De nombreuses informations personnelles sont contenues dans les dossiers des collaborateurs et collaboratrices. Mais quelles sont les règles à respecter? Notre partenaire CJE, Avocats, Conseillers d’entreprises repasse sur les notions de données personnelles et détaille pour vous les modalités et bases juridiques à connaître afin d’être en conformité avec la loi sur la protection des données (LPD).
Certificats médicaux, tests de personnalité, saisies de salaires, copie de pièces d’identité, situation familiale, etc. sont tant d’informations personnelles contenues dans les dossiers personnels des collaborateurs et collaboratrices. L’employeur est ainsi amené à collationner et à traiter de nombreuses informations qui peuvent être sensibles.
Les règles à respecter afin d’être en conformité avec la loi sur la protection des données
1. Quel est le fondement juridique?
2. Qu’est-ce qu’une donnée personnelle?
3. Qu’est-ce qu’une donnée sensible?
- être une donnée personnelle;
- concerner l’un des domaines prévus par la loi, soit:
- l’origine raciale ou ethnique;
- les opinions ou activités politiques, philosophiques, syndicales ou religieuses;
- la santé (psychique ou mentale);
- la sphère intime (p. ex. la vie sexuelle);
- les poursuites et sanctions administratives;
- les poursuites et sanctions pénales;
- les mesures d’aide sociale;
- les données biométriques à certaines conditions;
- les données génétiques à certaines conditions.
4. Quelles bases juridiques permettent de collecter des données personnelles selon la LPD?
- La loi: certains traitements de données personnelles peuvent être imposés par une loi à laquelle le·la responsable du traitement est soumis·e. Lorsque la loi n’indique pas expressément que l’employeur est légitimé, autorisé ou habilité à traiter les données personnelles du·de la collaborateur·rice, le traitement des données peut être inhérent aux activités à entreprendre pour respecter le cadre légal.
- L’intérêt légitime, prépondérant: pour déterminer si l’intérêt est légitime, il convient d’une part de procéder à une pesée des intérêts entre le·la responsable du traitement et la personne dont les données sont récoltées et d’autre part, à savoir s’il n’y a pas moyen moins intrusif pour obtenir le résultat souhaité.
- Le contrat: cette base juridique est très utilisée puisqu’elle intervient dans le cadre des relations contractuelles entre l’employeur et le·la collaborateur·rice. Cette base juridique ne peut être invoquée qu’à condition que le traitement des données personnelles soit nécessaire à l’exécution du contrat ou à sa conclusion.
- Le consentement: il doit être utilisé lorsqu’une autre base juridique ne peut pas servir à légitimer un traitement. L’obtention du consentement peut apparaître comme un moyen pratique, facile et rapide de mettre en œuvre un traitement, mais il implique des obligations particulières et n’est pas toujours aisé à gérer. En outre, lorsque l’employeur utilise le consentement comme base juridique, il envoie le signal aux collaborateur·rice·s qu’aucune autre base juridique n’est disponible (pas même l’intérêt légitime), ce qui laisse entendre que le traitement en question comporte des risques particuliers pour lui·elle.
Le consentement doit être clair et ne pas laisser place à l’ambiguïté. Le·la responsable de traitement doit être en mesure de démontrer que le collaborateur ou la collaboratrice a donné son consentement. Cela nécessite de conserver certaines informations, tout en respectant le principe de la proportionnalité.
5. Qui peut consulter les dossiers des collaborateur·rice·s?
Il doit être mis en place une restriction des droits d’accès au dossier des collaborateur·rice·s afin de les protéger des personnes non autorisées.
6. Qu’est-ce que le principe d’exactitude?
7. Quelles sont les obligations de l’employeur en cas d’externalisation (sous-traitance)?
L’employeur est responsable du traitement des données par l’organisation sous-traitante et doit éviter toute violation de la LPD par cette dernière; il doit surveiller que le sous-traitant respecte la LPD dans la même mesure qu’il le fait lui-même. Cela concerne notamment le respect des principes généraux, des règles relatives à la sécurité des données et à la communication des données à l’étranger.
