Tous les articles

L’accès au dossier personnel sous l’angle de la protection des données

Ven, 28 avril 2023

Dossier personnel Protection des données
L’accès au dossier personnel sous l’angle de la protection des données

Dans la pratique, il existe souvent des incertitudes liées au dossier personnel du travailleur. Quelles sont les données relatives au travailleur qui peuvent être traitées ? Quelles données ont leur place dans un dossier personnel ? Pendant combien de temps ces données doivent-elles être conservées ? Quels sont les droits du travailleur ? Nous aborderons ces questions plus en détail ci-dessous et regarderons si et comment le droit à l’accès sera modifié avec l’entrée en vigueur le 1er septembre 2023 de la loi sur la protection des données révisée (nLPD).


Quelles données ont leur place dans un dossier personnel ?

L’employeur ne peut traiter des données concernant un travailleur que dans la mesure où ces données portent sur les aptitudes de celui-ci à remplir son emploi ou sont nécessaires à l’exécution du contrat de travail (art. 328b CO). Cette disposition renvoie en outre à la loi fédérale sur la protection des données (LPD).

Dans son Guide pour le traitement des données personnelles dans le secteur du travail, le Préposé fédéral à la protection des données et à la transparence (PFPDT) énumère les données les plus importantes qui sont généralement contenues dans un dossier personnel. En définitive, appartiennent au dossier personnel toutes les données enregistrées sur un travailleur, depuis sa candidature jusqu’à la fin des rapports de travail.


Le droit d’accès du travailleur selon le droit en vigueur (art. 8 LPD)

Le travailleur a droit en tout temps d’être renseigné sur le contenu de son dossier personnel. Le plus souvent, il ne fait toutefois usage de ce droit qu’après la fin des rapports de travail. Pour ce faire, le travailleur n’a pas l’obligation de rendre vraisemblable un intérêt digne de protection ou une atteinte à sa personnalité et, en principe, ne doit pas non plus justifier sa demande. En vertu de l’art. 8 LPD, le travailleur peut demander à son employeur que lui soient communiquées toutes les données le concernant qui sont contenues dans le dossier, y compris les informations disponibles sur l’origine des données.

Le droit d’accès comprend toutes les données enregistrées sur support physique ou numérique concernant un travailleur en particulier. Les données doivent être personnelles ou pouvoir être attribuées au travailleur et il importe peu qu’il s’agisse de faits ou de jugements de valeur. Le droit d’accès comprend ainsi l’intégralité des données d’un travailleur contenues dans son dossier personnel, à l’exclusion toutefois des notes personnelles de ses supérieurs hiérarchiques lorsqu’elles ne sont pas communiquées à des tiers, comme les aide-mémoires pour les entretiens d’évaluation ou les notes internes servant à la prise de décision.

Les renseignements sont, en règle générale, fournis gratuitement et par écrit, sous forme de copies. Les parties peuvent toutefois convenir d’une consultation sur place ou d’une communication orale. Les renseignements doivent être communiqués dans les 30 jours suivant la demande d’accès.

L’employeur peut, à titre exceptionnel, restreindre, refuser ou différer la communication des renseignements demandés lorsque :

  • une loi le prévoit (art. 9 al. 1 let. a LPD),
  • les intérêts prépondérants d’un tiers l’exigent (art. 9 al. 1 lit. b LPD) ou
  • les intérêts prépondérants de l’employeur l’exigent (art. 9 al. 4 LPD). 

Lorsqu’il restreint la communication des renseignements demandés, l’employeur doit en informer le travailleur et motiver sa décision. Une restriction doit toujours être proportionnée au cas d’espèce. Si les données contenues dans le dossier personnel concernent non seulement des données personnelles du travailleur mais également des informations sur des tiers (par ex. des renseignements obtenus lors d’une enquête interne) ou affectent les intérêts de l’employeur au maintien de la confidentialité, celui-ci pourra transmettre uniquement des renseignements limités, en caviardant les données correspondantes.

Enfin, l’employeur peut refuser de fournir des informations lorsque la demande de renseignements constitue un abus de droit. Tel est le cas lorsqu’une demande d’accès est effectuée pour des motifs étrangers aux objectifs de la LPD, qui sont notamment de permettre à la personne concernée de vérifier si le traitement de ses données est conforme aux principes applicables ou d’en vérifier l’exactitude. Le Tribunal fédéral a ainsi jugé qu’une personne commettait un abus de droit, et pouvait donc se voir refuser l’accès à ses données, si elle invoquait son droit d’accès uniquement afin de se procurer des preuves en vue d’un procès civil ou de sonder les chances du succès d’un tel procès (ATF 4A_277/2020 consid. 5.3).


Le droit d’accès du travailleur selon le nouveau droit (art. 25 nLPD)

Au cours de la révision de la loi sur la protection des données, les principes du traitement des données sont restés les mêmes mais le droit d’accès a été adapté. L’article 25 de la nLPD contient, au contraire de la norme actuelle, une liste étendue des informations minimales devant être fournies par le responsable du traitement, à savoir:

  • l’identité et les coordonnées du responsable du traitement;
  • les données personnelles traitées en tant que telles;
  • la finalité du traitement;
  • la durée de conservation des données personnelles ou, si cela n’est pas possible, les critères pour fixer cette dernière;
  • les informations disponibles sur l’origine des données personnelles, dans la mesure où ces données n’ont pas été collectées auprès de la personne concernée;
  • le cas échéant, l’existence d’une décision individuelle automatisée ainsi que la logique sur laquelle se base la décision;
  • le cas échéant, les destinataires ou catégories de destinataires auxquels les données personnelles sont communiquées.

