Demande d’accès à des documents officiels, refus basé sur l’intérêt public (sécurité informatique)

Publié le 12 avril 2022 par Me Philippe Ehrenström
Photo de Kateryna Babaieva sur Pexels.com

Le 25 septembre 2020, A.________ a requis auprès de la Centrale des autorisations en matière de construction du canton de Vaud (CAMAC) la communication du ou des rapport (s) d’audit de sécurité de la société B.________ Sàrl transmis au comité de pilotage – COPIL – concernant l’application ACTIS (application de saisie, de traitement et de suivi des demandes de permis de construire et des dossiers de construction) depuis 2015, moyennant éventuel caviardage des noms des collaborateurs et collaboratrices de l’Etat de Vaud. Il se fondait sur la loi vaudoise du 24 septembre 2002 sur l’information (LInfo; RS/VD 170.21). La requête a été transmise à la Direction générale du numérique et des systèmes d’information (DGNSI) comme objet de sa compétence. Par décision du 21 octobre 2020, la DGNSI a refusé l’accès au document, identifié comme étant le « «Test d’intrusion – ACTIS » B.________ Sàrl, 2017 », soit un rapport de tests de sécurité portant sur les vulnérabilités de la plateforme ACTIS, les manières d’exploiter ces failles et les actions pour y remédier. Elle a retenu qu’un intérêt public prépondérant s’opposait à la communication de ce document, qui contenait des informations « très sensibles du point de vue de la sécurité informatique ».

Par arrêt du 30 mars 2021, la Cour de droit administratif et public du Tribunal cantonal vaudois (CDAP) a rejeté le recours formé par A.________ et confirmé la décision de la DGNSI. Se référant à un précédent arrêt du 14 juillet 2020, la CDAP a considéré que le test d’intrusion faisait état des vulnérabilités concrètes de l’application et des correctifs nécessaires non seulement pour la plateforme ACTIS mais aussi pour d’autres applications et systèmes connexes de l’Etat de Vaud. La divulgation de ces informations présentait un risque accru de piratage; il y avait donc un risque pour la sécurité et l’ordre public au sens de l’art. 16 al. 2 let. b LInfo, qu’il s’agisse des vulnérabilités auxquelles il avait été remédié ou des problèmes de sécurité non encore résolus. Un caviardage n’était pas envisageable.

Par acte du 30 avril 2021, A.________ déclare recourir au Tribunal fédéral contre l’arrêt cantonal. Il en demande l’annulation et conclut à ce que la CDAP rende une nouvelle décision dans le sens d’une reconnaissance du droit d’accès.

Selon l’art. 8 al. 1 LInfo, les renseignements, informations et documents officiels détenus par les organismes soumis à la loi sont par principe accessibles au public. Il n’est en l’occurrence pas contesté que le rapport dont le recourant réclame la communication constitue un document officiel tel que défini à l’art. 9 LInfo, ni que la DGNSI fait partie des organes de l’Etat soumis au principe de transparence (art. 2 al. 1 let. a LInfo).

Conformément à l’art. 8 al. 2 LInfo, le chapitre 4 de la loi fixe les limites au droit d’accès. Les art. 16 et 17 LInfo ont la teneur suivante:

Art. 16 Intérêts prépondérants

1 Les autorités peuvent à titre exceptionnel décider de ne pas publier ou transmettre des informations, de le faire partiellement ou différer cette publication ou transmission si des intérêts publics ou privés prépondérants s’y opposent.

2 Des intérêts publics prépondérants sont en cause lorsque :

a. la diffusion d’informations, de documents, de propositions, d’actes et de projets d’actes est susceptible de perturber sensiblement le processus de décision ou le fonctionnement des autorités;

b. une information serait susceptible de compromettre la sécurité ou l’ordre publics;

c. le travail occasionné serait manifestement disproportionné;

d. les relations avec d’autres entités publiques seraient perturbées dans une mesure sensible.

3 Sont réputés intérêts privés prépondérants :

a. la protection contre une atteinte notable à la sphère privée, sous réserve du consentement de la personne concernée;

b. la protection de la personnalité dans des procédures en cours devant les autorités;

c. le secret commercial, le secret professionnel ou tout autre secret protégé par la loi.

Art. 17 Refus partiel

1 Le refus de communiquer un renseignement ou un document conformément à l’article 16 ne vaut le cas échéant que pour la partie du renseignement ou du document concerné par cet article et tant que l’intérêt public ou privé prépondérant existe.

2 L’organisme sollicité s’efforce de répondre au moins partiellement à la demande, au besoin en ne communiquant pas ou en masquant les renseignements ou les parties d’un document concernés par l’intérêt public ou privé prépondérant.

 Comme le relève la cour cantonale, le motif de refus d’accès fondé sur l’existence d’un intérêt public prépondérant au sens de l’art. 16 al. 2 LInfo ne doit être admis que lorsqu’il existe un risque à la fois important et sérieux d’atteinte à un tel intérêt, sous peine de remettre en cause le principe général de transparence posé à l’art. 8 al. 1 LInfo, principe selon lequel la non-transmission d’informations doit rester l’exception. Dans ce cadre, le fardeau de la preuve revient à l’autorité qui s’oppose au droit d’accès mais celle-ci ne doit pas nécessairement apporter la preuve absolue d’une atteinte aux intérêts protégés: comme cela ressort notamment du libellé de l’art. 16 al. 2 let. b LInfo (« serait susceptible de compromettre… »), une certaine vraisemblance est suffisante. 

 Intitulé « Test d’intrusion – ACTIS, Présentation des résultats », le document litigieux est une présentation powerpoint d’une cinquantaine de pages. Il présente notamment le nombre de vulnérabilités identifiées sur la plateforme en question et les risques liés à chacune d’elles, ainsi que l’effort et le temps estimés pour y remédier. Par définition, les indications qui figurent dans ce document sont très sensibles puisqu’elles identifient les failles de sécurité du système ainsi que la manière de les exploiter. La diffusion de telles informations faciliterait à l’évidence des opérations de piratage de l’application. S’agissant d’une plateforme développée au niveau cantonal pour la gestion des permis de construire, il apparaît évident qu’un acte de piratage pourrait perturber les procédures en matière de construction sur une large échelle, et compromettrait la confidentialité et l’intégrité de données qui peuvent s’avérer sensibles. Un tel risque peut, à tout le moins sans arbitraire, être qualifié de grave. La manière dont le document a été transmis à la cour cantonale (non pas en main propre mais par courrier recommandé, comme cela se fait habituellement pour les communications avec les instances judiciaires) ne permet aucunement de remettre en cause l’existence d’un tel risque. 

A la lecture du document en question, on ignore les vulnérabilités auxquelles il a pu être remédié (et dans quelle mesure) et celles qui demeureraient encore actuellement. La réponse à cette question nécessiterait donc une interpellation supplémentaire de l’administration concernée. Dans sa réponse, la DGNSI indique que les problèmes de sécurité de la plateforme ACTIS ne sont pas entièrement résolus, les vulnérabilités constatées affectant des systèmes et applications connexes, ce qui complexifie leur traitement. Quoi qu’il en soit, on ne saurait prétendre, comme le fait le recourant, que la révélation des failles de sécurité qui auraient été entretemps réparées ne présenterait pas de risque. De telles indications peuvent notamment mettre en évidence des points sensibles de l’application et faciliter les tentatives d’intrusion, de blocage ou de détournement. L’arrêt attaqué ne comporte au demeurant aucune contradiction avec le précédent arrêt de la CDAP (GE.2019.0010 du 4 octobre 2019) autorisant la remise d’un procès-verbal du COPIL – ACTIS, après caviardage de toutes les informations liées aux problèmes de sécurité. Ce premier arrêt relève que les renseignements sur les vulnérabilités d’un système informatique ne doivent pas être accessibles, même si l’autorité estime, à raison ou à tort, que la vulnérabilité a été comblée (consid. 4b/bb). C’est dès lors également sans arbitraire que le risque a été reconnu comme encore actuel, quelles que soient les vulnérabilités concernées.

 Le recourant estime que son intérêt à connaître les risques liés à l’utilisation de l’application aurait été ignoré. Il méconnaît que, dans le système de la LInfo comme dans celui des autres lois cantonales et fédérale (LTrans, RS 152.3) sur la transparence, c’est le législateur qui procède à une pesée anticipée des intérêts en présence. L’autorité, puis le juge, doit dès lors se borner à vérifier que les conditions légales pour une restriction d’accès (en l’occurrence l’art. 16 al. 2 let. b LInfo) sont remplies (ATF 144 II 77 consid. 3; arrêt 1C_692/2020 du 9 décembre 2021 consid. 2.1). 

 C’est également en vain que le recourant réclame une version caviardée du document. Comme cela est relevé ci-dessus, les indications sur les vulnérabilités qui auraient été supprimées ne peuvent être révélées, de sorte que c’est le document dans sa quasi-totalité qui devrait être caviardé et ne présenterait ainsi aucun intérêt du point de vue de la transparence de l’administration. La seule information que l’on pourrait retirer d’un document caviardé est le nombre approximatif de failles de sécurité qui ont été détectées, voire – selon la version caviardée produite au dossier – leur gravité. Une telle indication est toutefois elle aussi susceptible d’attirer l’attention de personnes malveillantes et doit, par conséquent, rester secrète. 

Reposant sur des raisons pertinentes et dûment expliquées, l’arrêt attaqué n’apparaît en définitive arbitraire ni dans ses motifs, ni dans son résultat. Le recours doit par conséquent être rejeté, dans la mesure où il est recevable, aux frais de son auteur (art. 66 al. 1 LTF).

(Arrêt du tribunal fédéral 1C_235/2021 du 17 mars 2022)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans transparence | Tagué , , , , , | Laisser un commentaire

Violation de l’obligation de conclure une assurance de prévoyance surobligatoire pour l’employé, prescription

Publié le 8 avril 2022 par Me Philippe Ehrenström
Photo de Charles Parker sur Pexels.com

Le Tribunal fédéral n’avait pas encore eu l’occasion de se prononcer sur le délai de prescription applicable à la prétention en dommages-intérêts pour violation de l’obligation contractuelle découlant du contrat de travail de conclure une assurance de prévoyance surobligatoire en faveur de l’employé. Il le fait aujourd’hui curieusement au détours un arrêt qui n’est pas destiné à la publication (sic !). On restituera donc ci-après ces développements, qui me semblent d’une certaine importance pratique dans les contrats de cadre notamment :

La cour cantonale a considéré que les prétentions du travailleur constituent [notamment] des dommages-intérêts pour inexécution de l’obligation de conclure une assurance surobligatoire, fondée sur l’art. 97 al. 1 CO. Elle a jugé que l’arrêt 4C.175/2004 du 31 août 2004 n’est pas déterminant pour la question ici posée [prescription] [en tant que, dans cet arrêt, la prétention avait un caractère de salaire. Partant, la prescription décennale de l’art. 127 CO est selon elle applicable. 

La recourante [l’employeuse] soutient que la prétention du travailleur relative à l’assurance  » bel étage  » est une composante du salaire, qu’elle se prescrit par cinq ans (art. 128 ch. 3 CO) et non par dix ans (art. 127 CO) et que les prétentions antérieures à 2010 sont donc prescrites. Elle tire argument du fait que l’intimé a indiqué, dans sa demande du 27 mai 2016, que  » les assurances LPP sur-obligatoires  » spéciales cadres  » constituent […] un véritable élément de rémunération qui est offert au travailleur « .

De son côté, le travailleur intimé fait valoir que l’art. 128 ch. 3 CO est une disposition exceptionnelle qui doit être appliquée de manière restrictive et qui ne vise que les créances qui présentent la caractéristique d’être un salaire. Selon lui, tel ne serait pas le cas de sa créance en dommages-intérêts pour non-conclusion de l’assurance de prévoyance surobligatoire, son dommage consistant en la non-augmentation de son avoir de prévoyance en sa faveur; la prévoyance professionnelle ne serait pas une créance de salaire puisqu’elle ne vise pas à rémunérer le travail effectué par le travailleur, mais à lui garantir une prévoyance adéquate pour sa retraite. On ne saurait la comparer à une assurance perte de gain pour cause de maladie qui, elle, remplace le salaire dû en vertu de l’art. 324a CO.

Qu’en est-il ?

 Conformément à l’art. 127 CO, toutes les actions se prescrivent par dix ans, lorsque le droit civil fédéral n’en dispose pas autrement. Tel est notamment le cas de l’art. 128 ch. 3 CO, qui prévoit un délai de prescription de cinq ans pour  » les actions des travailleurs pour leurs services « .

 Selon la jurisprudence, le texte de l’art. 128 ch. 3 CO relatif aux travailleurs a une formulation large (ATF 147 III 78 consid. 6.5; 136 III 94 consid. 4.1). Cette disposition ne distingue pas les différents types de prétentions que pourrait faire valoir le travailleur sur la base de son contrat de travail et vise, comme dans sa version d’origine, à favoriser la liquidation rapide des créances en rémunération des affaires courantes (ATF 147 III 78 consid. 6.5-6.6 et les références citées). 

En tant que l’art. 128 CO constitue une exception à l’art. 127 CO, il doit être appliqué restrictivement (ATF 147 III 78 consid. 6.7 et la référence citée; 123 III 120 consid. 2a et les références citées).

Le Tribunal fédéral n’a pas encore eu l’occasion de se prononcer sur le délai de prescription applicable à la prétention en dommages-intérêts pour violation de l’obligation contractuelle du contrat de travail de conclure une assurance de prévoyance surobligatoire. Certes, dans une affaire dans laquelle l’employeuse n’avait pas payé les primes d’une assurance perte de gain pour cause de maladie, la Cour de céans a jugé que la créance en dommages-intérêts du travailleur, bien qu’elle découlait de la violation de l’obligation contractuelle d’assurer le travailleur (art. 97 CO), était soumise au délai de prescription quinquennal de l’art. 128 ch. 3 CO (arrêt 4C.175/2004 consid. 3). Il ne peut toutefois être tiré de conclusion définitive de cette jurisprudence pour le cas présent dès lors que, comme le relève l’intimé, les indemnités journalières remplacent le salaire dû conformément à l’art. 324b al. 1 CO.

 La doctrine ne s’est pas non plus prononcée sur cette question. 

