données personnelles – Les employeurs doivent informer non seulement leurs clients et partenaires commerciaux, mais aussi leurs collaborateurs sur le traitement des données personnelles.
Depuis l’entrée en vigueur de la nouvelle loi sur la protection des données («LPD») le 1er septembre 2023, les employeurs doivent informer non seulement leurs clients et partenaires commerciaux, mais aussi leurs collaborateurs du traitement des données personnelles. Sous peine de risquer une amende pouvant aller jusqu’à 250 000 francs (lire ci-dessus). La loi prescrit les informations suivantes, qui doivent être communiquées dans tous les cas:
• identité et coordonnées du responsable (entreprise et employeur),
• but du traitement (p. ex: exécution du contrat de travail, respect des obligations légales),
• catégories de destinataires des données (p. ex: prestataires de services RH, assurances, services administratifs).
Si les données ne sont pas collectées auprès du collaborateur (p. ex. demande d’extraits de registres), les catégories de données personnelles traitées doivent aussi lui être communiquées (p. ex. données relatives aux poursuites). Si les données sont communiquées à l’étranger, il doit également être informé de l’État et – selon l’État (en particulier s’il est en dehors de l’EEE) – des garanties permettant d’assurer une protection des données appropriée.
Dans la pratique, il s’agit le plus souvent de clauses standard de protection des données. Des obligations d’information particulières peuvent s’appliquer lors de l’exécution de décisions individuelles automatisées (p. ex. si une application est utilisée pour l’évaluation automatisée des performances).
L’information n’est pas liée à une forme particulière. L’important est qu’elle soit portée à la connaissance des collaborateurs. Cela peut se faire par la remise ou la mise en lien d’une déclaration de protection des données séparée pour les collaborateurs par e-mail ou sur l’intranet. Ou encore par une information dans le cadre des formations.
Pour des raisons de preuve, l’information devrait être fournie par écrit et au plus tard au moment de la collecte des données (par exemple lors de l’entrée en fonction). En revanche, elle ne devrait pas faire partie intégrante du contrat de travail, afin que des modifications unilatérales restent possibles.
Comme c’était déjà le cas sous l’ancienne LPD, toutes les personnes ont le droit de savoir si des données personnelles les concernant sont traitées. La loi prévoit aussi des informations qui doivent être communiquées dans tous les cas à la personne concernée. Notamment des renseignements sur les données personnelles traitées en tant que telles précisant qu’il n’existe aucun droit à la remise de documents, le but du traitement, la durée de conservation.
Les renseignements doivent en principe être fournis gratuitement et dans un délai de 30 jours à compter de la réception de la demande. Celui qui fournit (intentionnellement) un renseignement faux ou incomplet risque une amende pouvant atteindre 250 000 francs. Dans le cadre du renseignement, il ne faut donc en aucun cas faire une déclaration d’exhaustivité ou donner une telle impression.
Dans le contexte du droit du travail, il arrive que des employés invoquent le droit d’accès pour obtenir des informations et des documents dans le cadre d’un conflit qui se profile (par exemple après un licenciement) et pour évaluer les chances d’un procès ou tout simplement pour poursuivre une ligne d’attaque contre l’employeur.
Le Tribunal fédéral a déclaré à plusieurs reprises qu’il était abusif de faire valoir son droit d’accès pour obtenir des preuves. La nouvelle LPD stipule désormais explicitement que le droit d’accès peut être refusé si la demande est «manifestement infondée». En particulier si elle poursuit un «but contraire à la protection des données» ou si elle est «manifestement quérulente» (cf. infra).
L’appréciation de la question de savoir si une demande poursuit un «but contraire à la protection des données» doit toujours se faire au cas par cas. Il convient de rechercher les indices correspondants, comme une opposition simultanée à un licenciement abusif, une demande de modification du certificat ou d’autres signes d’un litige (imminent) en matière de droit du travail.
On parle de demande «quérulente» lorsqu’une demande est répétée sans justification plausible ou lorsque le demandeur sait déjà que le responsable ne traite pas de données le concernant.
Parmi les autres motifs de refus ou de limitation du droit d’accès, on peut trouver des obligations légales (p. ex. le secret professionnel) ou des intérêts de tiers (la protection d’un lanceur d’alerte, la protection de secrets commerciaux). Dans de tels cas, le refus de fournir des informations ne sera généralement pas nécessaire. Le caviardage des passages correspondants devrait souvent suffire. Cette question doit également être évaluée au cas par cas.
La liste des traitements aide à la mise en œuvre de ces obligations, dont devraient notamment découler les données obligatoires pour l’information et le renseignement (voir le modèle sur le site Web de l’usam). Il convient aussi d’élaborer une directive interne sur la protection des données qui précise les responsabilités, les compétences et les processus en vue de la mise en œuvre de ces obligations (et d’autres) en matière de protection des données. Par exemple: qui est responsable de l’élaboration et de la mise à disposition de la déclaration de protection des données, qui doit répondre à une demande de renseignements, dans quel délai et comment.
Luca Stäuble
Me Luca Stäuble est avocat chez Kellerhals Carrard Zürich KlG.
luca.staeuble@kellerhals-carrard.ch
Congrès suisse des arts et métiers: l’usam élit ses organes et pose des jalons
L’usam recommande de voter OUI au projet EFAS ainsi qu’aux deux projets relatifs au droit du bail
L’usam s’oppose avec véhémence à la hausse des cotisations salariales
L’usam salue la démarche du Conseil fédéral quant au mandat de négociation avec l’UE
L’usam regrette le «oui» à la 13e rente AVS et le «non» à l’augmentation de l’âge de la retraite
L’usam considère l’approche par paquet comme voie possible
