciter une personne de sensibilité moyenne à céder à la pression subie, donc à l’entraver d’une manière substantielle dans sa liberté de décision ou d’action (arrêts 6B_1082/2021 consid. 2.1; 6B_1100/2018 du 17 décembre 2018 consid. 3.3). Certes, faire notifier un commandement de payer lorsqu’on est fondé à réclamer une somme est licite. En revanche, utiliser un tel procédé comme moyen de pression est clairement abusif, donc illicite (cf. ATF 115 III 18 consid. 3, 81 consid. 3b; arrêt 6B_1082/2021 précité consid. 2.1).

Sur le plan subjectif, il faut que l’auteur ait agi intentionnellement, c’est-à-dire qu’il ait voulu contraindre la victime à adopter le comportement visé en étant conscient de l’illicéité de son comportement; le dol éventuel suffit.

Aux termes de l’art. 22 al. 1 CP, le juge peut atténuer la peine si l’exécution d’un crime ou d’un délit n’est pas poursuivie jusqu’à son terme ou que le résultat nécessaire à la consommation de l’infraction ne se produit pas ou ne pouvait pas se produire.

La cour cantonale a retenu que le recourant savait parfaitement qu’il n’avait pas une créance de 300’000 fr. envers l’intimé lorsqu’il lui a fait notifier le 12 juillet 2019 un commandement de payer pour cette somme, lequel avait été précédé de deux courriels annonciateurs par lesquels le recourant exigeait l’abandon de la poursuite introduite par l’intimé contre lui pour un montant de 3’147 fr. 85, faute de quoi il lui ferait notifier un commandement de payer. Le recourant avait donc fait notifier à l’intimé un commandement de payer en réaction à la poursuite que celui-ci avait engagée contre lui et dans le seul but que celui-ci renonce à sa propre créance. Le commandement de payer notifié par le recourant à l’intimé constituait pour ce dernier une source de tourments et avait représenté pour lui un poids psychologique important, de sorte qu’il était de nature à l’inciter à céder à la pression et à renoncer à sa créance. L’intimé avait d’ailleurs cédé à la pression subie puisqu’il avait déclaré ne pas avoir recouvré le montant réclamé et attendre le terme de la procédure pénale pour faire valoir ses prétentions devant le juge civil. Ainsi, la cour cantonale a retenu que le comportement du recourant par lequel il avait fait notifier un commandement de payer d’un montant de 300’000 fr. pour des motifs totalement infondés – » dommages à l’image et au crédit » – était clairement illicite et abusif en tant qu’il constituait un moyen de pression et d’intimidation du recourant qui voulait obliger l’intimé, par son acte, à ne pas donner suite au commandement de payer que ce dernier lui avait fait notifier pour un montant de 3’147 fr. 85. Dès lors que l’intimé s’était laissé intimider et avait abandonné les poursuites contre le recourant, le résultat escompté s’était produit et l’infraction de contrainte au sens de l’art. 181 CP avait été consommée.

Le recourant ne nie pas avoir fait usage d’un moyen de pression abusif en notifiant à l’intimé un commandement de payer de 300’000 fr. dans le but de l’inciter à renoncer à sa propre créance. Il conteste toutefois la réalisation du résultat de l’infraction de contrainte. Selon lui, seule une tentative de contrainte peut être retenue à son encontre (art. 181 cum 22 CP).

Le recourant fait [en effet] valoir que l’infraction de contrainte n’a pas été consommée, puisque l’intimé ne s’est pas laissé intimider et n’a pas cédé à la pression exercée par le commandement de payer qu’il lui a fait notifier pour un montant de 300’000 francs. A cet égard, il relève que l’intimé a formé opposition au commandement de payer précité, l’a invité le 3 juillet 2020 à signer une renonciation à invoquer la prescription en lien avec sa créance de 3’147 fr. 85 et a déclaré, lors de l’audience de première instance, puis en appel, attendre le terme de la procédure pénale pour faire valoir ses prétentions devant le juge civil. Selon le recourant, ces éléments démontrent que l’intimé n’a pas renoncé à poursuivre la procédure de poursuite qu’il avait intentée contre lui pour obtenir le paiement de sa créance et que, par conséquent, le résultat de l’infraction ne s’est pas produit.