De manière générale, la doctrine majoritaire distingue, en ce qui concerne les prétentions du travailleur, entre les créances de salaire au sens large ou pécuniaires, soumises au délai de prescription quinquennal de l’art. 128 ch. 3 CO, et les autres prétentions que pourrait faire valoir le travailleur sur la base de son contrat de travail, qui sont en général sujettes au délai de prescription de dix ans prévu à l’art. 127 CO (cf. toutefois l’art. 128a CO) (cf. ATF 147 III 78 consid. 6.5 et les références citées).

Selon cette distinction, sont entre autres visés par l’art. 128 ch. 3 CO le salaire de base, le 13e salaire, la participation au résultat de l’exploitation, la provision, la gratification, le bonus, les congés et vacances, la rétribution des heures supplémentaires et les allocations familiales […].  

La doctrine considère en revanche que sont, en principe, soumises à la règle générale de l’art. 127 CO les autres créances découlant du contrat de travail, soit, d’une part, les prétentions de l’employeur et, d’autre part, celles du travailleur qui ne sont pas couvertes par l’art. 128 ch. 3 CO, soit notamment les prétentions en dommages-intérêts fondées sur les art. 49 (tort moral), 328 (protection de la personnalité du travailleur), 336a (indemnité en cas de résiliation abusive), 337b (résiliation immédiate justifiée) ou 337c CO (résiliation immédiate injustifiée) […]

 Pour déterminer le délai de prescription applicable à la prétention en dommages-intérêts du travailleur suite à la violation, par l’employeur, de son obligation contractuelle de conclure en sa faveur une assurance de prévoyance surobligatoire, il faut se baser sur la nature de cette prétention. 

Le salaire peut être défini comme la  » contre-prestation principale de l’employeur à la prestation de services du travailleur « . Dans le contexte de l’art. 128 ch. 3 CO, il s’agit de tenir compte de la notion de salaire dans un sens large. En règle générale, est donc visée par cette disposition toute contre-prestation de l’employeur à la prestation de services du travailleur

En tant qu’elle vise à améliorer la situation patrimoniale du travailleur en échange de ses services, la convention selon laquelle un employeur s’engage à mettre le travailleur au bénéfice d’une prévoyance surobligatoire doit ainsi être comprise comme une composante du salaire au sens large; elle est dès lors soumise au délai de prescription de cinq ans prévu à l’art. 128 ch. 3 CO. C’est donc à tort que l’autorité précédente a appliqué le délai de prescription décennal de l’art. 127 CO au seul motif que la prétention du travailleur constitue une prétention en dommages-intérêts.

(Arrêt du Tribunal fédéral 4A_402/2021 du 14 mars 2022, consid. 4)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Prévoyance, Procédure, Salaire | Tagué , , , , , , | Laisser un commentaire

Droit au chômage: situation professionnelle comparable à celle d’un employeur

Publié le 3 avril 2022 par Me Philippe Ehrenström
Photo de Lisa Fotios sur Pexels.com

En vertu de l’art. 8 LACI, l’assuré a droit à l’indemnité de chômage s’il remplit, de manière cumulative, les conditions prévues à l’alinéa premier de cette disposition.

Toutefois, de jurisprudence constante et indépendamment de ces conditions, un travailleur qui jouit d’une situation professionnelle comparable à celle d’un employeur n’a pas droit à l’indemnité de chômage lorsque, bien que licencié formellement par une entreprise, il continue de fixer les décisions de l’employeur ou à influencer celles-ci de manière déterminante. Dans le cas contraire, en effet, on détournerait par le biais d’une disposition sur l’indemnité de chômage la réglementation en matière d’indemnités en cas de réduction de l’horaire de travail, en particulier l’art. 31 al. 3 let. c LACI (voir ATF 123 V 234; arrêt TF 8C_776/2011 du 14 novembre 2012 consid. 3.2 et les références citées).

En cela, la jurisprudence fait référence à l’art. 31 al. 3 let. c LACI. Selon cette disposition, n’ont pas droit à l’indemnité en cas de réduction de l’horaire de travail les personnes qui fixent les décisions que prend l’employeur – ou peuvent les influencer « considérablement » – en qualité d’associé, de membre d’un organe dirigeant de l’entreprise ou encore de détenteur d’une participation financière à l’entreprise. Cela vaut aussi pour les conjoints de ces personnes qui sont occupés dans l’entreprise. Dans ce sens, il existe un étroit parallélisme entre l’indemnité en cas de réduction de l’horaire de travail et le droit à l’indemnité de chômage. Celui-ci repose sur le fait qu’un travailleur licencié disposant d’un pouvoir d’influer sur les décisions de la société peut, à tout moment, décider de son propre réengagement de sorte que la perte de travail est comparable à une réduction de l’horaire de travail avec cessation momentanée d’activité. La situation est en revanche différente quand le salarié, se trouvant dans une position assimilable à celle de l’employeur, quitte définitivement l’entreprise en raison de la fermeture de celle-ci; il en va de même lorsque l’entreprise continue d’exister mais que le salarié, par suite de la résiliation de son contrat, rompt définitivement tout lien avec la société. Dans un cas comme dans l’autre, l’intéressé peut en principe prétendre à des indemnités de chômage (ATF 123 V 234 consid. 7b/bb p. 238; arrêt TF 8C_776/2011 du 14 novembre 2012 consid. 3.2 et les références).

Le Tribunal fédéral se montre particulièrement rigoureux, considérant qu’aussi longtemps qu’une personne ayant occupé une fonction dirigeante maintient des liens avec sa société, la perte de travail qu’elle subit est réputée incontrôlable et la possibilité subsiste d’en poursuivre le but social. Ainsi, ce n’est pas seulement l’abus avéré que la loi et la jurisprudence entendent sanctionner, mais déjà le risque d’abus que représente le versement d’indemnités à des personnes pouvant conserver une influence sur la perte de travail qu’elles subissent (ATF 123 V 234 consid. 7b/bb; arrêt TF 8C_1004/2010 du 29 juin 2011 consid. 5.2). Lorsqu’il s’agit de déterminer quelle est la possibilité effective d’un dirigeant d’influencer le processus de décision de l’entreprise, il convient de prendre en compte les rapports internes existant dans l’entreprise. On établira l’étendue du pouvoir de décision en fonction des circonstances concrètes (DTA 1996/1997 n. 41 p. 227 s. consid. 1b et 2; SVR 1997 ALV n. 101 p. 311 consid. 5c)

Dans le droit des assurances sociales, la règle du degré de vraisemblance prépondérante est généralement appliquée. Dans ce domaine, le juge fonde sa décision, sauf dispositions contraires de la loi, sur les faits qui, faute d’être établis de manière irréfutable, apparaissent comme les plus vraisemblables. Il ne suffit donc pas qu’un fait puisse être considéré seulement comme une hypothèse possible. Parmi tous les éléments de fait allégués ou envisageables, le juge doit, le cas échéant, retenir ceux qui lui paraissent les plus probables. Aussi n’existe-t-il pas, en droit des assurances sociales, un principe selon lequel l’administration ou le juge devrait statuer, dans le doute, en faveur de l’assuré. Si, malgré les moyens mis en œuvre d’office par le juge pour établir la vérité du fait allégué par une partie, conformément au principe inquisitoire, ou par les parties selon le principe de leur obligation de collaborer, la preuve de ce fait ne peut être rapportée avec une vraisemblance prépondérante pour emporter la conviction du tribunal, c’est à la partie qui entendait en déduire un droit d’en supporter les conséquences. Dans cette mesure, en droit des assurances sociales, le fardeau de la preuve n’est pas subjectif, mais objectif.

En l’espèce, il convient d’examiner si c’est à juste titre que l’autorité intimée a refusé au recourant le droit à l’indemnité de chômage. Dans ses différents mémoires, ce dernier affirme, en substance, qu’il remplit les conditions du droit à l’indemnité de chômage dans la mesure où il a travaillé six mois au sein d’une entreprise tierce après son départ de l’entreprise de sa femme. Le recourant se réfère en cela au contenu du Bulletin LACI ICI Marché du travail/assurance[1]chômage (ci-après: Bulletin LACI; état au 1er janvier 2020). Selon cette directive édictée par le Secrétariat d’Etat à l’économie (ci-après: SECO), la personne travaillant dans une entreprise dans laquelle son conjoint occupe une position assimilable à celle d’un employeur n’a pas droit à l’indemnité de chômage. La personne qui, durant son délai-cadre d’indemnisation, prend une activité dans l’entreprise de son conjoint, a droit à l’indemnité de chômage dans ce délai-cadre aussitôt qu’elle cesse cette activité. En revanche, dans un délai-cadre consécutif, elle n’a droit à l’indemnité de chômage que si elle a exercé une activité salariée durant au moins 6 mois après avoir quitté l’entreprise de son conjoint ou qu’elle a acquis une période de cotisation minimale de 12 mois hors de l’entreprise du conjoint. Ce motif personnel d’exclusion s’applique uniquement aux conjoints et aux personnes en partenariat enregistré et ne peut être étendu à d’autres membres de la famille (cf. ch. B21, B22 et B24 des directives précitées). Dans ses différentes écritures, le recourant procède ainsi à une lecture littérale du Bulletin LACI et affirme que le motif personnel d’exclusion ne peut pas être étendu à d’autres membres de la famille, à savoir ici son fils, qui est administrateur de D.________ SA avec signature collective à deux. Il en conclut que son travail durant six mois au sein de cette entreprise équivaut à un travail au sein d’une entreprise tierce, ce qui lui ouvre le droit à l’indemnité de chômage.

Cela étant, par cette argumentation, le recourant perd de vue qu’une directive de l’administration (ordonnance administrative) n’a pas force de loi et ne lie ni les administrés, ni l’administration, ni surtout les tribunaux. Tout au plus, dans la mesure où ces directives visent à une application uniforme et égale du droit, ces derniers ne s’en écartent que dans la mesure où elles ne restitueraient pas le sens exact de la loi. Il n’est, dans ce contexte, pas inutile de rappeler que les buts de l’assurance-chômage découlent principalement de l’art. 114 de la Constitution fédérale (Cst.), qui prévoit notamment la compensation appropriée de la perte du revenu et soutient les mesures destinées à prévenir et à combattre le chômage (al. 1 let. a). Concrètement, l’assurance-chômage couvre quatre risques différents, dont le chômage et la réduction de l’horaire de travail (art. 1a al. 1 let a et b LACI). Ces deux garanties se concrétisent par deux prestations différentes, à savoir l’indemnité de chômage et l’indemnité en cas de réduction de l’horaire de travail (RHT) (art. 7 al. 2 LACI). En d’autres termes, alors que l’indemnité de chômage vise à compenser la perte d’emploi par les assurés en leur garantissant un revenu de remplacement, l’indemnité RHT vise, pour sa part, au maintien de l’emploi en intervenant directement auprès des employeurs. Elle s’inscrit dès lors plutôt dans le cadre d’une mesure de lutte et de prévention contre le chômage.

Le motif personnel d’exclusion de l’indemnité de chômage lié aux personnes en mesure d’influer sur les décisions de la société s’inscrit dans ce contexte. Comme indiqué, un travailleur remplissant ce critère peut, à tout moment, décider de son propre réengagement. Sa perte de travail est donc plus proche de la réduction de l’horaire de travail avec cessation momentanée d’activité que de la perte d’emploi. Un tel pouvoir d’influer sur les décisions de la société découle naturellement de la fonction occupée par le travailleur, mais également de l’environnement familial de celui-ci. Ainsi, dans le cas de l’indemnité de chômage, le bulletin LACI émet la présomption qu’un ancien salarié de l’entreprise détenue par son conjoint et ayant travaillé moins de six mois pour le compte d’une autre entreprise n’a en principe pas pu rompre les liens avec son ancien employeur. Cette absence de rupture de liens crée un risque d’abus, à savoir que le demandeur soit toujours en mesure d’exercer une influence considérable sur les décisions que prend l’employeur. De l’avis du SECO, ce risque justifie que le droit à l’indemnité de chômage lui soit nié. Ce n’est qu’au terme d’un durée plus longue que l’on peut partir du principe qu’une rupture a été possible et que le risque d’abus diminue. Pour autant, cette présomption n’est pas absolue dans la mesure où l’on peut concevoir que même après un emploi de plus de six mois pour le compte d’une entreprise tierce, un assuré n’a pas encore rompu ou ne souhaite pas rompre les liens avec son ancien employeur. C’est donc au terme d’un examen des circonstances concrètes du cas qu’il convient d’établir si un assuré a effectivement rompu tout lien avec son ancien employeur et n’est plus en mesure d’avoir une incidence sur ses décisions.

Ainsi, la Cour a eu récemment l’occasion de statuer sur le droit aux indemnités de chômage de plusieurs demandeurs qui n’occupaient pas personnellement une fonction dirigeante chez leur ancien employeur mais possédaient un lien conjugal ou de proche parenté avec celui-ci. Par exemple, dans le cas d’un père, fondateur de plusieurs sociétés, qui demandait des indemnités de chômage après avoir remis ses affaires à sa fille alors même que cette dernière n’avait pas le profil professionnel requis, elle avait admis que la situation de l’assuré générait un risque d’abus, qui s’incarnait dans la relation d’ascendance susceptible de subsister entre sa fille et lui (arrêt TC 605 2019 161 du 18 mai 2020). De même, dans le cas d’un assuré dont le père était l’administrateur et l’actionnaire unique de la société qui l’employait, la Cour avait admis que la situation générait un risque d’abus. Elle estimait alors que l’assuré conservait la faculté de se faire réengager à tout moment auprès de l’entreprise non en raison de son seul lien de filiation, mais en raison d’un ensemble d’indices (arrêt TC 605 2019 294 du 22 septembre 2020). C’est également ce qu’a retenu la Cour dans le cas d’une société officiellement gérée par la sœur du demandeur, lequel était à lui seul responsable de toute l’exploitation, alors que la sœur paraissait n’avoir jamais travaillé au sein de la société (arrêt TC 605 2019 297 du 24 septembre 2020). En revanche, dans le cas d’un fils démissionnaire de sa fonction dirigeante au sein de deux sociétés fondées par son père, la Cour a reconnu son droit à l’indemnité de chômage dès lors que la rupture des liens avec ces sociétés était avérée en raison du stress que cela lui apportait, étant précisé que sa modeste part d’actionnaire, qu’il avait gardé dans l’une d’entre elles, ne permettait pas de croire qu’il exerçait encore une influence « considérable » au sein de celle-ci (arrêt TC 605 2019 241 du 16 juillet 2020). Elle a également reconnu le droit à l’indemnité de chômage à un assuré, malgré le fait que la société qui l’avait employé auparavant avait été fondée et était toujours gérée par son père et sa sœur. A nouveau, la résiliation des rapports de travail était liée à des problèmes personnels, vraisemblablement en lien avec des conflits familiaux (arrêt TC 605 2019 300 du 27 août 2020).

