Vidéosurveillance sur le lieu de travail: quelles sont les limites légales?

Une société exploitant une boulangerie souhaitait pouvoir installer une caméra de vidéosurveillance avec enregistrement qui filmait l’entrée du personnel.

Le Tribunal cantonal fribourgeois appelé à se prononcer a considéré en mai 2017 que pour que la mesure de vidéosurveillance puisse être considérée comme proportionnée au but allégué (la sécurité), celui-ci devait revêtir une grande importance. Tel est par exemple le cas lorsque le but poursuivi est la protection de la vie, de l’intégrité corporelle ou encore la lutte contre le vandalisme.

Si en elle-même l’installation litigieuse, qui couvrait le parking et l’entrée du personnel, permettait effectivement d’atteindre le but évoqué en dissuadant, respectivement en démasquant les auteurs d’infractions, plusieurs points ont été considérés comme problématiques en termes de pesée des intérêts en présence.

Ainsi, certains éléments comme la sortie des employés (qui permet de savoir quand ils arrivent et partent ou encore avec qui ils parlent ou partagent un véhicule), l’absence d’agents de sécurité habilités à opérer des contrôles ou encore le fait que des tiers ne puissent éviter le champ de la caméra ont-ils convaincu le Tribunal cantonal de refuser l’installation litigieuse.

Cette décision doit inciter les employeurs à restreindre la vidéosurveillance à des situations exceptionnelles et à vérifier, préalablement à toute installation, la légalité de leur démarche.
Dans le canton du Valais, il a été constaté que plusieurs entreprises de sécurité peu sérieuses procèdent à des installations «sauvages», soit ne respectent aucune norme de droit du travail ou de protection des données. Cela génère un risque important également pour l’employeur, qui pourrait devoir démonter toute l’installation de vidéosurveillance en cas de contrôle, à charge pour lui ensuite de se retourner contre son prestataire.

Il est vivement conseillé de solliciter de l’entreprise de sécurité une garantie de conformité légale de l’installation de vidéosurveillance ou de s’adresser aux autorités pour obtenir des conseils.

Présence des employés sur les réseaux sociaux: quels bénéfices et quelles limites?

Votre nouvel(le) apprenti(e) est un(e) magicien(ne). En quelques semaines le nombre de followers du compte Instagram de votre entreprise a quintuplé! Vos produits sont likés, partagés, respectivement vendus plus facilement et plus rapidement. Vous envisagez de lui confier la stratégie numérique de votre société et de vous consacrer à des tâches plus agréables, à l’instar de celle visant à parfaire votre préparation pour la course Sierre-Zinal. À vous les foulées ataraxiques! Vos camarades d’entraînement n’ont qu’à bien se tenir, eux qui vous lardent d’épigrammes à chaque arrivée.

Soit. Mais, franchement, avez-vous bien réfléchi aux conséquences possibles inhérentes aux responsabilités que vous confiez à un bizuth, un novice? Voici quelques conseils pour vous épargner des déconvenues à la hauteur de vos aspirations sportives.

Le premier réflexe consiste à préserver la maîtrise des actifs numériques de l’entreprise (comptes sur les réseaux, accès, etc.) et à implémenter des processus de sécurité ne permettant pas à un employé indélicat de se les approprier. La double authentification est conseillée. Il s’agit d’une méthode par laquelle un utilisateur peut accéder à une ressource informatique après avoir présenté deux preuves d’identité distinctes. Optez pour l’envoi d’un SMS sur votre téléphone portable de manière à assurer un contrôle simple et efficace.

Il convient ensuite de fixer un cadre réglementaire qui précisera à votre Mozart du digital les informations qui peuvent être publiées (attention à préserver le secret commercial notamment), les réponses à apporter aux griefs et aux commentaires de tiers (pour éviter un bouche-à-oreille négatif), ainsi que le temps à consacrer à cette fonction. Un cahier des charges minutieux constitue un garde-fou indispensable. En cas de problème ultérieur, il vous incombera en effet d’apporter la preuve des instructions reçues par le collaborateur concerné. À défaut, celui-ci pourrait ne pas être astreint à réparer le dommage que vous avez subi.

