Travail, protection des données et IA

Le certificat COVID au travail: synthèse

Publié le 12 septembre 2021 par Me Philippe Ehrenström

[On le sait, le Conseil fédéral a, par ordonnance du 8 septembre 2021, considérablement étendu l’utilisation du certificat COVID dans différents domaines de la vie quotidienne, y compris au travail. J’ai mis sur ce site deux notes rédigées à chaud, présentant quelques aspects relatifs l’utilisation du certificat COVID sur le lieu de travail : https://droitdutravailensuisse.com/2021/09/09/le-certificat-covid-19-sur-le-lieu-de-travail/ et https://droitdutravailensuisse.com/2021/09/10/le-certificat-covid-19-sur-le-lieu-de-travail-2/. L’abondance des réactions publiques depuis lors face à ce coup de force exécutif, les « retours » que je peux recueillir de mes clients employés et employeurs, me permettent aujourd’hui d’essayer d’élaborer une courte note de synthèse.]

Introduction

La présente note traite de l’utilisation du certificat COVID-19 (ci-après le « certificat ») sur le lieu de travail, selon les termes de la modification du 8 septembre 2021 de l’ Ordonnance du 23 juin 2021 sur les mesures destinées à lutter contre l’épidémie de COVID-19 en situation particulière (Ordonnance COVID-19 situation particulière ; RO 2021 379), modification qui entrant en vigueur le 13 septembre 2021! (Cf. Ordonnance du 8 septembre 2021 sur les mesures destinées à lutter contre l’épidémie de COVID-19 en situation particulière (Ordonnance COVID-19 situation particulière) (Extension de l’utilisation du certificat COVID-19 ; RO 2021 542).

Art. 25 al. 2bis et 2ter Ordonnance COVID-19 situation particulière

Sur le fond, le Conseil fédéral a modifié l’art. 25 de l’Ordonnance COVID-19 situation particulière) en y ajoutant deux alinéas. Sans revenir ici sur la protection des employés vulnérables, qui est sujet en soi, les al. 1 et 2 actuels de l’art. 25 prévoient que l’employeur garantit que les employés puissent respecter les recommandations de l’OFSP en matière d’hygiène et de distance. À cette fin, les mesures correspondantes doivent être prévues et mises en œuvre. L’employeur prend aussi d’autres mesures en vertu du principe STOP (substitution, tech nique, organisation, personnel), notamment la possibilité de travailler à domicile, la mise en place de séparations physiques, la séparation des équipes, l’aération régulière ou le port d’un masque facial. Les al. 2bis et 2ter nouveaux de l’art. 25 prévoient maintenant que l’employeur est habilité à vérifier que son personnel dispose d’un certificat si cela permet de définir des mesures de protection appropriées ou de mettre en œuvre un plan de dépistage. Le résultat de la vérification ne peut pas être utilisé à d’autres fins. Si l’employeur prévoit de vérifier que son personnel dispose d’un certificat conformément à l’al. 2bis, il doit le préciser par écrit, ainsi que les mesures qui en découlent. Les employés ou leurs représentants doivent être consultés au préalable.

Dans un document intitulé FAQ – Extension de l’obligation de certificat, daté du 8 septembre 2021, au ch. 6 (cf. https://www.newsd.admin.ch/newsd/message/attachments/68145.pdf) l’OFSP tente « d’expliciter » le cadre de cette extension :

« (…) un employeur peut exiger un certificat pour les employés dans le cadre de son devoir de diligence (par exemple, dans les hôpitaux). Ils (sic) peuvent vérifier la présence d’un certificat pour leurs employés si cela sert à déterminer les mesures de protection appropriées ou la mise en œuvre du concept de test. (…) L’employeur doit consigner par écrit s’il souhaite prendre des mesures de protection ou de mise en œuvre d’un concept de test sur la base du certificat Covid. Les employés doivent être consultés à ce sujet. L’employeur ne peut pas utiliser le résultat de la vérification du certificat à d’autres fins. En outre, il ne doit pas y avoir de discrimination entre les employés vaccinés, les employés guéris et les non-vaccinés.

Si l’obligation s’applique aux employés, l’entreprise doit proposer des tests réguliers (par exemple hebdomadaires) ou assumer les coûts des tests si elle ne propose pas de tests répétés. Si l’employeur prévoit des mesures différenciées (p. ex. port de masques ou bureau à domicile pour les personnes sans certificat), il ne doit pas supporter les coûts du test.

Dans le cas d’une institution de droit public, il doit exister une base juridique pour le traitement des données relatives à la santé afin d’introduire une obligation de certificat. »

Le régime applicable à la protection des données en droit du travail

L’employeur, dans le cadre de toute relation de travail, est amené à traiter une vaste quantité de données, dont des données sensibles au sens de l’art. 5 let. c LPD, dont des informations sur la santé. Il doit également assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles (art. 7 al. 1 LPD).

Selon l’art. 328b CO, l’employeur ne peut traiter des données concernant le travailleur que dans la mesure où ces données portent sur les aptitudes du travailleur à remplir son emploi ou sont nécessaires à l’exécution du contrat de travail. En outre, les dispositions de la loi fédérale du 19 juin 1992 sur la protection des données sont applicables.

L’art. 328b CO mentionne deux types de données personnelles que l’employeur est, en principe, autorisé à traiter (faits justificatifs), sous réserve des principes généraux de la protection des données.

Le premier fait justificatif de l’art. 328b CO est celui de l’aptitude à remplir son emploi. Cela concerne toutes les informations permettant de déterminer si la personne possède les capacités et qualités personnelles et professionnelles requises : diplômes, certificats de travail, etc.

Le second fait justificatif concerne les données nécessaires à l’exécution du travail, i.e. toutes les informations permettant à l’employeur de remplir ses obligations légales et conventionnelles, par exemple vis-à-vis des assurances sociales, de l’impôt à la source, etc.

L’employeur doit aussi respecter les principes généraux de tout traitement de données. Le principe de proportionnalité est pratiquement très important (art. 4 al. 2 LPD in fine) : l’employeur ne doit traiter que les donnes nécessaires et de la manière la moins intrusive possible. Le traitement obéit aussi aux principes de finalité et de reconnaissabilité, il doit être opéré dans le respect du but qui a présidé à la collecte et qui était reconnaissable par la personne concernée (art. 4 al. 3 et 4 LPD. Les données doivent enfin être actualisées et conformes à la réalité (art. 5 al. 1 LPD).

Examen des situations permettant de demande le certificat COVID

L’employeur n’est donc pas « obligé » de procéder à l’extension du certificat sur le lieu de travail, mais il « peut » le faire (i) dans le cadre de son devoir de diligence, (ii) pour déterminer les mesures appropriées (plan de protection) ou (iii) pour mettre en œuvre un « concept de test ».

La première hypothèse se conçoit à peu près et se réfère sans doute aux situations où l’employeur est tenu d’agir en raison d’une obligation de protéger ou de ne pas nuire, par exemple en présence de personnes fragiles ou à risque (personnes âgées, malades, etc.) Dans les faits, des mesures pratiques ont déjà été prises par maints employeurs dans les EMS, homes, hôpitaux, etc. visant à protéger particulièrement des populations vulnérables, qui sont d’ailleurs aujourd’hui parmi les plus vaccinées. Des tests ont ainsi été demandés, des mesures organisationnelles prises. On ne voit dès lors pas très bien ce que la modification du 8 septembre apporterait de plus, ni à quel impératif elle obéirait.

La seconde hypothèse se comprend en rapport avec le plan de protection des art. 10 et ss de l’Ordonnance COVID-19 situation particulière, soit les mesures qui règlementent notamment les mesures d’hygiène et de distance, le port du masque, la collecte de données, etc. Elle consacre, ce faisant, une thèse très contestée selon laquelle la présentation du certificat pouvait déjà se déduire de l’obligation faite à l’employeur de présenter des plans de protection, dans la mesure où le plan devrait pouvoir être adapté au statut vaccinal ou sérologique des employés. La modification du 8 septembre n’aurait donc été qu’une « mise en forme ».

Cette argumentation apparaît très contestable, d’abord en ce qu’elle passe sur le caractère obligatoire de la révélation de l’information, d’une part, et ensuite parce qu’elle « glisse » sur la question de l’application des critères de l’art. 328b CO ainsi que sur le respect du principe de proportionnalité. Est-il nécessaire et adéquat de demander le statut vaccinal des employés pour juger les attitudes nécessaires à l’emploi, et cette information est-elle nécessaire dans l’exécution du travail ? Est-il possible de procéder par d’autres mesures moins incisives ? Poser la question, c’est y répondre : c’est ce qu’ont fait les employeurs depuis le début de la pandémie, en proposant et en mettant en œuvre des plans de protection sans demander le statut vaccinal, et avec un certain succès. Rien n’indique en tout cas que la connaissance du statut vaccinal remplisse les conditions de l’art. 328b CO ou soit indispensable à la mise en œuvre d’un plan de protection, ni que les plans auraient échoué dans le passé faute de connaître ces informations particulières.

Certains auteurs tournent la difficulté en mettant en avant le fait que l’information devrait être faite par l’employé sur une base volontaire. Outre que l’extension du certificat a rendu la question obsolète, on remarquera que le consentement au traitement de données devrait être libre et éclairé, ce qui n’a rien d’évident dans le cadre de rapports de travail.

La troisième hypothèse se réfère à l’art. 7 al. 4 de l’Ordonnance COVID-19 situation particulière, soit la possibilité d’exempter de quarantaine les personnes qui travaillent dans des entreprises ayant un plan de dépistage. Là aussi, on peine à voir en quoi les plans de dépistage antérieurs à la modification du 8 septembre 2021 rendraient aujourd’hui nécessaires la connaissance du statut vaccinal, et en quoi cette méconnaissance les aurait rendus inefficaces, redondants ou superfétatoires. Par ailleurs la participation à un plan de dépistage doit s’effectuer sur une base volontaire (OFSP, Questions fréquentes – élargissement de la stratégie de test, 27 janvier 2021, ch. 4), ce qui n’est pas compatible avec la connaissance « forcée » des indications figurant sur le certificat.

Les garanties offertes aux employés

La « consultation » des travailleurs, le principe de finalité (i.e. la consultation du certificat ne peut pas être utilisée à d’autres fins que celles exposées ci-dessus) et l’affirmation que les employeurs ne sont pas censés discriminer entre les vaccinés, les non vaccinés et les guéris seraient censé constituer des garanties suffisantes dans la mise en œuvre de l’extension de l’utilisation du certificat sur le lieu de travail.

On peut toutefois fermement douter que ces garanties suffisent à protéger efficacement et concrètement les intérêts des employés concernés.

La « consultation » n’est pas une approbation [sauf dans certains cas très particuliers prévus par la loi]. Il est donc parfaitement mensonger de prétendre, comme le font certaines voix, que l’extension du certificat serait soumise à l’approbation des employés.

Le respect du principe de finalité sera très aléatoire en pratique. Est-ce que le Conseil fédéral estime sérieusement que des employeurs soumis à la pression de leurs clients, aux nécessités de baisser leurs coûts ou à la volonté de complaire, vont se contenter de traiter l’utilisation du certificat dans le cadre limité des plans de protection et des tests ? Si un client leur dit qu’ils ne voudront traiter qu’avec des employés en service externe avec un certificat à jour, que va-t-il se passer ? On en lira un très bel exemple dans le Temps du 11 septembre 2021 : consultation publique expresse des salariés, et adoption de l’extension du certificat notamment pour « protéger les clients et les partenaires »… ce qui n’a rien à voir avec les finalités des al. 2bis et 2ter.

Quant à l’interdiction de discriminer entre les vaccinés, les non vaccinés et les guéris, outre son côté très déclaratoire, il suffit de prendre en compte ce qui se passe dans les entreprises déjà aujourd’hui, les tensions entre employés, les pressions des employeurs, pour comprendre que cela restera probablement très théorique.