(…)

[Dans le cas d’espèce,] l’ensemble des éléments permet de constater que le recourant et son épouse ont présenté des déclarations contraires à la vérité. Ils ont, consciemment et à réitérées reprises, violé leur obligation de collaborer à l’établissement des faits permettant d’établir le droit aux prestations (cf. art. 28 al. 1 et 2 LPGA). Ce comportement aurait à lui seul pu justifier un refus de prestations, après rappel de l’obligation de collaborer (art. 43 al. 3 LPGA). A tout le moins, il commande une circonspection particulière lors de l’examen des déclarations du recourant et de son épouse.

Cela étant, l’autorité intimée a motivé le refus de prester sur la base d’un autre argument, partant du constat que le recourant demeurait en mesure d’influencer sa perte de travail, rendant son chômage difficilement contrôlable. Il est indubitable que l’assuré et son épouse ont toujours eu la volonté de reprendre l’activité commune une fois la crise sanitaire passée. (…)  A lire sa page Facebook (disponible à l’adresse: I.________, consultée le 20 décembre 2021), l’entreprise a connu une reprise de ses activités durant l’été 2021, présente lors de différents festivals, rencontres sportives ou foires. Depuis lors, le réengagement au sein de la raison individuelle de l’épouse a eu lieu puisque le recourant est désormais visible à travailler sur les stands au plus tard à la fin de l’année 2021. Cette intention se vérifie même dans les activités de l’entreprise individuelle du recourant, E.________, consistant à tenir le restaurant de la piscine de J.________ et à proposer des menus semblables à ceux de l’entreprise individuelle C.________. Bien que le recourant ne l’indique pas, son épouse était partie prenante à cette activité. Un article de journal précise ainsi que les exploitants de la buvette de la piscine, « les tenanciers du food truck C.________, ont signé un contrat d’un an avec la commune et proposent des crêpes, salades et autres spécialités typiques des établissements de piscine ». En outre, la présence de l’épouse sur les lieux était confirmée sur les photos de la page Facebook de la société (notamment photo du 22 juillet 2021, disponible à l’adresse: M.________, consulté le 20 décembre 2021).

Dans ce contexte, l’exercice d’une activité au sein de la société D.________ SA – qu’on la considère comme société tierce ou non – n’a pas entraîné la rupture de tout lien entre l’assuré et son ancien employeur. Au contraire, ce faisceau d’indices permet d’affirmer que le recourant conserve et a toujours conservé un lien étroit avec l’entreprise de son épouse, lien qui laissait clairement subsister la possibilité d’une réactivation de rapports de travail. Dans cette mesure, le recourant doit être exclu du cercle des ayants droit à l’indemnité de chômage.

Au demeurant, force est de constater que le recourant est lui-même inscrit au registre du commerce comme titulaire de la raison individuelle E.________. Les explications qu’il donne – notamment le fait que cette entreprise était « mise en veille entre 2018 et le mois de juillet 2021 » – ne mettent à l’évidence pas en cause l’existence de liens avec cette entreprise individuelle dont il est lui-même le titulaire. En effet, de jurisprudence constante, la question de la position assimilable à celle d’un employeur ne vise pas seulement à éviter une demande abusive à l’assurance-chômage, mais aussi à prévenir le simple risque d’abus. Ainsi, tant que la personne concernée est en mesure de fixer les décisions de l’employeur ou du moins de les influencer, la perte de travail n’est pas aisément vérifiable par la Caisse et il n’est pas possible d’écarter un risque d’abus. Ce risque existe même si dite société est provisoirement sans activité, étant relevé qu’une société préexistante peut être réactivée et déployer une activité (cf. arrêt TF C 235/03 du 22 décembre 2003 consid. 4). L’on relève, cela étant, que le recourant a modifié la raison de commerce de sa raison individuelle en mai 2021, soit durant une période pendant laquelle il ne déclarait aucune activité professionnelle à la Caisse. Pour le compte de cette entreprise, il a lancé une offre d’emploi de durée limitée du 5 juillet au 20 septembre 2021 pour un cuisinier et deux serveurs. Durant cette même période, il a exploité durant plus de deux mois le restaurant d’une piscine, étant précisé que cette activité a été annoncée dans les formulaires des mois de juillet (du 24 au 31) et août (du 1er au 31) 2021. Cela achève de démontrer que, si l’entreprise individuelle du recourant était provisoirement sans activité depuis 2018, sa réactivation demeurait possible en tout temps. Le recourant possède ainsi un lien étroit avec l’entreprise individuelle E.________ dont il est titulaire, ce qui laissait subsister la possibilité d’une reprise d’activité à tout moment.

Il ressort de l’ensemble de ce qui précède que le recourant n’a pas satisfait à son obligation de collaborer, mais également que lui-même et son épouse occupent une « position dirigeante » au sein de deux entreprises individuelles dont ils sont titulaires, lesquelles laissaient subsister la possibilité d’une réactivation de rapports de travail, respectivement d’une reprise d’activité. Pour ces différents motifs, c’est à juste titre que la Caisse de chômage a considéré que la situation du recourant générait un risque d’abus et qu’elle lui a refusé l’octroi d’indemnités de chômage.

(Arrêt de la Ière Cour des assurances sociales du Tribunal cantonal (FR) 605 2021 121 du 14 février 2022)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Chômage | Tagué , , , , | Laisser un commentaire

Exécution d’une clause d’interdiction de concurrence par voie de mesures provisionnelles

Publié le 31 mars 2022 par Me Philippe Ehrenström
Photo de Tetyana Kovyrina sur Pexels.com

Selon l’art. 261 al. 1 CPC, le Tribunal ordonne les mesures provisionnelles nécessaires lorsque le requérant rend vraisemblable qu’une prétention dont il est titulaire remplit les conditions suivantes: elle est l’objet d’une atteinte ou risque de l’être (let. a); cette atteinte risque de lui causer un préjudice difficilement réparable (let. b).

L’octroi de mesures provisionnelles suppose la vraisemblance du droit invoqué. Le requérant doit ainsi rendre vraisemblable que le droit matériel invoqué existe et que le procès a des chances de succès. Il doit donc également rendre vraisemblable une atteinte au droit ou son imminence.

Est difficilement réparable le préjudice qui sera plus tard impossible ou difficile à mesurer ou à compenser entièrement. Entre notamment dans ce cas de figure la perte de clientèle.

Le préjudice difficilement réparable suppose l’urgence, qui y est implicitement contenue. Celle-ci est en principe admise lorsque le demandeur pourrait subir un dommage économique ou immatériel s’il devait attendre qu’une décision au fond soit rendue dans une procédure ordinaire. Toutefois, l’urgence apparaît comme une notion juridique indéterminée, dont le contenu ne peut être fixé une fois pour toutes. Il appartient au juge d’examiner de cas en cas si cette condition est réalisée, ce qui explique qu’il puisse se montrer plus ou moins exigeant suivant les circonstances. Alors même que les mesures provisionnelles sont subordonnées à l’urgence, le droit de les requérir ne se périme pas, mais la temporisation du requérant durant plusieurs mois à dater de la connaissance du dommage ou du risque peut signifier qu’une protection n’est pas nécessaire, voire qu’elle peut constituer un abus de droit.

Le juge doit procéder à la mise en balance des intérêts contradictoires en présence, c’est-à-dire à l’appréciation des désavantages respectifs en découlant pour le requérant et pour l’intimé, selon que la mesure requise est ordonnée ou refusée.

L’art. 340b al. 3 CO prévoit que l’employeur peut exiger, s’il s’en est expressément réservé le droit par écrit, outre la peine conventionnelle et les dommages-intérêts supplémentaires éventuels, la cessation de la contravention, lorsque cette mesure est justifiée par l’importance des intérêts lésés ou menacés de l’employeur et par le comportement du travailleur.

Les exigences sont particulièrement strictes dans le cadre de mesures d’exécution anticipée du jugement. Ainsi, pour une requête tendant à interdire de manière anticipée à un travailleur de faire concurrence au sens de l’art. 340b CO, le Tribunal fédéral considère que plus une mesure provisionnelle atteint de manière incisive la partie citée, plus il convient de fixer de hautes exigences pour faire reconnaître le bien-fondé de la demande quant à l’existence des faits pertinents et au fondement juridique de la prétention articulée. Ces exigences élevées ne portent pas seulement sur la vraisemblance comme mesure de la preuve requise, mais également sur l’ensemble des conditions d’octroi de la mesure provisionnelle, en particulier sur l’appréciation de l’issue du litige au fond et sur celle des inconvénients que la décision incidente pourrait créer à chacune des deux parties (ATF 131 III 473 consid. 2.3 et 3.2; arrêt du Tribunal fédéral 4A_611/2011 du 3 janvier 2012 consid. 4.1).

Cette mesure d’interdiction est donc une ultima ratio et le juge n’y donnera suite que de manière très restrictive, vu les incidences économiques que présente l’interdiction d’exercer une profession pour un travailleur; dans le doute, la pesée des intérêts profitera au travailleur, ce dernier pouvant être exposé à subir un dommage irréparable en présence d’une interdiction de travailler. Dès lors, une exécution réelle doit être limitée aux violations crasses de la prohibition de concurrence, lesquelles se confondent généralement de manière évidente avec un acte de concurrence déloyale.

Pour qu’une cessation d’activité concurrente soit prononcée par voie de mesures provisionnelles, un certain nombre de conditions formelles et matérielles doivent être réalisées. D’une part, l’employeur doit avoir respecté la forme écrite. L’employé doit comprendre, de manière claire et sans équivoque, que l’employeur pourra le contraindre à cesser son activité concurrente. D’autre part, la lésion ou la mise en danger des intérêts de celui-ci, ainsi que le comportement du travailleur, doivent justifier l’interdiction ou la suspension de l’activité concurrente. Ces deux dernières conditions matérielles sont cumulatives.

La jurisprudence a enfin rappelé que la simple violation d’une clause de prohibition de concurrence n’est pas suffisante pour ouvrir la voie aux mesures provisionnelles de l’art. 340b al. 3 CO. La protection juridique provisoire ne doit être accordée que lorsque la demande apparaît fondée de manière relativement claire. En outre, l’employeur doit rendre vraisemblable que le dommage qu’il subit est considérable et difficilement réparable (ATF 133 III 473 consid. 3.2; 131 III 473 consid. 3.2).

Il appartient enfin à l’autorité cantonale saisie d’une requête de mesures provisionnelles tendant à la cessation de l’activité prohibée de vérifier, même selon les règles de la procédure sommaire, la validité matérielle de la clause considérée.

La validité matérielle d’une clause d’interdiction de concurrence s’examine à la lumière des conditions prévues à l’art. 340 CO, à savoir que le travailleur doit avoir l’exercice des droits civils, la forme écrite doit être respectée, le travailleur doit avoir connaissance de la clientèle, des secrets de fabrication ou d’affaires et l’utilisation de ces renseignements doit être de nature à causer à l’employeur un préjudice sensible.

En ce qui concerne la condition de la forme écrite, il suffit que le contrat ou le document contenant la clause soit signé par le travailleur, la loi n’exigeant pas que la clause soit spécifiquement signée pour elle-même.

S’agissant de la clientèle, celle-ci comprend l’ensemble des personnes physiques et morales qui entrent en relation d’affaires avec l’employeur pour acheter des marchandises ou bénéficier de services et qui participent ainsi à la valeur et au goodwill de l’entreprise. Par connaissance, on vise les relations entre le salarié et la clientèle. Il faut que, dans le cadre de son travail, le salarié ait des contacts avec les clients ou à tout le moins connaisse leurs souhaits et préférences, de sorte que, si ceux-ci lui passaient une commande, il serait en mesure de satisfaire à leurs besoins de manière plus efficace, grâce aux connaissances acquises chez son ancien employeur. Les fournisseurs ne font pas partie de la clientèle. Leur connaissance peut tout au plus être couverte par le secret d’affaires, à condition qu’elle soit secrète.

D’après la jurisprudence (ATF 138 III 67 consid. 2.2.1), une clause de prohibition de concurrence, fondée sur la connaissance de la clientèle, ne se justifie que si l’employé, grâce à sa connaissance des clients réguliers et de leurs habitudes, peut facilement leur proposer des prestations analogues à celles de l’employeur et ainsi les détourner de celui-ci. Ce n’est que dans une situation de ce genre que, selon les termes de l’art. 340 al. 2 CO, le fait d’avoir connaissance de la clientèle est de nature, par l’utilisation de ce renseignement, à causer à l’employeur un préjudice sensible. Il apparaît en effet légitime que l’employeur puisse dans une certaine mesure se protéger, par une clause de prohibition de concurrence, contre le risque que le travailleur détourne à son profit les efforts de prospection effectués par le premier ou pour le compte du premier.

Dans le présent cas, au stade des mesures provisionnelles, l’intervalle de huit mois qui s’est écoulé entre les premiers soupçons de l’appelante (l’employeuse), au mois de septembre 2020, et le dépôt de la requête, en mai 2021 semble excessif, eu égard aux investigations et démarches que celle-ci a dû mener pour vérifier le bienfondé de ses craintes, recueillir les éléments de preuves idoines et constituer le dossier judiciaire. Cependant, la question de savoir si l’appelante a agi avec la célérité requise peut demeurer ouverte, comme l’a considéré à bon droit le Tribunal, pour les motifs qui vont suivre.

Il résulte des titres versés à la procédure que l’intimé (l’employé) a travaillé, de 2009 à 2011, en qualité de collaborateur technico-commercial, notamment dans le domaine des vêtements professionnels. L’allégation de l’appelante selon laquelle l’intimé aurait été novice dans le domaine des vêtements EPI est ainsi contredite par lesdites pièces. Par ailleurs, l’appelante n’a pas remis en cause le fait que l’intimé disposait d’une certaine clientèle, lorsqu’elle a engagé à son service, dont notamment la société anonyme H______ SA.

