Dossiers des collaborateurs·rices et protection des données

L’art 328b CO et la LPD protègent la personnalité et les droits fondamentaux des collaborateur·rice·s, mais non les données en tant que telles. L’employeur ne peut traiter les données des collaborateur·rice·s que dans la mesure où elles portent sur leurs aptitudes à remplir l’emploi ou sont nécessaires à l’exécution du contrat de travail.

Une donnée personnelle est une information concernant une personne physique identifiée ou identifiable. Une personne est identifiée lorsque l’on sait qui elle est, à qui on a à faire. Une personne est identifiable lorsque, de manière réaliste, en recourant aux moyens à disposition, les chances sont réelles de pouvoir l’identifier.

Pour être sensible, une information doit répondre aux deux conditions cumulatives suivantes:

• être une donnée personnelle;
• concerner l’un des domaines prévus par la loi, soit:
  • l’origine raciale ou ethnique;
  • les opinions ou activités politiques, philosophiques, syndicales ou religieuses;
  • la santé (psychique ou mentale);
  • la sphère intime (p. ex. la vie sexuelle);
  • les poursuites et sanctions administratives;
  • les poursuites et sanctions pénales;
  • les mesures d’aide sociale;
  • les données biométriques à certaines conditions;
  • les données génétiques à certaines conditions.

La base juridique concrétise le principe de licéité de la récolte des informations personnelles. Les différentes bases juridiques possibles sont:

• La loi: certains traitements de données personnelles peuvent être imposés par une loi à laquelle le·la responsable du traitement est soumis·e. Lorsque la loi n’indique pas expressément que l’employeur est légitimé, autorisé ou habilité à traiter les données personnelles du·de la collaborateur·rice, le traitement des données peut être inhérent aux activités à entreprendre pour respecter le cadre légal.
• L’intérêt légitime, prépondérant: pour déterminer si l’intérêt est légitime, il convient d’une part de procéder à une pesée des intérêts entre le·la responsable du traitement et la personne dont les données sont récoltées et d’autre part, à savoir s’il n’y a pas moyen moins intrusif pour obtenir le résultat souhaité.
• Le contrat: cette base juridique est très utilisée puisqu’elle intervient dans le cadre des relations contractuelles entre l’employeur et le·la collaborateur·rice. Cette base juridique ne peut être invoquée qu’à condition que le traitement des données personnelles soit nécessaire à l’exécution du contrat ou à sa conclusion.
• Le consentement: il doit être utilisé lorsqu’une autre base juridique ne peut pas servir à légitimer un traitement. L’obtention du consentement peut apparaître comme un moyen pratique, facile et rapide de mettre en œuvre un traitement, mais il implique des obligations particulières et n’est pas toujours aisé à gérer. En outre, lorsque l’employeur utilise le consentement comme base juridique, il envoie le signal aux collaborateur·rice·s qu’aucune autre base juridique n’est disponible (pas même l’intérêt légitime), ce qui laisse entendre que le traitement en question comporte des risques particuliers pour lui·elle.

Le consentement doit être clair et ne pas laisser place à l’ambiguïté. Le·la responsable de traitement doit être en mesure de démontrer que le collaborateur ou la collaboratrice a donné son consentement. Cela nécessite de conserver certaines informations, tout en respectant le principe de la proportionnalité.

Les dossiers des collaborateur·rice·s ne doivent être accessibles qu’à un nombre restreint de personnes, soit seules celles qui en ont véritablement besoin pour accomplir leur activité. C’est donc, principalement, les ressources humaines, le·la supérieur·e hiérarchique ainsi que, dans certains cas, la direction.

Il doit être mis en place une restriction des droits d’accès au dossier des collaborateur·rice·s afin de les protéger des personnes non autorisées.

L’employeur doit s’assurer que les données personnelles qu’il traite sont exactes. Il doit prendre toutes mesures appropriées permettant de rectifier, d’effacer ou de détruire les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées et traitées.

L’employeur qui confie le traitement de données personnelles à un sous-traitant (par ex. fournisseur de services en nuage, hébergeur web, société d’expédition, centre d’appels, entreprise fiduciaire, société d’assistance informatique) demeure responsable de la protection des données.

L’employeur est responsable du traitement des données par l’organisation sous-traitante et doit éviter toute violation de la LPD par cette dernière; il doit surveiller que le sous-traitant respecte la LPD dans la même mesure qu’il le fait lui-même. Cela concerne notamment le respect des principes généraux, des règles relatives à la sécurité des données et à la communication des données à l’étranger.

L’employeur est ainsi dans l’obligation de choisir soigneusement ses sous-traitants, de les instruire de manière appropriée et de les surveiller dans la mesure du nécessaire. Le contrat liant l’employeur au sous-traitant contiendra des règles spécifiques à cet effet.