Conclusion

Il faut le comprendre, et il aurait fallu le dire : l’extension de l’utilisation du certificat sur le lieu de travail prévue par l’ordonnance du 8 septembre ne fait que préparer et annoncer une utilisation beaucoup plus large et intensive de ce document dans les rapports de travail (et dans la société en général). Et cela même s’il faut s’accommoder, pour ce faire, de normes mal faites, mal pensées, dépourvues de garanties sérieuses pour les employés et empreintes d’une certaine hypocrisie…

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans Coronavirus - Covid 19, Protection de la personnalité, Protection des données | Tagué certificat, covid-19, synthèse, Travail | Laisser un commentaire

Le certificat COVID-19 sur le lieu de travail (2)

Publié le 10 septembre 2021 par Me Philippe Ehrenström

On a expliqué hier les traits généraux de l’utilisation du certificat CODID-19 sur le lieu de travail (https://droitdutravailensuisse.com/2021/09/09/le-certificat-covid-19-sur-le-lieu-de-travail/). Il vaut la peine aujourd’hui de s’arrêter sur un à-côté de ce dispositif, à savoir la différence de traitement qui en résultera pour les salariés du public et ceux du privé.

En effet, l’utilisation du certificat COVID-19 est un traitement de données, de données sensibles en particulier. Or les organes fédéraux et cantonaux sont soumis à l’obligation fonder leurs traitements de données sur une base légale, base légale qui doit être formelle si les données sont sensibles (art. 17 al. 1 et 2 LPD ; il existe des dispositions similaires dans les droits cantonaux).

L’OFSP l’exprime, de manière assez maladroite, au point no 6 de son document FAQ – Extension de l’obligation de certificat, 8 septembre 2021 (https://www.newsd.admin.ch/newsd/message/attachments/68145.pdf): « Dans le cas d’une institution de droit public, il doit exister une base juridique pour le traitement des données relatives à la santé afin d’introduire une obligation de certificat. » C’est maladroit parce que l’exigence de la base légale s’applique aussi aux personnes morales et physiques de droit privé chargées d’exécuter des tâches de droit public dans l’accomplissement desdites tâches, mais passons….

Résultat ? L’introduction du certificat COVID-19 suivra un processus de « consultation » des travailleurs dans le secteur privé, dont le moins que l’on puisse dire est qu’il n’est guère contraignant et qu’il sera probablement « express », alors que les salariés du secteur public auront l’avantage de ne se faire imposer le certificat qu’après l’adoption d’une base légale formelle, processus qui prend du temps, qui expose le texte à la critique et au débat démocratique, etc.

On aura ainsi deux catégories d’employés, plus ou moins bien protégés selon leur statut, et ce face à des exigences sanitaires strictement identiques. Magie du droit d’urgence !

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans Coronavirus - Covid 19, Protection de la personnalité, Protection des données | Tagué certificat, covid-19, Lieu de travail, obligation | Laisser un commentaire

Le certificat COVID-19 sur le lieu de travail

Publié le 9 septembre 2021 par Me Philippe Ehrenström

La présente note ne traitera pas du certificat COVID-19 (ou d’autres instruments similaires type « pass sanitaire ») en général. François-Xavier Bellamy et Loïc Hervé ont déjà exprimé, mieux que je ne saurais le faire, ce qu’il faut penser de ces nouveaux instruments de contrôle (https://www.fxbellamy.fr/2021/07/15/pass-sanitaire-sortir-de-l-impasse-sanitaire-tribune-figaro/). Elle s’attardera par contre sur le régime applicable particulier relatif à l’utilisation du certificat COVID-19 (ci-après le « certificat ») sur le lieu de travail, et ce selon les termes de la modification du 8 septembre 2021 de l’ Ordonnance du 23 juin 2021 sur les mesures destinées à lutter contre l’épidémie de COVID-19 en situation particulière (Ordonnance COVID-19 situation particulière ; RO 2021 379), modification qui entrera en vigueur… lundi prochain 13 septembre 2021! (Cf. Ordonnance du 8 septembre 2021 sur les mesures destinées à lutter contre l’épidémie de COVID-19 en situation particulière (Ordonnance COVID-19 situation particulière) (Extension de l’utilisation du certificat COVID-19 ; RO 2021 542 – le texte est accessible de manière provisoire ici : https://www.bag.admin.ch/bag/fr/home/das-bag/aktuell/medienmitteilungen.msg-id-85035.html).

Une remarque en passant sur la technique législative : cette énième modification des ordonnances COVID oblige à une gymnastique pénible entre plusieurs textes d’états différents, ce qui ne contribue pas à en clarifier et en simplifier la perception.

Sur le fond, le Conseil fédéral a modifié l’art. 25 de l’Ordonnance COVID-19 situation particulière) en y ajoutant deux alinéas. Sans revenir ici sur la protection des employés vulnérables, qui est sujet en soi, les al. 1 et 2 de l’art. 25 prévoient que l’employeur garantit que les employés puissent respecter les recommandations de l’OFSP en matière d’hygiène et de distance. À cette fin, les mesures correspondantes doivent être prévues et mises en œuvre. L’employeur prend aussi d’autres mesures en vertu du principe STOP (substitution, tech nique, organisation, personnel), notamment la possibilité de travailler à domicile, la mise en place de séparations physiques, la séparation des équipes, l’aération régulière ou le port d’un masque facial. Les art. 2bis et 2ter nouveaux qui, répétons-le, vont entrer en vigueur lundi 13 septembre, prévoient maintenant que l’employeur est habilité à vérifier que son personnel dispose d’un certificat si cela permet de définir des mesures de protection appropriées ou de mettre en œuvre un plan de dépistage. Le résultat de la vérification ne peut pas être utilisé à d’autres fins. Si l’employeur prévoit de vérifier que son personnel dispose d’un certificat conformément à l’al. 2bis, il doit le préciser par écrit, ainsi que les mesures qui en découlent. Les employés ou leurs représentants doivent être consultés au préalable.

Dans un document intitulé FAQ – Extension de l’obligation de certificat, daté du 8 septembre 2021 (cf. https://www.newsd.admin.ch/newsd/message/attachments/68145.pdf) l’OFSP tente « d’expliciter » le cadre de cette extension. Citons-le :

« 6. Les employés d’un établissement pour lequel l’obligation du certificat existe doivent-ils également posséder un certificat, par exemple le personnel de service dans les restaurants, les moniteurs de fitness, les surveillants de musée ou les bénévoles lors de manifestations sportives ?

Non, mais un employeur peut exiger un certificat pour les employés dans le cadre de son devoir de diligence (par exemple, dans les hôpitaux). Ils peuvent vérifier la présence d’un certificat pour leurs employés si cela sert à déterminer les mesures de protection appropriées ou la mise en œuvre du concept de test. (…) L’employeur doit consigner par écrit s’il souhaite prendre des mesures de protection ou de mise en œuvre d’un concept de test sur la base du certificat Covid. Les employés doivent être consultés à ce sujet. L’employeur ne peut pas utiliser le résultat de la vérification du certificat à d’autres fins. En outre, il ne doit pas y avoir de discrimination entre les employés vaccinés, les employés guéris et les non-vaccinés.

Dans le cas d’une institution de droit public, il doit exister une base juridique pour le traitement des données relatives à la santé afin d’introduire une obligation de certificat. »

La première hypothèse se réfère sans doute aux situations où l’employeur est tenu d’agir en raison d’une obligation de protéger ou de ne pas nuire, par exemple en présence de personnes fragiles ou à risque (personnes âgées, malades, etc.)

La troisième hypothèse se réfère à l’art. 7 al. 4 de l’Ordonnance COVID-19 situation particulière, soit la possibilité d’exempter de quarantaine les personnes qui travaillent dans des entreprises ayant un plan de dépistage qui remplit les conditions suivantes: le plan permet au personnel de se faire tester facilement et prévoit de l’informer régulièrement des avantages que le test procure; le personnel peut se faire tester au minimum une fois par semaine; les conditions pour la prise en charge des tests par la Confédération sont remplies.

Le contrôle ne se fait pas « une fois pour toute », mais à chaque fois et régulièrement pour s’assurer que le certificat est toujours valable (cf. OFSP, Contrôle du certificat COVID : questions fréquentes, 8 septembre 2021 ; https://www.newsd.admin.ch/newsd/message/attachments/68148.pdf).

La « consultation » des travailleurs, le principe de finalité (i.e. la consultation du certificat ne peut pas être utilisée à d’autres fins que celles exposées ci-dessus) et l’affirmation que les employeurs ne sont pas censés discriminer entre les vaccinés, les non vaccinés et les guéris sont censé constituer des garanties suffisantes dans la mise en œuvre de l’extension de l’utilisation du certificat sur le lieu de travail.

On peut toutefois fermement douter que ces garanties suffisent à protéger efficacement et concrètement les intérêts des employés concernés.

Le caractère potestatif de l’utilisation du certificat est par exemple très relatif. On ne voit pas très bien pourquoi cela devrait être une simple « possibilité », alors que, dans les faits, la tentation sera grande d’utiliser systématiquement le certificat dans le cadre de la mise en place de plan de protection ou de tests, ce qui concerne à peu près tous les employeurs. Le certificat deviendra une obligation de facto, faute de l’être de jure.

Les risques de violation des droits de la personnalité et des données des employés sont très importants. Est-ce que le Conseil fédéral estime sérieusement que des employeurs soumis à la pression de leurs clients, aux nécessités de baisser leurs coûts ou à la volonté de complaire, vont se contenter de traiter l’utilisation du certificat dans le cadre limité des plans de protection et des tests ? Si un client leur dit qu’ils ne voudront traiter qu’avec des employés en service externe avec un certificat à jour, que va-t-il se passer ? Imagine-t-on les problèmes pratiques de collecte des données et de préservation du secret ? Et quid du principe de proportionnalité ?

Concrètement, l’extension de l’utilisation du certificat sur le lieu de travail prévue par l’ordonnance du 8 septembre ne fait que préparer et annoncer une utilisation beaucoup plus large et intensive de ce document dans les rapports de travail. Il est certain que ce processus rencontre l’adhésion de maints employeurs qui y verront l’occasion de simplifier leurs processus et de baisser leurs coûts. Et, apparemment, tant pis pour les employés, qui n’auront que le processus de consultation pour se faire entendre. On peut comprendre que les syndicats soient inquiets (https://www.20min.ch/fr/story/appels-a-laide-et-a-la-clarification-du-cote-des-organisations-economiques-320681111275).

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans Coronavirus - Covid 19, Protection de la personnalité, Protection des données | Tagué certificat, covid-19, Lieu de travail | Laisser un commentaire

Accès indu aux données, traitement illicite, sanction

Publié le 8 septembre 2021 par Me Philippe Ehrenström

Employé communal auprès des services industriels, l’Employé est en charge de relever les compteurs de gaz et d’électricité. En litige avec son bailleur concernant la facturation de ses frais de chauffage, il consulte, collecte et organise les données de consommation de gaz de son bailleur et les enregistre sur un fichier informatique. Il s’en ouvre audit bailleur, qui dénonce le cas. L’autorité d’engagement prononce un avertissement, l’Employé recourt.

La décision attaquée retient qu’en consultant et en utilisant à des fins privées des <données> de consommation de gaz, le recourant a contrevenu à loi vaudoise du 11 septembre 2007 sur la protection des <données> personnelles (LPrD; BLV 172.65) et à ses obligations contractuelles.

La LPrD vise à protéger les personnes contre l’utilisation abusive des <données> personnelles les concernant (art. 1). Elle s’applique à tout traitement de <données> des personnes physiques ou morales (art. 3 al. 1 LPrD). Y sont notamment soumises les personnes physiques auxquelles une commune confie des tâches publiques, dans l’exécution desdites tâches (art. 3 al. 2 let. e LPrD).