L’employeur est ainsi dans l’obligation de choisir soigneusement ses sous-traitants, de les instruire de manière appropriée et de les surveiller dans la mesure du nécessaire. Le contrat liant l’employeur au sous-traitant contiendra des règles spécifiques à cet effet.
8. Qu’est-ce que le droit d’accès du collaborateur ou de la collaboratrice?
Il·elle doit recevoir les informations lui permettant de faire valoir ses droits selon la LPD et pour que la transparence du traitement soit garantie.
Le collaborateur ou la collaboratrice faisant valoir son droit d’accès, de rectification ou d’effacement de ses données n’a pas à motiver sa demande auprès du·de la responsable du traitement. En principe, le renseignement doit être fourni gratuitement dans un délai de 30 jours. Les demandes occasionnant des efforts disproportionnés peuvent occasionner des frais (d’un montant de CHF 300.- au maximum).
9. Existe-t-il des restrictions au droit d’accès du·de la collaborateur·rice à son dossier?
- s’agissant de la pesée des intérêts à effectuer en application de l’art. 9 LPD lorsque le maître du fichier entend restreindre l’accès et
- lorsqu’un abus de droit entre en considération.
Selon la jurisprudence, une demande d’accès peut être abusive lorsqu’elle est effectuée pour des motifs étrangers aux objectifs de la LPD. Cela est en particulier le cas lorsqu’elle est effectuée:
- exclusivement aux fins de nuire au maître du fichier, dans le but d’espionner une (future) partie adverse et de se procurer des preuves normalement inaccessibles ou encore
- afin de poursuivre des intérêts qui ne correspondent pas à ceux de la LPD et destinés à protéger, comme le fait d’économiser les coûts liés à l’obtention des informations. Le but de la LPD n’est en effet pas de faciliter l’obtention de tels documents.
L’employeur maître d’un fichier confronté à une demande d’accès fondée sur l’art. 8 LPD fait face à une importante insécurité en droit du travail, car il est courant pour un·e collaborateur·rice d’adresser à son (ex)employeur (typiquement après un licenciement, dans la phase précontentieuse), une demande d’accès dans le but d’obtenir des moyens de preuves et d’évaluer les chances de succès d’une éventuelle action.
En général, l’employeur donnera suite à la demande, d’autant plus qu’elle n’a pas à être motivée. Par ailleurs, compte tenu également des conséquences que la loi attache au fait de fournir des renseignements incomplets ou inexacts (cf. art. 34 al. 1 let. a LPD, contravention punie sur plainte), le maître du fichier est généralement amené à fournir les informations demandées sans s’opposer, ni demander les motifs à l’origine de la demande.
10. Quelles informations l’employeur doit-il communiquer au·à la collaborateur·rice?
Le·la collaborateur·rice peut demander au responsable du traitement si des données personnelles le·la concernant sont traitées. Il·elle doit recevoir les informations nécessaires pour qu’il·elle puisse faire valoir ses droits selon la LPD et pour que la transparence du traitement soit garantie. Dans tous les cas, il·elle doit recevoir les informations suivantes:
- l’identité et les coordonnées du·de la responsable du traitement;
- les données personnelles traitées en tant que telles;
- la finalité du traitement;
- la durée de conservation des données personnelles ou, si cela n’est pas possible, les critères pour fixer cette dernière;
- les informations disponibles sur l’origine des données personnelles, dans la mesure où ces données n’ont pas été collectées auprès de la personne concernée;
- le cas échéant, l’existence d’une décision individuelle automatisée ainsi que la logique sur laquelle se base la décision;
- le cas échéant, les destinataires ou les catégories de destinataires auxquels des données personnelles sont communiquées, ainsi que les informations prévues à l’art. 19, al. 4. (art. 25 LPD).
Des données personnelles sur la santé du collaborateur ou de la collaboratrice peuvent lui être communiquées, moyennant son consentement, par l’intermédiaire d’un·e professionnel·le de la santé qu’il·elle aura désigné·e. Le·la responsable du traitement qui fait traiter des données personnelles par un sous-traitant demeure tenu de fournir les renseignements demandés.