Finalement, optez pour le principe des quatre yeux et chargez une deuxième personne de confiance de vérifier les publications importantes et de procéder à des check-up inopinés. Même si un excellent temps à une course aussi prestigieuse nécessite de se décharger de quelques tâches, n’omettez pas de vous assurer que votre petit génie ne se transforme pas en mauvais génie!

Une caisse de pension peut-elle me demander de remplir un questionnaire de santé lors de mon admission?

Plusieurs lecteurs se sont émus, respectivement interrogés, à la réception d’un questionnaire émanant d’une caisse de pension. Ils nous sollicitent d’examiner si cette caisse est habilitée à recueillir des données relatives à la santé des personnes effectuant une demande d’admission. Le questionnaire ne permettait pas, de surcroît, de déterminer s’il s’agissait d’une assurance obligatoire ou d’une assurance surobligatoire selon la loi sur la prévoyance professionnelle et survivants (LPP).

Dès lors que ce n’est que dans le domaine de l’assurance surobligatoire que des données relatives à la santé peuvent être prélevées au moment de l’admission dans une caisse de pension, le questionnaire doit être clarifié. N’hésitez pas à intervenir et à exiger une mention explicite sur celui-ci, au terme de laquelle les données ne sont récoltées que dans le cadre de l’assurance surobligatoire. S’agissant de l’admission au sein de l’assurance obligatoire, la caisse n’est en effet pas autorisée à solliciter ce genre d’informations, puisqu’il existe un devoir légal d’admission. Il en résulte que, quel que soit son état de santé, la personne qui demande son admission doit être accueillie favorablement, dans la mesure où les autres conditions de la LPP sont remplies.

En cas de demande formulée pour l’assurance surobligatoire, dès lors que les assureurs peuvent émettre des réserves relativement aux risques décès et invalidité, il leur est loisible de poser des questions précises, dans le cadre d’une nécessaire évaluation. La personne qui veut y accéder doit donc, avant l’admission, informer la caisse de pension des faits qui pourraient influencer la décision de l’assureur. De son côté, l’assurance doit informer la personne qui fait la demande d’adhésion du but dans lequel les données relatives à la santé sont prélevées.

Les données relatives à la santé qui peuvent être collectées en vue d’une évaluation des risques doivent respecter le principe de proportionnalité. Seules les données nécessaires à la réalisation du but fixé peuvent être collectées. Selon le principe de la bonne foi, il est possible que la personne ayant déposé la demande doive fournir des informations supplémentaires. Il faut alors lui dire si la réponse aux questions posées est obligatoire ou facultative et quelles peuvent être les conséquences en cas de refus de donner le renseignement demandé. Vous l’aurez compris, le diable se cache souvent dans les détails et mieux vaut entreprendre un dialogue avec la caisse plutôt que de se limiter à donner suite sans réflexion aux questions posées.

Puis-je obtenir copie des courriels échangés par les administrations publiques dans les dossiers qui me concernent?

Cette question peut paraître difficile à appréhender, mais sa concrétisation va vous faciliter sa compréhension.

Dans le canton de Genève, à la suite d’une interpellation litigieuse, il a été sollicité l’accès à un courrier électronique envoyé à la commandante de la police genevoise par un gendarme. La commandante s’est opposée à la transmission de ce courriel pour différents motifs.

Tous les courriers électroniques qui répondent aux critères du document officiel, c’est-à-dire en particulier ceux qui sont en lien avec l’accomplissement d’une tâche publique, sont en principe soumis au droit d’accès. N’y sont pas soumis les courriers électroniques dont le contenu est strictement privé et qui sont acheminés via le système de courrier électronique d’un organe public.

En l’occurrence, le courriel était clairement en lien avec l’accomplissement d’une tâche publique, puisqu’il avait pour but d’informer la hiérarchie de ce qui s’était passé durant l’audition. Il a donc été recommandé à la police de transmettre le courriel au requérant, de façon à permettre à celui-ci de voir comment ces événements ont été relatés à la hiérarchie. Cette recommandation n’a pas été suivie par la police, ce qui pourrait ouvrir la voie à un procès. Il convient de préciser que le point de vue du préposé genevois est celui de nombre de ses collègues, pour ne pas dire de tous ses collègues.