En l’espèce, dès lors que le recourant est employé de la Commune de ******** et qu’il exerce son métier de releveur-encaisseur des compteurs d’électricité et de gaz au sein des SI********, il est soumis à l’application de la LPrD dans le cadre de ses activités professionnelles.

En revanche, la loi fédérale du 19 juin 1992 sur la protection des <données> (LPD; RS 235.1), invoquée par le recourant, ne lui est pas applicable, dès lors qu’elle régit le traitement de <données> effectué par des personnes privées dans le cadre d’une relation de droit privé (cf. art. 2 al. 1 let. a LPD) ou par des organes fédéraux chargés d’une tâche de la Confédération (cf. art. 2 al. 1 let. b et 3 let. h LPD), ce qui n’est pas le cas ici (voir aussi notamment CDAP GE.2016.0084 du 16 décembre 2016 consid. 2).

Selon l’art. 4 LPrD, on entend par « donnée personnelle » toute information qui se rapporte à une personne identifiée ou identifiable (ch. 1). On entend par « donnée sensible » toute donnée personnelle se rapportant: aux opinions ou activités religieuses, philosophiques, politiques ou syndicales, ainsi qu’à une origine ethnique; à la sphère intime de la personne, en particulier à son état psychique, mental ou physique; aux mesures et aides individuelles découlant des législations sociales; aux poursuites ou sanctions pénales et administratives (ch. 2). On entend par « traitement de <données> personnelles » toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des <données> personnelles, notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction (ch. 5). Enfin, on entend par « communication » le fait de rendre des <données> accessibles, notamment de les transmettre, les publier, autoriser leur consultation ou fournir des renseignements (ch. 6).

En l’occurrence, les factures de gaz ne sont certes pas des <données> sensibles, mais demeurent des <données> personnelles soumises à la LPrD, ce que le recourant admet d’ailleurs expressément dans son recours.

Aux termes de l’art. 5 al. 1 LPrD, les <données> personnelles ne peuvent être traitées que si: une base légale l’autorise (let. a); leur traitement sert à l’accomplissement d’une tâche publique (let. b). L’art. 6 LPrD précise que les <données> ne doivent être traitées que dans le but indiqué lors de leur collecte, tel qu’il ressort de la loi ou de l’accomplissement de la tâche publique concernée. L’art. 15 al. 1 LPrD prévoit pour sa part ce qui suit:

« Les <données> personnelles peuvent être communiquées par les entités soumises à la présente loi lorsque:

a. une disposition légale au sens de l’article 5 le prévoit;

b. le requérant établit qu’il en a besoin pour accomplir ses tâches légales;

c. le requérant privé justifie d’un intérêt prépondérant à la communication primant celui de la personne concernée à ce que les <données> ne soient pas communiquées;

d. la personne concernée a expressément donné son consentement ou les circonstances permettent de présumer ledit consentement;

e. la personne concernée a rendu les <données> personnelles accessibles à tout un chacun et ne s’est pas formellement opposée à leur communication; ou

f. le requérant rend vraisemblable que la personne concernée ne refuse son accord que dans le but de l’empêcher de se prévaloir de prétentions juridiques ou de faire valoir d’autres intérêts légitimes; dans ce cas, la personne concernée est invitée, dans la mesure du possible, à se prononcer, préalablement à la communication des <données> ».

Dans le cas d’espèce, ainsi qu’il l’a lui-même indiqué dans ses écritures et lors de son entretien du 14 août 2020, le recourant a consulté les <données> de consommation de gaz concernant son ancien bailleur, client des SI********, dans le but de s’assurer que celui-ci lui facturait correctement les frais de chauffage. Il a expliqué que son propriétaire avait refusé de lui fournir un décompte de charges précis et qu’il avait donc dressé un tableau Excel détaillant les factures des années 2018 et 2019. Le recourant est ensuite allé en discuter avec son ex-bailleur et lui a déclaré qu’il était en possession de ses <données> de consommation de gaz et qu’il pouvait les lui remettre.

En d’autres termes, le recourant a non seulement consulté, grâce à ses accès professionnels aux SI********, les <données> personnelles de son ex-bailleur, mais les a de surcroît collectées, organisées et enregistrées dans un fichier informatique privé. Il les a ainsi conservées par-devers lui, avant de les utiliser pour ses propres besoins en les communiquant à son propriétaire. Ce faisant, il s’est donc indubitablement livré au traitement et à la communication de <données> personnelles au sens de l’art. 4 ch. 5 et 6 LPrD.

Le recourant ne prétend pas, à juste titre, que ces opérations étaient autorisées par une base légale (cf. art. 5 al. 1 let. a et 15 al. 1 let. a LPrD) ou autrement nécessaires à l’accomplissement d’une tâche publique (cf. art. 5 al. 1 let. b et 15 al. 1 let. b LPrD). Il ne soutient pas non plus, toujours à raison, que les <données> de consommation de gaz de son ancien bailleur auraient été traitées conformément au but de leur collecte (cf. art. 6 LPrD). Au contraire, il a reconnu avoir agi dans l’objectif de « faire la lumière sur des potentielles erreurs de facturation », soit à des fins purement privées.

Le recourant soutient néanmoins qu’il disposait d’un intérêt privé prépondérant (cf. art. 15 al. 1 let. c LPrD) à obtenir les <données> de consommation de gaz de son ancien bailleur, dans le cadre d’un différend touchant aux charges de leur contrat de bail. Il se prévaut en particulier des art. 257b al. 2 du code des obligations du 30 mars 1911 (CO; RS 220) et 8 al. 2 de l’ordonnance fédérale du 9 mai 1990 sur le bail à loyer et le bail à ferme d’habitations et de locaux commerciaux (OBLF; RS 221.213.11). Bien que ces dispositions permettent effectivement au locataire de consulter les pièces justificatives relatives aux frais accessoires de chauffage et d’eau chaude, elles ne l’autorisent pas pour autant à obtenir et à utiliser de son propre chef les <données> personnelles du bailleur contre son gré. Comme il le souligne lui-même, le recourant aurait dû saisir les juridictions civiles compétentes en matière de bail s’il s’estimait lésé dans ses droits de locataire, plutôt que de tirer avantage de sa fonction de collecteur aux SI******** pour se procurer directement les informations confidentielles souhaitées. Contrairement à ce qu’il avance au reste, le seul fait que son ex-bailleur n’ait pas immédiatement mis fin à leur conversation ne suffit assurément pas à en conclure qu’il aurait tacitement consenti à pareil procédé (cf. art. 15 al. 1 let. d LPrD). Quant aux autres circonstances permettant la communication de <données> personnelles (cf. art. 15 al. 1 let. e et f LPrD), elles ne sont manifestement pas réalisées.

Il s’ensuit que les agissements du recourant constituent bel et bien une utilisation abusive de <données> personnelles prohibée par la LPrD.

L’autorité intimée y voit une violation des obligations contractuelles du recourant, singulièrement du devoir de diligence et de fidélité, ainsi que du secret de fonction.

En sa qualité de fonctionnaire de la Commune de ********, le recourant est soumis aux art. 15 et 19 du Statut du personnel, dont la teneur est la suivante:

« Art. 15 Exercice de la fonction a) en général

Les fonctionnaires doivent exercer leur fonction personnellement, avec diligence, conscience et fidélité; ils doivent y consacrer tout leur temps réglementaire.

[…]

Art. 19 Secret de fonction

Le personnel est tenu tant au secret professionnel qu’au secret de fonction. Cette obligation subsiste même après la cessation des rapports de service ».

Le recourant argue que dans la mesure où il a confié verbalement à son ex-bailleur des <données> de consommation de gaz qui appartenaient à celui-ci et lui étaient donc connues, il n’y aurait pas de place pour une violation du secret de fonction au sens de l’art. 320 du code pénal suisse du 21 décembre 1937 (CP; RS 311.0). Il affirme en outre qu’il a toujours respecté son devoir de fidélité, qu’il n’a pas une seule fois fait l’objet de blâmes, d’avertissements ou de mesures disciplinaires pendant toutes ses années de service et qu’il n’a pas lésé les intérêts de son employeur dans cette affaire. Enfin, il fait valoir qu’il n’a jamais bénéficié d’une formation sur la protection des <données> et que les « carences organisationnelles » des SI******** à cet égard sont de la responsabilité de son employeur.

Premièrement, il sied de préciser qu’il n’appartient pas à la Cour de céans de juger d’une éventuelle violation de l’art. 320 CP, mais aux juridictions pénales (cf. CDAP GE.2016.0084 du 16 décembre 2016 consid. 2). Cela étant, il a été établi au considérant précédent que le recourant s’est servi, pour son propre usage, des <données> personnelles de consommation de gaz de son ex-bailleur, auxquelles il a eu accès grâce à sa fonction de releveur-encaisseur aux SI********. Les <données> énergétiques ne sont toutefois pas recueillies à des fins privées, mais d’utilité publique (cf. en particulier les art. 55 ss de la loi fédérale du 30 septembre 2016 sur l’énergie [LEne; RS 730.0] et 11 de la loi vaudoise du 16 mai 2006 sur l’énergie [LVLEne; BLV 730.01]); c’est pourquoi elles ne sont pas accessibles à tout un chacun, mais uniquement à un cercle limité de personnes. Le recourant en était conscient puisque c’est précisément à défaut d’avoir réussi à obtenir ces informations de son ancien propriétaire qu’il a eu recours à ses outils professionnels. Partant, en profitant de ses accès privilégiés aux SI******** pour satisfaire ses besoins privés, le recourant a non seulement exposé des <données> confidentielles à une personne non initiée (contre son gré), mais aussi déçu la confiance que son employeur était en droit d’attendre de lui et terni l’image de celui-ci vis-à-vis du citoyen. De son propre aveu, le recourant s’est d’ailleurs bien rendu compte que ce procédé « n’était pas correct », comme il ressort du protocole de son audition.

Force est ainsi d’admettre que le recourant n’a pas exercé sa fonction avec diligence, conscience et fidélité, contrevenant ainsi à l’art. 15 du Statut du personnel. Dans ces conditions, la question de savoir si ces agissements constituent également une violation du secret de fonction au sens de l’art. 19 dudit statut – les <données> ayant été communiquées à la personne qui les connaissait déjà, et pour cause – souffre de demeurer indécise.

Pour le surplus, c’est en vain que le recourant tente de tenir son employeur pour responsable de ses propres manquements, au motif qu’il n’aurait pas reçu de formation interne au sujet de la LPrD. Le fait qu’un employé ne doive pas utiliser à des fins privées les <données> personnelles d’autrui dont il a connaissance dans le cadre de son activité professionnelle est en effet un principe de base qui ne devrait pas nécessiter d’instruction particulière. Le recourant est d’autant plus malvenu de se retrancher derrière son ignorance qu’il compte déjà trente ans de service passés aux SI********, durant lesquels son devoir de confidentialité lui a régulièrement été rappelé, ainsi qu’en attestent les formulaires d’entretiens annuels de collaboration figurant au dossier. Enfin et comme déjà dit, le recourant a lui-même reconnu l’inadéquation de son comportement.

Il s’ensuit que le recourant a bel et bien failli à ses obligations contractuelles et que l’autorité intimée était dès lors fondée, sur le principe, à prononcer une mesure à son endroit. [Confirmation de la décision prononçant un avertissement et rejet du recours]

(Arrêt de la CDAP du 12 août 2021 (GE.2020.0238)

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans Fonction publique, Protection des données | Tagué accès indu, données de consommation, Employé communal, sanction | Laisser un commentaire

Le transfert de données à l’étranger

Publié le 12 août 2021 par Me Philippe Ehrenström

[Le droit suisse de la protection des données, c’est aussi du droit du travail !

En effet, outre le renvoi de l’art. 328 b CO, le droit de la protection des données s’applique à des degrés divers dans toutes les étapes de la gestion des ressources humaines, de l’engagement au contentieux en passant par la tenue du dossier personnel.

