Dossier personnel: qu’est-ce qu’un employeur a le droit de savoir?

Le Code des obligations ne permet à l’employeur de traiter des données concernant son salarié que dans la mesure où ces données portent sur les aptitudes du travailleur à remplir son emploi, ou qu’elles sont nécessaires à l’exécution du contrat de travail, avant ou après sa conclusion.

Dans ce contexte, l’une des questions récurrentes a trait à la «googlelisation», soit le fait d’opérer des recherches sur le Net relativement à un candidat ou à un collaborateur. La majeure partie des auteurs est d’avis que cela n’est pas possible sans le consentement préalable des personnes concernées. Prudence donc. Le candidat et/ou l’employé peuvent en effet requérir à tout moment des renseignements sur les données le concernant que vous détenez et faire rectifier ou effacer celles qui sont erronées.

Il arrive de plus en plus fréquemment que les candidats doivent présenter un extrait du casier judiciaire. Cette exigence s’avère problématique et souvent disproportionnée. Un tel extrait ne peut être requis que s’il est absolument indispensable à l’exercice d’une fonction. Lorsque les données du casier judiciaire ne le sont pas, exiger systématiquement un extrait est inadmissible, sous l’angle de la protection des données déjà. Cette exigence est également contraire au principe de resocialisation sur lequel se fonde le système pénal suisse. Finalement, un tel extrait est un instantané et ne garantit qu’une transparence partielle.

La plus grande prudence doit être observée relativement aux données médicales, car il s’agit de données sensibles. L’employeur n’a notamment pas le droit de demander des renseignements sur l’état de santé d’une personne, sauf si une affection pourrait compromettre l’exercice de l’activité (exemple: un peintre allergique à certaines substances contenues dans les produits utilisés). Si un employé doit remplir un questionnaire de santé, les informations qu’il donne ne peuvent être analysées que par un médecin de confiance, qui doit se limiter à communiquer à l’employeur un diagnostic relatif à son aptitude.

Poste de juriste

Afin de renforcer notre équipe en protection des données et droits des technologies avancées, nous recherchons de suite un(e) collaborateur ou collaboratrice intéressé(e) à rejoindre une équipe internationale oeuvrant principalement dans le domaine de l’implémentation du Règlement général de protection des données de l’Union européenne.

Votre profil :

  • Titulaire d’un brevet d’avocat suisse ou de l’UE ou expérience équivalente
  • MLaw ou licence d’une Université suisse ou de l’UE
  • CIPP/E ou expérience professionnelle en protection des données
  • Langue : français, anglais avec de bonnes connaissances en allemand

Nous offrons :

  • Une formation interne avec possibilité de certification
  • L’exercice au sein d’une équipe expérimentée oeuvrant dans toute l’Europe
  • Des possibilités d’avancement et de prise de responsabilité
  • Nous examinerons tout profil correspondant ne serait-ce que partiellement à la présente offre d’emploi

Lexing Switzerland respecte les standards les plus élevés en termes d’égalité des chances notamment.

→ Postulez !

Phishing (filoutage) : comment détecter un message malveillant ?

Des personnes malintentionnées tentent régulièrement de vous subtiliser vos données personnelles en utilisant des techniques d’hameçonnage (phishing), ce qui consiste à vous faire croire que vous êtes en relation avec un tiers de confiance — banque, administration, etc. -, afin de vous soutirer des renseignements personnels. Le phishing évolue constamment, de sorte qu’il convient d’être extrêmement attentif lors de la réception d’un courriel. Voici quelques conseils qui devraient vous permettre de déterminer si un message est légitime ou non.