Le·la collaborateur·rice peut demander au·à la responsable du traitement des données personnelles traitées le·la concernant.

Il·elle doit recevoir les informations lui permettant de faire valoir ses droits selon la LPD et pour que la transparence du traitement soit garantie.

Le collaborateur ou la collaboratrice faisant valoir son droit d’accès, de rectification ou d’effacement de ses données n’a pas à motiver sa demande auprès du·de la responsable du traitement. En principe, le renseignement doit être fourni gratuitement dans un délai de 30 jours. Les demandes occasionnant des efforts disproportionnés peuvent occasionner des frais (d’un montant de CHF 300.- au maximum).

Le droit d’accès prévu à l’art. 8 LPD vise à faire valoir le respect de la personnalité. Il donne la possibilité à la personne dont les données sont traitées de vérifier si le traitement est conforme aux principes juridiques applicables. Une demande d’accès peut, en soi, être effectuée sans la preuve d’un intérêt. Le motif invoqué pour justifier la demande peut cependant revêtir une importance:

• s’agissant de la pesée des intérêts à effectuer en application de l’art. 9 LPD lorsque le maître du fichier entend restreindre l’accès et
• lorsqu’un abus de droit entre en considération.

Selon la jurisprudence, une demande d’accès peut être abusive lorsqu’elle est effectuée pour des motifs étrangers aux objectifs de la LPD. Cela est en particulier le cas lorsqu’elle est effectuée:

• exclusivement aux fins de nuire au maître du fichier, dans le but d’espionner une (future) partie adverse et de se procurer des preuves normalement inaccessibles ou encore
• afin de poursuivre des intérêts qui ne correspondent pas à ceux de la LPD et destinés à protéger, comme le fait d’économiser les coûts liés à l’obtention des informations. Le but de la LPD n’est en effet pas de faciliter l’obtention de tels documents.

L’employeur maître d’un fichier confronté à une demande d’accès fondée sur l’art. 8 LPD fait face à une importante insécurité en droit du travail, car il est courant pour un·e collaborateur·rice d’adresser à son (ex)employeur (typiquement après un licenciement, dans la phase précontentieuse), une demande d’accès dans le but d’obtenir des moyens de preuves et d’évaluer les chances de succès d’une éventuelle action.

En général, l’employeur donnera suite à la demande, d’autant plus qu’elle n’a pas à être motivée. Par ailleurs, compte tenu également des conséquences que la loi attache au fait de fournir des renseignements incomplets ou inexacts (cf. art. 34 al. 1 let. a LPD, contravention punie sur plainte), le maître du fichier est généralement amené à fournir les informations demandées sans s’opposer, ni demander les motifs à l’origine de la demande.

Selon la LPD, le·la collaborateur·rice ne peut renoncer par avance au droit d’accès.

Le·la collaborateur·rice peut demander au responsable du traitement si des données personnelles le·la concernant sont traitées. Il·elle doit recevoir les informations nécessaires pour qu’il·elle puisse faire valoir ses droits selon la LPD et pour que la transparence du traitement soit garantie. Dans tous les cas, il·elle doit recevoir les informations suivantes:

1. l’identité et les coordonnées du·de la responsable du traitement;
2. les données personnelles traitées en tant que telles;
3. la finalité du traitement;
4. la durée de conservation des données personnelles ou, si cela n’est pas possible, les critères pour fixer cette dernière;
5. les informations disponibles sur l’origine des données personnelles, dans la mesure où ces données n’ont pas été collectées auprès de la personne concernée;
6. le cas échéant, l’existence d’une décision individuelle automatisée ainsi que la logique sur laquelle se base la décision;
7. le cas échéant, les destinataires ou les catégories de destinataires auxquels des données personnelles sont communiquées, ainsi que les informations prévues à l’art. 19, al. 4. (art. 25 LPD).

Des données personnelles sur la santé du collaborateur ou de la collaboratrice peuvent lui être communiquées, moyennant son consentement, par l’intermédiaire d’un·e professionnel·le de la santé qu’il·elle aura désigné·e. Le·la responsable du traitement qui fait traiter des données personnelles par un sous-traitant demeure tenu de fournir les renseignements demandés.