Or le droit suisse de la protection des données va connaître un bouleversement considérable au 2e semestre 2022 avec l’entrée en vigueur de la loi révisée sur la protection des données et de son ordonnance.

Contrairement à ce que l’on peut lire ici ou là, le nouveau droit de la protection des données va entraîner des adaptations substantielles des pratiques et des manières de faire, particulièrement pour les employeurs qui ne se sont pas adaptés au RGPD car ils n’avaient pas à le faire.

Je vais donc présenter sur ce blog quelques-unes des nouveautés à venir pendant le 2e semestre 2021.]

Selon l’art. 6 al. 1 de la loi fédérale du 19 juin 1992 sur la protection des données (LPD ; RS 235.1), aucune donnée personnelle ne peut être communiquée à l’étranger si la personnalité des personnes concernées devait s’en trouver gravement menacée, notamment du fait de l’absence d’une législation assurant un niveau de protection adéquat. La communication de données revient à les rendre accessibles à partir de la Suisse vers l’étranger ; une simple autorisation de consultation suffit. L’art. 6 s’applique aussi à l’intérieur d’une même entreprise dont les services (peu importe la forme juridique) et les collaborateurs sont situés dans plusieurs pays ou à la délégation de traitement transfrontière.

L’art. 16 de de la nouvelle loi fédérale du 25 septembre 2020 sur la protection des données, adoptée le 25 septembre 2020, et qui devrait renter en vigueur dans la 2e partie de 2022 (nLPD ; FF 2020 7397), abandonne le principe de la menace grave pour la personnalité de la personne concernée, source s’insécurité juridique. Il retient que les données peuvent être transférées à l’étranger si le Conseil fédéral a constaté que l’Etat concerné disposait d’une législation assurant un niveau de protection adéquat. La liste des pays assurant un tel niveau de protection, sous l’angle de la LPD actuelle, est tenue par le Préposé fédéral à la protection des données et à la transparence (PFPDT) (art. 31 al. 1 let. d LPD ; art. 7 OLPD).

Les art. 6 LPD et 16 ss nLPD ne règlent que le volet « transfrontalier » de la communication. Celle-ci doit dans tous les cas respecter les principes généraux de la LPD (finalité, exactitude, proportionnalité, etc.)

L’art. 6 al. 2 LPD précise qu’en dépit de l’absence d’une législation assurant un niveau de protection adéquat à l’étranger, des données personnelles peuvent être communiquées à l’étranger, à l’une des conditions suivantes uniquement:

des garanties suffisantes, notamment contractuelles, permettent d’assurer un niveau de protection adéquat à l’étranger; elles doivent permettre de couvrir l’ensemble des éléments pertinents du transfert (identité exportateur /importateur de données, catégories de données personnelles à transférer, finalités du transfert, catégories de personnes dont les données sont transférées, destinataires des données, durée de conservation, stockage, droits des personnes concernées – accès, rectification, opposition, blocage, radiation, destruction, sécurité, confidentialité, etc. ; il existe des contrats-modèles et des clauses standards établis ou reconnus par le PFPDT (art. 6 al. 3 OLPD in fine ; il s’agira notamment des Standard Contractual Clauses reconnues en droit européen – https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_fr); l’exportateur qui utilise les contrats-modèles et les clauses-standards doit par ailleurs s’assurer, par exemple par des audits réguliers, que les clauses sont effectivement respectées par le destinataire (art. 6 al. 4 OLPD) ; le PFPDT doit être informé des garanties visées par l’art. 6 al. 2 let. a LPD (art. 6 OLPD quant aux modalités de l’information) ; l’information peut se limiter au fait que l’on utilise les contrats-modèles ou clauses-standards reconnus par le PFPDT ; s’il ne s’agit pas des modèles et clauses standards, le PFPDT doit examiner les garanties annoncées et communique le résultat de cet examen dans un délai de 30 jours (art. 31 al. 1 let. e LPD ; 5 al. 5 OLPD) – sans réaction du PFPDT après 30 jours, le maître du fichier peut partir du principe qu’il n’y a pas d’objections aux garanties fournies ; l’omission intentionnelle d’informer le PFPDT ou la formation d’informations intentionnellement inexactes sont punies de l’amende (art. 32 al. 2 let. a LPD) ; les garanties peuvent aussi être fournies autrement que contractuellement, par exemple par l’adhésion à un code de conduite répondant aux mêmes exigences – le devoir d’informer est le même;
la personne concernée a, en l’espèce, donné son consentement; la dérogation vise des situations extracontractuelles, les questions relevant de l’exécution du contrat étant régies par l’art. 6 al. 2 let. c LPD, ou les cas où la communication de données n’est pas nécessaire à la conclusion ou l’exécution du contrat ; une renonciation générale et anticipée au consentement n’est pas possible ; l’art. 4 al. 5 LPD s’applique aux conditions matérielles (consentement libre et éclairé) et formelles du consentement (consentement explicite pour les données sensibles et les profils de personnalités) ; le consentement ne pourra valoir que pour une ou plusieurs finalités de traitement déterminées, et vers un ou des Etats déterminés ; la « réexportation » de données d’un pays couvert par le consentement vers un autre nécessitera ainsi un nouveau consentement ;
le traitement est en relation directe avec la conclusion ou l’exécution d’un contrat et les données traitées concernent le cocontractant; le traitement doit ici être nécessaire à cette fin, et pas simplement utile ou opportun ; on tiendra compte de l’art, 328b CO dans les rapports de travail – la communication ne pourra ainsi porter que sur des données relatives aux aptitudes du travailleur à remplir son emploi ou qui sont nécessaires à l’exécution du contrat de travail, sauf à obtenir un consentement pour les données qui dépassent ce cadre [et qui ne pourra porter préjudice au travailleur] ; les principes généraux de la protection des données s’appliquent ;
la communication est, en l’espèce, indispensable soit à la sauvegarde d’un intérêt public prépondérant, soit à la constatation, l’exercice ou la défense d’un droit en justice; il s’agit de l’intérêt de la Suisse (image du pays à l’étranger, coopération, etc.) ; l’intérêt doit être prépondérant par rapport à celui de la personne concernée à ce que les données ne soient pas exportées, ce qui s’interprète restrictivement ; lorsque la communication prend place dans le cadre de procédures d’entraide judiciaire ou administrative, elle échappe à la LPD (cf. art. 2 al. 2 let. c LPD) ; concernant l’exercice d’un droit en justice à l’étranger, la communication doit être nécessaire (la collecte et le traitement obéissent aux règles ordinaires) ;
la communication est, en l’espèce, nécessaire pour protéger la vie ou l’intégrité corporelle de la personne concernée; il s’agit de situations dans lesquelles les intérêts essentiels de la personne concernée sont en jeu, alors qu’elle n’est pas en mesure de donner son consentement par elle-même (maladie, accident) et qu’on peut objectivement présumer, au vu des circonstances, que le consentement aurait été donné ; la formulation est trop stricte, l’art. e s’applique aussi pour la protection d’intérêts vitaux d’un proche de la personne concernée dans cette même situation;
la personne concernée a rendu les données accessibles à tout un chacun et elle ne s’est pas opposée formellement au traitement;
la communication a lieu au sein d’une même personne morale ou société ou entre des personnes morales ou sociétés réunies sous une direction unique, dans la mesure où les parties sont soumises à des règles de protection des données (Binding Corporate Rules) qui garantissent un niveau de protection adéquat ; cela peut prendre par exemple la forme d’une charte sur la protection des données, de lignes directrices, etc. ; ces garanties doivent être communiquées au PFPDT (art. 6 al. 3 LPD ; 6 OLPD).

Le PFPDT doit être informé des garanties données visées à l’al. 2, let. a, et des règles de protection des données visées à l’al. 2, let. g. Le Conseil fédéral règle les modalités du devoir d’information. (Art. 6 al. 3 LPD)

La nLPD prévoit quant à elle qu’en l’absence d’une décision du Conseil fédéral sur le caractère adéquat du niveau de protection assuré par la législation du pays destinataire, un niveau de protection peut être assuré par d’autres moyens (art. 16 al. 2 nLPD) ou si une dérogation s’applique (art. 17 nLPD). Un niveau de protection adéquat peut en particulier résulter d’un traité international, de clauses contractuelles-type ou de règles d’entreprise contraignantes. L’utilisation de règles contractuelles ne sera toutefois pas efficace face au droit impératif du pays de destination, ce qui peut impliquer que de telles règles peuvent, à elles-seules, ne pas assurer un niveau de protection équivalent (on pense ici tout particulièrement aux transferts vers les Etats-Unis et aux – retentissants – arrêts Schrems I et II ; cf. notamment arrêt CJUE Maximilian Schrems et Data Protection Commissioner c/ Facebook ireland Ltd, C-311/18 du 16 juillet 2020). L’art. 17 nLPD traite de situations particulières : consentement (après information), relation directe avec la conclusion ou l’exécution d’un contrat, intérêt public prépondérant, constatation, défense ou exercice d’un droit, etc.

Sous le nouveau droit, le PFPDT pourra suspendre ou interdire la communication de données à l’étranger si elle est contraire aux conditions des art. 16 ou 17 nLPD (art. 51 al. 2 nLPD). Le fait de communiquer des données à l’étranger en violation de l’art. 16nLPD et sans que l’une ou l’autre des conditions de l’art. 17 nLPD soit remplie est une contravention susceptible d’être sanctionnée par une amende pouvant aller jusqu’à CHF 250’000.—(art. 61 let. a nLPD).

Le PFPDT a publié par ailleurs au mois de juin 2021 un Guide pour l’examen de la licéité de la communication transfrontière de données (art. 6, al. 2, let. a, LPD) (https://www.edoeb.admin.ch/edoeb/fr/home/protection-des-donnees/handel-und-wirtschaft/uebermittlung-ins-ausland.html#-629182963) auquel il conviendra également de se référer plus en détail.

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans nouvelle LPD, Protection de la personnalité, Protection des données | Tagué étranger, LPD, nLPD, protection de la personnalité, protection des données, transfert de données | Laisser un commentaire

But, champ d’application et mise en œuvre du droit de la personnalité des données

Publié le 12 août 2021 par Me Philippe Ehrenström

[Le droit suisse de la protection des données, c’est aussi du droit du travail !

Je vais donc présenter sur ce blog quelques-unes des nouveautés à venir pendant le 2e semestre 2021.]

Le droit de la protection des données est constitué de très nombreuses normes de droit international, national ou cantonal.

La loi fédérale du 19 juin 1992 sur la protection des données (LPD ; RS 235.1) et sa nouvelle version applicable dès le 1er semestre 2022 constituent certes le cœur de la matière, mais il existe aussi quantité de dispositions spéciales dans à peu près tous les domaines du droit (banque, travail, assurances, etc.)

Il faut bien, cependant, faire des choix, ne serait-ce que pour respecter le cadre et le format de la présente publication. La LPD est le « navire amiral » de la protection des données en Suisse, elle en constitue sa grammaire, son vocabulaire, sa structure intellectuelle et logique, et rien ne serait compréhensible sans elle. Il est donc légitime de s’attarder sur ses buts, son champ d’application et sa mise en œuvre (nouveau droit), avec des contre-points du droit cantonal et du droit européen.

Concernant son but, la LPD vise à protéger la personnalité et les droits fondamentaux des personnes qui font l’objet d’un traitement de données (art. 1 LPD). L’art. 1 de la nouvelle loi fédérale du 25 septembre 2020 sur la protection des données, adoptée le 25 septembre 2020, et qui devrait renter en vigueur dans la 2e partie de 2022 (nLPD ; FF 2020 7397), parle de protéger la personnalité et les droits fondamentaux des personnes physiques dont les données personnelles font l’objet d’un traitement. On constate donc que le nouveau droit exclut les données des personnes morales de la protection, leur inclusion dans le droit de la protection des données actuel étant une particularité suisse qui posait certains problèmes pratiques en cas de transfert de données à l’étranger. Les personnes morales bénéficieront toutefois de la protection générale de leur personnalité garantie par les art. 28 ss CC.