Les données personnelles traitées constitueront le cœur de l’information. Afin de s’assurer que le droit d’accès ne couvre que les données personnelles et non des bases de données et des documents entiers (comme il est usuel dans la pratique judiciaire aujourd’hui), la nLPD précise cette notion en la restreignant aux données personnelles traitées « en tant que telles ». Cette précision devrait avant tout être pertinente dans le cas de données contenant une référence tout au plus superficielle à la personne du travailleur, comme par exemple un contrat signé par le travailleur au nom de l’employeur ou un courriel envoyé dans le cadre de la correspondance commerciale habituelle. Une signature seule ne fait pas de l’ensemble du document une donnée personnelle. En outre, dans de tels cas, le document intégral n’est pas nécessaire pour faire valoir des droits en matière de protection des données. À l’instar du droit actuellement en vigueur, les informations devront être fournies dans un délai de 30 jours (art. 25 al. 7 nLPD et art. 18 nOLPD).

La liste de l’art. 25 al. 2 nLPD indique clairement que l’employeur devra à l’avenir fournir plus d’informations que ce qui est actuellement prévu. Il s’agit notamment d’informations sur la période de conservation, sur les décisions individuelles automatisées ainsi que sur la communication de données personnelles. Dans la pratique toutefois, des informations supplémentaires sur la période de conservation seront difficiles à communiquer, car cela présuppose que l’employeur connaisse par avance les droits et obligations pouvant découler des données en question, et donc les délais de prescription qui leur sont applicables. 


Pour rappel : un aperçu des principaux délais de conservation

  • Données du candidat: En cas de non-engagement, le dossier de candidature doit être retourné et toutes les copies détruites. Ce n’est qu’avec le consentement du candidat que ces documents peuvent être conservés pendant une période prédéterminée.
  • Certificat de travail: Selon la jurisprudence du Tribunal fédéral, le droit à la délivrance et à la rectification d’un certificat de travail expire 10 ans après la fin de la relation de travail. Cela signifie que les données nécessaires à cet effet doivent être conservées pendant ce même laps de temps. En règle générale, seules les deux dernières évaluations du travailleur sont pertinentes pour l’établissement d’un certificat de travail.
  • Données salariales: Toute personne obligée de tenir des livres de comptes doit conserver la correspondance commerciale et les documents comptables pendant 10 ans.
  • Données relatives aux créances pécuniaires du travailleur: Après la fin de la relation de travail, les documents qui pourraient être utilisés dans un litige concernant des revendications salariales (par ex. l’enregistrement du temps de travail) doivent être conservés pendant 5 ans.
  • Retenue de l’impôt à la source: Les données fiscales du travailleur permettant de déterminer le niveau du salaire doivent être conservées par l’employeur pendant 15 ans après la fin de la période d’imposition.

De manière générale, le PFPDT recommande que le dossier personnel soit régulièrement trié et que les documents qui ne sont plus nécessaires soient retirés. Un tel contrôle devrait être effectué tous les deux ans.

La nLPD a par ailleurs codifié la jurisprudence en matière d’abus de droit. Ainsi, il est désormais expressément stipulé que la communication des renseignements pourra être refusée, restreinte ou différée si la demande d’accès est manifestement infondée, notamment parce qu’elle poursuit un but contraire à la protection des données ou est manifestement procédurière (art. 26 al.1 lit. c nLPD).

La nLPD prévoit enfin qu’une amende pouvant aller jusqu’à CHF 250'000.- (contre CHF 10'000.- actuellement) pourra être infligée en cas de violation du droit d’accès. Une telle infraction ne sera punie que sur plainte et en cas de transmission intentionnelle d’informations inexactes ou incomplètes. En principe, l’amende sera infligée à la personne physique responsable. Toutefois, lorsque l’amende entrant en ligne de compte ne dépasse pas CHF 50'000.- et que l’enquête rendrait nécessaires à l’égard des personnes punissables des mesures d’instruction hors de proportion avec la peine encourue, l’autorité pourra renoncer à poursuivre ces personnes et condamner l’entreprise à leur place (art. 64 al. 2 nLPD).


Conclusion

Les principes applicables au traitement des données du travailleur dans la relation de travail ne changent globalement pas avec la nLPD. Le droit d’accès a été, d’une part, étendu à la communication de certaines informations et, d’autre part, restreint par rapport aux données personnelles traitées « en tant que telles » ainsi que par l’interdiction expresse de poursuivre un but contraire à la protection des données. Les incertitudes concernant la période de conservation des données du travailleur pourraient quant à elles s’accentuer du fait de l’extension des informations minimales devant être communiquée au travailleur. Enfin, le droit de la protection des données deviendra du droit pénal accessoire.

Réservé aux abonnés Conseil et Conseil 360° Abonnez-vous

Choisir une catégorie:

Chargement…