Il n’est pas contesté que l’intimé est actuellement employé par D______ – C______, société qui a racheté l’entreprise D______, K______, inscrite depuis le ______ 1976 au Registre du commerce genevois, active dans le commerce de vêtements. L’appelante a également admis que la dernière nommée avait été sa sous-traitante pendant de nombreuses années et qu’elle se chargeait de la broderie sur des vêtements.

Par ailleurs, il ne résulte pas des pièces de la procédure que l’intimé démarcherait des clients de l’appelante. En effet, d’une part, cette dernière n’a pas rendu vraisemblable que la Commune de F______ aurait été ou serait sa cliente. D’autre part, l’offre adressée par D______ – C______ à la précitée ne comporte pas le nom de l’intimé. Il en va de même du courriel adressé le 2 décembre 2020 à G______ SA, dès lors que cette pièce n’est qu’une allégation de partie et que la société précitée n’a pas indiqué qu’elle aurait été démarchée par l’intimé. Les courriels échangés entre l’appelante et l’entreprise H______ SA ne font pas non plus état d’une potentielle activité de l’intimé dans le domaine des vêtements EPI.

L’appelante échoue donc à rendre vraisemblable le risque d’une atteinte susceptible de lui causer un préjudice irréparable et, partant, la nécessité d’une protection urgente de ses droits.

Ainsi, outre le fait que l’action en exécution anticipée en matière d’interdiction de concurrence suppose la réalisation de conditions particulièrement restrictives, qui ne paraissent pas réalisées in casu, la pesée des intérêts en présence commande également de rejeter les mesures provisionnelles requises par l’appelante, dès lors que leur prononcé exposerait l’intimé au risque de se faire licencier par son nouvel employeur, situation qui le priverait de sa principale source de revenu.

Les premiers juges ayant retenu à bon droit que les conditions requises pour le prononcé de mesures provisionnelles n’étaient pas remplies, il n’est pas nécessaire d’examiner la validité de la clause de non-concurrence prévue par le contrat de travail ayant lié les parties.

(Arrêt de la Chambre des prud’hommes de la Cour de justice du canton de Genève CAPH/40/2022 du 14.03.2022)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Clause de non concurrence, Procédure | Tagué , , | Laisser un commentaire

Données sensibles: manquements aux obligations de sécurité

Publié le 31 mars 2022 par Me Philippe Ehrenström
Photo de Sebastiaan Stam sur Pexels.com

Introduction

Il ne se passe pas un jour sans que la presse ne se fasse l’écho de violations plus ou moins importantes de la sécurité des données, que ce soit auprès d’acteurs économiques privés ou publics, d’institutions diverses et variées, de différents prestataires de services, etc. Encore tout récemment, ce sont des données médicales « siphonnées » de cabinets médicaux neuchâtelois qui se sont retrouvées sur le darknet (https://www.20min.ch/fr/story/dossiers-medicaux-hackes-les-patients-peuvent-se-rebiffer-327444964063).

Il importe de comprendre que ces incidents, parfois très sérieux et dommageables pour les personnes concernées, reposent certes sur l’activité criminelle de leurs auteurs, mais aussi (et j’allais dire surtout) sur des manquements aux obligations de sécurité chez les responsables de traitements. Il existe en effet une interaction entre la protection des données et leur sécurité. La protection des données relève de la protection de la personnalité de l’individu. Quant à la sécurité des données, elle vise généralement les données présentes chez un responsable du traitement ou chez un sous-traitant et englobe le cadre organisationnel et technique général du traitement des données. La protection de la personnalité de l’individu n’est donc possible que si des mesures techniques et organisationnelles ont été prises pour assurer la sécurité des données le concernant au préalable. (Message du 15 septembre 2017 concernant la loi fédérale sur la révision totale de la loi fédérale sur la protection des données et sur la modification d’autres lois fédérales, FF 2017 6565, 6650-6651)

Comment définir alors concrètement les mesures techniques et organisationnelles requises, tout particulièrement quand on traite des données sensibles ? On verra qu’il est difficile de donner des règles générales, valables dans tous les cas de figure, mais qu’il est possible de faire une analyse de la sécurité centrée sur le risque, en s’inspirant des standards généralement reconnus et des décisions européennes en la matière. Il ne s’agira évidemment pas ici de demander que les responsables RH, les juristes ou les DPO se muent en informaticiens chevronnés, mais de préciser les standards et les exigences que l’on peut attendre des différentes parties (responsables de traitement, co-responsables, sous-traitants, mandataires).

Les obligations de sécurité en droit suisse

A teneur de l’art. 7 al. 1 de la loi fédérale du 19 juin 1992 sur la protection des données (RS 235.1 ; LPD) les données personnelles doivent être protégées contre tout traitement non autorisé par des mesures organisationnelles et techniques appropriées. C’est le principe de sécurité, dont la violation entraîne la présomption d’une atteinte illicite à la personnalité des personnes concernées selon l’art. 12 al. 2 let. a LPD. L’art. 7 al. 2 LPD prévoit que le Conseil fédéral édicte des dispositions plus détaillées sur les exigences minimales en matière de sécurité des données. Le Conseil fédéral a donc développé la matière plus avant aux art. 8 à 11 de l’ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des données (RS 235.11 ; OLPD).

La nouvelle loi fédérale du 25 septembre 2020 sur la protection des données (nLPD ; FF 2020 7397), qui devrait entrer en vigueur courant 2023, prévoit aussi en son art. 8, que les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru. Il s’agit d’une approche fondée sur le risque : plus le risque d’une atteinte à la sécurité des données est élevé, plus les exigences auxquelles doivent répondre les mesures à prendre seront élevées. Les mesures doivent permettre d’éviter toute violation de la sécurité des données (art. 8 al. 2), soit toute violation de la sécurité entraînant la perte de données personnelles, leur modification, leur effacement ou leur destruction, leur divulgation ou un accès non autorisé à celles-ci, et ce indépendamment de savoir si la violation est intentionnelle ou non, licite ou illicite. Les mesures peuvent viser par exemple à pseudonymiser des données, à assurer la confidentialité et la disponibilité du système ou de ses services, ou encore à élaborer des procédures visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures prises. Selon le même mécanisme que pour la LPD actuelle, le Conseil fédéral édicte par ailleurs des dispositions sur les exigences minimales en matière de sécurité des données.

Ces dispositions figurent aux art. 1 à 5 de l’Avant-projet d’Ordonnance relative à la loi fédérale sur la protection des données (nOLPD), dont la procédure de consultation a abouti provisoirement à une révision – toujours en cours – dudit projet [cf. OFJ, Révision totale de l’ordonnance relative à la loi fédérale sur la protection des données, Rapport explicatif relatif à la procédure de consultation, 23 juin 2021, pp. 14-22]. Selon l’OFJ, il a été renoncé à inscrire des exigences minimales strictes dans la nOLPD car la loi suit une approche fondée sur le risque et qu’il est impossible de fixer des exigences minimales générales applicables à chaque branche. L’approche suivie repose plutôt sur le fait qu’il incombe en premier lieu au responsable du traitement de déterminer les mesures nécessaires dans un cas précis, et de les prendre. Ces mesures ne peuvent donc être prises qu’au  cas par cas, et leur portée dépend du risque encouru. En toute logique, les exigences sont ainsi plus élevées pour un hôpital qui traite régulièrement des données sensibles que pour une boulangerie ou une boucherie qui traite les données de ses clients ou de ses fournisseurs. La nOLPD contient donc surtout des lignes directrices permettant de déterminer les mesures à prendre. Cela permet de garantir la flexibilité nécessaire pour couvrir le large éventail de cas et éviter un excès de réglementation, en particulier pour les entreprises pour lesquelles les traitements de données sont rares et présentent peu de risques. Les mesures spécifiques pour la garantie de la sécurité des données prévues dans le droit en vigueur sont par ailleurs conservées (journalisation, règlements de traitement).

La nature des données traitées, et particulièrement leur caractère sensible, est évidemment un facteur important dans l’appréciation du risque. Rappelons donc ici que l’art. 3 let. c LPD définit les données sensibles comme des  données personnelles sur: 1. les opinions ou activités religieuses, philosophiques, politiques ou syndicales, 2. la santé, la sphère intime ou l’appartenance à une race, 3. des mesures d’aide sociale, et 4. des poursuites ou sanctions pénales et administratives. La nLPD (art. 5 let. c) évoque 1. les données sur les opinions ou les activités religieuses, philosophiques, politiques ou syndicales, 2. les données sur la santé, la sphère intime ou l’origine raciale ou ethnique, 3. les données génétiques, 4. les données biométriques identifiant une personne physique de manière univoque, 5. les données sur des poursuites ou sanctions pénales et administratives, et 6. les données sur des mesures d’aide sociale.

Définir le contenu concret des obligations de sécurité

Peut-on, pour définir concrètement dans un cas d’espèce ce que peuvent être les mesures techniques et organisationnelles appropriées et aptes à assurer la sécurité des données, s’inspirer du droit européen et des décisions prises par les différentes autorités de contrôle ?

La réponse nous apparaît être très largement positive. En effet, on peut déjà relever que, selon le Conseil fédéral, les exigences de sécurité de la nLPD devraient correspondre à celles découlant du RGPD et être compatibles avec elles (Révision totale de l’ordonnance relative à la loi fédérale sur la protection des données, Rapport explicatif, 23 juin 2021, p. 10). Par ailleurs, les décisions relatives à la sécurité se basent également sur les nombreux standards de la branche (normes ISO27000, NIST, NCSC, etc.)  dont le juge suisse s’inspirera aussi.

C’est dire l’intérêt de la décision prise par l’Information Commissioner’s Office (ICO) le 10 mars 2022 concernant certaines mesures de sécurité en rapport avec le traitement et le stockage de données sensibles [Information Commissioner’s Office, Tuckers Sollicitors LLP monetary penalty notice, 10 mars 2022 : https://ico.org.uk/action-weve-taken/enforcement/tuckers-solicitors-llp-mpn/, ci-après abrégée ICO MPN, puis le numéro des considérants]. Elle illustre, très concrètement, ce que peuvent être les obligations de sécurité d’un responsable de traitement de données sensibles, et ce qu’il peut être attendu de lui en matière de mesures techniques et organisationnelles, étant toutefois rappelé que chaque cas est un cas particulier en la matière.

Les faits et leur appréciation

Tuckers Sollicitors LLP est une grande étude d’avocats présente dans plusieurs villes en Grande-Bretagne et qui est active principalement dans le droit pénal. Elle a été victime d’un piratage qui a (i) crypté des données présentes sur un serveur et (ii) publié certaines de ces données sur le darkweb, étant rappelé que les données concernées étaient des données sensibles.

L’ICO, après une instruction fouillée, met en avant plusieurs violations aux obligations de sécurité, concernant l’authentification multifacteur, le « patch management » et le cryptage des données stockées.

Concernant l’authentification multifacteur, elle se caractérise par le fait que l’utilisateur ne se soumet pas qu’à un seul mécanisme d’authentification (mot de passe p.ex.) mais à plusieurs (mot de passe, puis envoi et saisie d’un code par SMS p.ex.). [Voir par exemple : (https://www.cnil.fr/fr/securite-utilisez-lauthentification-multifacteur-pour-vos-comptes-en-ligne; Guide ANSSI, Recommandations relatives à l’authentification multifacteur et aux mots de passe, version 2.0 du 08.10.2021 https://www.ssi.gouv.fr/guide/recommandations-relatives-a-lauthentification-multifacteur-et-aux-mots-de-passe/]

Le problème de l’authentification simple est que la sécurité repose alors sur un seul facteur. Par conséquent, si cet unique facteur d’authentification est compromis, un pirate pourra agir librement. Cela explique d’ailleurs que les premières cibles d’attaque des pirates informatiques sont le plus souvent les identifiants de connexion (identifiant de compte – le plus souvent une adresse mail – et le mot de passe). L’authentification multifacteur permet donc de renforcer la sécurité grâce à l’ajout d’un ou de plusieurs facteurs d’authentification. Elle est parfois désignée par le sigle « 2FA » (pour l’anglais « 2-factor authentication », authentification à deux facteurs), par « validation en deux étapes » ou encore « MFA » (pour l’anglais « multi-factor authentication », l’authentification multifacteur).

Dans le cas d’espèce, les données traitées étaient particulièrement sensibles. Il n’était donc pas admissible que l’accès aux données ne soient protégées que par la simple indication d’un « username » et d’un mot de passe :

«Taking into consideration the highly sensitive nature of the personal data that Tuckers was processing, as well as the state of the art of MFA, and the costs of implementation, Tuckers should not have allowed access to its network using only a single username and password. In doing so, it did not ensure appropriate security, including protection against unauthorised and unlawful processing of its personal data, as required by Article 5(l)(f) GDPR. » (ICO, MPN N 49)

Pour ce qui est du « patch management », un patch ou correctif est une section de code que l’on ajoute à un logiciel pour y apporter des modifications. Les éditeurs y recourent par exemple pour corriger des vulnérabilités de sécurité mises à jour dans leurs produits. Les utilisateurs doivent alors installer le patch dans leurs systèmes pour atteindre l’objectif poursuivi. C’est ce qui s’est passé dans le cas d’espèce, l’éditeur ayant indiqué au mois de janvier 2020 avoir identifié une vulnérabilité et mis à disposition un patch… que le responsable de traitement n’a installé qu’au mois de juin, soit plus de quatre mois après que le patch soit disponible. L’identification, par l’éditeur, avait été mise sur son site internet, et différents acteurs avaient publiés sur cette question ou étaient intervenus pour signaler le problème.