Vous l’aurez compris, les courriels deviennent accessibles aux citoyens, pour autant qu’ils concernent leurs interactions avec les autorités. Cela signifie très concrètement que ces dernières doivent s’attendre et se préparer à devoir dévoiler tous les courriels, si une demande d’accès est formulée. Mieux vaut donc s’abstenir de qualifier le comportement ou l’attitude d’un administré et se limiter à une analyse purement factuelle d’une situation. Quant aux citoyens, ils peuvent désormais pleinement exercer leurs droits et ainsi vérifier qu’ils n’ont pas été privés d’informations pertinentes notamment et que la bonne foi a prévalu.

Jouets connectés: le père Fouettard est parfois niché dans les capteurs!

Vous souhaitez honorer l’assiduité de vos enfants à l’école et leur offrir les dernières merveilles technologiques pour Noël. Les sites web et les présentoirs des magasins regorgent de robots et de poupées connectées. Le hic,
c’est que parfois ces jouets sont affectés de failles de sécurité qui les rendent dangereux pour vos bambins.

Ainsi la CNIL, soit l’autorité française de protection des données, a-t-elle récemment découvert qu’un robot et une poupée répondant aux questions posées par les enfants sur divers sujets tels que des calculs mathématiques ou la météo ne présentaient pas toutes les garanties attendues, notamment en termes de protection des données. Il était notamment possible d’entendre et d’enregistrer à 9 mètres les paroles échangées entre les enfants et le jouet ou toute conversation à proximité. De surcroît, le contrôle du jouet pouvait être opéré avec facilité et une interaction avec l’enfant initiée à son insu. Dans d’autres cas, il a été constaté que des photographies étaient réalisées secrètement ou que des données étaient collectées à des fins publicitaires ou criminelles (escroquerie, usurpation d’identité ou harcèlement).

Voici quelques conseils si vous optez tout de même pour un tel jouet, nonobstant les aléas évoqués. Lorsque vous devez procéder à une inscription, ne communiquez que les informations minimales permettant l’activation du service. Donner une date de naissance aléatoire peut également s’avérer pertinent. Optez également pour des pseudonymes en lieu et place des nom et prénom et créez une adresse e-mail spécifique aux jouets connectés de vos enfants. Il est également conseillé de changer le mot de passe par défaut ou le code pin du jouet et d’opérer régulièrement les mises à jour. Lorsque le jouet ne sert pas, éteignez-le immédiatement. Désactivez le partage automatique des données, respectivement effacez les données sur le jouet et sur le service en ligne associé, lorsqu’il n’est plus utilisé.

Les fabricants ont des obligations en termes de sécurité des informations collectées qui vont notablement s’accroître dès l’an prochain. Des sanctions financières importantes pourront également être prononcées. Cela ne vous exonère toutefois pas d’un devoir de prudence: en bref, ne croyez pas au père Noël!

Est-il possible aux enseignants de filmer leurs élèves à des fins didactiques durant leurs cours ?

Votre cadette rentre de l’école et vous explique, effervescente, qu’elle va «passer à la télé» et que c’est «trop génial» de devenir «Famous». En communion avec cette joie spontanée, qui vous ravit, vous n’osez guère solliciter de plus amples explications. Ce d’autant qu’en réalité, votre petite puce est plutôt confuse, lorsqu’il s’agit d’expliciter les circonstances de cette première quasi hollywoodienne.

Le lendemain vous contactez son enseignant qui vous expose le but exclusivement pédagogique de sa démarche et tient à préciser que les images ainsi réalisées ne seront diffusées que sur l’intranet sécurisé de l’école. Devant votre hébétude, il ajoute qu’il s’engage à interrompre ce programme éducatif jusqu’à l’obtention de l’ensemble des consentements des représentants légaux des élèves de la classe. Cela vous satisfait partiellement. Vos craintes sont diffuses, mais persistantes et vous souhaitez être orienté sur le cadre légal.