Concernant le champ d’application personnel et matériel, la LPD régit le traitement de données concernant des personnes physiques et morales effectué par des personnes privées et des organes fédéraux (art. 2 al. 1 LPD). La notion de données personnelles est large (art. 4 nLPD) et inclut toutes les informations relatives à une personne identifiée ou identifiable, étant rappelé que les données personnelles des personnes morales seront exclues de la protection par la nLPD. Le « traitement » s’interprète également largement et recouvre toute opération relative à des données personnelles, indépendamment des moyens et procédés utilisés (art. 5 let. d nLPD).

La LPD ne s’applique pas aux données qu’une personne physique traite pour un usage exclusivement personnel et qu’elle ne communique pas à des tiers (art. 2 al. 2 let. a LPD ; art. 2 al. 2 let. a nLPD). Sont notamment considérés comme telles le contenu d’un agenda, les conversations au sein du cercle familial ou des amis, la correspondance privée et les notes que tout un chacun est amené à prendre dans l’exercice de sa profession à titre de pense-bête, du moment qu’il n’en fait qu’un usage personnel. La disposition d’exception de l’art. 2 al. 2 let. a LPD doit cependant être interprétée de manière très prudente et restrictive, le droit d’accès ne devant être limité que si cela est vraiment indispensable, et la personne qui traite les données ne doit en aucun cas y faire appel dans le but unique de contourner les prescriptions de la loi. [Arrêt du Tribunal fédéral 5C.15/2001 du 16 août 2001]. La LPD ne s’applique pas non plus aux délibérations des Chambres fédérales et des commissions parlementaires, aux procédures pendantes civiles, pénales, d’entraide judiciaire internationale ainsi que de droit public et de droit administratif, à l’exception des procédures administratives de première instance, aux registres publics relatifs aux rapports juridiques de droit privé et aux données personnelles traitées par le Comité international de la Croix-Rouge (art. 2 al. 2 LPD).

La nLPD étend l’exclusion aux traitements de données personnelles effectués par les bénéficiaires institutionnels au sens de l’art. 2 al. 1 de la loi du 22 juin 2007 sur l’Etat hôte (RS 192.12) qui jouissent de l’immunité de juridiction (art. 2 let. 2 let. c nLPD) – mais cela pouvait déjà se déduire des principes de droit international public applicables au droit des immunités. Le principe selon lequel le droit de procédure applicable devant les autorités et les tribunaux prime la LPD demeure (art. 2 al. 3 nLPD), et s’applique à toutes les lois de procédure fédérales, à l’exception des procédures administratives de première instance (i.e. celles qui aboutissement à une décision susceptible ensuite de recours).

Concernant le champ d’application géographique, l’art. 3 al. 1 nLPD prévoit que la loi s’applique aux états de fait qui déploient des effets en Suisse, même s’ils se sont produits à l’étranger. Le nouveau droit concrétise la jurisprudence actuelle : la LPD s’applique ainsi par exemple à des images prises en Suisse puis publiées sur un site à l’étranger où elles sont travaillées et d’où elles sont mises à disposition (ATF 138 II 346 Google Street View).

Comme exposé ci-dessus, la LPD s’applique au traitement de données effectué par des personnes privées ou des organes fédéraux (art. 2 al. 1 LPD ; 2 al. 1 nLPD). Elle ne s’applique dès lors pas aux traitements de données effectués par des administrations cantonales, régis par des lois cantonales spécifiques (sauf Jura et Neuchâtel où s’applique une convention intercantonale). Les différentes lois cantonales sont proches, pour ce qui est de leur contenu, de la LPD, avec quelques différences portant sur le champ d’application (administration, délégation de tâches publiques, etc.) et sur l’inclusion ou non de dispositions sur la transparence (information au public).

Il faut souligner que le droit européen de la protection des données peut aussi trouver application en Suisse. En effet, l’art. 3 du Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, dit règlement général sur la protection des données (RGPD) permet une application extraterritoriale de celui-ci. Cette disposition vise en effet deux hypothèses. Dans la 1ère (application territoriale), le responsable du traitement est dans l’UE (art. 3 (1) RGPD). Le traitement de données est effectué dans le cadre des activités d’un établissement sur le territoire de l’Union, que le traitement ait lieu ou non dans l’UE, et que les données concernent des résidents de l’UE ou d’ailleurs. La notion d’établissement s’interprète largement et ne dépend pas de la forme juridique choisie. Une activité réelle et effective même minime, au moyen d’un établissement stable suffit. La présence d’un seul représentant peut être considérée comme suffisante, ou la fourniture d’un soutien publicitaire lié à l’activité principale par exemple. Dans la 2e (application extraterritoriale), on applique le principe du lieu du marché (Marktort-Prinzip) : i. les données personnelles d’un résident de l’UE sont traitées en lien avec des biens et/ou des services qui lui sont proposés (offre de biens ou de services); ou ii. les comportements d’individus au sein de l’UE sont « suivis » (suivi de comportements). Pour ce qui est de l’offre de biens ou de services, l’accessibilité à un site web ne suffit pas, par exemple, il faut avoir la volonté de cibler effectivement des clients dans l’UE. Peuvent être des indices l’utilisation d’une langue ou d’une monnaie de l’UE, le fait de passer des commandes dans cette langue, le fait de faire référence à des clients et des utilisateurs dans l’UE et de leur destiner des offres spéciales, etc. Un service de commerce en ligne devrait ainsi être clairement orienté vers des destinataires et consommateurs dans l’UE pour relever de l’art. 3 (2) RGPD. Pour ce qui est du suivi d’un comportement qui a lieu au sein de l’UE, il faut procéder spécifiquement à un suivi de personnes afin de créer des profils. Il n’est par contre pas besoin de viser explicitement le marché de l’UE, contrairement à l’hypothèse de l’offre de biens ou de services dans l’UE. Le simple fait d’avoir un site informatique accessible depuis l’UE ne suffit donc pas.

On remarquera pour finir que la nLPD ne prévoit pas de « période de grâce » pour sa mise en œuvre ; elle sera donc pleinement applicable dès son entrée en vigueur, contrairement au mécanisme du RGPD qui prévoyait une période de deux ans entre sa mise en vigueur et son applicabilité (art. 99 RGPD). Cette absence apparaît regrettable eu égard à l’ampleur des adaptations et des mesures qui devront être mises en œuvre pour un nombre très important de responsables de traitement en Suisse (aurait-elle un lien avec la lenteur d’escargot du législateur pour débattre et adopter le nouveau droit ?) Par ailleurs, la nLPD n’aura pas d’effet rétroactif, ce qui entraîne par exemple qu’une information au sens de l’art. 19 nLPD ne sera pas exigible si les données ont été collectées avant l’entrée en vigueur de la nLPD et les buts et finalités du traitement demeurent inchangés.

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans nouvelle LPD, Protection de la personnalité, Protection des données, RGPD | Tagué 3 (2) RGPD, but, champ d'application, LPD, mise en application, nLPD, protection de la personnalité, protection des données, RGPD | Laisser un commentaire

Droit suisse de la protection des données: définitions

Publié le 10 août 2021 par Me Philippe Ehrenström

[Le droit suisse de la protection des données, c’est aussi du droit du travail !

Contrairement à ce que l’on peut lire ici ou là, le nouveau droit de la protection des données va entraîner des adaptations substantielles des pratiques et des manières de procéder, particulièrement pour les employeurs qui ne se sont pas adaptés au RGPD car ils n’avaient pas à le faire.

Je vais donc présenter sur ce blog quelques-unes des nouveautés à venir pendant le 2e semestre 2021.]

Selon l’art. 5 let. a de la nouvelle loi fédérale sur la protection des données, qui devrait entrer en vigueur dans le 2e semestre 2022 (FF 2020 7397), on entend par données personnelles toutes les informations concernant une personne physique identifiée ou identifiable.

La définition des données personnelles est modifiée par rapport au droit actuel dans la mesure où la nLPD ne s’applique plus aux personnes morales. Constituent ainsi des données personnelles toutes les informations qui se rapportent à une personne physique identifiée ou identifiable. Est réputée identifiable la personne physique qui peut être identifiée, directement ou indirectement, c’est-à-dire par corrélation d’informations tirées des circonstances ou du contexte (numéro d’identification, données de localisation, éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale). L’identification peut résulter d’un seul élément (numéro de téléphone, d’immeuble, numéro AVS, empreintes digitales) ou du recoupement de plusieurs informations (adresse, date de naissance et état civil). Une possibilité purement théorique qu’une personne soit identifiée n’est pas suffisante. Il convient de prendre en compte dans chaque cas d’espèce l’ensemble des moyens raisonnablement susceptibles d’être utilisés pour identifier la personne. Le caractère raisonnable des moyens en question doit être évalué au regard de l’ensemble des circonstances, telles que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de leur évolution. La loi ne s’applique pas aux données qui ont été anonymisées si une ré-identification par un tiers est impossible (les données ont été anonymisées complètement et définitivement) ou ne paraît possible qu’au prix d’efforts tels qu’aucun intéressé ne s’y attèlera. Cette dernière règle vaut aussi pour les données pseudonymisées.

La personne concernée (art. 5 let.b nLPD) est la personne physique dont les données personnelles font l’objet d’un traitement.

Les données personnelles sensibles (données sensibles – art. 5 let. c nLPD sont (i) les données sur les opinions ou les activités religieuses, philosophiques, politiques ou syndicales, (ii) les données sur la santé, la sphère intime ou l’origine raciale ou ethnique, (iii) les données génétiques, soit les informations relatives au patrimoine génétique d’une personne obtenues par une analyse génétique, y compris le profil d’ADN (art. 3 let. l, de la loi fédérale du 8 octobre 2014 sur l’analyse génétique humaine (LAGH ; RS 810.12)), (iv) les données biométriques identifiant une personne physique de manière univoque, soit les données personnelles résultant d’un traitement technique spécifique et relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique qui permettent ou confirment son identification unique (empreintes digitales, images faciales, iris, voix etc.) ; ces données doivent impérativement résulter d’un traitement technique spécifique qui permet l’identification ou l’authentification unique d’un individu (contrairement à une simple photographie p.ex.), (v) les données sur des poursuites ou sanctions pénales et administratives, et (vi) les données sur des mesures d’aide sociale.

Est un traitement (art. 5 let. d nLPD) toute opération relative à des données personnelles, quels que soient les moyens et procédés utilisés, notamment la collecte, l’enregistrement, la conservation, l’utilisation, la modification, la communication, l’archivage, l’effacement ou la destruction de données; la liste des opérations entrant en ligne de compte n’est comme aujourd’hui pas exhaustive, les opérations de traitements pouvant prendre les formes les plus diverses (organisation, structuration, adaptation, extraction de données, etc.)

On relèvera que la nLPD renonce à la notion de « fichier » (art. 3 let. g de loi fédérale du 19 juin 1992 sur la protection des données (LPD ; RS 235.1) pour celle de « traitement ». En effet, compte tenu des nouvelles technologies, les données peuvent aujourd’hui être exploitées comme un fichier, alors même qu’elles sont disséminées. Un exemple parlant est le profilage, pendant lequel on va chercher des données dans différentes sources, non constitutives de fichiers, afin d’évaluer certaines caractéristiques d’une personne. Selon l’aLPD, ces activités échappaient aux dispositions de la loi impliquant la présence d’un fichier, comme le droit d’accès (art. 8 LPD) ou le devoir d’information (art. 14 LPD), alors que ce sont justement les situations de ce type qui nécessitent une plus grande transparence.

Est une communication (art. 5 let. e nLPD) le fait de transmettre des données personnelles ou de les rendre accessibles.