Pour l’ICO, les standards généralement reconnus imposent que l’on se fixe des délais de mises en œuvre pour installer les patch une fois que le problème est reconnu et dûment communiqué par l’éditeur et/ou par des tiers. Une vulnérabilité importante dans une système traitant des données sensibles aurait dû pousser le responsable de traitement à installer le patch dans un délai de 14 jours au plus  dès sa mise à disposition, étant par ailleurs relevé que ledit patch était mis à disposition gratuitement. Plus généralement, le responsable de traitement doit avoir édicté des directives concernant la gestion des patch et les mises à jour logiciel pour s’assurer qu’ils soient mis en œuvre efficacement et sans retard. (ICO MPN N 57 ss)

Enfin, s’agissant du cryptage des données stockées, l’ICO souligne que cela n’aurait certes pas empêché la violation de sécurité, mais bel et bien limité ses conséquences :

« This is because effective encryption management, with appropriate protection of the decryption keys, can prevent an unauthorised party such as a malicious attacker from being able to read the personal data once they have obtained access to systems. Such encryption would therefore have upheld the principles of confidentiality of the personal data, even in its exfiltrated form. » (ICO MPN N63)

Les standards généralement reconnus recommandent le cryptage des données sensibles, ce qui est possible grâce à des solutions techniques facilement disponibles. La pratique semble également généralement reconnue dans les études d’avocats pour les données sensibles des clients. Et l’ICO de conclure sur ce point :

« Taking into consideration the highly sensitive nature of the personal data that Tuckers were processing, as well as the state of the art of encryption, and the costs of implementation, Tuckers should not have been storing the archive bundles in unencrypted, plain text format. In doing so, it did not ensure appropriate security, including protection against unauthorisedand unlawful processing of its personal data, as required by Article S(l)(f) GDPR. » (ICO MPN N 67)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans nouvelle LPD, Protection de la personnalité, Protection des données, RGPD | Tagué , , , , , , , , | Laisser un commentaire

Bonus: nouveau salaire médian privé suisse 2020

Publié le 30 mars 2022 par Me Philippe Ehrenström
Photo de Karolina Grabowska sur Pexels.com

Dans le contexte de la longue et tortueuse jurisprudence du Tribunal fédéral sur la qualification du bonus et l’application du critère d’accessoriété (cf. notamment https://droitdutravailensuisse.com/2017/12/06/bonus-salaire-ou-gratification-raisonnement-en-cinq-etapes/), le critère du salaire médian dans le secteur privé suisse est déterminant. Encore faut-il trouver les données à jour…

En effet, l’Office fédéral de la statistique vient juste de publier à ce propos sa nouvelle enquête sur la structure des salaires et sur le nouveau salaire médian (https://arbrch.ch/SalaireMediane). Il s’agit toutefois d’un salaire médian « global », i.e. secteur privé et secteur public.

Pour trouver le nouveau salaire médian dans le secteur privé, il faut se livrer à quelques contorsions dans les données publiées, qui sont peu claires au possible. On le trouvera ici : https://arbrch.ch/SalaireMediane_SectPriv

Il est donc pour 2020 de CHF 6’361.00 (au lieu de CHF 6’248.00 pour 2018). La limite fixée pour les très  hauts revenus dans la qualification du bonus est donc de CHF 381’660.00.

Je remercie chaleureusement Me Georges Chanson, avocat à Zurich, pour ces renseignements fournis dans le cadre du Fachgruppe Arbeitsrecht Zürcher Anwaltsverband, et qui méritent d’être diffusés.

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans Salaire | Tagué , , | Laisser un commentaire

Sous-traitant, responsable ou co-responsable d’un traitement de données?

Publié le 27 mars 2022 par Me Philippe Ehrenström
Photo de Sebastiaan Stam sur Pexels.com

La notion de responsable de traitement peut s’avérer délicate quand plusieurs acteurs entrent en jeu : responsabilité, co-responsabilité ou sous-traitance dans le traitement de données ?

Pour y voir plus claire, on pourra d’abord se référer, de manière générale, à  EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_en), mais aussi, pour un exemple particulier, à une décision de l’Autorité belge de protection des données, Décision de la Chambre contentieuse 13/2022 du 27 janvier 2022 (https://www.autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n-13-2022.pdf) concernant un traitement de données à des fins scientifiques (commentée de manière plus générale par Alexandre Jotterand, La réutilisation de données publiques à des fins de recherche, 24 mars 2022 in www.swissprivacy.law/132).

Les développements essentiels de cette décision concernant les notions de responsabilité ou de co-responsabilité du traitement ainsi que de sous-traitance sont résumés ci-après  (N 11 et ss 43 et ss) :

EU DisinfoLab, première défenderesse, est une association belge qui poursuit une mission de recherche et de lutte contre la désinformation. Cette mission est poursuivie via « le développement et la promotion des méthodologies, technologies et processus autour du sourcing des ‘Fake news’ et de la désinformation en général [et] le développement et la promotion d’études, analyses et publications sur le sujet de la désinformation, de la lutte contre elle et des nouveaux risques liés ».

En 2018, EU DisinfoLab était composée de trois membres bénévoles-fondateurs : M. Gary Machado et M. Alexandre Alaphilippe (administrateurs), ainsi que M. Nicolas Vanderbiest, second défendeur.

À l’époque des faits litigieux, en juillet 2018, M. Nicolas Vanderbiest était auteur/éditeur du blog ReputatioLab, et chercheur à l’Université Catholique de Louvain (UCL). M. Nicolas Vanderbiest était en outre gérant de la s.p.r.l. Saper Vedere (ci-après ‘Saper Vedere’), une société fournissant des services d’audit de médias sociaux, au capital duquel participaient également les administrateurs de EU DisinfoLab, MM. Gary Machado et Alexandre Alaphilippe, au moment des faits.

 L’Autorité de Protection des Données (« APD ») et la CNIL ont été saisies chacune de plaintes et demandes d’information au sujet de traitements de données à caractère personnel réalisés dans le contexte d’une étude intitulée « Affaire Benalla. Les ressorts d’un hyperactivisme sur Twitter » (ci-après : l’Étude). L’Étude, publiée en ligne par la première défenderesse, en août 2018, a été réalisée sur base d’un article publié un mois plus tôt par M. Nicolas Vanderbiest sur son blog. Selon les plaintes, l’Étude visait à identifier l’origine politique de tweets relatifs à une polémique française dite « affaire Benalla » divulguée le 18 juillet 2018 par le journal Le Monde.

Les plaignants développent divers griefs concernant l’utilisation de leurs données personnelles pour la réalisation de l’Étude, et visent également la publication en ligne par DisinfoLab de fichiers Excel contenant les données personnelles extraites de comptes Twitter, ayant servi de base pour cette Étude, et ce, aux fins de transparence et justification de la méthodologie de l’Étude.

Les plaignants s’interrogent notamment sur la légalité de l’Étude, et pointent le fait qu’ils n’ont pas consenti à ce que leurs données personnelles fassent l’objet de tels traitements (notamment un profilage politique) par EU DisinfoLab et/ou M. Vanderbiest.

(…)

En ce qui concerne les données personnelles traitées, la Chambre Contentieuse (…) distingue d’une part, « les activités de traitement liées à la réalisation de l’Étude [scientifique] de EU DisinfoLab » (activités de traitement 1) et d’autre part « les activités de traitement liées à la publication en ligne de fichiers Excel contenant notamment les données ayant servi de base pour cette Étude et ce aux fins de transparence et de justification de l’Étude » (activités de traitement 2).

Selon l’article 4.7 du RGPD, le responsable de traitement est la personne physique ou morale qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement – c’est-à-dire celle qui décide qu’un traitement doit avoir lieu et détermine de façon effective pour quelles finalités et par quels moyens ce traitement a lieu.

En l’absence de dispositions légales ou contractuelles permettant de déterminer quelle partie exerce cette influence déterminante, la Chambre Contentieuse doit procéder à l’identification du responsable de traitement par l’analyse des éléments factuels et des circonstances — activités concrètes et contexte spécifique — de l’affaire [cf. EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, para. 19, 23, 24, 26.]

[Dans le cas d’espèce] la Chambre Contentieuse tient compte des circonstances factuelles ci-après pour déterminer l’influence des parties sur la définition des finalités et/ou des moyens des traitements de données en cause :

En ce qui concerne les activités de traitement 1 telles qu’identifiées ci-dessus, tant le premier que le second défendeur s’attribuent mutuellement la qualification de responsable de traitement.

EU DisinfoLab reconnaît avoir confié à M. Vanderbiest la tâche de rédiger l’Étude en cause, mais affirme que ce dernier disposait d’une marge de manœuvre concernant la réalisation effective de celle-ci, qu’il a déterminé seul les moyens de traitement à mettre en œuvre pour parvenir au résultat produit ainsi que la finalité de l’Étude. EU DisinfoLab considère que son propre rôle s’est limité à un rôle de « soutien, de relecture et de publication », et que M. Nicolas Vanderbiest aurait décidé seul les moyens de la réalisation de l’Étude, notamment, le recours à un logiciel d’extraction de données […]. EU DisinfoLab déclare par ailleurs que M. Nicolas Vanderbiest avait qualité de collaborateur bénévole au sein de l’association. Enfin, EU DisinfoLab souligne que la participation de ses administrateurs (MM. Alexandre Alaphilippe et Gary Machado) à la rédaction de l’Étude intervient en fin de l’élaboration de cette Étude, le 6 août 2018. Lors de l’audience, EU DisinfoLab insiste pour rappeler que M. Vanderbiest est co[1]fondateur d’EU DisinfoLab […]. EU DisinfoLab en tire la conclusion que la première défenderesse est co-responsable du traitement.

À l’inverse, M. Nicolas Vanderbiest affirme n’avoir eu aucun pouvoir décisionnel ou fonction décisionnelle concernant la publication de l’Étude, étant sous l’autorité de son responsable Gary Machado à toutes les étapes de réalisation de l’Étude. Il admet cependant avoir « dicté la méthodologie et réalisé une grande partie des analyses statistiques », dont les résultats ont ensuite été communiqués et publiés sur le site de EU DisinfoLab.

La Chambre Contentieuse juge qu’en tant que commanditaire et éditeur de l’Étude, EU DisinfoLab est bien responsable du traitement des données personnelles concernées par l’Étude. EU DisinfoLab, en effet, a bien déterminé les finalités de l’Étude via la commande de l’Étude et sa décision de la publier. En outre, la réalisation de cette Étude cadre dans la réalisation de son objet social et l’Étude, sous sa forme finale est présentée comme une étude d’EU DisinfoLab, qui s’inscrit dans sa mission sociale. Ce document est par ailleurs encore disponible sur le site d’EU DisinfoLab lors des constatations du rapport d’Inspection en avril 2020.

La Chambre Contentieuse ne suit pas l’argumentation de la première défenderesse en ce qu’elle rejette quasi entièrement la responsabilité de l’Étude et du traitement de données concerné sur les épaules du chercheur bénévole Nicolas Vanderbiest, notamment parce qu’il aurait contribué à la définition des moyens de réalisation de l’Étude, selon EU DisinfoLab.

Sur la question de la définition des moyens du traitement de données, la Chambre Contentieuse juge qu’en décidant que l’Étude serait réalisée par trois de ses membres (à savoir, rédaction par M. Vanderbiest et un autre membre de DisinfoLab, et relecture par un troisième membre de DisinfoLab), EU DisinfoLab a déterminé les principaux moyens de traitement. En outre, au final, deux administrateurs d’EU DisinfoLab ont relu et « corrigé » l’Étude avant sa publication, ce qui implique une participation effective aux moyens de traitement des données personnelles ayant servi à réaliser cette Étude. EU DisinfoLab a également déterminé les moyens de traitement utilisés par M. Vanderbiest en ce que le 30 juillet 2018, M. Gary Machado, Managing Director d’EU DisinfoLab, demande à M. Vanderbiest de rechercher des concordances entre les données des utilisateurs Twitter actifs dans l’affaire Benalla et les données recueillies par M. Vanderbiest dans son analyse préalable des Macronleaks (désinformation dans la campagne présidentielle).

La Chambre Contentieuse fait valoir qu’en publiant l’Étude sous son nom et sur son site, EU  DisinfoLab a endossé la responsabilité non seulement des finalités mais aussi des moyens de traitement de l’Étude, y compris la comparaison avec des « études » anciennes de M. Vanderbiest et le recours aux moyens d’analyse de tweets fournis par un prestataire tiers, à savoir le logiciel Visibrain (lequel n’est pas partie à la cause selon le périmètre d’enquête défini par le Service d’Inspection). À cet égard, le Service d’Inspection souligne à juste titre que « [q]uand bien même M. Vanderbiest aurai[t] de son propre chef souhaité réaliser ce comparatif avec ces anciennes études, il a en tout état de cause été approuvé et permis par EU DisinfoLab qui l’a repris dans l’Étude finalement publiée »

Selon la Chambre Contentieuse, M. Vanderbiest peut être considéré comme coresponsable de traitement de cette Étude dans la mesure où il a réalisé l’Étude en tant que contributeur bénévole […].

En tant que participant bénévole aux activités d’EU DisinfoLab, M. Vanderbiest peut être considéré comme volontaire au sens de la loi du 3 juillet 2005 relative au droit des volontaires, étant entendu que les caractéristiques du volontariat sont l’exercice d’une activité au sein d’une organisation « sans rétribution ni obligation », c’est-à-dire une activité exercée à titre libre et gratuit. À l’inverse d’un contrat de travail, il n’existe donc pas de lien de subordination dans le cadre du volontariat. Néanmoins, le volontaire – sans être subordonné – peut accepter volontairement les règles de fonctionnement de l’association au profit de laquelle il exécute des tâches à titre bénévole (règlement d’ordre intérieur, statuts) et accepter d’effectuer les prestations requises pour remplir la mission définie par l’association, ce qui est le cas ici.

La Chambre Contentieuse rappelle que dans son arrêt du 10 juillet 2018, la CJUE a retenu la responsabilité conjointe en ce qui concerne la collecte et le traitement de données personnelles par des témoins de Jéhovah agissant en tant que bénévoles dans le cadre des objectifs de leur association, même en l’absence d’instructions directes de l’association en ce qui concerne la collecte de données concernées [CJUE, C-25/17, para. 66.] . En l’occurrence, M. Vanderbiest est co-responsable du traitement de données 1, dans la mesure où il a volontairement rédigé l’Étude et a déterminé en partie les moyens de traitement (ex. recours à un logiciel Visibrain pour collecter les données). En outre, M. Vanderbiest n’a conclu aucun contrat de sous-traitance avec EU DisinfoLab en vue d’encadrer ce traitement et définir sa responsabilité comme sous-traitant au sens de l’article 28 du RGPD. En réponse aux questions des défenderesses quant à la pertinence des questions du Service d’Inspection à ce sujet, la Chambre Contentieuse précise qu’un contrat de sous-traitance n’aurait certes pas constitué l’élément déterminant permettant de qualifier le rôle de M. Vanderbiest, mais qu’une telle circonstance aurait pu être prise en considération à titre d’indice de la volonté de M. Vanderbiest d’agir en tant que sous-traitant, si tant est que M. Vanderbiest avait dans les faits limité son rôle à celui d’un sous-traitant tel que défini à l’article 4 (8) du RGPD, à savoir, la personne physique ou morale qui « traite les données à caractère personnel pour le compte du responsable de traitement », quod non. En l’espèce, la Chambre Contentieuse considère que les éléments déterminant la qualité du responsable de traitement sont essentiellement la rédaction volontaire de l’Étude par M. Vanderbiest et la décision de ce dernier de recourir au logiciel Visibrain pour collecter les données.