En l’espèce, la question pertinente pour déterminer si le résultat de l’infraction de contrainte au sens de l’art. 181 CP s’est produit, est celle de savoir si le commandement de payer de 300’000 fr. notifié par le recourant a entrainé la modification du comportement de l’intimé dans le sens voulu par le recourant. Suivant cette approche, il ressort des faits établis par la cour cantonale que le recourant voulait, par la notification d’un commandement de payer infondé d’un montant de 300’000 fr., obliger l’intimé à ne pas donner suite au commandement de payer que ce dernier lui avait fait notifier pour un montant de 3’147 fr. 85. La cour cantonale est parvenue à la conclusion que l’intimé avait renoncé à poursuivre le recouvrement de la créance qu’il faisait initialement valoir contre le recourant. Cette appréciation ne prête pas le flanc à la critique.

Il ressort en effet des faits établis par la cour cantonale que l’intimé n’a pas réagi à l’opposition formée par le recourant au commandement de payer qu’il lui a fait notifier pour un montant de 3’147 fr. 85, puisqu’il n’a pas requis la mainlevée de cette opposition et a déclaré attendre l’issue de la procédure pénale pour faire valoir ses prétentions devant le juge civil. L’intimé a ainsi modifié son comportement, en subissant l’influence du recourant, dans ce sens qu’il n’a pas donné la suite qu’il envisageait à la poursuite qu’il avait introduite contre le recourant. Le résultat recherché par le recourant s’est ainsi produit, à savoir que l’intimé a mis un terme à la procédure de poursuite qu’il avait engagée et abandonné le recouvrement de sa créance. Cette constatation est suffisante pour admettre que l’intimé a adopté le comportement voulu par le recourant en se laissant intimider par le moyen de pression abusif employé par celui-ci et que, partant, le résultat de la contrainte au sens de l’art. 181 CP s’est produit. Ainsi, l’argument du recourant, selon lequel l’intimé n’aurait pas cédé à la pression, dès lors que ce dernier n’a pas retiré sa poursuite après s’être fait notifier le commandement de payer litigieux, tombe à faux.

En outre, le fait que l’intimé ait invité, début juillet 2020, le recourant à renoncer à invoquer la prescription de sa créance afin de sauvegarder ses droits, dont la péremption approchait en raison du comportement répréhensible du recourant, ne change rien au fait qu’après s’être fait notifier le commandement de payer de 300’000 fr., l’intimé a modifié son comportement en renonçant à poursuivre le recouvrement de sa créance par la voie de l’exécution forcée.

Enfin, le fait que l’intimé ait formé opposition au commandement de payer litigieux n’a pas d’incidence sur la survenance du résultat de l’infraction et ne permet pas de remettre en cause l’appréciation de la cour cantonale qui a examiné, à juste titre, les conséquences de l’acte reproché au recourant sur la continuation de la procédure de poursuites introduite par l’intimé. On ne décèle en effet pas de rapport entre l’opposition formée par l’intimé au commandement de payer litigieux et la renonciation de ce dernier à poursuivre la procédure de poursuite qu’il avait engagée en vue du paiement de sa propre créance.

Compte tenu de ce qui précède, il n’y a pas lieu d’admettre que l’exécution de l’infraction ne serait restée qu’au stade de la tentative. Le grief du recourant est donc rejeté.