Droit à l’information, de rectification, d’annulation, de limitation du traitement et de révocation

Le collaborateur ou la collaboratrice a les droits suivants:

• Droit à l’information: le·la collaborateur·rice a le droit d’exiger à tout moment un accès gratuit aux données personnelles le concernant stockées par l’employeur. Cela lui donne la possibilité de vérifier quelles données personnelles sont traitées à son sujet et que ces données soient utilisées conformément aux réglementations applicables en matière de protection des données.
• Droit de rectification: le·la collaborateur·rice a le droit de faire rectifier les données à caractère personnel incorrectes ou incomplètes et d’être informé·e de la rectification. Dans ce cas, l’employeur l’informe des données concernées et des ajustements effectués, à moins que cela ne soit impossible ou n’implique un effort disproportionné.
• Droit d’annulation: le·la collaborateur·rice a le droit de demander la suppression de ses données personnelles dans certaines circonstances. Dans des cas individuels, le droit de suppression peut être exclu.
• Droit à la restriction du traitement: sous certaines conditions, le·la collaborateur·rice a le droit de demander que le traitement de ses données à caractère personnel soit limité.
• Droit de révocation: en principe, le·la collaborateur·rice a le droit de révoquer à tout moment un consentement donné. Les activités de traitement fondées sur son consentement passé ne deviennent pas illégales par leur révocation.

Le collaborateur ou la collaboratrice peut en outre s’opposer à tout moment au traitement des données, notamment au traitement des données en rapport avec la publicité directe (par exemple contre les courriers électroniques publicitaires).

La déclaration de protection des données explique à l’internaute quelles données sont collectées et à quelles fins elles sont traitées. Elle concrétise le devoir d’informer du·de la responsable du traitement visé·e par la LPD qui stipule que les utilisateur·rice·s doivent être informé·e·s de manière suffisante et claire afin de pouvoir décider librement si et comment ils·elles souhaitent que leurs données soient traitées.

La déclaration doit informer les utilisateur·rice·s sur les points suivants:

• Qui est responsable du traitement des données?
• Quelles sont les données personnelles collectées?
• À quelles fins les données personnelles sont-elles traitées?
• Pendant combien de temps les données personnelles sont-elles conservées?
• De quelles options le·la collaborateur·rice dispose-t-il·elle quant au traitement de ses données?
• Quelles données sont transmises à des tiers et à quelles fins?
• Quels services et produits, notamment de tiers, sont intégrés dans le site web et comment les collaborateur·rice·s peuvent-ils·elles s’opposer à ce que leurs données soient communiquées à ces tiers?
• À qui le collaborateur ou la collaboratrice peut-il·elle s’adresser pour demander des renseignements relatifs au traitement de ses données et où il peut faire valoir ses droits (par ex. accès, rectification, suppression, opposition, portabilité)?
• À quelles lois le traitement des données par le fournisseur de prestations est-il soumis?

La déclaration de protection des données doit être rédigée en fonction du groupe cible.

L’employeur est en droit de conserver les dossiers personnels des collaborateur·rice·s pendant toute la durée du contrat de travail. Lorsque les données personnelles ne sont plus nécessaires à l’exécution du contrat, elles ne doivent être conservées qu’à des fins d’archivage et il ne faut donc plus y accéder au quotidien. Ces données peuvent alors être utilisées pour se défendre contre des prétentions du·de la collaborateur·rice ou des autorités, ou en présence d’un intérêt prépondérant. Dans le cas contraire, il ne faut plus accéder à ces données.

Pour les candidat·e·s non retenu·e·s, la durée de conservation est plus courte, mais l’employeur peut les conserver pendant trois années complètes, puis jusqu’à la fin de l’exercice en cours à ce moment-là.

Ni la LPD ni le CO ne prévoient une durée générale minimale de conservation. Une partie de la doctrine considère que l’ensemble du dossier personnel des collaborateur·rice·s doit être conservé pendant 10 ans après la fin des rapports de travail, tandis que le Proposé fédéral à la protection des données et à la transparence (PFPDT) considère que la durée de conservation doit être définie au cas par cas. L’employeur doit en premier lieu examiner si une base légale impose une durée de conservation minimale et, en l’absence d’une telle norme, il fixe la durée de conservation au regard de l’ensemble des circonstances (notamment: délai de prescription, finalité du traitement, etc.).

La durée de conservation est fixée par la loi, par exemple, dans les cas suivants:

• durée du travail, période de repos: 5 ans (art. 46 LTr);
• créance salariale: 5 ans dès leur exigibilité (art. 128 CO);
• données permettant d’établir le certificat de travail: 10 ans (art. 127 CO).

La constitution du dossier des collaborateur·rice·s doit respecter certains principes (licéité, bonne foi, proportionnalité, finalité, exactitude, transparence et sécurité). En effet, l’employeur répond de la protection de la personnalité de ses collaborateur·rice·s et doit veiller à son respect.

Le collaborateur ou la collaboratrice dispose d’un réel moyen de contrôle du respect des principes de la protection des données puisqu’il·elle peut demander en tout temps à consulter son dossier personnel.

L’employeur doit ainsi mettre en place un processus interne pour garantir la transparence du traitement des données ainsi que pour assurer la mise à jour des dossiers personnels de ses collaborateur·rice·s.