La responsabilité de M. Vanderbiest en tant que co-responsable de traitement est toutefois limitée dans la mesure où il a attendu les instructions de son association avant d’entamer le traitement des données concernées, et dans la mesure où un responsable de l’association, M. Machado, a exercé un contrôle éditorial sur le ‘draft’ de l’Étude que lui a soumise M. Vanderbiest. M. Machado a aussi donné des instructions précises pour le modifier  (« relecture à réaliser, mettre des références, clarifier des éléments de la FAQ, etc ») et il supervisé la publication de l’Étude dans sa version définitive.

La Chambre Contentieuse note bien l’argument de la première défenderesse, selon lequel M. Vanderbiest est membre co-fondateur de l’ASBL EU DisinfoLab. La qualité de cofondateur n’implique toutefois pas une responsabilité personnelle de M. Vanderbiest en ce qui concerne le traitement de données personnelles tel que celui opéré à travers l’Étude, en vue de réaliser le but social de l’ASBL, car M. Vanderbiest est en principe exonéré de toute responsabilité pour les actes réalisés par cette ASBL dans le cadre de sa raison sociale, au même titre que ses autres co-fondateurs, et ce, en vertu des statuts mêmes d’EU DisinfoLab et de l’article 14 de la loi sur les ASBL.

En conclusion, concernant le rôle d’EU DisinfoLab en tant que responsable de traitement pour ce qui est du traitement de données personnelles en vue de réaliser l’Étude, la Chambre Contentieuse fait valoir que

en tant que commanditaire et éditeur de l’Étude, EU DisinfoLab est bien responsable du traitement des données personnelles concernées par l’Étude ;

en décidant que l’Étude serait réalisée par M. Vanderbiest et par un membre de DisinfoLab, avec relecture par un autre membre de DisinfoLab, EU DisinfoLab a contribué à la définition des moyens de traitement et enfin,

 en publiant l’Étude sous son nom et sur son site, EU DisinfoLab a endossé la responsabilité non seulement des moyens de traitement mais aussi des finalités de l’Étude.

M. Vanderbiest est quant à lui co-responsable de ce traitement en tant que bénévole d’EU DisinfoLab, dans la mesure où il a volontairement rédigé l’Étude et a décidé de recourir au logiciel Visibrain pour traiter les données personnelles dans le cadre des activités de traitement 1.

En ce qui concerne les activités de traitement 2, […]  la Chambre Contentieuse juge que EU DisinfoLab est l’unique responsable de traitement concernant la mise à disposition du fichier compressé contenant les documents […].

Concernant le rôle de M. Vanderbiest, la Chambre Contentieuse juge qu’il est l’unique responsable de traitement consistant en la mise à disposition des fichiers […]. En effet, il confirme avoir « partagé ces fichiers sans aucune validation avec [s]es supérieurs qu’ils soient du DisinfoLab ou de l’UCL ». M. Vanderbiest reconnaît avoir partagé ces fichiers de données brutes en dehors des instructions d’EU DisinfoLab : pour cette partie du traitement 2, il a donc agi en tant que responsable de traitement distinct.

Appréciation

Comme le relève Alexandre Jotterand dans le commentaire cité en introduction, les développements de la Chambre contentieuse, sur ces questions, « (…) s’inscrit dans la lignée de précédentes décisions concernant cette thématique, qui retiennent de manière toujours plus large une responsabilité conjointe dans le traitement des données. (…)  L’art. 5 let. j nLPD ayant repris la terminologie du RGPD, il est probable que les tribunaux suisses s’alignent à l’avenir sur ces décisions. »

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Procédure, Protection des données, RGPD | Tagué , , , , , , , , | Laisser un commentaire

Accès aux documents publics: exceptions découlant du droit fédéral (LIPAD, LTrans, LPP)

Publié le 22 mars 2022 par Me Philippe Ehrenström
Photo de Stephan Mu00fcller sur Pexels.com

Le 6 mai 2020, A.________, rédacteur en chef adjoint au quotidien B.________, a adressé par courriel une liste de questions au service de presse de la Caisse de prévoyance de l’Etat de Genève (ci-après: la Caisse). Il faisait suite à un communiqué de presse publié par les partis de l’Entente (PDC – PLR), lequel faisait grief au comité de la Caisse d’avoir adopté deux décisions, sans les expliquer aux citoyens genevois, à savoir le changement de base du calcul actuariel et l’abaissement du taux technique à 1.75%; ces deux décisions auraient impliqué un coût supplémentaire de 2 milliards de francs pour l’Etat de Genève. Afin de comprendre les termes selon lesquels le comité avait voté ces deux décisions, A.________ demandait à avoir accès au procès-verbal de la séance durant laquelle elles avaient été prises.

Le 7 mai 2020, la présidence du comité de la Caisse a répondu aux questions posées par A.________ et a expliqué les raisons de ces décisions. Elle a cependant refusé la demande d’accès au procès-verbal de la séance.

 Le 11 mai 2020, A.________ a requis la mise en œuvre d’une médiation par le Préposé cantonal à la protection des données et à la transparence du canton de Genève (ci-après: le Préposé ou la Préposée adjointe). Une séance de médiation a eu lieu le 13 août 2020, en présence du responsable du pôle juridique et compliance de la Caisse, de A.________ et de la Préposée adjointe. La séance n’a pas abouti.

Le 17 août 2020, le Préposé a demandé à la Caisse de pouvoir consulter le document sollicité par A.________. La Caisse a refusé au motif que ledit document était couvert par une obligation de secret au sens de l’art. 86 de la loi fédérale sur la prévoyance professionnelle vieillesse, survivants et invalidité du 25 juin 1982 (LPP; RS 831.40).

Dans sa recommandation du 31 août 2020, le Préposé a constaté qu’il n’était pas en mesure de déterminer le caractère public ou non du document sollicité en raison du refus de la Caisse de lui en accorder l’accès, alors qu’au terme de son analyse, la Caisse était assujettie à la loi genevoise sur l’information du public, l’accès aux documents et la protection des données personnelles du 5 octobre 2001 (LIPAD; RSG A 2 08).

Par courrier du 18 septembre 2020, A.________ a mis la Caisse en demeure de rendre une décision à la suite de la recommandation du Préposé du 31 août 2020. Le 29 septembre 2020, la Caisse a adressé un courrier à A.________ l’informant qu’elle ne pouvait pas donner une suite favorable à sa demande de transmission du procès-verbal de la séance durant laquelle les décisions de baisser le taux technique applicable et de changer de table de mortalité avaient été prises. Elle a expliqué que, même à considérer qu’elle entrait dans le champ d’application de la LIPAD, ce qu’elle contestait, elle devrait se prévaloir de l’art. 26 al. 4 LIPAD qui réservait le droit fédéral comme faisant obstacle au droit d’accès: or, précisément, l’art. 86 LPP prévoyait une telle obligation de garder le secret vis-à-vis des tiers; le procès-verbal auquel l’accès était demandé et les indications qu’il contenait étaient manifestement couverts par ce secret, opposable tant au Préposé qu’au journal B.________.

Le 30 octobre 2020, A.________ a formé recours contre ce refus d’accès auprès de la Chambre administrative de la Cour de justice du canton de Genève.  Par arrêt du 20 avril 2021, la Cour de justice a rejeté le recours. Elle a considéré en substance que l’hypothèse prévue à l’art. 26 al. 4 LIPAD dans laquelle le droit fédéral fait obstacle à la communication des documents était réalisée. Agissant par la voie du recours en matière de droit public, A.________ demande au Tribunal fédéral d’annuler l’arrêt du 20 avril 2021 et de renvoyer la cause à la cour cantonale pour instruction complémentaire puis pour qu’elle ordonne l’accès aux documents litigieux en sa faveur.

Il n’est plus contesté que la LIPAD s’applique à la Caisse, en tant qu’établissement de droit public cantonal (art. 3 al. 1 let. c, al. 3 et al. 5 LIPAD).

 Se prévalant d’arbitraire, le recourant fait grief à l’instance précédente d’avoir retenu que l’art. 26 al. 4 LIPAD (en lien avec les art. 86 et 86a LPP) faisait obstacle à la communication du procès-verbal de la séance du comité de la Caisse ayant trait aux décisions d’abaissement du taux technique à 1.75 % et de changement de table de mortalité. Il se plaint aussi d’une violation de la souveraineté cantonale (art. 3 Cst.) et du droit à l’information garanti par l’art. 28 de la constitution du canton de Genève du 14 octobre 2012 (Cst./GE; RS 131.234). Ces griefs se confondent dans la mesure où ils tendent à démontrer que c’est à tort que l’accès au document en question a été refusé.

 Dans le canton de Genève, à teneur de l’art. 9 al. 3 Cst./GE, l’activité publique s’exerce de manière transparente, conformément aux règles de la bonne foi, dans le respect du droit fédéral et du droit international. Selon l’art. 28 al. 2 Cst./GE, toute personne a le droit de prendre connaissance des informations et d’accéder aux documents officiels, à moins qu’un intérêt prépondérant ne s’y oppose. 

La LIPAD a pour but de favoriser la libre formation de l’opinion et la participation à la vie publique (art. 1 LIPAD). En édictant cette loi, le législateur genevois a voulu passer d’un régime du secret assorti d’exception, prévalant jusqu’alors pour l’administration genevoise, à celui de la transparence sous réserve de dérogation. Cette évolution législative est propre à renforcer tant la démocratie que le contrôle de l’administration, ainsi qu’à valoriser l’activité étatique et à favoriser la mise en œuvre des politiques publiques. L’instauration d’un droit individuel d’accès aux documents représente l’innovation majeure propre à conférer sa pleine dimension au changement de culture qu’implique l’abandon du principe du secret.

Toutefois, l’application de la LIPAD n’est pas inconditionnelle. Sont ainsi soustraits au droit d’accès les documents à la communication desquels un intérêt public ou privé prépondérant s’oppose (art. 26 al. 1 LIPAD). Sont également exclus du droit d’accès les documents à la communication desquels le droit fédéral ou une loi cantonale fait obstacle (art. 26 al. 4 LIPAD). Selon les travaux préparatoires, « aux exceptions énumérées explicitement à l’art. 26, il est prudent d’ajouter une réserve des dispositions de droit fédéral ou cantonal faisant obstacle à l’exercice du droit individuel d’accès institué par la LIPAD. Certes, le principe de la primauté du droit fédéral suffirait à fonder des refus au regard de normes de droit fédéral. La mention du droit fédéral n’en a pas moins une utile valeur didactique […]. La réserve figurant à l’art. 26 al. 4 présente aussi l’avantage d’intégrer en quelque sorte à la LIPAD les exceptions spécifiques résultant du droit fédéral ou d’autres lois cantonales dans la perspective de la détermination de l’étendue du secret de fonction, dont la définition se trouve désormais logiquement faite par référence à la LIPAD » (MGC, séance du jeudi 26 octobre 2000, disponible sous: https://ge.ch/grandconseil/memorial/seances/540311/45/ [consulté le 16 février 2022].

 L’art. 86 LPP, intitulé « obligation de garder le secret », prévoit que les personnes qui participent à l’application de la LPP, ainsi qu’au contrôle ou à la surveillance de son exécution, sont tenues de garder le secret à l’égard des tiers. 

Partant, les membres du comité de la Caisse sont soumis à l’obligation de confidentialité de l’art. 86 LPP ainsi qu’à la menace des peines prévues par l’art. 76 LPP en cas de violation de l’obligation de garder le secret. Ils sont aussi soumis au secret de fonction, sous réserve de devoirs de communication et d’information imposés par cette loi ou par la législation fédérale (art. 55 de la loi instituant la caisse de prévoyance de l’Etat de Genève du 14 septembre 2012 [LCPEG; RSG B 5 22]).

 En l’espèce, le recourant fait grief à la cour cantonale d’avoir tiré parti des art. 86 et 86a LPP, qui concerneraient uniquement la protection des données des assurés, pour refuser d’appliquer le droit cantonal ayant pour but d’assurer la transparence de l’administration. A son sens, affirmer qu’une information soumise au secret de fonction serait de ce seul fait exclue du droit d’accès reviendrait à annuler purement et simplement la législation sur la transparence: ce ne serait pas parce qu’un fonctionnaire est soumis au secret de fonction que le document qu’il produit serait soustrait au droit d’accès. Le recourant ajoute que l’accès au procès-verbal du comité de la Caisse ayant trait aux décisions d’abaissement du taux technique à 1.75 % et de changement de table de mortalité ne traite en rien des données personnelles d’un assuré. 

 Il y a d’abord lieu d’examiner si le droit fédéral fait obstacle au droit d’accès du procès-verbal litigieux.

L’art. 6 de la loi fédérale du 17 décembre 2004 sur le principe de la transparence dans l’administration (LTrans; RS 152.3) garantit un droit général d’accès aux documents officiels. Ce droit d’accès général concrétise le but fixé à l’art. 1 de la loi, qui est de renverser le principe du secret de l’activité de l’administration au profit de celui de la transparence quant à la mission, l’organisation et l’activité du secteur public. 

L’art. 4 let. a LTrans réserve toutefois les dispositions spéciales d’autres lois fédérales qui déclarent certaines informations secrètes. Une disposition spéciale peut ainsi empêcher l’accès à un document officiel ou le soumettre à des règles divergentes, qui peuvent être plus strictes ou, au contraire, faciliter la consultation du document. Le Message relatif à la LTrans cite notamment comme exemple les normes relatives au devoir de discrétion prévues par la législation en matière d’assurances sociales (Message relatif à la LTrans du 12 février 2003, FF 2003 p. 1832 s.).