Le profilage (art. 5 let. f nLPD) est toute forme de traitement automatisé de données personnelles consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique. La notion remplace celle de «profil de la personnalité» telle qu’elle est définie à l’art. 3 let. d LPD. Le profil de la personnalité est le résultat d’un traitement et traduit ainsi quelque chose de statique. A l’inverse, le profilage désigne une forme particulière de traitement, et constitue donc un processus dynamique. Ce dernier est par ailleurs toujours orienté vers une finalité particulière. Il est défini comme l’évaluation de certaines caractéristiques d’une personne sur la base de données personnelles traitées de manière automatisée, afin notamment d’analyser ou de prédire son rendement au travail, sa situation économique, sa localisation, sa santé, son comportement, ses préférences ou ses déplacements. L’analyse de ces caractéristiques peut par exemple avoir pour but de déterminer si une personne est indiquée pour une certaine activité. Autrement dit, le profilage se caractérise par le fait qu’on procède à une évaluation automatisée de données personnelles afin de pouvoir évaluer, d’une manière également automatisée, les caractéristiques de la personne. Les données issues d’un profilage sont en principe des données personnelles, qui, selon les circonstances, peuvent aussi constituer des données sensibles.

Le profilage à risque élevé (art. 5 let. g nLPD) est tout profilage entraînant un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, parce qu’il conduit à un appariement de données qui permet d’apprécier les caractéristiques essentielles de la personnalité d’une personne physique.

Est une violation de la sécurité des données (art. 5 let. h nLPD) toute violation de la sécurité entraînant de manière accidentelle ou illicite la perte de données personnelles, leur modification, leur effacement ou leur destruction, leur divulgation ou un accès non autorisés à ces données, et ce indépendamment de la question de savoir si la violation est intentionnelle ou non licite ou illicite. Par ailleurs les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données. Ce qui compte, c’est que l’événement en question ait eu lieu. Peu importe que la divulgation ou un accès non autorisés se soient effectivement produits ou aient simplement été rendus possibles. En effet, lorsqu’un support de données a été perdu, il est souvent difficile de prouver que les données qu’il contenait ont été vues ou utilisées par des personnes non autorisées. C’est pourquoi la perte de cet objet constitue en elle-même une violation de la sécurité des données. Ce sont plutôt l’ampleur et la signification d’une telle violation qui sont déterminantes pour les mesures à prendre, en particulier pour l’estimation du risque.

Est un organe fédéral (art. 5 let. i nLPD) l’autorité fédérale, le service fédéral ou la personne chargée d’une tâche publique de la Confédération.

Le responsable du traitement (art. 5 let. j nLPD) est la personne privée ou l’organe fédéral qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données personnelles. Cette notion remplace celle de « maître du fichier » de l’art. 3 let. i LPD. Dit autrement, c’est la personne qui détermine les paramètres essentiels du traitement des donnes et sa finalité, et qui en assume donc la responsabilité. Il peut s’agir de responsables conjoints (cas de figure que le RGPD mentionne explicitement à l’art. 4 ch. 7).

Le sous-traitant (art. 5 let. k nLPD) est la personne privée ou l’organe fédéral qui traite des données personnelles pour le compte du responsable du traitement. Le traitement est donc effectué conformément à des instructions données définissant les paramètres essentiels du traitement. Le contrat liant le responsable du traitement et le sous-traitant peut être de nature diverse. Il peut s’agir d’un mandat (art. 394 ss CO), d’un contrat d’entreprise (art. 363 ss CO) voire d’un contrat mixte selon les obligations du sous-traitant. Le sous-traitant cesse d’être un tiers à compter du moment où il débute ses activités contractuelles pour le compte du responsable du traitement. La délimitation entre responsable de traitement et sous-traitant peut s’avérer problématique. On s’inspirera notamment sur ce point de : European Data Protection Board (EDPB), Guidelines 07/2020 on the concepts of controller and processor in the GDPR, version 1.0, 2 septembre 2020. L’art. 9 nLPD définit plus précisément les conditions et obligations du rapport de sous-traitance, dont la violation peut entraîner une sanction pénale (amende jusqu’à CHF 250’000.—cf. 61 let. b nLPD).

Le consentement ne fait pas partie des définitions de l’art. 5 nLPD, l’art 6 al. 6 et al. 7 se contentant d’énoncer que la personne concernée ne consent valablement que si elle exprime librement sa volonté concernant un ou plusieurs traitements déterminés et après avoir été dûment informée, certaines hypothèses requérant par ailleurs un consentement « exprès ». Le législateur n’a ainsi pas voulu donner de définition du consentement spécifique au droit de la protection des données.

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans nouvelle LPD, Protection de la personnalité, Protection des données | Tagué définitions, LPD, nLPD, protection de la personnalité, protection des données | Laisser un commentaire

Accès indu aux emails privés d’un cadre, licenciement immédiat

Publié le 8 août 2021 par Me Philippe Ehrenström

Selon l’art. 337 al. 1 1re phrase CO, l’employeur et le travailleur peuvent résilier immédiatement le contrat en tout temps pour de justes motifs. Doivent notamment être considérées comme tels toutes les circonstances qui, selon les règles de la bonne foi, ne permettent pas d’exiger de celui qui a donné le congé la continuation des rapports de travail (cf. art. 337 al. 2 CO).

Mesure exceptionnelle, la résiliation immédiate pour justes motifs doit être admise de manière restrictive. D’après la jurisprudence, les faits invoqués à l’appui d’un renvoi immédiat doivent avoir entraîné la perte du rapport de confiance qui constitue le fondement du contrat de travail. Seul un manquement particulièrement grave du travailleur justifie son licenciement immédiat; si le manquement est moins grave, il ne peut entraîner une résiliation immédiate que s’il a été répété malgré un avertissement. Par manquement du travailleur, on entend en règle générale la violation d’une obligation découlant du contrat de travail, mais d’autres incidents peuvent aussi justifier une résiliation immédiate. Une infraction pénale commise au détriment de l’employeur constitue, en principe, un motif justifiant le licenciement immédiat du travailleur. Le comportement des cadres doit être apprécié avec une rigueur accrue en raison du crédit particulier et de la responsabilité que leur confère leur fonction dans l’entreprise.

Selon l’art. 13 Cst., toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance et des relations qu’elle établit par la poste et les télécommunications. Le Tribunal fédéral a considéré que le courrier électronique par le biais d’Internet était couvert par le secret des communications (ATF 126 I 50 consid. 6a p. 65 s.). Le simple fait de connaître les adresses et la période à laquelle l’utilisateur a envoyé ou reçu des messages constitue déjà une violation de ce secret (cf. ATF 126 I 50 consid. 6b p. 66). Certes, les droits fondamentaux servent en premier lieu à défendre les individus contre les atteintes des pouvoirs publics, mais leur portée peut se révéler utile dans la détermination de ce qui est tolérable dans les relations entre particuliers (cf. ATF 119 Ia 28 consid. 2).

Sur le plan pénal, l’art. 143bis CP punit celui qui, sans dessein d’enrichissement, se sera introduit sans droit, au moyen d’un dispositif de transmission de données, dans un système informatique appartenant à autrui et spécialement protégé contre tout accès de sa part. Tombe sous le coup de cette disposition la personne qui, généralement par défi, parvient à pénétrer dans un système informatique protégé contre tout accès indu. Il suffit qu’il n’y ait plus de barrières informatiques qui puissent sérieusement l’empêcher de prendre connaissance des données. Il s’agit d’une violation du domicile informatique d’autrui.

Dans les relations entre particuliers enfin, l’art. 28 CC garantit le droit au respect de la sphère privée, qui comprend les événements que chacun veut partager avec un nombre restreint d’autres personnes. En font partie les informations de nature personnelle transmises au moyen de la messagerie électronique. L’irruption d’un tiers dans cette sphère, notamment pour rassembler des informations, constitue une atteinte à la personnalité. Cette atteinte est d’autant plus grave qu’elle concerne la sphère secrète, c’est-à-dire des événements dont l’individu n’entend partager la connaissance qu’avec des personnes auxquelles ces faits ont été spécialement confiés, telles les données sur la santé ou relevant de la vie professionnelle. Selon l’art. 28 al. 2 CC, une atteinte est illicite, à moins qu’elle ne soit justifiée par le consentement de la victime, par un intérêt prépondérant privé ou public, ou par la loi.

En l’espèce, il ressort des constatations cantonales, d’une manière qui lie le Tribunal fédéral, que le demandeur, auquel le suivi des affaires de la société avait été confié pendant la maladie de son directeur, s’était aménagé un accès, depuis son ordinateur personnel, à toute la messagerie électronique de son patron, alors qu’il connaissait le caractère privé de l’adresse du directeur. Grâce à ce système, il pouvait, depuis le bureau ou la maison, entrer dans la messagerie de ce dernier sous ses propres données, sans avoir à taper le nom d’utilisateur ni le mot de passe du directeur. Il a été relevé que celui-ci n’était pas au courant de la déviation, dont il n’a eu connaissance qu’en juin 2000, lors de la réparation de son ordinateur. Il ressort également des faits constatés que ni la mission de gestion confiée au demandeur, ni un intérêt prépondérant de la défenderesse ne justifiaient une telle déviation. Dans ce contexte, même s’il n’a pas été possible de prouver que le demandeur ait pris connaissance des messages de caractère privé ou, a fortiori, qu’il ait divulgué les informations s’y trouvant, le seul fait qu’il se soit aménagé la possibilité d’y avoir librement accès porte déjà atteinte au secret des communications et constitue une violation de la sphère intime du directeur, voire une infraction pénale. La cour cantonale pouvait donc, sans abuser de son pouvoir d’appréciation, admettre qu’un tel comportement était de nature à entraîner la perte du rapport de confiance constituant le fondement du contrat de travail, ce qui permettait à l’employeur d’y mettre fin avec effet immédiat, sans avertissement préalable.

Le comportement du demandeur, qui s’est créé la possibilité de consulter des informations de nature personnelle qui ne lui étaient pas destinées, ne saurait être assimilé au simple fait de copier une liste de clients de son employeur, sans exploiter ni communiquer ces données.

(ATF 130 III 28, consid. 4.1-4.3)

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans Licenciement immédiat, Protection de la personnalité, Protection des données | Tagué emails privés, licenciement immédiat, protection de la personnalité, protection des données | Laisser un commentaire

Le traitement illicite de données par une personne privée

Publié le 7 août 2021 par Me Philippe Ehrenström

[Le droit suisse de la protection des données, c’est aussi du droit du travail !

Je vais donc présenter sur ce blog quelques-unes des nouveautés à venir pendant le 2e semestre 2021.]

Le traitement de données par des personnes privées en droit suisse n’a pas besoin de reposer sur un motif justificatif, contrairement à ce qui prévaut en droit européen (art. 12-13 LPD ; 30-31 nLPD ; 6 et 9 RGPD). Il n’est en effet illicite que s’il constitue une atteinte à la personnalité de la personne concernée, illicéité qui doit alors être justifiée par un fait justificatif. Il y a là une différence fondamentale entre le droit européen et le droit suisse de la protection des données, différence que le nouveau droit n’a pas modifiée.

Nous traiterons d’abord du traitement illicite selon la LPD, des motifs justificatifs à celui-ci, du régime instauré par la nouvelle LPD (nLPD), en concluant avec quelques points de comparaison avec le RGPD.

Traitement illicite (LPD)

Quiconque traite des données personnelles ne doit pas porter une atteinte illicite à la personnalité des personnes concernées (art. 12 al. 1 LPD). Une atteinte à la personnalité est par définition illicite car les droits de la personnalité sont des droits absolus.

L’atteinte est un trouble dans la personnalité de la personne concernée par le traitement du fait du comportement d’un tiers. Il y faut donc une certaine intensité qui dépasse de simples usages sociaux. Il y a lieu de déterminer pour chaque traitement les conséquences effectives ou potentielles qu’il présente pour les droits de la personne concernée (droit de décider de son comportement en toute indépendance et à l’abris du regard d’autrui, droit d’organiser ses relations sociales en toute autonomie, droit au libre épanouissement de sa personnalité économique, etc.) [On renverra ici aux développements relatifs à la protection de la personnalité en droit suisse contenus dans une note à venir sur ce blog.]