Est-ce que le courriel vous est réellement destiné ? D’ordinaire, les messages malveillants sont envoyés à un grand nombre de cibles, ils ne sont pas ou peu personnalisés. Si le message évoque, de surcroît, un dossier ou une facture qui vous sont inconnus, il s’agit certainement d’un message malveillant. Soyez particulièrement vigilants relativement aux courriels qui proviennent d’une adresse électronique qui vous est inconnue, respectivement qui ne fait pas partie de votre liste de contacts. Le niveau de langage du courriel est également un élément à prendre en considération. La multiplication des fautes d’orthographe, des fautes de frappe, ou des expressions inappropriées est un bon indicateur, même si les aigrefins améliorent constamment leur contenu. L’étrangeté d’une requête doit également susciter votre méfiance : pourquoi ma banque me contacterait-elle par courriel pour changer mon mot de passer ? Vous pouvez également vérifier les liens figurant dans le courriel. Avant de cliquer, glissez votre curseur ce qui révèlera le lien complet et vous permettra de vérifier sa cohérence et le fait qu’il point vers un site légitime.

En cas de doute, n’ouvrez pas les pièces jointes, supprimez le message puis videz la corbeille.

Dernier petit truc : en cas de doute, copiez-collez le contenu du courriel dans Google et voyez si d’autres personnes font état de difficultés ou d’une arnaque éventuelle.

Une banque d’images me réclame des sommes importantes, pour une photographie que je n’aurai pas payée et qui figure sur mon site web, que faire ?

A l’aune de l’expérience, il arrive très souvent que les récipiendaires de la missive par laquelle le versement de plusieurs centaines de francs est réclamé aient confié le mandat à une entité ou une personne tierce de réaliser un site internet. Dans ce cas et même si le site a été réalisé gracieusement, il convient d’informer immédiatement l’intéressé et de lui demander d’assumer la responsabilité qui est la sienne pour avoir utilisé une image sans en payer les droits. En clair donc, de prendre à sa charge la somme réclamée !

Car c’est toute la difficulté de cette situation insolite où votre défense s’avèrerait inefficiente : les frais d’avocats dépasseraient en effet allègrement le montant sollicité et le simple fait de faire appel à un homme de loi annihilera toute tentative d’obtenir une diminution notable de la somme, votre adverse partie interprétant alors ce recours à un conseil comme la démonstration de vos moyens de payer…

Quant à l’argument de défense selon lequel vous n’êtes pas responsable pour autrui, il ne sera pas considéré comme recevable les banques d’images ayant sollicité différents avis de droit également dans notre pays et s’opposant ainsi à toute tentative de soustraction au paiement. De surcroît, si nous ne vous exécutez pas, c’est devant un Tribunal zurichois que vous devrez comparaître et vous défendre.

Vous l’aurez compris, en toute hypothèse, le plus simple est de négocier en direct. Plaidez votre cause auprès du représentant de la banque d’images en invoquant l’erreur d’un tiers, votre situation personnelle, respectivement tout autre argument susceptible de convaincre.

En définitive, il existe tellement de banques d’images gratuites (SuperFamous- www.superfamous.com, Flickr – www.flickr.com, etc.) que vous devriez trouver votre bonheur, sans les encombres et les désagréments liés à une violation des droits d’auteur.

Des entreprises valaisannes feront-elles faillite pour avoir violé des normes en matière de protection des données ? s

Vous trouvez la question saugrenue ? Le nouveau Règlement européen en matière de protection des données (RGPD) pourrait toutefois vous inciter à revoir votre copie. Ce texte est susceptible trouver application non seulement pour les entreprises helvétiques (donc valaisannes), mais également pour toutes les collectivités publiques. Il concerne les organisations privées ou publiques étrangères qui offrent des produits et des services aux citoyens de l’UE, ou qui analysent leur comportement en récoltant leurs données personnelles. La Suisse est donc largement touchée et 90% des entités impactées ne semblent pas prêtes à faire face à ces nouvelles exigences beaucoup plus sévères que celles que comporte le droit suisse. Ce texte introduit de nouvelles obligations, dont le droit à la portabilité des données, soit celui de pouvoir les obtenir dans un format couramment utilisé. Imaginez un client d’une banque qui se présente au guichet et remet une clé USB en exigeant ses données. Vous pourriez lui rétorquer que ses données sont accessibles online, mais si cela n’est pas précisé dans un contrat une violation pourrait être constatée. Et là c’est le porte-monnaie qui va trinquer. Le RGPD prévoit en effet, en fonction des articles en infraction, des amendes administratives d’un montant oscillant entre 10 et 20 millions d’euros ou, dans le cas d’une entreprise, de 2 à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Si vous détenez des avoirs dans l’UE, ils pourront être saisis. Et si vous n’y possédez aucun actif ? Les experts sont divisés, mais il existe un risque que l’autorité étrangère ne tente d’encaisser l’amende en Suisse. Imaginez donc les conséquences pour des PME, des Communes, des Hôpitaux. Mieux vaut donc rapidement vous enquérir du fait de savoir si vous y êtes soumis, car le RGPD entre en vigueur le 25 mai 2018 !