Cependant, il ressort aussi du Message relatif à la LTrans que le secret de fonction des employés de la Confédération, garanti à l’art. 22 de la loi fédérale du 24 mars 2000 sur le personnel de la Confédéraltion (LPers; RS 172.220.1) et antérieur à l’entrée en vigueur de la LTrans, ne saurait être considéré comme une disposition spéciale garantissant le secret car il est l’émanation du principe du secret prévalant avant l’entrée en vigueur de la LTrans. La LTrans limite au contraire le champ d’application du secret de fonction aux informations qui ne sont pas publiquement accessibles. En d’autres termes, le secret de fonction prévu à l’art. 22 LPers ne peut pas exclure l’application de la LTrans puisque cela aurait été incompatible avec le changement de paradigme introduit par la LTrans. La portée pratique du secret de fonction est ainsi réduite, puisqu’il ne protège plus que les informations couvertes par le secret en application des exceptions au principe de transparence prévues aux art. 7 et 8 LTrans (Message relatif à la LTrans du 12 février 2003, FF 2003 p. 1833; arrêt 1C_129/20 16 du 14 février 2017 consid. 2.3.1 in ZBl 2018 p. 395; voir aussi ATF 146 II 261 consid. 3.1).

De même, l’obligation de garder le secret prévue par l’art. 44 de la loi sur le travail dans l’industrie, l’artisanat et le commerce du 13 mars 1964 (LTr; RS 822.11) ne constitue pas non plus une disposition spéciale qui serait réservée par l’art. 4 let. a LTrans. L’art. 44 LTr prévoit que « les personnes qui sont chargées de tâches prévues par la présente loi ou qui y participent sont tenues de garder le secret à l’égard des tiers sur les faits qu’ils apprennent dans l’exercice de leur fonction ». Il ne forme en effet qu’une expression spécifique du secret de fonction général (cf. arrêt 1C_129/2016 du 14 février 2017 consid. 2.3.2; FRANÇOIS CHAIX, Le principe de la transparence de l’administration dans la jurisprudence du Tribunal fédéral, in: Droit public de l’organisation – responsabilité des collectivités publiques – fonction publique, Annuaire 2019/2020, 2020, p. 67).

 L’obligation de garder le secret prévue à l’art. 86 LPP a été introduite dans le cadre de « l’adaptation et l’harmonisation des bases légales pour le traitement de données personnelles dans les assurances sociales », afin d’adapter la législation sur les assurances sociales aux exigences de la loi fédérale sur la protection des données (Message du 24 novembre 1999, FF 2000 219 ss). L’art. 86 LPP, entré en vigueur le 1er janvier 2001 (RO 2000 2689), est antérieur à la LTrans, entrée en vigueur le 1er juillet 2006. Comme les art. 22 LPers et 44 LTr, l’art. 86 LPP est formulé de manière large et ne fait qu’exprimer, sous une forme modifiée, le secret de fonction général. La portée de l’obligation de garder le secret de l’art. 86 LPP doit donc être définie de manière concrète en coordination avec la LTrans: l’obligation de garder le secret ne s’applique plus qu’aux informations qui ne sont pas accessibles aux termes de la loi sur la transparence, par exemple parce qu’elles tombent sous le coup d’une disposition dérogatoire prévue aux art. 7 ou 8 LTrans (cf. Message relatif à la LTrans du 12 février 2003, FF 2003 p. 1833, ch 1.1.3.3; BERTIL COTTIER, in: Brunner/Mader (éd.), Handkommentar zum Öffentlichkeitsgesetz, 2008, ad art. 4 N 10 au sujet de l’art. 33 de la loi fédérale sur la partie générale du droit des assurances sociales du 6 octobre 2000 [LPGA; RS 830.1] dont la formulation est quasi identique à celle de l’art. 86 LPP; voir aussi CHRISTA STAMM-PFISTER, Basler Kommentar DSG/BGÖ, 3ème éd., 2014, ad art. 4 LTrans N 9). Il faut en déduire que l’entrée en vigueur de la LTrans a réduit la portée de l’art. 86 LPP. Tous les documents accessibles en vertu de la LTrans ne sont pas couverts par l’obligation de garder le secret. Cela vaut en particulier pour les documents contenant des données non personnelles, comme par exemple les informations relatives aux processus internes des autorités, aux planifications et à la surveillance des assureurs (COTTIER, op. cit., ad art. 4 LTrans N 10). En revanche, la communication à des tiers de données personnelles (notamment en lien avec les assurés) demeure en principe refusée (art. 7 al. 2 LTrans et 86a al. 5 let. b LPP). 

Par conséquent, sur le plan fédéral, l’art. 86 LPP ne constitue pas une disposition spéciale au sens de l’art. 4 let. a LTrans. Il ne protège plus que les informations couvertes par le secret en application des exceptions prévues aux art. 7 et 8 LTrans. Le procès-verbal litigieux relatif aux décisions d’abaissement du taux technique et de changement de table de mortalité ne contient a priori pas de données personnelles en lien avec des assurés et n’est ainsi pas couvert par l’obligation de garder le secret. 

 Il découle de ce qui précède que le droit fédéral ne fait pas obstacle au droit d’accès aux documents au sens de l’art. 26 al. 4 LIPAD. L’art. 86 LPP ne peut dès lors constituer une exception de droit fédéral à l’accès au document demandé. L’arrêt attaqué apparaît en contradiction avec le principe de transparence tel qu’il découle de la LIPAD et de la Constitution genevoise. La cour cantonale a donc appliqué arbitrairement l’art. 26 al. 4 LIPAD, en jugeant que le droit fédéral faisait obstacle à la communication du document demandé. Le grief du recourant est ainsi fondé. 

Il s’ensuit que le recours est admis et l’arrêt attaqué annulé. La cause est renvoyée à la Cour de justice afin qu’elle examine préalablement si la séance dont le procès-verbal est demandé est publique, non publique ou à huis clos, au sens des art. 5 à 7 LIPAD. Cas échéant, elle devra aussi déterminer si une autre exception au sens de l’art. 26 LIPAD serait susceptible de s’appliquer à la demande d’accès au procès-verbal litigieux. Pour ce faire, il lui appartiendra de demander l’accès au procès-verbal en question, conformément à l’art. 63 LIPAD, lequel prévoit que « la juridiction compétente a accès aux documents concernés par le recours, y compris les données personnelles constituant l’enjeu du recours, à charge pour elle de veiller à leur absolue confidentialité et de prendre, à l’égard tant des parties à la procédure que des tiers et du public, toutes mesures nécessaires au maintien de cette confidentialité aussi longtemps que l’accès à ces documents n’a pas été accordé par un jugement définitif et exécutoire ». Si aucune autre exception au sens de l’art. 26 LIPAD ne devait trouver application, la cour cantonale devra donner accès au document en question, après avoir examiné si certaines parties de ce procès-verbal doivent éventuellement demeurer secrètes en application de l’art. 27 LIPAD (en particulier s’il devait contenir des données personnelles dont la révélation pourrait porter atteinte à la sphère privée).

 (Arrêt du Tribunal fédéral 1C_336/2021 du 3 mars 2022  destiné à la publication)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans LIPAD, transparence | Tagué , , , , , , , | Laisser un commentaire

Salaire constant malgré un taux d’occupation variable: compensation entre les périodes?

Publié le 17 mars 2022 par Me Philippe Ehrenström
Photo de Anne McCarthy sur Pexels.com

C______ s’est engagée au service du couple A______ et B______, en qualité de garde d’enfant(s) et employée domestique. Dès le 1er avril 2015, le salaire mensuel versé et accepté était de 2’700 fr. nets.

C______ allègue que, durant son emploi, elle a travaillé en moyenne du lundi au vendredi, de 8h00 à 19h30. Elle s’occupait des enfants de la famille et de l’entretien du ménage. Occasionnellement, elle gardait les enfants le samedi et le dimanche.

A______ et B______ allèguent que C______ avait un taux d’activité de 33% d’avril à octobre 2015, puis de 95% dès le mois de novembre 2015; en 2016 de 90%, en 2017 et 2018 de 75%, abaissé toutefois à 45% en fin d’année 2018, et de 45% en 2019.

Les relations de travail entre les parties se sont terminées le 22 mai 2019.

Dans la procédure, les employeurs ont notamment produit un tableau qui énonce, par mois d’avril 2015 à mai 2019, le taux d’activité de l’employée, le « salaire versé » (2’700 fr. nets tous les mois, à l’exception de mai 2019 par 3’100 fr.), et le salaire prévu par le CTT-Edom. Le tableau comporte encore des montants, qualifiés de « trop perçu » ou de « dû », obtenus par différence entre la rémunération versée et celle prévue par le contrat-type adapté en fonction du taux d’activité.

Le grief principal adressé par les appelants (= les employeurs) au jugement attaqué porte sur les montants retenus, au titre de la différence de salaire due, par le Tribunal (salaire effectivement versé vs/ salaire minimal CTT). Celui-ci aurait écarté à tort la compensation que les appelants entendaient faire valoir, motif pris de ce qu’ils auraient rémunéré l’employée par un salaire trop élevé sur certaines périodes au vu de l’horaire réel effectué par l’employée.

En droit suisse, la rémunération du travailleur obéit en règle générale au principe de la liberté contractuelle.

L’art. 360a al. 1 CO prévoit que si, au sein d’une branche économique ou d’une profession, les salaires usuels dans la localité, la branche ou la profession font l’objet d’une sous-enchère abusive et répétée et qu’il n’existe pas de convention collective de travail contenant des dispositions relatives aux salaires minimaux pouvant être étendue, l’autorité compétente peut édicter, sur proposition de la commission tripartite visée à l’art. 360b, un contrat-type de travail d’une durée limitée prévoyant des salaires minimaux différenciés selon les régions et, le cas échéant, selon les localités, dans le but de combattre ou de prévenir les abus.

Selon l’art. 360d al. 2 CO, il ne peut pas être dérogé à un contrat-type de travail au sens de l’art. 360a en défaveur du travailleur.

A Genève, le CTT-Edom dispose que les salaires minimaux prévus ont un caractère impératif au sens de l’art. 360a CO pour une durée hebdomadaire de 45 heures. En cas de travail partiel, le salaire minimum est calculé pro rata temporis (art. 4 al. 7).

En l’espèce, le Tribunal a déterminé la totalité de la créance de l’intimée, sur la base du salaire brut minimal découlant du CTT-Edom, dont l’application n’est pas remise en cause, du taux d’occupation admis par les appelants et des montants nets perçus par l’employée. S’agissant de ces montants nets versés, soit 2’700 fr. par mois, il a retenu qu’il s’agissait du salaire dont il était établi que les parties l’avaient convenu entre elles.

Il est constant que les appelants ont versé librement 2’700 fr. par mois à l’intimée, parfois pour un horaire très partiel, parfois pour un horaire plus important. Compte tenu du principe de la liberté contractuelle prévalant en matière de rémunération, il leur était loisible de décider de verser la même rémunération pour un horaire partiel que pour un horaire plus étendu, sous la réserve que ladite rémunération, rapportée aux horaires effectifs, soit égale ou supérieure aux salaires impératifs dus aux travailleurs.

On ne discerne donc pas de raison pour laquelle les appelants seraient fondés à revenir sur la quotité de la rémunération qu’ils ont versée selon leur propre volonté, en toute connaissance de cause de l’horaire effectué par leur employée. Contrairement à ce qu’ils soutiennent, ils ne sont ainsi titulaires d’aucune créance de ce chef envers l’intimée, qu’ils pourraient opposer en compensation.

(Arrêt de la Chambre des prud’hommes de la Cour de justice du canton de Genève CAPH/35/2022 du 20.02.2022)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Procédure, Salaire, Temps de travail | Tagué , , , , , | Laisser un commentaire

Les ressources humaines peuvent-elles utiliser des logiciels de reconnaissance faciale ?

Publié le 12 mars 2022 par Me Philippe Ehrenström
Photo de Tu1ef7 Huu1ef3nh sur Pexels.com

Introduction

Les logiciels de reconnaissance faciale sont aujourd’hui techniquement au point. Ils sont proposés sous diverses formes dans la vie économique ou publique par différent prestataires de service. Dans ce contexte, les services de ressources humaines peuvent-ils utiliser de tels instruments, par exemple dans le cadre d’enquêtes internes ou préliminaires, de recrutement, d’enquêtes de sécurité ou de réputation ?

Pour y répondre, il est utile de présenter certains des éléments de la mise en demeure effectuée par la CNIL le 26.11.2021 dans l’affaire CLEARVIEW, avant d’en apprécier les conclusions sous l’angle du droit suisse.

(Cf. CNIL, Décision n° MED-2021-134 du 26 novembre 2021 mettant en demeure la société CLEARVIEW AI (https://www.cnil.fr/fr/reconnaissance-faciale-la-cnil-met-en-demeure-clearview-ai-de-cesser-la-reutilisation-de); et

Délibération du bureau de la Commission nationale de l’informatique et des libertés n° MEDP-2021-002 du 6 décembre 2021 décidant de rendre publique la mise en demeure n° MED-2021-134 du 26 novembre 2021 prise à l’encontre de la société CLEARVIEW AI (https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000044499335?init=true&page=1&query=CLEARVIEW&searchField=ALL&tab_selection=all)

Description / fonctionnement du logiciel

La société CLEARVIEW AI (ci-après  » la société  » ou  » Clearview « ), établie aux États-Unis, a développé un logiciel de reconnaissance faciale, dont la base de données repose sur l’aspiration de photographies publiquement accessibles sur Internet, qui permet d’identifier une personne à partir d’une photographie la représentant.

La société utilise une technologie propre pour indexer les pages web librement accessibles. Elle collecte toutes les images sur lesquelles apparaissent des visages, sur des millions de sites web. Des photographies sont ainsi extraites notamment de réseaux sociaux (par exemple, Twitter ou Facebook), de sites professionnels contenant des photographies de leurs salariés, de blogs et de tous sites sur lesquels des photographies de personnes sont publiquement accessibles. Des images sont également extraites de vidéos disponibles en ligne, par exemple sur le site http://www.youtube.com. Cette collecte concerne des images de personnes majeures comme mineures, aucun filtre n’étant appliqué à cet égard. Seules des centaines d’URL, associées aux sites  » pour adultes  » ayant des audiences parmi les plus importantes, sont bloquées et exclues de la collecte.

