Ce n'est pas seulement depuis l'entrée en vigueur l'année dernière du règlement général de l'UE sur la protection des données (RGPD) qu’il semble y avoir eu une reprise de conscience du problème de la protection des données. Dans ce contexte, il sera intéressant de voir comment la loi révisée sur la protection des données sera finalement structurée. Dans le courant de cette année, Swissmem pourra éventuellement fournir des informations sur les effets de la loi révisée sur le traitement des données personnelles au sein de l'entreprise. Nous voulons nous pencher ci-dessous sur quelques thèmes choisis relatifs à la protection des données en général et au RGPD en particulier. Les données que je collecte au sein de la division du personnel doivent-elles être enregistrées auprès du préposé à la protection des données et à la transparence (PFPDT) ? En principe, toutes les personnes privées sont tenues d'enregistrer leurs fichiers de données conformément à l'article 11a, al. 3 de la LPD, pour autant qu'elles traitent régulièrement des données à caractère personnel ou des profils de personnalité particulièrement dignes de protection (article 3, lettres c et d de la LPD) ou transmettent régulièrement des données personnelles à des tiers. Dans une division du personnel, cela fait partie du quotidien. Chaque jour, des dossiers du personnel sont traités et contiennent des bases de données étendues, telles que CV, évaluations des performances et du comportement, certificats de travail, certificats médicaux, formulaires avec les coordonnées personnelles des employés et bien plus encore. En même temps, les données personnelles sont régulièrement transmises à des tiers (p. ex. AVS, AI, LPP, autorités fiscales, etc.). L'employeur est-il donc tenu de déclarer ce fichier de données en ce qui concerne les dossiers de son personnel ? Non, parce que ces données personnelles sont traitées sur la base d'une obligation légale. En vertu du Code des obligations, du droit de la sécurité sociale et du droit fiscal, l'employeur est tenu de traiter les données relatives à l'employé et de les transférer régulièrement ou, selon les besoins, aux autorités. L'employeur est donc dispensé de l'obligation d'enregistrement conformément à l'article 11a, al. 5 de la LPD. Envoi simultané de courriels à diverses personnes extérieures à l'entreprise selon le RGPD Dans ces cas, il s'agit généralement d'envois de courriels à un plus grand groupe de personnes (Newsletter, courriels d'information, etc.). Si aucun logiciel de Newsletter spécial n'est utilisé et que la Newsletter est envoyée manuellement, assurez-vous que les adresses e-mail des destinataires soient toujours inscrites dans le champ « BCC ». Alternativement, il est également possible de s'assurer par d'autres moyens que les destinataires ne soient pas visibles pour les autres destinataires. En cas d'inscription dans le champ « À » ou « CC », les données à caractère personnel seraient transmises à tous les autres destinataires, ce qui n'est pas autorisé sans le consentement des personnes concernées, indépendamment du fait que certains destinataires se connaissent personnellement ou non. Suivi des véhicules de fonction par GPS Aujourd'hui, pratiquement tous les véhicules sont équipés d'un émetteur GPS, y compris, bien sûr, les véhicules de fonction. De tels systèmes constituent une partie importante de la planification et/ou de l'organisation du travail dans un environnement de travail de plus en plus numérisé. Il est à noter que l'art. 26 de l’OLT3 stipule que l'utilisation de systèmes de contrôle destinés exclusivement à surveiller le comportement des employés sur le lieu de travail est totalement interdite. Toutefois, dans la mesure où ces systèmes sont utilisés pour des raisons de sécurité, de planification ou d'organisation du travail, ou pour contrôler les heures de travail des employés et éliminer les abus, l'utilisation de ces systèmes est permise en vertu d'une décision récente du Tribunal fédéral, sauf s'il s'agit d'une surveillance totale en temps réel. Dans tous les cas, il est conseillé d'informer les employés à quoi sert le suivi GPS, quelles données les concernant sont collectées, qui y a accès et où elles sont archivées. Cela peut être défini dans un règlement sur l'utilisation du véhicule de fonction, dans une directive interne ou dans une fiche d'information séparée qui est portée à l'attention des employés. Si les employés sont également autorisés à utiliser la voiture de fonction pour des déplacements privés, il doit être possible de débrancher le système GPS une fois le travail terminé. L'employeur n'a pas le droit de surveiller les heures libres et le suivi GPS n'est pas permis dans ce cas. Est-il