11. Quels sont les droits du·de la collaborateur·rice concernant son dossier?
Le collaborateur ou la collaboratrice a les droits suivants:
- Droit à l’information: le·la collaborateur·rice a le droit d’exiger à tout moment un accès gratuit aux données personnelles le concernant stockées par l’employeur. Cela lui donne la possibilité de vérifier quelles données personnelles sont traitées à son sujet et que ces données soient utilisées conformément aux réglementations applicables en matière de protection des données.
- Droit de rectification: le·la collaborateur·rice a le droit de faire rectifier les données à caractère personnel incorrectes ou incomplètes et d’être informé·e de la rectification. Dans ce cas, l’employeur l’informe des données concernées et des ajustements effectués, à moins que cela ne soit impossible ou n’implique un effort disproportionné.
- Droit d’annulation: le·la collaborateur·rice a le droit de demander la suppression de ses données personnelles dans certaines circonstances. Dans des cas individuels, le droit de suppression peut être exclu.
- Droit à la restriction du traitement: sous certaines conditions, le·la collaborateur·rice a le droit de demander que le traitement de ses données à caractère personnel soit limité.
- Droit de révocation: en principe, le·la collaborateur·rice a le droit de révoquer à tout moment un consentement donné. Les activités de traitement fondées sur son consentement passé ne deviennent pas illégales par leur révocation.
Le collaborateur ou la collaboratrice peut en outre s’opposer à tout moment au traitement des données, notamment au traitement des données en rapport avec la publicité directe (par exemple contre les courriers électroniques publicitaires).
12. Que doit contenir la déclaration Internet de protection des données?
La déclaration doit informer les utilisateur·rice·s sur les points suivants:
- Qui est responsable du traitement des données?
- Quelles sont les données personnelles collectées?
- À quelles fins les données personnelles sont-elles traitées?
- Pendant combien de temps les données personnelles sont-elles conservées?
- De quelles options le·la collaborateur·rice dispose-t-il·elle quant au traitement de ses données?
- Quelles données sont transmises à des tiers et à quelles fins?
- Quels services et produits, notamment de tiers, sont intégrés dans le site web et comment les collaborateur·rice·s peuvent-ils·elles s’opposer à ce que leurs données soient communiquées à ces tiers?
- À qui le collaborateur ou la collaboratrice peut-il·elle s’adresser pour demander des renseignements relatifs au traitement de ses données et où il peut faire valoir ses droits (par ex. accès, rectification, suppression, opposition, portabilité)?
- À quelles lois le traitement des données par le fournisseur de prestations est-il soumis?
La déclaration de protection des données doit être rédigée en fonction du groupe cible.
13. Combien de temps l’employeur peut-il conserver les documents des collaborateur·rice·s et des candidat·e·s?
Pour les candidat·e·s non retenu·e·s, la durée de conservation est plus courte, mais l’employeur peut les conserver pendant trois années complètes, puis jusqu’à la fin de l’exercice en cours à ce moment-là.
Ni la LPD ni le CO ne prévoient une durée générale minimale de conservation. Une partie de la doctrine considère que l’ensemble du dossier personnel des collaborateur·rice·s doit être conservé pendant 10 ans après la fin des rapports de travail, tandis que le Proposé fédéral à la protection des données et à la transparence (PFPDT) considère que la durée de conservation doit être définie au cas par cas. L’employeur doit en premier lieu examiner si une base légale impose une durée de conservation minimale et, en l’absence d’une telle norme, il fixe la durée de conservation au regard de l’ensemble des circonstances (notamment: délai de prescription, finalité du traitement, etc.).
La durée de conservation est fixée par la loi, par exemple, dans les cas suivants:
- durée du travail, période de repos: 5 ans (art. 46 LTr);
- créance salariale: 5 ans dès leur exigibilité (art. 128 CO);
- données permettant d’établir le certificat de travail: 10 ans (art. 127 CO).
14. En conclusion
Le collaborateur ou la collaboratrice dispose d’un réel moyen de contrôle du respect des principes de la protection des données puisqu’il·elle peut demander en tout temps à consulter son dossier personnel.
L’employeur doit ainsi mettre en place un processus interne pour garantir la transparence du traitement des données ainsi que pour assurer la mise à jour des dossiers personnels de ses collaborateur·rice·s.
Ce contenu a été rédigé par notre partenaire CJE, Avocats, Conseillers d’Entreprises.