(Arrêt du Tribunal fédéral 6B_1116/2021 du 22 juin 2022)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Droit pénal | Tagué 181 CP, commandement de payer, contrainte, tentative | Laisser un commentaire

Le licenciement du Data Protection Officer

Publié le 23 juin 2022 par Me Philippe Ehrenström

La CJUE, dans le cadre d’une demande de décision préjudicielle portant sur l’interprétation et la validité de l’article 38, paragraphe 3, deuxième phrase RGPD, examine si le droit national peut prévoir qu’un responsable de traitement ou un sous-traitant ne peut licencier un délégué à la protection des données (DPO) qui est membre de son personnel, que pour un motif grave, comme le prévoit le droit allemand. En d’autres termes, une règlementation d’un Etat membre subordonnant le licenciement d’un DPO à des conditions plus strictes que le droit de l’Union est-elle admissible ? (CJUE, arrêt du 22 juin 2022, Leistrit AG, C-534/20, EU :C :2022 :495 ; lien : https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:62020CJ0534&from=EN)

La demande de décision préjudicielle a été présentée dans le cadre d’un litige opposant Leistritz AG à LH, qui exerçait les fonctions de déléguée à la protection des données au sein de cette société, au sujet de la rupture de son contrat de travail, motivée par une réorganisation des services de ladite société.

Les considérants 10 et 97 du RGPD énoncent : « (10) Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union, le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union. […] […] (97) […] [Les] délégués à la protection des données, qu’ils soient ou non des employés du responsable du traitement, devraient être en mesure d’exercer leurs fonctions et missions en toute indépendance.

L’article 37 du RGPD, intitulé « Désignation du délégué à la protection des données », se lit comme suit : « 1. Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque : a) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ; b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10. […] 6. Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service. […] »

L’article 38 du RGPD, intitulé « Fonction du délégué à la protection des données », prévoit, à ses paragraphes 3 et 5 : « 3. Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice des missions. Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions. Le délégué à la protection des données fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant. […] 5. Le délégué à la protection des données est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de ses missions, conformément au droit de l’Union ou au droit des États membres. »

L’article 39 du RGPD, intitulé « Missions du délégué à la protection des données », dispose, à son paragraphe 1, sous b) : « Les missions du délégué à la protection des données sont au moins les suivantes : […] b) contrôler le respect du présent règlement, d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant ; […] »

En droit allemand, l’article 6 du Bundesdatenschutzgesetz (loi fédérale sur la protection des données), du 20 décembre 1990 (BGBl. 1990 I, p. 2954), dans sa version en vigueur du 25 mai 2018 au 25 novembre 2019 (BGBl. 2017 I, p. 2097) (ci-après le « BDSG »), intitulé « Fonction », dispose, à son paragraphe 4 : « La ou le délégué à la protection des données ne peut être relevé(e) de ses fonctions que dans le cadre d’une application par analogie de l’article 626 du Bürgerliches Gesetzbuch [(code civil), dans sa version publiée le 2 janvier 2002 (BGBl. 2002 I, p. 42, et rectificatifs BGBl. 2002 I, p. 2909, et BGBl. 2003 I, p. 738)]. Le licenciement d’un(e) délégué(e) à la protection des données est illégal, à moins que les faits n’autorisent l’organisme public à procéder à son licenciement pour motif grave sans respecter de délai de préavis. Après la cessation des fonctions de délégué(e) à la protection des données, le licenciement est illégal pendant un an, à moins que l’organisme public ne soit autorisé à procéder au licenciement pour motif grave sans respecter de délai de préavis. »

L’article 38 du BDSG, intitulé « Délégués à la protection des données d’organismes non publics », prévoit : « (1) En complément de l’article 37, paragraphe 1, sous b) et c), du [RGPD], le responsable du traitement et le sous-traitant désignent un(e) délégué(e) à la protection des données dès lors qu’ils emploient habituellement au moins dix personnes affectées en permanence au traitement automatisé de données à caractère personnel. […] (2) L’article 6, paragraphe 4, paragraphe 5, deuxième phrase, et paragraphe 6, est applicable ; toutefois, l’article 6, paragraphe 4, ne s’applique que lorsque la désignation d’un(e) délégué(e) à la protection des données est obligatoire. »