En réalité, le consentement exprès préalable de tous les représentants légaux (ou de l’élève majeur) est toujours nécessaire, et ce, quelle que soit l’honorabilité du but poursuivi par l’enseignant. Lorsque deux parents au bénéfice d’une autorité parentale conjointe ne parviennent pas à s’entendre, il faut considérer que l’accord n’a pas été acquis. En cas de refus, l’enfant ne saurait être filmé (son image peut également être floutée), respectivement il convient de renoncer à l’enregistrement si cela n’est pas possible. L’image est en effet une donnée personnelle, parfois même une donnée personnelle sensible, dans certaines circonstances.

Ce consentement doit mentionner précisément toutes les diffusions envisagées. À cet égard, il faut absolument éviter les publications sur les plateformes en ligne. Le consentement peut en effet être révoqué en tout temps, ce qui signifie que les images doivent alors être effacées, ce qui est presque impossible si elles ont été partagées. En bref, les technologies ne doivent pas conduire à une aliénation irréversible, mais concourir à la compréhension par l’enfant des risques qu’elles génèrent.

Achats en ligne: quelques conseils pour éviter un Black Friday d’épouvante!

À l’heure où le temps est le bien le plus précieux qui soit, les achats en ligne séduisent de plus en plus de consommateurs helvétiques. Voici quelques conseils pour éviter que ce jour de frénésie ne vire à une succession de désagréments.

Ne vous focalisez pas sur le prix de l’article souhaité ni sur les rabais alléchants. Prenez le temps nécessaire pour comparer le coût total du produit (frais de livraison), mais également la disponibilité (délai de livraison annoncé), les services qui vous sont offerts (délai de rétractation, accessibilité du service client…), et surtout la nature et l’ampleur de la garantie. Procédez également à une lecture attentive du descriptif du produit et notamment pour vérifier qu’il est neuf. Les photos sont à cet égard souvent trompeuses.

Dans une deuxième étape, vérifiez l’identité du vendeur et celle du livreur. Un petit truc très simple permet de vous faire une idée de la qualité du service à moindres frais: adressez-lui un e-mail comportant une question. Le temps de réponse et la nature de celle-ci vous permettront de vous forger une première conviction.

Il est également fort utile de lire les conditions générales et spécifiquement les indications afférentes au nom de la société, à son adresse physique, à son numéro de téléphone. Ces indications sont obligatoires de par la loi. Effectuez une recherche sur Internet pour découvrir les témoignages de clients ayant déjà contracté avec ce vendeur.

Privilégiez les sites suisses, car en cas de difficultés les coûts d’une procédure seront généralement prohibitifs par rapport à la valeur de l’article qui ne correspondrait pas à vos attentes. Lorsque votre cocontractant se trouve en Suisse, il est au demeurant plus simple d’exiger (par courrier recommandé) quelque chose.

Vérifiez bien votre panier avant de procéder au paiement pour éviter que des frais de traitement ou de préparation ne soient ajoutés à votre insu. Parfois même des accessoires ou des extensions de garantie ont été joints sans votre accord.

Finalement, vérifiez que le paiement est sécurisé. Lorsque tel est le cas, un petit cadenas doit apparaître sur l’écran et l’adresse url doit débuter par https et non http.

Quid de la publication des données des membres d’une association?

Il arrive régulièrement que des associations soient tentées d’utiliser les données dont elles disposent, notamment pour agrémenter leur site internet ou réaliser un pécule qui leur permettra de faire vivre des projets.

À titre d’exemple, un club sportif souhaite publier les photos de ses jeunes membres, photos réalisées lors de compétitions ou d’entraînements. Le droit à l’image est un droit absolu qui permet à chacun de s’opposer à la publication de telles photographies, respectivement de la soumettre à des conditions. Un consentement préalable est ainsi nécessaire, d’autant plus nécessaire lorsque sont concernés des enfants mineurs. Il convient également de préciser que ce consentement peut être révoqué, ce qui signifie que la photographie devra alors être retirée définitivement. Or, lors d’une publication sur les réseaux sociaux, un tel retrait ne saurait être garanti. Il faut donc privilégier un site qui permette une telle opération (de préférence le site de l’association) et veiller à ce que celle-ci soit efficiente. Les moteurs de recherche préservent en effet les données durant une longue période, sans même parler des outils de conservation dont c’est précisément le but.

