Skip to Main Content

Protection des données

Références

AUBERT, Gabriel. La protection des données dans les rapports de travail. In : Journée 1995 de droit du travail et de la sécurité sociale, Genève. Zürich : Schulthess, 1999,  p.145-191 [en ligne]  [Consulté le 16.01.2019]

BASIN, David. Risk analysis on different usages of the Swiss AHV Number : evaluation on behalf of the Federal Office of Justice and the Federal Data Protection and Information Commissioner. September 27, 2017. [en ligne] [Consulté le 16.01.2019]

CNIL. Guide recrutement : les fondamentaux en matière de protection des données personnelles et questions-réponses. Publié le 30 janvier 2023. [en ligne] [Consulté le 22.11.2023]

CNIL. Référentiel relatif aux traitements de données à caractère personnel mis en oeuvre aux fins de gestion du personnel adopté le 21 novembre 2019. [en ligne] [Consulté le 16.11.2021]

DUNAND, Jean-Philippe, MAHON, Pascal. La protection des données dans les relations de travail. Collection CER. Genève/Zürich : Schulthess Editions romandes, 2017

DUPONT, Anne-Sylvie. La protection des données confiées aux assureurs. In: Dunand, Jean-Philippe et Mahon, Pascal (Ed.) La protection des données dans les relations de travail. Genève : Schulthess, 2017. p. 195-228 

METILLE, Sylvain, ARASTEH, Yasmine. Le Règlement général sur la protection des données et les assureurs privés suisses. In : Annales SDRCA. Zürich, 2018, pp. 111-142 [en ligne] [Consulté le 22.01.2019]

GROUPE DE TRAVAIL "ARTICLE 29" SUR LA PROTECTION DES DONNEES. Avis 2/2017 sur le traitement des données sur le lieu de travail, adopté le 8 juin 2017. 28 p., 17/FR WP 249 [en ligne] [Consulté le 15.01.2019]

LEMPEN, Karine. Protection des données et discrimination lors de la procédure de recrutement. In: Dunand, Jean-Philippe et Mahon, Pascal (Ed.). La protection des données dans les relations de travail. Genève : Schulthess, 2017. p. 269-286.

PFPDT. Guide pour le traitement des données personnelles dans le secteur du travail : traitement par des personnes privées. Etat octobre 2014. [en ligne] [Consulté le 16.01.2019]

PFPDT. Différentes étapes de la relation de travail. Quelles données l'employeur est-il autorisé à traiter? Comment doit-il procéder ? [en ligne] [Consulté le 29.02.2024]

PFPDT. Traitement des données par l'employeur. [en ligne] [Consulté le 22.11.2023]

VISCHER. New Data Protection Act : What do I need to know as an HR manager ? 25 August 2023. [en ligne] [Consulté le 01.02.2024]

Les traitements RH

Dans le cadre des RH les traitements concernés sont :

  • la phase de recrutement
  • la phase d'engagement (exécution du contrat de travail, gestion et organisation du travail : congés, absences, santé)
  • la phase de fin des rapports de travail (résiliation du contrat de travail)
  • les traitements RH doivent respecter l'équilibre entre l'intérêt légitime de l'employeur à protéger ses activités et les attentes des employés en matière de respect de leur vie privée
  • Les employés doivent recevoir des informations concrètes au sujet du traitement de leurs données personnelles et particulièrement si une surveillance leur est appliquée

 Les bases légales utilisables en matière de traitement RH sont multipes :

  • le consentement : rarement utilisable comme base juridique parce que la relation employeur/employé est une relation de dépendance.
  • le traitement peut parfois être nécessaire à l'exécution d'un contrat (le contrat de travail) notamment dans le cadre du paiement des salaires
  • l'intérêt légitime : base légale si le traitement est strictement nécessaire à des fins légitimes et respecte les principes de proportionnalité et de subsidiarité (dans le cadre de la surveillance électronique du traffic des données par ex.).
  • le droit du travail impose des obligations légales à l'employeur en matière de traitement de données (calcul de l'impôt par exemple)

En dehors d'autres délais légaux, voici des délais raisonnablement applicables pour les conservation des données personnelles :

  • processus de recrutement : effacement dès que le candidat retire sa candidature ou si la candidature n'a pas été retenue
  • les données concernant les employés sont conservées le temps de sa présence dans l'entreprise.
  • Après les rapports de travail, les données utiles (pour établir un certificat de travail par exemple) et les données à garder en vertu d'une obligation légale sont conservées en général entre 5 et 10 ans. Pour l'établissement, la justification, la correction ou le complément d'un certificat de travail, le délai de prescription est de 10 ans après la fin des rapports de travail. (art. 127 CO)
  • les données relatives aux salaires doivent être gardées 10 ans (y. compris pièces comptables)
  • certaines données personnelles sensibles peuvent être détruitre après 2 ans : certificats médicaux par exemple

Les technologies modernes permettent d'effectuer une surveillance constante et systématique.

Si le traitement RH n'est pas proportionné et si sa finalité comme les moyens d'action ne sont pas transparents pour l'employé, il y a un risque de contrôle intrusif et injustifié de l'employé. 

Bases légales

En droit suisse, les dispositions légales applicables à la protection des données sur le lieu de travail sont contenues dans :

Phase de recrutement

L'article 328b CO s'applique même si un contrat n'est pas encore conclu.