L’article 134 du code civil, dans sa version publiée le 2 janvier 2002 (ci-après le « code civil »), intitulé « Interdiction légale », se lit comme suit : « Tout acte juridique contraire à une interdiction légale est nul à moins que la loi n’en dispose autrement. »

L’article 626 du code civil, intitulé « Résiliation sans préavis pour motif grave », dispose : « (1) Chacune des parties au contrat peut résilier la relation de travail pour motif grave sans respecter de délai de préavis lorsque, en raison de certains faits, la poursuite de la relation de travail jusqu’à l’expiration du délai de préavis ou jusqu’au terme convenu de la relation de travail ne peut pas être exigée de la partie qui résilie, eu égard à toutes les circonstances du cas d’espèce et compte tenu des intérêts des deux parties au contrat

Les juges du fond saisis par LH de la contestation de la validité de son licenciement ont décidé que ce licenciement était invalide, dès lors que, conformément aux dispositions combinées de l’article 38, paragraphe 2, et de l’article 6, paragraphe 4, deuxième phrase, du BDSG, LH pouvait uniquement, du fait de sa qualité de déléguée à la protection des données, être licenciée sans préavis pour motif grave. Or, la mesure de restructuration décrite par Leistritz ne constituerait pas un tel motif.

La juridiction de renvoi, saisie du recours en Revision formé par Leistritz, fait observer que, au regard du droit allemand, le licenciement de LH est nul en application de ces dispositions et de l’article 134 du code civil. Elle relève toutefois que l’applicabilité de l’article 38, paragraphe 2, et de l’article 6, paragraphe 4, deuxième phrase, du BDSG dépend du point de savoir si le droit de l’Union et, en particulier, l’article 38, paragraphe 3, deuxième phrase, du RGPD autorisent une réglementation d’un État membre subordonnant le licenciement d’un délégué à la protection des données à des conditions plus strictes que celles prévues par le droit de l’Union.

La juridiction de renvoi demande, en substance, si l’article 38, paragraphe 3, deuxième phrase, du RGPD doit être interprété en ce sens qu’il s’oppose à une réglementation nationale prévoyant qu’un responsable du traitement ou un sous-traitant ne peut licencier un délégué à la protection des données qui est membre de son personnel que pour un motif grave, même si le licenciement n’est pas lié à l’exercice des missions de ce délégué.

En premier lieu, s’agissant du libellé de la disposition en cause, il convient de rappeler que l’article 38, paragraphe 3, du RGPD dispose, à sa deuxième phrase, que « [l]e délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions ». Le RGPD ne définit pas les termes « relevé de ses fonctions », « pénalisé » et « pour l’exercice de ses missions », figurant à cet article 38, paragraphe 3, deuxième phrase.

Cela étant, premièrement, conformément au sens de ces termes dans le langage courant, l’interdiction faite au responsable du traitement ou au sous-traitant de relever un délégué à la protection des données de ses fonctions ou de le pénaliser signifie que ce délégué doit être protégé contre toute décision par laquelle il serait mis fin à ses fonctions, par laquelle il subirait un désavantage ou qui constituerait une sanction. À cet égard, est susceptible de constituer une telle décision une mesure de licenciement d’un délégué à la protection des données qui serait prise par son employeur et qui mettrait fin à la relation de travail existant entre ce délégué et cet employeur ainsi que, partant, également à la fonction de délégué à la protection des données au sein de l’entreprise concernée.

Deuxièmement, l’article 38, paragraphe 3, deuxième phrase, du RGPD s’applique indistinctement tant au délégué à la protection des données qui est un membre du personnel du responsable du traitement ou du sous-traitant qu’à celui qui exerce ses missions sur la base d’un contrat de service conclu avec ces derniers, conformément à l’article 37, paragraphe 6, du RGPD. Il s’ensuit que l’article 38, paragraphe 3, deuxième phrase, du RGPD a vocation à s’appliquer aux relations entre un délégué à la protection des données et un responsable du traitement ou un sous-traitant, indépendamment de la nature de la relation de travail unissant ce délégué à ces derniers.