Lors d’une manifestation sportive, soit au moment de l’inscription, il faut veiller à informer de manière exhaustive les participants sur les buts du traitement (bon déroulement, marketing, etc.), la manière dont les résultats seront publiés et l’identité du responsable des données.

S’agissant de la communication des données des membres à des fins de marketing (par exemple aux sponsors), celle-ci est strictement encadrée. Concrètement, pour que la communication des données à ses sponsors soit licite, l’association devra disposer du consentement de ses membres. Si elle ne dispose pas d’un consentement valable, alors toute communication s’avérera illicite, même si elle est prévue dans les statuts. En toute hypothèse, les membres doivent avoir la possibilité de s’opposer à une telle utilisation de leurs données.

Le fair-play existe également en matière de protection des données et il se matérialise entre autres dans le respect du but de traitement des données indiqué.

Dossier personnel: qu’est-ce qu’un employeur a le droit de savoir?

Le Code des obligations ne permet à l’employeur de traiter des données concernant son salarié que dans la mesure où ces données portent sur les aptitudes du travailleur à remplir son emploi, ou qu’elles sont nécessaires à l’exécution du contrat de travail, avant ou après sa conclusion.

Dans ce contexte, l’une des questions récurrentes a trait à la «googlelisation», soit le fait d’opérer des recherches sur le Net relativement à un candidat ou à un collaborateur. La majeure partie des auteurs est d’avis que cela n’est pas possible sans le consentement préalable des personnes concernées. Prudence donc. Le candidat et/ou l’employé peuvent en effet requérir à tout moment des renseignements sur les données le concernant que vous détenez et faire rectifier ou effacer celles qui sont erronées.

Il arrive de plus en plus fréquemment que les candidats doivent présenter un extrait du casier judiciaire. Cette exigence s’avère problématique et souvent disproportionnée. Un tel extrait ne peut être requis que s’il est absolument indispensable à l’exercice d’une fonction. Lorsque les données du casier judiciaire ne le sont pas, exiger systématiquement un extrait est inadmissible, sous l’angle de la protection des données déjà. Cette exigence est également contraire au principe de resocialisation sur lequel se fonde le système pénal suisse. Finalement, un tel extrait est un instantané et ne garantit qu’une transparence partielle.

La plus grande prudence doit être observée relativement aux données médicales, car il s’agit de données sensibles. L’employeur n’a notamment pas le droit de demander des renseignements sur l’état de santé d’une personne, sauf si une affection pourrait compromettre l’exercice de l’activité (exemple: un peintre allergique à certaines substances contenues dans les produits utilisés). Si un employé doit remplir un questionnaire de santé, les informations qu’il donne ne peuvent être analysées que par un médecin de confiance, qui doit se limiter à communiquer à l’employeur un diagnostic relatif à son aptitude.

Poste de juriste

Afin de renforcer notre équipe en protection des données et droits des technologies avancées, nous recherchons de suite un(e) collaborateur ou collaboratrice intéressé(e) à rejoindre une équipe internationale oeuvrant principalement dans le domaine de l’implémentation du Règlement général de protection des données de l’Union européenne.

Votre profil :

  • Titulaire d’un brevet d’avocat suisse ou de l’UE ou expérience équivalente
  • MLaw ou licence d’une Université suisse ou de l’UE
  • CIPP/E ou expérience professionnelle en protection des données
  • Langue : français, anglais avec de bonnes connaissances en allemand

Nous offrons :

  • Une formation interne avec possibilité de certification
  • L’exercice au sein d’une équipe expérimentée oeuvrant dans toute l’Europe
  • Des possibilités d’avancement et de prise de responsabilité
  • Nous examinerons tout profil correspondant ne serait-ce que partiellement à la présente offre d’emploi

Lexing Switzerland respecte les standards les plus élevés en termes d’égalité des chances notamment.

→ Postulez !