La collecte de ces images sur des réseaux sociaux porte sur l’ensemble des images accessibles au moment de la collecte à une personne non connectée au réseau en cause. En dehors des réseaux sociaux, la collecte concerne l’ensemble des images accessibles au moment de la collecte à un moteur de recherche. La société a ainsi collecté plus de dix milliards d’images.

À partir de chaque photographie collectée, la société calcule un gabarit biométrique. Une empreinte numérique unique, propre au visage tel qu’il apparaît sur la photographie (basée sur les points du visage) est ainsi générée. Les milliards d’images sont ensuite enregistrées dans une base de données sous une forme permettant de les rechercher (à l’aide de l’empreinte numérique).

La société commercialise l’accès à une plateforme en ligne sur laquelle se trouve un moteur de recherche. Cet outil fonctionne en y téléchargeant une photographie d’un visage. À partir de cette photographie, l’outil calcule l’empreinte numérique correspondante à celle-ci et effectue, dans la base de données, une recherche des photographies auxquelles sont liées des empreintes similaires. Le logiciel produit un résultat de recherche, composé de photographies, auxquelles est associé l’URL de la page web à partir de laquelle elles ont été extraites (réseau social, article de presse, blog …). Ce résultat de recherche compile ainsi l’ensemble des images collectées par la société au sujet d’une personne ainsi que le contexte dans lequel ces images sont en ligne, tel que, par exemple, le compte de réseau social ou un article de presse.

La société décrit le service qu’elle offre comme  » un outil de recherche utilisé par les forces de l’ordre ( » law inforcement « ) pour identifier des auteurs et des victimes d’infractions  » à partir d’une photographie. Il est indiqué sur son site web que cet outil permet par exemple à des  » analystes  » d’effectuer une recherche en téléchargeant des images de scènes de crime afin de les comparer à celles qui sont publiquement accessibles. Les forces de l’ordre peuvent ainsi utiliser cet outil afin d’identifier une personne dont elles disposent d’une image (par exemple, issue d’un enregistrement de vidéosurveillance) mais ne connaissent pas l’identité.

Applicabilité du RGPD / compétence de la CNIL

La CNIL considère d’abord que traitement ainsi mis en œuvre par la société est lié au suivi du comportement des personnes concernées au sens des dispositions de l’article 3.2.b) du RGPD et ressortit donc du champ d’application territorial du RGPD.

Il ressort par ailleurs d’une lecture combinée des articles 55 et 56 du RGPD que, dans l’hypothèse où un responsable de traitement implanté en dehors de l’Union européenne met en œuvre un traitement transfrontalier soumis au RGPD mais qu’il n’y dispose ni d’administration centrale, ni d’établissement doté d’un pouvoir décisionnel quant à ses finalités et à ses moyens, le mécanisme du guichet unique prévu à l’article 56 du RGPD (principe du « guichet unique ») n’a pas vocation à s’appliquer. Chaque autorité de contrôle nationale est donc compétente pour contrôler le respect du RGPD sur le territoire de l’Etat membre dont elle relève, comme la CNIL en l’espèce pour la France.

Art. 6 RGPD (absence de base juridique)

L’article 6 du Règlement général sur la protection des données dispose que :  » Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;

b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;

c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;

d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;

e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;

f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. « 

Pour être licite, un traitement de données à caractère personnel doit donc reposer sur l’une des bases juridiques visées ci-dessus.

En l’espèce, le logiciel de reconnaissance faciale mis en œuvre par la société repose sur la collecte systématique et généralisée, à partir de millions de sites web à travers le monde, d’images contenant des visages, à l’aide d’une technologie exclusive pour indexer les pages web librement accessibles.

La société procède ensuite à un traitement des données collectées afin de constituer une base de données et de permettre la recherche des photographies dans cette base à partir d’une autre image.

Ce traitement est réalisé par la société à des fins exclusivement commerciales.

La société a été interrogée par la CNIL sur le fondement juridique de ce traitement, au sens de l’article 6 du RGPD. La société n’a apporté aucune réponse sur ce point. La politique de confidentialité de la société n’évoque pas davantage le fondement juridique dudit traitement.

Il peut être relevé d’emblée que la société n’a pas recueilli le consentement des personnes concernées au traitement de leurs données à caractère personnel.

En outre, compte tenu de la nature des traitements en cause, les fondements juridiques prévus par les dispositions de l’article 6.1 sous b), c), d) et e), du RGPD et liés à l’exécution d’un contrat, au respect d’une obligation légale, à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique et à l’exécution d’une mission d’intérêt public ne trouvent pas à s’appliquer en l’espèce.

En ce qui concerne le fondement juridique lié aux intérêts légitimes poursuivis par le responsable de traitement, prévu par l’article 6. 1. f) du Règlement, il y a lieu de rappeler à titre liminaire que le caractère  » publiquement accessible  » d’une donnée n’influe pas sur la qualification de donnée à caractère personnel et qu’il n’existe aucune autorisation générale permettant de réutiliser et de traiter de nouveau des données à caractère personnel publiquement disponibles, en particulier à l’insu des personnes concernées.

À titre illustratif, le groupe de travail de l’article 29 (dit  » G29  » devenu le Comité européen de la protection des données (CEPD)), dans son Avis 06/2014 sur la notion d’intérêt légitime poursuivi par le responsable du traitement des données au sens de l’article 7 de la directive 95/46/CE, a noté à cet égard que  » les données à caractère personnel, même si elles ont été rendues publiques, restent considérées comme des données à caractère personnel  » et que  » leur traitement continue donc à requérir des garanties appropriées « . Tout en reconnaissant le fait que les données à caractère personnel soient accessibles au public peut être un facteur pertinent pour conclure à l’existence d’intérêts légitimes, le CEPD a ensuite averti que ce ne serait le cas que  » si leur publication s’accompagnait d’une attente raisonnable d’utilisation ultérieure des données à certaines fins par exemple, pour des travaux de recherche ou dans un souci de transparence et de responsabilité. « 

En outre, pour que le responsable de traitement puisse se prévaloir de cette base juridique, le traitement doit être nécessaire aux fins des intérêts légitimes qu’il poursuit, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux des personnes concernées.

En l’espèce, même si l’intérêt de la société était fondé sur l’intérêt économique qu’elle tire de l’exploitation de la base de données en cause, cet intérêt devrait toutefois être mis en balance avec les intérêts ou les libertés et droits fondamentaux des personnes concernées, compte tenu des attentes raisonnables des personnes fondées sur leur relation avec le responsable du traitement, conformément à l’article 6.1.f) du RGPD, lu à la lumière du considérant 47 et de l’avis du CEPD sur la notion d’intérêt légitime précité.

En l’espèce, le traitement présente une intrusivité particulièrement forte : il recueille sur une personne donnée un grand nombre de données photographiques, auxquelles sont associées d’autres données à caractère personnel susceptibles de révéler divers aspects de la vie privée. À partir de ces données, est constitué un gabarit biométrique, c’est-à-dire une donnée biométrique permettant, si elle est fiable, d’identifier la personne de façon unique à partir d’une photographie de la personne : la détention d’une telle donnée par un tiers constitue une atteinte forte à la vie privée. Enfin, il convient de relever que ce traitement concerne un nombre extrêmement élevé de personnes.

Par ailleurs, il convient notamment de déterminer si les personnes concernées pouvaient raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un tel traitement par la société Clearview. À cet égard, il n’existe aucune relation entre la société et les personnes concernées. Si elles peuvent raisonnablement s’attendre à ce que des tiers accèdent ponctuellement aux photographies en cause, le caractère publiquement accessible de celles-ci ne suffit pas pour considérer que les personnes concernées puissent raisonnablement s’attendre à ce que leurs images alimentent un logiciel de reconnaissance faciale. Enfin, le logiciel exploité par la société n’est pas public et la grande majorité des personnes concernées ignorent son existence.

Il doit donc être considéré que les personnes qui ont publié des photographies les représentant sur des sites web, ou consenti à cette publication auprès d’un autre responsable de traitement, ne s’attendent pas à ce que celles-ci soient réutilisées pour les finalités poursuivies par la société, c’est-à-dire la création d’un logiciel de reconnaissance faciale (qui associe l’image d’une personne à un profil contenant l’ensemble des photographies sur lesquelles elle figure, les informations que ces photographies contiennent ainsi que les sites web sur lesquels elles se trouvent) et la commercialisation de ce logiciel à des forces de l’ordre.

Dès lors, au regard de l’ensemble de ces éléments, l’atteinte portée à la vie privée des personnes apparaît disproportionnée au regard des intérêts du responsable de traitement, notamment ses intérêts commerciaux et pécuniaires, et le fondement juridique de l’intérêt légitime de la société ne peut donc être retenu.

Par conséquent, la société ne dispose d’aucune base juridique pour le traitement en cause, en méconnaissance de l’article 6 du Règlement.

Art. 15 RGPD (droit d’accès)

L’article 15 du RGPD dispose que  » la personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel « . Cet article prévoit également les différentes catégories d’informations que le responsable de traitement doit fournir à la personne concernée en cas de demande d’accès. L’article 12 précise que :  » le responsable du traitement facilite l’exercice des droits conférés à la personne concernée au titre des articles 15 à 22 « 

En l’espèce, la plaignante a demandé à la société l’accès aux données la concernant et à l’ensemble des informations relatives à ces données au sens de l’article 15.1, par voie électronique.

En effet, la plaignante a mandaté un tiers afin d’effectuer sa demande d’accès auprès de la société. Clearview en a accusé réception tout en invitant la plaignante à utiliser une plateforme en ligne pour exercer sa demande. Plus de deux mois après la demande initiale et à l’issue de trois autres courriers électroniques adressés par le tiers mandaté, la société a exigé la transmission d’une photographie et d’une pièce d’identité de la plaignante et a de nouveau invité la plaignante à utiliser une plateforme en ligne pour exercer sa demande. Quatre mois après la demande initiale, après de nouveaux échanges relatifs à la transmission d’une pièce d’identité et en l’absence de réponse satisfaisante, le tiers mandaté a adressé un courrier de mise en demeure à la société.

La société a communiqué une réponse à la demande d’accès qui, tout d’abord, est partielle. En effet, celle-ci ne contient que le résultat de la recherche dans l’outil commercialisé par la société, c’est-à-dire les images et les informations qui leur sont associés. Font ainsi défaut l’ensemble des informations prévues à l’article 15.1 du RGPD, la société s’étant contentée de fournir un lien vers sa politique de confidentialité.

Ensuite, en n’acceptant de répondre à la demande d’accès de la plaignante qu’à l’issue de sept courriers et plus de quatre mois après sa demande initiale et en exigeant une copie de sa pièce d’identité alors que la plaignante avait déjà fourni des informations permettant de l’identifier ainsi qu’une photographie la représentant, Clearview n’a pas facilité l’exercice des droits de la plaignante.

Enfin, il ressort de la politique de confidentialité de la société que celle-ci limite l’exercice du droit d’accès aux données collectées les douze mois précédant la demande et restreint l’exercice de ce droit à deux fois par an. Or, la politique de confidentialité de la société ne précise pas la durée de conservation des données et il ne ressort pas des éléments du dossier que la conservation des données en cause serait limitée à douze mois.

Il ressort de ces éléments que la société ne répond pas de manière effective aux demandes d’accès qui lui sont adressées en vertu de l’article 15 du RGPD et ne facilite pas l’exercice du droit d’accès des personnes concernées.

Ces faits constituent un manquement aux articles 12 et 15 du Règlement.

Art. 17 RGPD (droit d’effacement)

L’article 17 du RGPD prévoit :  » La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique : […] les données à caractère personnel ont fait l’objet d’un traitement illicite « .

En l’espèce, la plaignante n’a reçu aucune réponse de la société concernant l’effacement de ses données qu’elle avait requis de la société.

Or, dès lors que la Commission considère que le traitement mis en œuvre ne peut reposer sur aucune base légale valide au regard de la réglementation européenne, l’effacement était de droit.

Ce fait constitue un manquement à l’article 17 du Règlement.

Appréciation

Comme le relève Alexis Barbey dans sa présentation de la mise en demeure de la CNIL (Quelques photos sur internet suffisent à créer un gabarit biométrique – Mise en demeure de Clearview AI, 11 mars 2022 in www.swissprivacy.law/130), le traitement de données par Clearview poserait de nombreux problèmes sous l’angle de la nLPD (information, consentement, droit d’accès et effacement – art.  6, 19, 25, 30-31, 32 al. 2 let. c nLPD). Son utilisation soulèverait bien évidemment aussi des problèmes en procédure pénale (exploitation des preuves illégales notamment – art. 141 al. 2 CPP).

Si nous complétons l’analyse de Barbey, l’utilisation d’un tel outil par les ressources humaines soulèverait également la question de l’admissibilité de tels moyens de preuve en procédure civile (art. 152 al. 2 CPC) et celle du caractère abusif d’un licenciement qui reposerait sur des motifs et moyens de preuve obtenus de manière illicite en violation grave des droits de la personnalité du travailleur.

Addendum (15.03.2022)

La même société a été lourdement sanctionnée par l’autorité italienne en matière de protection des données en février 2022 (cf. https://www.dataguidance.com/news/italy-garante-fines-clearview-ai-20m-and-bans-use avec des liens vers la décision en italien et un résumé en anglais). Par ailleurs, ses services semblent également mis à contribution par un des protagonistes dans le cadre du conflit actuel (repéré dans une publication linkedin de Marc Ruef – https://www.reuters.com/technology/exclusive-ukraine-has-started-using-clearview-ais-facial-recognition-during-war-2022-03-13/)

Addendum no2 2 (06.04.2022)

Clearview entend maintenant proposer ses produits en dehors du secteur police / maintien de l’ordre, par exemple aux banques (https://apnews.com/article/russia-ukraine-technology-business-europe-national-governments-4a4db5b7340792f8a8b08c41c4653f5a). L’offre se concentrerait sur le logiciel de reconnaissance faciale, sans accès à la base de données récoltées sur les réseaux sociaux. Elle serait basée sur le consentement: « The new “consent-based” product would use Clearview’s algorithms to verify a person’s face, but would not involve its ever-growing trove of some 20 billion images, which Ton-That said is reserved for law enforcement use. Such ID checks that can be used to validate bank transactions or for other commercial purposes are the “least controversial use case” of facial recognition, he said. »

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Protection de la personnalité, Protection des données, RGPD | Tagué , , , , , , , , , | Laisser un commentaire