Troisièmement, il convient de relever que cette disposition fixe une limite qui consiste à interdire le licenciement d’un délégué à la protection des données pour un motif tiré de l’exercice de ses missions, lesquelles comprennent, en particulier, en vertu de l’article 39, paragraphe 1, sous b), du RGPD, le contrôle du respect des dispositions du droit de l’Union ou du droit des États membres en matière de protection des données ainsi que des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel.

En deuxième lieu, en ce qui concerne l’objectif poursuivi par l’article 38, paragraphe 3, deuxième phrase, du RGPD, il y a lieu de souligner, premièrement, que le considérant 97 de ce dernier énonce que les délégués à la protection des données, qu’ils soient ou non des employés du responsable du traitement, devraient être en mesure d’exercer leurs fonctions et missions en toute indépendance. À cet égard, une telle indépendance doit nécessairement leur permettre d’exercer ces missions conformément à l’objectif du RGPD, qui vise notamment, ainsi qu’il ressort de son considérant 10, à assurer un niveau élevé de protection des personnes physiques au sein de l’Union et, à cette fin, à assurer une application cohérente et homogène des règles de protection des libertés et des droits fondamentaux de ces personnes à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union

Deuxièmement, l’objectif visant à garantir l’indépendance fonctionnelle du délégué à la protection des données, tel qu’il découle de l’article 38, paragraphe 3, deuxième phrase, du RGPD, ressort également de cet article 38, paragraphe 3, première et troisième phrases, qui impose que ce délégué ne reçoive aucune instruction en ce qui concerne l’exercice de ses missions et fasse directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant, ainsi que dudit article 38, paragraphe 5, qui prévoit, s’agissant de cet exercice, que ledit délégué est soumis au secret professionnel ou à une obligation de confidentialité.

Ainsi, l’article 38, paragraphe 3, deuxième phrase, du RGPD, en protégeant le délégué à la protection des données contre toute décision qui mettrait fin à ses fonctions, lui ferait subir un désavantage ou qui constituerait une sanction, lorsqu’une telle décision serait en relation avec l’exercice de ses missions, doit être considéré comme visant essentiellement à préserver l’indépendance fonctionnelle du délégué à la protection des données et, partant, à garantir l’effectivité des dispositions du RGPD. Cette disposition n’a, en revanche, pas pour objet de régir globalement les relations de travail entre un responsable du traitement ou un sous-traitant et des membres de son personnel, lesquelles ne sont susceptibles d’être affectées que de manière accessoire, dans la mesure strictement nécessaire à la réalisation de ces objectifs.

Cette interprétation est corroborée, en troisième lieu, par le contexte dans lequel s’inscrit ladite disposition et, en particulier, par la base juridique sur le fondement de laquelle le législateur de l’Union a adopté le RGPD.

En effet, il ressort du préambule du RGPD que celui-ci a été adopté sur le fondement de l’article 16 TFUE, dont le paragraphe 2 prévoit notamment que le Parlement européen et le Conseil de l’Union européenne, statuant conformément à la procédure législative ordinaire, fixent les règles relatives, d’une part, à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union, ainsi que par les États membres dans l’exercice d’activités qui relèvent du champ d’application du droit de l’Union, et, d’autre part, à la libre circulation de ces données. En revanche, hormis la protection spécifique du délégué à la protection des données prévue à l’article 38, paragraphe 3, deuxième phrase, du RGPD, la fixation de règles relatives à la protection contre le licenciement d’un délégué à la protection des données employé par un responsable du traitement ou par un sous-traitant ne relève ni de la protection des personnes physiques à l’égard du traitement des données à caractère personnel ni de la libre circulation de ces données, mais du domaine de la politique sociale.