Selon l’art. 12 al. 2 LPD, personne n’est en droit notamment de: a. traiter des données personnelles en violation des principes de licéité, bonne foi, proportionnalité, finalité et reconnaissabilité, exactitude et sécurité sans motifs justificatifs (cf. art. 4, 5 al. 1 et 7 al. 1 LPD) ; b. traiter des données contre la volonté expresse de la personne concernée sans motifs justificatifs ; c. communiquer à des tiers des données sensibles ou des profils de personnalité sans motifs justificatifs. L’art. 12 al. 2 LPD n’est pas exhaustif : d’autres atteintes illicites peuvent relever de la violation d’autres dispositions ; elles ne bénéficieront pas alors de la présomption d’illicéité de 1’art. 12 al. 2 LPD, et la personne concernée devra alors démontrer dans le cas d’espèce l’existence d’une atteinte illicite à la personnalité. Dans l’hypothèse où le traitement de données ne rentrerait pas dans le champ d’application de la LPD, la personne concernée pourra encore se prévaloir de la protection générale de la personnalité découlant des art. 28 ss CC.

L’art. 12 al. 2 LPD facilite la preuve de l’atteinte à la personnalité. Une fois prouvée, l’atteinte est alors présumée illicite et l’auteur du traitement ne peut pas apporter la preuve du contraire. Par contre, il pourra alors évoquer soit l’absence de toute atteinte (art. 12 al. 3 LPD : présomption réfragable d’absence d’atteinte si la personne concernée a rendu les données accessibles à tout un chacun et ne s’est pas opposée formellement au traitement), soit des motifs justificatifs au sens de l’art. 13 LPD (consentement de la victime, intérêt prépondérant privé ou public, loi).

Motifs justificatifs (LPD)

Concernant les motifs justificatifs, une atteinte à la personnalité est illicite à moins d’être justifiée par le consentement de la victime, par un intérêt prépondérant privé ou public ou par la loi (art. 13 al. 1 LPD).

Pour ce qui est du consentement (art. 4 al. 5 LPD), lorsqu’il est requis pour justifier le traitement de données personnelles la concernant, la personne concernée ne consent valablement que si elle exprime sa volonté librement et après avoir été dûment informée (consentement libre et éclairé). Lorsqu’il s’agit de données sensibles et de profils de la personnalité, son consentement doit être au surplus explicite.

Un intérêt prépondérant peut lever l’illicéité de l’ensemble des traitements de données concernés, d’une partie d’entre eux ou seulement du traitement de certaines données.

La condition de l’intérêt public prépondérant est remplie lorsqu’une atteinte est destinée à procurer un avantage à la collectivité ou à une multitude de personnes. Ce critère est rarement invoqué, ou seul, dans la mesure où il est souvent déjà traduit dans le droit. On peut penser toutefois à l’intérêt de la collectivité des assurés de ne pas payer des primes trop élevées pour justifier la surveillance des assurés par exemple (assurance RC : ATF 136 III 410).

L’illicéité du traitement de données peut être levée en présence d’un intérêt privé prépondérant. Il faut établir l’intérêt de l’auteur du traitement à l’atteinte causée, le fait qu’il s’agisse d’un intérêt digne de protection, puis l’intérêt de la personne concernée au non-traitement et enfin procéder à une pesée des intérêts.

L’art. 13 al. 2 LPD donne une liste non exhaustive d’intérêts privés prépondérants de l’auteur du traitement qui doivent être pris en considération : intérêts fondés sur l’activité économique (a, b et c), besoins particuliers des médias (d et f) et traitements dans un but ne se rapportant pas à des personnes (e – statistiques p.ex.), étant souligné que les principes généraux doivent aussi être respectés.

L’intérêt prépondérant privé en raison de l’activité économique entre notamment en considération si :

a. le traitement est en relation directe avec la conclusion ou l’exécution d’un contrat et les données traitées concernent le cocontractant ; au stade précontractuel, l’auteur du traitement peut ainsi prendre des renseignements sur un partenaire contractuel potentiel (solvabilité, compétences, etc.) ; au stade de l’exécution, cela peut couvrir des traitements de données relatifs à la solvabilité du débiteur, aux retards ou absences du travailleur, etc. ; ce motif justificatif peut s’appliquer à la collecte de données, à leur traitement, à leur conservation, voire à leur communication à des tiers (autres entités d’un groupe, conseillers externes, auxiliaires, etc.) pour autant qu’il y ait un lien avec la conclusion ou l’exécution contrat ;

b. le traitement s’inscrit dans un rapport de concurrence économique actuel ou futur avec une autre personne, à condition qu’aucune donnée personnelle traitée ne soit communiquée à des tiers ; les renseignements collectés peuvent concerner des concurrents actuels ou potentiels, quels que soient leurs formes juridiques, le type ou l’ampleur de leur activité, leur localisation, etc. ; les données doivent notamment être dans un rapport étroit avec un rapport de concurrence économique et être recueillies licitement, et servir uniquement à des fins internes (pas de communication à des tiers, mais à des employés, des auxiliaires, des mandataires, etc.)

c. les données personnelles sont traitées dans le but d’évaluer le crédit d’une autre personne, à condition qu’elles ne soient ni sensibles ni constitutives de profils de la personnalité et qu’elles ne soient communiquées à des tiers que si ceux-ci en ont besoin pour conclure ou exécuter un contrat avec la personne concernée ; cela vise essentiellement les instituts indépendants d’évaluation de crédit ou les agences de renseignement économique, mais aussi l’évaluation de crédit faite par une entreprise commerciale ou industrielle en vue d’évaluer le crédit de ses clients actuels ou potentiels (application des art. 13 al. 2 let. a et c) ;

L’intérêt prépondérant privé en faveur des médias (art. 13 al. 2 let. d ou f LPD) entre en considération lorsque les données personnelles sont traitées de manière professionnelle exclusivement en vue d’une publication dans la partie rédactionnelle d’un média à caractère périodique ou lorsque les données recueillies concernent une personnalité publique dans la mesure où ces données se réfèrent à son activité publique. Ici aussi l’intérêt privé prépondérant doit être mis en balance avec l’intérêt de la personne concernée au non-traitement.

L’intérêt prépondérant privé (art. 13 al. 2 let. e LPD) en raison du but ne se rapportant pas à des personnes peut être invoqué notamment dans le cadre de la recherche, de la planification ou de la statistique, à condition que les résultats soient publiés sous une forme ne permettant pas d’identifier les personnes concernées.

Le maître du fichier peut faire valoir d’autres intérêts privés dont il soutient qu’ils seraient prépondérants.

Une atteinte à la personnalité peut enfin être justifiée par la loi (art. 13 al. 1 LPD). Dans ce cas, c’est le législateur qui a procédé à titre préalable à la pesée des intérêts entre ceux de l’auteur du traitement et ceux de la personne concernée. La norme légale peut être de droit fédéral ou cantonale, de droit public ou privé, il peut s’agir d’une base légale formelle ou matérielle, et elle peut ordonner un traitement de données, le permettre, le présupposer, etc. Si un tel motif justificatif existe, il ne peut être invoqué que pour le but prévu par la loi elle-même

La nouvelle LPD

A teneur de l’art. 30 al. 1 nLPD, celui qui traite des données personnelles ne doit pas porter une atteinte illicite à la personnalité des personnes concernées.

Selon l’art. 30 al. 2 nLPD, constitue notamment une atteinte à la personnalité le fait de: a. traiter des données personnelles en violation des principes définis aux art. 6 et 8 nLPD [licéité, bonne foi, proportionnalité, exactitude, sécurité, etc. ; la protection des données dès la conception et la protection par défaut (art. 7 nLPD) ne sont pas des principes au sens de l’art. 30 al. 2 nLPD, mais bien plutôt des obligations à la charge du responsable de traitement ; en ce sens il est donc normal que leur violation ne rentre pas dans le mécanisme des art. 30-31, i.e. présomption d’illicéité et faits justificatifs] ; b. traiter des données personnelles contre la manifestation expresse de la volonté de la personne concernée [c’est le droit d’opposition, ou opt-out, qui matérialise le droit à l’auto-détermination en matière de données figurant à l’art. 13 al. 2 Cst.] ; c. communiquer à des tiers des données sensibles.

L’art. 30 al. 2 nLPD prévoit donc une présomption irréfragable d’atteinte à la personnalité dans les trois hypothèses qu’il décrit. A nouveau, la disposition n’est pas exhaustive, et d’autres atteintes à la personnalité pourront découler de la violation d’autres normes, à ceci près qu’elles ne bénéficieront alors pas de la présomption et devront être démontrées dans le cas d’espèce. Comme dans la LPD actuelle, on considérera en général qu’il n’y a pas d’atteinte lorsque la personne concernée a rendu les données personnelles accessibles à tout à chacun et ne s’est pas opposée expressément au traitement (art. 30 al. 3 nLPD ; voir aussi art. 12 al. 3 LPD).

Concernant les motifs justificatifs, ceux-ci ressemblent fortement au droit actuel. Une atteinte à la personnalité est ainsi illicite à moins d’être justifiée par le consentement de la personne concernée, par un intérêt privé ou public prépondérant, ou par la loi (art. 31 al. 1 nLPD).

Le motif justificatif du consentement de la personne concernée, comme dans le droit actuel, suppose que le consentement soit libre et éclairé, et que la personne n’ait pas subi de pression ou de menace déraisonnable directe ou indirecte de la part du responsable de traitement ou d’un tiers. Cela suppose notamment que la personne concernée ait reçu une information objective, complète et compréhensible sur le traitement concerné, en particulier sur le responsable du traitement, les finalités, le type et l’étendue des données traitées, les opérations de traitement envisagées, etc. Le consentement peut par exemple se manifester en cochant une case sur un site web ; il doit être donné par un acte clair et positif (pas de consentement par abstention).

Selon l’art. 31 al. 2 nLPD, les intérêts prépondérants du responsable du traitement entrent notamment en considération dans les cas suivants: a. le traitement est en relation directe avec la conclusion ou l’exécution d’un contrat et les données traitées concernent le cocontractant; b. le traitement s’inscrit dans un rapport de concurrence économique actuel ou futur avec une autre personne, à condition toutefois qu’aucune donnée personnelle traitée ne soit communiquée à des tiers; ne sont pas considérées comme des tiers au sens de cette disposition les entreprises appartenant au même groupe que le responsable du traitement; c. les données personnelles sont traitées dans le but d’évaluer la solvabilité de la personne concernée pour autant que les conditions suivantes soient réunies: (1) il ne s’agit pas de données sensibles ni d’un profilage à risque élevé, (2) les données ne sont communiquées à des tiers que s’ils en ont besoin pour conclure ou exécuter un contrat avec la personne concernée, (3) les données ne datent pas de plus de dix ans et (4) la personne concernée est majeure; d. les données personnelles sont traitées de manière professionnelle exclusivement en vue d’une publication dans la partie rédactionnelle d’un média à caractère périodique ou, si la publication n’a pas lieu, servent exclusivement d’instrument de travail personnel; e. les données personnelles sont traitées à des fins ne se rapportant pas à des personnes, notamment dans le cadre de la recherche, de la planification ou de la statistique, si les conditions suivantes sont réunies: (1) le responsable du traitement anonymise les données dès que la finalité du traitement le permet; si une anonymisation est impossible ou exige des efforts disproportionnés, il prend des mesures appropriées afin que les personnes concernées ne puissent pas être identifiées, (2) s’il s’agit de données sensibles, le responsable du traitement ne les communique à des tiers que sous une forme ne permettant pas d’identifier la personne concernée; si cela n’est pas possible, des mesures doivent être prises qui garantissent que les tiers ne traitent les données qu’à des fins ne se rapportant pas à des personnes, (3) les résultats sont publiés sous une forme ne permettant pas d’identifier les personnes concernées; f. les données personnelles recueillies concernent une personnalité publique et se réfèrent à son activité publique.