Mon ado est victime d’une cabale numérique, que faire ?

La première chose à entreprendre consiste à sauvegarder les preuves. Faites des captures d’écran, de sites internet, sauvegardez les fils de discussion, enregistrez les noms d’utilisateur, montrez les différentes publications à des tiers. Au besoin, faites appel un notaire qui dressera un constat authentique. Il est très important de préserver le matériel probatoire, car dès que les auteurs seront nantis de vos intentions d’agir pour défendre votre ado, leur premier réflexe consistera à effacer toutes les traces de leurs méfaits numériques.

Informez les personnes qui pourraient intervenir favorablement et opportunément, par exemple si la cabale numérique émane d’enfants qui fréquentent le même établissement scolaire, les enseignants, les médiateurs et en toute hypothèse les centres d’aide aux victimes d’infraction. Ces derniers sont susceptibles d’apporter un soutien psychologique et un premier regard juridique. Une cabale numérique peut en effet s’avérer constitutive de nombreuses infractions pénales, en sus de constituer une atteinte aux droits de la personnalité (article 28 et suivants du Code civil), soit notamment

  • Art. 143bis du Code pénal Accès indu à un système informatique
  • Art. 144bis chiffre 1 Détérioration de données
  • Art. 156 Extorsion et chantage
  • Art. 173 Diffamation
  • Art. 174 Calomnie
  • Art. 177 Injure
  • Art. 179quater Violation du domaine secret ou du domaine privé au moyen d’un appareil de prises de vues
  • Art. 179novies Soustraction de données personnelles
  • Art. 180 Menaces
  • Art. 181 Contrainte

Le recours à la justice pénale ne devrait toutefois être entrepris qu’en dernière extrémité, lorsque les outils de résolution de tels litiges n’ont pas porté leurs fruits (la médiation notamment). Si vous décidez d’agir sur le plan pénal, il faut le faire dans le délai de 3 mois, car nombre d’infractions sont poursuivies sur plainte.

Le meilleur outil de prévention demeure le dialogue et, à cet égard, n’hésitez pas à interroger votre enfant sur cette thématique lorsque vous constatez un changement de comportement.

Pour de plus amples informations, vous pouvez consulter la revue consacrée au cyberharcèlement publiée par la police et la prévention suisse de la criminalité : https://www.skppsc.ch/fr/wp-content/uploads/sites/5/2016/12/droitcyberharcelement.pdf

Publication d’une photo dénudée, que faire ?

Ma fille de 15 ans a publié une photo d’elle dénudée et elle le regrette, que puis-je faire pour l’aider ?

Liminairement sollicitez de votre fille qu’elle vous remette la photographique publiée, au format numérique. Vous en aurez peut-être besoin dans la deuxième phase de notre plan d’action. Ensuite, la première démarche à accomplir consiste à intervenir auprès de la plate-forme de publication pour obtenir le retrait de la photographie, respectivement son effacement définitif. Dès lors que votre enfant est mineur, vous devrez peut-être vous légitimer en communiquant une copie d’une pièce d’identité. Le hic réside dans le fait que de très nombreux sites érotiques ou pornographiques référencent chaque jour tous les contenus disponibles sur le web. Il se pourrait ainsi que cette photographie, nonobstant son effacement du support originel, se retrouve dupliquée, ce qui va compliquer votre tâche. Activez tout d’abord une alerte Google personnalisée (https://www.google.ch/alerts?hl=fr) en insérant le nom et le prénom de votre fille. Ainsi, vous serez informée dès qu’une photo comportant son nom sera publiée sur Internet et vous pourrez agir en vue de sa résorption. Il conviendra ensuite d’effectuer régulièrement des recherches par comparaison avec la photographie originale. Pour ce faire, vous pouvez utiliser Google images (https://images.google.fr/#cns=0) ou encore TinEye (https://tineye.com). Répétez l’opération tous les mois, puis tous les six mois.