À cet égard, il y a lieu de rappeler, d’une part, que, en vertu de l’article 4, paragraphe 2, sous b), TFUE, l’Union et les États membres disposent, dans le domaine de la politique sociale, pour les aspects définis dans le traité FUE, d’une compétence partagée, au sens de l’article 2, paragraphe 2, TFUE. D’autre part, ainsi que le précise l’article 153, paragraphe 1, sous d), TFUE, l’Union soutient et complète l’action des États membres dans le domaine de la protection des travailleurs en cas de résiliation du contrat de travail.

Cela étant, ainsi qu’il résulte de l’article 153, paragraphe 2, sous b), TFUE, c’est par voie de directives que le Parlement et le Conseil peuvent arrêter des prescriptions minimales à cet égard, de telles prescriptions minimales ne pouvant, selon la jurisprudence de la Cour, au regard de l’article 153, paragraphe 4, TFUE, empêcher un État membre de maintenir ou d’établir des mesures de protection plus strictes, compatibles avec les traités.

Il s’ensuit que chaque État membre est libre, dans l’exercice de sa compétence retenue, de prévoir des dispositions particulières plus protectrices en matière de licenciement du délégué à la protection des données, pour autant que ces dispositions soient compatibles avec le droit de l’Union et, en particulier, avec les dispositions du RGPD, notamment son article 38, paragraphe 3, deuxième phrase. En particulier une telle protection accrue ne saurait compromettre la réalisation des objectifs du RGPD. Or, tel serait le cas si celle-ci empêchait tout licenciement, par un responsable du traitement ou par un sous-traitant, d’un délégué à la protection des données qui ne possèderait plus les qualités professionnelles requises pour exercer ses missions ou qui ne s’acquitterait pas de celles-ci conformément aux dispositions du RGPD.

Eu égard aux considérations qui précèdent, il y a lieu de conclure que l’article 38, paragraphe 3, deuxième phrase, du RGPD doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale prévoyant qu’un responsable du traitement ou un sous-traitant ne peut licencier un délégué à la protection des données qui est membre de son personnel que pour un motif grave, même si le licenciement n’est pas lié à l’exercice des missions de ce délégué, pour autant qu’une telle réglementation ne compromette pas la réalisation des objectifs du RGPD.

[Nous avions par ailleurs déjà traité, sur ce site, du contrat de travail du Data Protection Officer (https://droitdutravailensuisse.com/2021/07/13/le-contrat-de-travail-du-data-protection-officer-dpo/)]

[Addendum: sur cette base, le Bundesarbeitsgericht (All.) a rendu le 24.08.2022 un arrêt Az. 2 AZR 225/20 (https://rewis.io/urteile/urteil/rh8-25-08-2022-2-azr-22520/?q=dsgvo; présenté aussi ici: https://gdprhub.eu/index.php?title=BAG_-_2_AZR_225/20&mtc=today)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Licenciement abusif, Protection des données, RGPD | Tagué 38 § 3 RGPD, CJUE, Data Protection Officer, DPO, droit allemand, faute grave, Leistrit, licenciement | Laisser un commentaire

Travail, protection des données et IA

Nullité du congé prononcé pendant une période de protection, maxime des débats

Géolocalisation de véhicules de location

Les dispositifs de vidéo augmentée dans l’espace public

Conflit avec l’employeur: que faire?

Rh tech, web scraping et protection des données

La décision individuelle automatisée

Ransomware: faut-il payer la rançon?

Bail à loyer, formule officielle et faux dans les titres

Commandement de payer, contrainte (art. 181 CP)

Le licenciement du Data Protection Officer

Articles récents

Catégories

Méta

S'abonner au blog via courriel

Partager:

Partager:

Partager:

Partager:

Partager:

Partager:

Partager:

Partager:

Partager:

Partager:

Articles récents

Catégories

Méta

S'abonner au blog via courriel