  • Consultation du dossier de candidature : le dossier de candidature ne peut être consulté que par les personnes autorisées (service du personnel/supérieur hiérarchique)
  •  Contrôle d'antécédents (background check) : sont autorisés dans certains domaines et notamment si l'emploi est un emploi de confiance. Le candidat doit être informé avant le contrôle et avoir donné son consentement.
  • Vérification du profil internet du candidat : si l'analyse de la présence d'un candidat dans un réseau social professionnel type linkedin ne pose en général ps de problème, la recherche d'informations sur les réseaux sociaux privés type facebook ou instagram est moins pertinente. La bonne pratique veut que la transparence avec le candidat soit primordiale : une demande de consentement et un retour en cas de données posant problème à l'employeur sont nécessaires.
  • Demande d'extraits : un extrait des poursuites ou un extrait du casier judiciaine ne peut être demandé systématiquement. Il est réservé pour les emplois de confiance (banque, etc ...)
  • Entretien d'embauche : lors de l'entretien seules les questions en lien avec le poste sont admises (formation, parcours et perspectives professionnelles).
  • Références : l'employeur ne peut prendre des renseignements auprès des précédents employeurs du candidat qu'avec le consentement du candidat.
  • Tests psychologiques : ils sont autorisés d'ils sont effectués avec le consentement du candidat et s'ils fournissent des résultats objectifs, fiables et valables. Ils doivent être conduits et analysés par des professionnels.  Après le recrutement, les tests psychologiques n'ont plus d'intérêt. Ils doivent être rendus ou détruits. Ils ne peuvent en aucun cas figurer dans le dossier du personnel.
  • Dossiers des candidats non retenus : à la fin du processus de recrutement, le dossier des candidats non retenus doit être supprimé ou rendu aux candidats. Si le candidat y consent, il peut être conservé durant une durée raisonnable et déterminée.

 

Phase d'engagement (=période pendant laquelle l'employeur et l'employé sont liés par un rapport de travail)

  • Le certificat médical : les données contenues dans un certificat médical sont considérées comme sensibles au sens de l'art. 5 let.c LPD., étant donné que le timbre et la signature du médecin apparaissent sur le document, que la spécialisation du praticien peut être indiquée ou facilement trouvable et donc que des déductions (directement ou par recoupement) sur l'état de santé de l'employé sont possibles. Les certificats médicaux ne sont accessibles qu'aux personnes fondées à les utiliser de par les fonctions qu'elles exercent. et ceux qui ne sont plus utiles doivent être régulièrement supprimés du dossier du collaborateur (en général tous les deux ans).
  • Le dossier personnel : doit contenir les données indispensables à l'exécution du contrat de travail (documents et renseignements obtenus durant la phase de recrutement, comptes-rendus des entretiens d'évaluation, avertissements, échanges de correspondance, décomptes d'heures supplémentaires, décomptes de vacances, fiches de salaire, cours de formation, certificats médicaux, lettre de démission). Il doit être trié régulièrement (recommandation du PFPDT : tous les deux ans).
  • Accès au dossier personnel : RH, supérieur hiérarchique, direction.
  • Droit d'accès : l'employé a un droit d'accès à ses données en tout temps (y.c après la fin des rapports de travail). Limites : les notes personnelles prises par le supérieur hiérarchique, échanges d'email entre supérieurs hiérarchiques concernant un employé préalablement à son licenciement. Restrictions : si une loi au sens formel le prévoit, les intérêts prépondérants d'un tiers l'exigent (ex. lors d'une dénonciation par un autre employé)
  • Communication à des tiers : toute communication à des tiers est interdite sauf si l'employé a donné son consentement, y compris lors d'une communication à l'intérieur de l'entreprise à des personnes qui ne sont pas habilités par leur fonction (exception faite si la loi oblige l'employeur à communiquer ces données, par exemple pour les données transmises à l'AVS).
  • Droit à l'image de l'employé : droit à l'image interne (intranet, communication interne...) et droit à l'image externe (réseaux sociaux) : le consentement de l'employé ne vaut que dans le contexte dans lequel il a été donné (pas de consentement général). Le consentement est requis également pour les photos prises lors de manifestations telles qu'apéritifs ou événements organisés par l'entreprise. Quand l'employé quitte l'entreprise, les images et les données doivent être supprimées (y.c. sur le site internet) 

Phase de fin des rapports de travail

  • Devoir de conservation de l'employeur : porte sur les données sur le genre et la durée du rapport de travail, la description des tâches et le domaine de responsabilité, les appréciations de la prestation fournie, du comportement, la carrière, la formation continue, les motifs du départ et les événements particulier.
  • Documents qui appartiennent à l'employé : à la fin des rapports de travail, le dossier du collaborateur doit être trié. Le dossier de candidature contenant le CV, les certificats de travail précédents, les diplômes, les photos et les autres documents qui appartiennent à l'employé doivent lui être rendus.
  • Documents qui appartiennent à l'employeur : les documents concernant l'employé mais qui ne sont pas nécessaire à l'établissement du certificat de travail (ex expertises médicales) doivent être détruits.
  • Durée de conservation du dossier du collaborateur après son départ : 10 ans (délai de prescription pour établir, justifier, corriger ou compléter un certificat de travail).

L'impact de la nLPD sur les données dans le cadre du travail