Protection des données

Principe Dans le cadre des rapports de travail, l’employeur est susceptible de récolter un certain nombre de données personnelles, parfois sensibles, de l’employé. Tel peut être le cas de son état de santé, ses évaluations personnelles ou encore sa situation familiale.

Le traitement et la protection de ses données est réglementée par le Code des obligations et la Loi fédérale sur la protection des données (LPD). En principe, l’employeur ne peut traiter des données personnelles du travailleur que si elles portent sur ses aptitudes à remplir son travail ou qu’elles sont nécessaires à l’exécution du contrat de travail.

Il est également tenu de protéger les données des clients et fournisseurs de l’entreprise. Il doit prendre des mesures pour éviter leur accès par des tiers non autorisés.

Entretien d’embauche Afin d’assurer que le candidat a les aptitudes pour remplir le poste de travail, l’employeur pose des questions qui portent parfois sur des données sensibles du candidat telles que son état de santé, son éventuelle grossesse ou encore son casier judiciaire. De telles questions portant sur la vie privée de l’employé ne sont licites que si elles ont un rapport direct avec l’emploi envisagé. Lorsqu’elles sont illicites, se pose alors la question du droit au mensonge.

La prise de références auprès d’anciens employeurs est délicate car l’ancien employeur est susceptible de dévoiler un certain nombre de données personnelles de l’employé, notamment son attitude au sein de l’entreprise ou encore les raisons de son licenciement.

La prise de références n’est possible qu’avec le consentement du candidat. Même lorsque celui-ci y consent, l’ancien employeur reste tenu de protéger ses données personnelles. La divulgation de certaines informations sensibles, notamment sur son état de santé, est interdite.

Dossier personnel Lors des rapports de travail, l’employeur est amené à constituer un dossier personnel pour chaque collaborateur qui contient notamment le contrat de travail et ses éventuels avenants, certificats médicaux, décomptes heures supplémentaires effectuées ou encore avertissements adressés.

La LPD prévoit qu’en principe l’employé a un droit d’accès à son dossier personnel, afin notamment de vérifier si ces données sont exactes et si elles sont traitées de manière licite.

Cependant, certains documents échappent à ce droit d’accès et l’employeur n’est pas obligé de les transmettre à l’employé. De même, il peut refuser l’accès du collaborateur à son dossier personnel en certaines circonstances, notamment lorsque celui-ci part à la pêche aux informations (« fishing expedition ») en vue d’une procédure contre son employeur.

Télétravail  L’employeur récolte souvent un bon nombre de données sur des clients ou des fournisseurs de l’entreprise. Ces informations peuvent être confidentielles et sensibles. L’employeur doit dans tous les cas s’assurer que ces informations ne soient pas accessibles à des tiers non autorisés.

L’employeur doit prendre des mesures particulières lorsqu’il autorise ses employés à effectuer du télétravail. Les risques pour la confidentialité des données sont accrus. Il en va de même lorsque les collaborateurs conservent des données de l’entreprise sur leur smartphone ou ordinateur privés.

Surveillance Que ce soit pour des motifs de sécurité, de lutte contre les vols ou simplement de contrôle de la qualité des prestations des employés : l’employeur est tenté de mettre en place des systèmes de surveillance sur le lieu de travail.

Les informations récoltées, notamment la vidéosurveillance, les déplacements des employés avec le véhicule d’entreprise, les sites Internet consultés ou encore les appels passés par les collaborateurs sont des données personnelles. Celles-ci sont protégées par la LPD.

Lorsqu’il veut installer un système de surveillance au travail, l’employeur est tenu de suivre une procédure stricte instaurée par le Préposé fédéral à la protection des données et d’édicter une directive qui réglemente cette surveillance.

Lorsque les employés sont autorisés à utiliser le téléphone ou l’ordinateur professionnels à des fins privées, cette procédure est particulièrement délicate à mettre en place. En effet, une surveillance risque fortement de porter atteinte à la sphère privée des collaborateurs.

Enfin, lorsque la surveillance est licite, l’employeur reste tenu de prendre des mesures pour protéger la confidentialité des données récoltées par le bais de la surveillance.

Alcool et drogues Un employeur soupçonne un employé d’être alcoolisé ou sous l’emprise de drogues au travail. Si tel est le cas, cela risque de mettre en danger la sécurité de collègues ou de tiers ou encore de porter atteinte aux intérêts et à l’image de l’entreprise.

L’employeur souhaite parfois faire passer un test de dépistage au collaborateur, dans le but de confirmer ses soupçons. Dans des métiers plus à risques, notamment pour les chauffeurs professionnels ou pilotes de ligne, il arrive à l’employeur de vouloir faire des tests de dépistage aléatoires.

Les résultats de ces tests sont des données personnelles de l’employé. Avant de mettre en place de tels examens, l’employeur doit veiller à remplir certaines conditions de validité.

Pandémie/épidémie/Covid-19 Dans le cadre d’une pandémie comme celle liée au Covid-19, l’employeur peut et doit prendre des mesures pour protéger la santé de ses collaborateurs. Il doit en principe renvoyer chez eux les employés malades, susceptibles de contaminer leurs collègues.

Certaines entreprises ont décidé, dans le cadre du Covid-19, de prendre systématiquement la température des employés à l’entrée des locaux. Le résultat de ces tests constitue des données personnelles des employés. Un tel système est-il licite ? L’employé peut-il s’y opposer ?

Communication à des tiers La communication des données personnelles de l’employé à des tiers est particulièrement délicate. Elle n’est possible que si l’employé y consent ou qu’une loi le permet.

La communication de données sensibles, notamment sur l’état de santé, est en principe interdite.

L’employeur est amené, dans des situations particulières, à devoir communiquer certaines données à l’étranger, notamment dans le cadre d’une entraide internationale pour une enquête pénale à l’étranger. Cette situation est particulièrement délicate. Elle est en principe interdite lorsque le pays n’offre pas une protection suffisante des données.