La liste de l’art. 31 al. 2 nLPD est non exhaustive. On devra procéder, dans chaque cas d’espèce, à une pesée des intérêts entre les intérêts de la personne concernée au non traitement et ceux du responsable du traitement à ce que celui-ci ait lieu. La liste reprend pour l’essentiel celle du droit actuel, avec pour l’essentiel les ajouts suivants : (i) données recueillies concernant une personnalité publique et se référant à une activité publique, mais cela découlait déjà de la jurisprudence, et (ii) certaines restrictions concernant les données traitées dans le but d’évaluer la solvabilité de la personne concernée.

Le motif de l’intérêt public, comme en droit actuel, sera assez peu fréquemment réalisée, car ledit intérêt découlera de la loi. Il y a intérêt public en tout cas lorsqu’une atteinte est destinée à procurer un avantage à la collectivité ou au moins à une pluralité de personne.

Quant à la loi, comme motif justificatif, il s’agira, comme actuellement, d’une disposition de droit cantonal ou fédéral qui impose le traitement, le permet ou le suppose en lien avec d’autres obligations qu’elle contient. La pesée d’intérêt, ici, est supposée avoir été (bien ?) faite par le législateur. On pensera par exemple aux art. 957 et 962 CO (obligation de conserver des pièces comptables), l’enregistrement de conversations téléphoniques lors de commandes (art. 179 quinquies al. 1 let. b CP), etc.

RGPD

Le RGPD connaît un système différent de celui de la LPD. Le motif justificatif s’applique en effet au traitement en lui-même, et non à l’atteinte à la personnalité. Les données ne peuvent ainsi être traitées que sur la base d’un des motifs de l’art. 6 RGPD. Le traitement portant sur des catégories particulières de données à caractère personnel est interdit, avec certaines exceptions (art. 9 RGPD). Enfin, le traitement de données à caractère personnel relatives aux condamnations pénales et aux infractions nécessite une base légale ou le contrôle d’une autorité publique (art. 10 RGPD).

La justification du traitement selon l’art. 6 RGPD peut ainsi découler du consentement libre de la personne concernée (art. 7 RGPD), des intérêts légitimes du responsable du traitement ou d’un tiers (à moins que ne prévalent les intérêts de la personne concernée), de ce qui est nécessaire à l’exécution d’un contrat ou au respect d’une obligation légale, de la sauvegarde des intérêts vitaux d’une personne physique ou de ce qui est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique.

L’interdiction de traiter des données sensibles (art. 9 RGPD) souffre quant à elle des motifs justificatifs suivants : consentement explicite de la personne concernée ; traitement nécessaire en matière de droit du travail, de la sécurité sociale et de la protection sociale ; sauvegarde d’intérêts vitaux ; traitement par un organisme à but non lucratif à des fins politiques, philosophiques, religieuses ou syndicales ; données rendues publiques par la personne concernée ; traitement nécessaire à une action en justice ou pour des juridictions agissant dans le cadre de leurs fonctions juridictionnelles ; motifs d’intérêts publics importants sur la base du droit de l’Union ou du droit d’un Etat membre ; traitement nécessaire à des fins de médecine préventive, de médecine du travail, de gestion des systèmes et services de soins de santé ou de protection sociale ; traitement lié à des motifs d’intérêts publics dans le domaine de la santé publique ; traitement nécessaire à des fins archivistiques, de recherche scientifique ou historique ou à des fins statistiques.

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans nouvelle LPD, Protection de la personnalité, Protection des données, RGPD | Tagué 10 RGPD, 4 ch. 7 RGPD, 6 RGPD, 9 RGPD, illicéité, LPD, motifs justificatifs, protection des données, traitement de données | Laisser un commentaire

COVID-19 : peut-on contraindre les salariés à se faire vacciner ou à se faire tester ?

Publié le 4 août 2021 par Me Philippe Ehrenström

Photo de Karolina Grabowska sur Pexels.com

Introduction

Je reçois de nombreux appels de salariés qui subissent des pressions de leurs employeurs pour se faire vacciner ou tester périodiquement. Les déclarations récentes à l’emporte-pièce de certains politiciens en Suisse romande et en France contribuent largement à ces inquiétudes, dont on dira aussi qu’elles traduisent un climat au travail qui se détériore franchement.

Il importe de rappeler à titre liminaire que ces questions n’ont pas encore fait l’objet de jurisprudence, à ma connaissance, et qu’elles sont controversées même parmi les praticiens. Par ailleurs, les réponses dépendent pour l’essentiel des circonstances du cas d’espèce : type d’activité, contacts avec la clientèle, implication de populations « à risque », etc.

Cela étant dit, on peut donner les indications générales suivantes :

Il n’existe pas d’obligation vaccinale en Suisse.

L’art. 22 de la loi fédérale du 28 septembre 2012 sur la lutte contre les maladies transmissibles de l’homme (Loi sur les épidémies, LEp ; RS 818.101), entrée en vigueur le 1er janvier 2016, prévoit certes que les « (…) cantons peuvent déclarer obligatoires des vaccinations pour les groupes à risques, pour les personnes particulièrement exposées et pour les personnes exerçant certaines activités, pour autant qu’un danger sérieux soit établi. »

Les vaccinations obligatoires constituent une atteinte au droit à la liberté personnelle (art. 10, al. 2, Cst.). L’art. 36 Cst. n’autorise de telles restrictions des droits fondamentaux que si elles sont: 1) fondées sur une base légale suffisante; 2) justifiées par un intérêt public (maladie très contagieuse avec une évolution potentiellement très grave); et 3) proportionnelles au but visé. Face à une maladie infectieuse grave, se propageant rapidement et provoquant de nombreux décès, la vaccination obligatoire pourrait s’imposer pour certaines catégories de personnes. Cette option stratégique est réservée aux cas où le but ne peut pas être atteint par d’autres mesures. (FF 2011 360)

L’art. 38 al. 1 de l’ordonnance du 29 avril 2015 sur la lutte contre les maladies transmissibles de l’homme (Ordonnance sur les épidémies, OEp ; RS 818.101.1) prévoit que pour déterminer un « danger sérieux » au sens de l’art. 22 LEp, les autorités cantonales compétentes évaluent les éléments suivants: degré de gravité d’une éventuelle maladie et son risque de propagation; menace pour les personnes particulièrement vulnérables; situation épidémiologique au niveau cantonal, national et international en concertation avec l’OFSP; efficacité attendue d’une éventuelle obligation de vaccination; pertinence et efficacité d’autres mesures pour enrayer le risque sanitaire et leur efficacité. L’al. 2 précise qu’une obligation de vaccination pour des personnes exerçant certaines activités, en particulier dans le cadre d’établissements de soins, doit être limitée aux domaines dans lesquels il existe un risque accru de propagation de la maladie ou de mise en danger de personnes particulièrement vulnérables. Selon l’al. 3, une obligation de vaccination doit avoir une durée limitée ; elle ne peut pas être exécutée par contrainte physique.

L’obligation vaccinale ne peut donc pas être exécutée sous la contrainte physique (art. 38 al. 3 OEp), et les dispositions pénales de la LEp ne sanctionnent pas les récalcitrants.

Cela étant dit, il peut y avoir une contrainte « indirecte ». En effet, les récalcitrants peuvent être restreints dans l’accès à certaines professions ou interdits de certaines activités (art. 38 LEp) ou mis en quarantaine ou à l’isolement (art. 35 LEp).

Dans ce contexte, le droit au salaire des récalcitrants pourrait être remis en question.

Le sujet est complexe, mais on retient en effet généralement que le droit au paiement du salaire (art. 324a et 119 al. 3 CO) n’existe qu’en cas d’empêchement non fautif de travailler dû à une cause inhérente à la personne du travailleur, telle que maladie, accident, accomplissement d’une fonction légale ou publique. Or si le caractère fautif de l’empêchement s’interprète restrictivement, ce qui pourrait mener à l’exclure ici, car on ne peut pas dire que le refus de se faire vacciner soit une cause inhérente à la personne du travailleur. On pourrait par contre faire l’analogie avec l’impossibilité d’effectuer ses prestations découlant de facteurs objectifs (comme une tempête de neige ou un tremblement de terre « coinçant » le travailleur sans qu’il puisse se rendre au travail), voire appliquer l’art. 82 CO, et ce pour priver l’employé de son droit au salaire.

Enfin, on notera que l’art. 38 al. 2 OEp mentionne « en particulier » les « établissements de soins », ce qui montre que l’obligation vaccinale pourrait être étendue au-delà de ceux-ci.

Tests: proportionnalité et rapport avec l’exécution du travail

Le traitement de données des employés (art. 328b CO), y compris d’éventuelles données médicales comme la maladie, la sérologie, etc., obéit au fonds essentiellement aux mêmes contraintes que les mesures d’organisations prises par l’Employeur pour exécuter le travail, planifier l’activité, etc.

Il faut que les données et les mesures aient un rapport avec l’exécution et l’organisation du travail, d’une part, et qu’elles obéissent au principe de proportionnalité d’autre part.

Concrètement, comme dans tout cas de restriction des libertés fondamentales, c’est bien évidemment cette dernière condition qui est cruciale : la mesure permet-elle d’atteindre le but poursuivi ? D’autres mesures moins incisives comme des plans de protection permettraient-elles d’atteindre le même but ? Il faut également mettre en balance les effets de la mesure choisie sur la situation de la personne concernée avec le résultat escompté en fonction du but visé.

On peut fortement douter que, dans la plupart des situations où l’employeur entende imposer des tests obligatoires, ceux-ci respectent le principe de proportionnalité, notamment pour ce qui est de l’utilisation de mesures moins incisives découlant de plans de protection. L’analyse devrait également se faire au cas par cas ou métier par métier, mais certainement pas en fonction d’une simple grille de lecture vaccinés/non vaccinés.

C’est sans compter encore la question des coûts des tests, qui seraient alors rendus nécessaires pour l’exécution du travail, et qui devraient donc être remboursés par l’employeur.

Conclusion

Les employeurs, comme les politiciens, devraient faire attention. L’épidémie n’est pas une excuse pour ignorer les principes du droit du travail et les fondements de notre Etat de droit. Il s’instaure un climat exécrable chez certains employeurs parce que d’aucuns, pour des raisons parfois honorables (protéger les plus faibles), parfois moins (pressions de clients), entendent imposer la vaccination (ce qui n’est pas possible) ou des tests réguliers (ce qui est envisageable dans certains cas très particuliers à des conditions restrictives). Ces questions, comme toutes questions médicales relatives aux employés, doivent se traiter prudemment, en respectant les droits de chacun, et en n’en faisant pas l’aliment de disputes et de conflits parfaitement évitables.

On rappellera pour finir que ce qui distingue un bon employeur (et un bon politicien), c’est aussi le calme, le sens de la mesure et le fait de susciter les passions les plus nobles.

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans Coronavirus - Covid 19 | Tagué covid-19, droit du travail, obligation, tests, vaccination | Laisser un commentaire

Travail, protection des données et IA

Le certificat COVID au travail: synthèse

Le certificat COVID-19 sur le lieu de travail (2)

Le certificat COVID-19 sur le lieu de travail

Accès indu aux données, traitement illicite, sanction

Le transfert de données à l’étranger

But, champ d’application et mise en œuvre du droit de la personnalité des données

Droit suisse de la protection des données: définitions

Accès indu aux emails privés d’un cadre, licenciement immédiat

Le traitement illicite de données par une personne privée

COVID-19 : peut-on contraindre les salariés à se faire vacciner ou à se faire tester ?

Articles récents

Catégories

Méta

S'abonner au blog via courriel

Partager:

Partager:

Partager:

Partager:

Partager:

Partager:

Partager:

Partager:

Partager:

Partager:

Articles récents

Catégories

Méta

S'abonner au blog via courriel