L’impact psychologique d’un événement aussi traumatisant est difficile à appréhender pour des néophytes qui sont de surcroît également atteints. Ne le sous-estimez pas. Le recours à un professionnel peut donc s’imposer, pour atténuer les conséquences de cet acte aux conséquences intimes dévastatrices. En définitive, le meilleur conseil que je puisse vous donner est de lire cet article avec vos enfants, pour qu’ils prennent conscience de la difficulté de gommer leurs excès de juvénilité.

Mon Voisin a une webcam qui pointe sur ma chambre à coucher, que puis-je faire ?

L’exploitation d’une webcam implique le traitement permanent de données personnelles et il est donc soumis à la loi fédérale sur la protection des données (LPD), que les images soient conservées ou non. Il s’agit d’une forme de surveillance qui peut, en fonction de la situation, porter sensiblement atteinte à la sphère privée des personnes filmées, lorsqu’elles sont identifiées ou identifiables.

Dans un tel contexte, il convient d’accorder une attention particulière aux règles de la protection de la personnalité lors de la planification, de l’installation et de l’exploitation. Selon le Préposé fédéral à la protection des données, une surveillance vidéo effectuée à des fins privées n’est possible que dans l’espace dont on est propriétaire ou possesseur. Ainsi, le terrain du voisin ne pourra être filmé qu’à la condition expresse et préalable que celui-ci ait donné son accord. À défaut de consentement préalable éclairé de votre part, votre voisin s’expose donc à différentes procédures. Vous pourriez si cette webcam permettait de s’immiscer virtuellement dans votre chambre à coucher (en raison de ses spécificités techniques par exemple), alors qu’un quidam déambulant dans la rue ne le pourrait pas, déposer une plainte pénale dans le délai impératif de 3 mois pour violation de l’article 179quater du Code pénal qui punit une telle observation d’une peine privative de liberté de trois ans au plus ou d’une peine pécuniaire. À cela s’ajoute la possibilité de saisir un Juge civil pour violation des articles 28 et suivants du Code civil réprimant les atteintes à la personnalité et d’obtenir notamment la cessation de la surveillance opérée. Il serait également possible de demander accès en vertu l’article 8 LPD aux images réalisées vous concernant. Vous l’aurez compris, l’arsenal législatif est conséquent. Mieux vaut toutefois privilégier le dialogue dans un premier temps et tenter la conciliation. Souvent, cela suffit à apaiser les craintes et à réfréner les velléités sécuritaires !

RGPD : un avis clair du préposé genevois !

Application du Règlement général de protection des données de l’Union européenne (RGPD) aux institutions publiques : le Préposé genevois à la protection des données et à la transparence émet un avis clair !

Dans le Bulletin d’information n° 47 de septembre 2017, Monsieur Stéphane Werly, Préposé genevois à la protection des données et à la transparence s’exprime en ces termes, en réponse à la question de savoir si les institutions publiques genevoises peuvent être soumises à l’application du RGPD (https://www.ge.ch/ppdt/doc/bulletin-info/Bulletin-information-47-septembre-2017.pdf) :