permis de publier des photos des employés sur l'Intranet ou l'Internet ? Une photo d'un employé, par exemple, permet de tirer des conclusions sur sa religion, son origine ou un handicap physique et ne peut donc être publiée sur Internet ou sur l'intranet qu'avec le consentement de la personne concernée. Bien sûr, cela s'applique également aux photos d'événements (tels que les événements de Noël, les sorties d'entreprise, etc.). Pour qu'une photo puisse être protégée par le droit de la personnalité, il est nécessaire, qu'en plus de la personne représentée, des tiers puissent également reconnaître cette personne sur la photo. Si une personne n'apparaît qu'en arrière-plan et que la photo n'est pas centrée sur elle, la protection de la personnalité n'est pas affectée. C'est le cas, par exemple, lorsqu'un employé aux commandes d’une machine est présenté sur le site Internet d’une entreprise et que son nom n'est pas mentionné. Une telle photo n’est pas considérée comme protégée par des droits personnels. Dans certaines circonstances, il n'est pas toujours possible d'obtenir le consentement explicite de l'employé à l'avance. S'il est prévu de prendre des photos lors d'un événement d'entreprise et de les placer sur l'Intranet, il est conseillé d'en informer préalablement les collaborateurs. Si des photos des employés sont ensuite placées sur le site Internet, il y a lieu de supposer que ceux qui ne réagissent pas mais qui désirent retirer la photo ont tacitement donné leur consentement. Accès à la messagerie en cas de licenciement ou de maladie Il est souvent difficile de savoir comment procéder de manière juridiquement correcte lors de la résiliation d'un rapport de travail en ce qui concerne le blocage des outils informatiques tels que les comptes e-mail personnalisés ou l'accès au serveur. Cela concerne à la fois les employeurs et les employés. Il en va de même lorsqu'un employé tombe malade ou est victime d'un accident et n’est plus en mesure de travailler pendant une période prolongée et qu’il n'a plus la possibilité d'assurer un transfert propre de ses données numériques et de ses accès personnels. Swissmem recommande aux employeurs de fixer par écrit les principes les plus importants dans le règlement d'entreprise interne. Il est important de donner des informations claires et facilement compréhensibles sur l'utilisation des outils informatiques et d’informer activement le personnel, par exemple dans le cadre de cours de formation internes. Ainsi toutes les personnes concernées sont au clair sur le sujet. En résumé, nous recommandons la procédure suivante en ce qui concerne l'administration des courriels et l'accès au serveur en cas de démissions ou d'absences pour cause de maladie ou d'accident :
- Si le collaborateur envisage de quitter l'entreprise, il doit transférer les affaires en cours et les e-mails internes à la personne responsable.
- Le collaborateur confirme que tous les documents de travail ont été remis à la personne responsable de l'entreprise.
- Le collaborateur quittant l'entreprise a la possibilité de mémoriser ses e-mails privés et autres documents sur des supports de données privés tels que clés USB, etc. et de les supprimer des serveurs de l'employeur. Au plus tard le dernier jour ouvrable, le compte e-mail du collaborateur quittant l’entreprise ainsi que tous les autres comptes informatiques et sa messagerie sont sécurisés et bloqués. Après un certain temps, ses comptes devraient être supprimés.
- En cas de licenciement immédiat, de libération ou de décès, le compte e-mail de l'employé concerné est immédiatement bloqué et les données sont sauvegardées. Par la suite, les courriels privés et les autres données privées (en cas de décès avec la participation des proches du défunt) devraient être triés selon le principe du double contrôle.
- Les expéditeurs qui envoient des e-mails à l'adresse e-mail bloquée après que le collaborateur ait quitté l'entreprise sont automatiquement informés que l'adresse du destinataire a été supprimée. Dans la réponse automatique, une adresse e-mail de remplacement appropriée de l'entreprise sera indiquée. Il n'y a pas de transfert automatique vers une autre adresse e-mail de l'entreprise.
- Afin d'éviter les problèmes liés aux absences pour cause de maladie ou d'accident, il convient de définir et d'établir les remplacements en temps utile. Si cela n'a pas été fait et que le retour du collaborateur ne peut être attendu, il est recommandé de procéder selon le principe du double contrôle.
Pour de plus amples informations, veuillez vous adresser Ă Claudio Haufgartner, chef de secteur, Politique patronale (044 384 42 26 ou <link c.haufgartner@swissmem.ch>c.haufgartner@swissmem.ch</link>).