« Oui. Le nouveau RGPD a prévu un principe d’extra-territorialité qui vise à faire appliquer les règles de l’UE lorsque des données à caractère personnel sont traitées hors de l’Europe. Ceci signifie que tout citoyen considérant que la protection de ses données personnelles n’a pas été respectée dans le contexte d’une offre de biens ou de services ou un suivi par une entité publique genevoise pourra s’adresser à son autorité nationale de protection des données, même quand leurs données sont traitées par une entreprise établie en dehors de l’UE. Toute institution publique genevoise doit être informée que le nouveau règlement de protection des données qui entrera en vigueur le 1er juin 2018, sera aussi applicable aux traitements de données de personnes qui se trouvent sur le territoire de l’Union européenne quand bien même l’entité ou le sous-traitant de celle-ci se trouve hors de l’Union européenne – en Suisse par exemple. Si vous êtes une entité publique genevoise, demandez-vous si vos activités vous amènent à offrir des prestations – offre de biens ou de services (rémunérées ou non) ou le suivi d’un comportement de personnes qui se trouvent sur le territoire de l’Union européenne. ».

Avec cet avis autorisé, qui conforte ceux émis auparavant par la doctrine, le mythe d’une non-application du RGPD aux institutions publiques s’effondre définitivement. Les collectivités publiques doivent être conscientes qu’elles peuvent être sanctionnées par des amendes considérables, dont le montant dépendra notamment des mesures qu’elles auront prises pour se mettre en conformité.

Les capteurs fitness dans le collimateur du Préposé fédéral !

Le Préposé fédéral à la protection des données et à la transparence (PFPDT) a annoncé le 12 octobre 2017 procéder à un examen du programme de bonus « Helsana+ », visant à encourager les assurés à mener une vie plus saine. Pour ce faire, l’assureur a développé une application qui récompense financièrement les efforts consentis par ses clients.

Il s’agira, dans un premier temps, d’établir les faits soit de déterminer si des données émanant de l’assurance de base sont traitées. En fonction du résultat, une recommandation pourrait être émise. En effet, Helsana (contrairement à d’autres caisses) s’adresse aussi à ses assurés de base, alors qu’elle devrait observer une séparation stricte entre l’assurance de base et la complémentaire. Le PFPDT examine si cette séparation a été respectée.

Le PFPDT a saisi cette occasion pour émettre une fiche d’information relative aux capteurs de fitness (https://www.edoeb.admin.ch/datenschutz/00768/00774/00777/01428/index.html?lang=fr)

Cette fiche comporte également de précieux conseils que voici :

  • Avant d’acheter et d’utiliser un capteur fitness, demandez-vous quelles sont les fonctionnalités que vous en attendez et quelles sont les données personnelles réellement nécessaires pour que l’appareil ou l’application puissent exécuter les fonctions désirées.
  • Renseignez-vous sur la nature des données personnelles qui seront enregistrées et sur la forme sous laquelle elles seront traitées. Lisez à cet égard les CGV et les dispositions relatives à la protection des données.
  • Si vous ne voulez pas que vos données servent à des fins publicitaires, vous avez la possibilité de faire valoir (même après la conclusion du contrat) votre droit d’opposition.
  • Une fois que vous vous êtes décidés d’utiliser un capteur fitness, veillez à en configurer les réglages relatifs à la sphère privée de manière aussi favorable que possible à la protection des données : déconnectez à l’avance les fonctions inutiles et les traitements de données excessifs, de sorte que les seules données personnelles saisies soient celles qui sont nécessaires à l’exécution des fonctions désirées.
  • Informez-vous du lieu où vos données sont stockées. Est-il possible de les stocker localement sur votre ordinateur personnel ? Le fournisseur de l’appareil les transmet-il au contraire, peut-être automatiquement, à un nuage informatique (cloud) et les stocke-t-il à l’étranger (dans un pays où le niveau de protection des données est insuffisant, par ex.) ?

Le PFPDT recommande donc à chacun de bien réfléchir à l’utilisation de ses propres données, notamment de ses données fitness et de santé. Il faut toujours comparer les avantages (financiers) à court terme aux inconvénients possibles à long terme (risques potentiels). Le risque d’accès par un tiers ou de manipulation des données ne peut, en outre, jamais être totalement écarté.

Pour de plus amples informations à ce sujet :

Sébastien Fanti, Les applications de santé sont un marché de dupe, in : Le Temps, 18 octobre 2017 : https://www.letemps.ch/suisse/2017/10/17/sebastien-fanti-applications-sportives-un-marche-dupes