swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

L’effacement des données des employés collectées lors de la pandémie de Covid-19 : une exigence excessive ou une nécessité ?

Nina Aguiar et Kevin Guillet, le 4 juin 2022
Sur un fond de règle­men­ta­tion toujours plus stricte en matière de protec­tion des données, quelles sont les obli­ga­tions de l’employeur s’agissant des données person­nelles de travailleurs collec­tées pendant la pandé­mie de Covid-19 ? L’employeur ne saurait trai­ter de telles données qu’en appli­ca­tion des prin­cipes de néces­sité et mini­mi­sa­tion de trai­te­ment, y compris lorsqu’il s’agit de la conser­va­tion de telles données.

Introduction

Durant la pandé­mie de Covid-19, les employeurs ont dû adop­ter des mesures sani­taires spéci­fiques, lesquelles ont impli­qué la collecte et le trai­te­ment d’une quan­tité impor­tante de données person­nelles et sensibles rela­tives à leurs employés.

Les pres­crip­tions sani­taires fédé­rales et canto­nales abro­gées, qu’adviendra-t-il de ces données ? Les employeurs peuvent-ils les conser­ver, respec­ti­ve­ment en trai­ter d’autres en vue d’une nouvelle vague de Covid ? Il convient de faire un point – et surtout un tri – sur les données collec­tées au cours des deux dernières années par les employeurs.

Données collec­tées pendant la pandémie

Dans le contexte du Covid-19, les données collec­tées par les employeurs l’ont été de manière présu­mée licite puisqu’elles ont été néces­saires à l’évaluation de l’aptitude du travailleur à exécu­ter son emploi (art. 328b CO). Cette apti­tude a dû s’évaluer à la lumière des mesures sani­taires adop­tées par le Conseil fédé­ral et la collecte de telles données a permis à l’employeur d’attester le respect des pres­crip­tions de droit public alors en vigueur.

Les données collec­tées (données Covid-19) ont porté tant sur la vie profes­sion­nelle du travailleur – notam­ment listes de présence, travail à distance, réduc­tion de l’horaire de travail, dépis­tages ciblés et répé­tés – que sur sa vie person­nelle – notam­ment le statut vacci­nal, l’état de santé, le certi­fi­cat Covid (en prin­cipe light), les lieux de présence durant les vacances en fonc­tion des régions à risque, etc.

De manière géné­rale, les prin­cipes de propor­tion­na­lité, de bonne foi et de fina­lité (art. 4 al. 2 et 3 LPD) s’appliquent aux données trai­tées par l’employeur, y compris lorsque ce trai­te­ment s’inscrit dans le champ de l’article 328b CO (TF 4A_​518/​2020 du 25 août 2021 consid. 4.2.4). Tel a égale­ment été le cas pendant la période couverte par les Ordonnances Covid-19.

En vertu de ces prin­cipes, et ceci même en période de pandé­mie, le droit de collec­ter et de trai­ter n’implique pas néces­sai­re­ment le droit de conser­ver pour une durée illimitée.

Fin des mesures Covid-19

Depuis le 1er avril 2022, les dernières mesures de l’Ordonnance Covid-19 situa­tion parti­cu­lière ont été levées.

La levée des mesures a entraîné avec elle la dispa­ri­tion de la fina­lité pour­sui­vie par l’employeur pendant la période de Covid-19, ce qui a pour corol­laire, sauf situa­tion parti­cu­lière, l’absence de néces­sité à la conser­va­tion de ces données.

Si un doute pouvait subsis­ter quant à la néces­sité de conser­ver certaines données en période de pandé­mie, la levée des mesures a fait dispa­raître les motifs justi­fiant leur conser­va­tion. Non seule­ment aucune obli­ga­tion de droit public liée à la pandé­mie ne justi­fie que l’employeur conserve les données collec­tées, mais surtout l’aptitude du travailleur à exécu­ter son emploi ne dépend plus de quelque mesure sani­taire que ce soit. Bien que l’employeur reste tenu de proté­ger la person­na­lité de ses employés (art. 328 CO et 6 LTr), la conser­va­tion des données Covid-19 n’est plus justi­fiée, ceci même si ces données ont été collec­tées avec le consen­te­ment de la personne concernée.

À l’instar de ce qui prévaut lorsque l’employeur souhaite préve­nir une épidé­mie de grippe saison­nière, ce dernier ne peut pas, aujourd’hui, conser­ver de telles données au motif de la préven­tion du Covid-19.

Dans l’hypothèse où un travailleur était parti­cu­liè­re­ment vulné­rable, il lui incom­be­rait de solli­ci­ter des mesures spéci­fiques de protec­tion auprès de son employeur, sur la base de l’art 328 CO. Si une résur­gence du Covid-19 est à craindre, les mesures adéquates et la collecte de données conforme au prin­cipe de fina­lité et de propor­tion­na­lité devront être opérées en temps utile.

Lorsque les données portent sur la vie profes­sion­nelle, le respect d’autres obli­ga­tions de droit public de l’employeur peut justi­fier la conser­va­tion de celles-ci, dès lors qu’elles seront néces­saires à l’exécution du contrat de travail (art. 328b CO). Tel est par exemple le cas de la conser­va­tion de la liste des présences et de télé­tra­vail lorsque l’employeur doit attes­ter une réduc­tion de travail auprès d’institutions d’assurances sociales (tels que les RHT ou les APG) ou de l’établissement du certi­fi­cat de salaire (art. 127 al. 1 let. a LIFD). De telles hypo­thèses n’exemptent cepen­dant pas l’employeur d’observer le prin­cipe de mini­mi­sa­tion du trai­te­ment de données, à savoir de ne conser­ver que les données stric­te­ment néces­saires, de même que son devoir d’information rela­tif à l’étendue et à la fina­lité de la conser­va­tion (art. 4 LPD, 5 OLT3).

Sur le prin­cipe, l’employeur devra ainsi suppri­mer l’intégralité des données Covid-19 rela­tives à la vie person­nelle et intime de ses travailleurs et évaluer de cas en cas la néces­sité de conser­ver les données concer­nant leur vie profes­sion­nelle. À défaut et pour autant que l’atteinte à la person­na­lité revête une certaine gravité, tant de manière objec­tive que subjec­tive, le travailleur victime de l’atteinte pour­rait requé­rir la cessa­tion du trai­te­ment des données et, le cas échéant, prétendre au verse­ment d’une indem­nité fondée sur les articles 328, 328b et 49 al. 1 CO (TF 4A_​518/​2020 du 25 août 2021, consid. 4.2.5).

Situations parti­cu­lières

Certaines excep­tions doivent être recon­nues au prin­cipe de suppres­sion des données rela­tives à la vie person­nelle et qui ont été collec­tées dans le cadre de la pandé­mie Covid-19. Tel est le cas s’agissant de travailleurs actifs dans des domaines parti­cu­liers, tel que celui de la santé, ou de travailleurs dont l’accomplissement des tâches implique de voya­ger dans des pays soumis à des restric­tions sanitaires.

Dans le domaine de la santé, l’obligation de l’employeur de proté­ger la santé des travailleurs (art. 6 LTr, OLT1, OLT2 et OPA) et son devoir de dili­gence dans la prise en charge des patients par des auxi­liaires impliquent une dili­gence stricte de la part de l’employeur. Dans un contexte d’exposition accrue, l’employeur qui collecte et conserve des données de travailleurs, rela­tives à leur statut vacci­nal, à leur état de santé ou encore à une conta­mi­na­tion par un proche, honore son obli­ga­tion de protec­tion vis-à-vis de ces employés (art. 6 LTr, OLT1, OLT2 et OPA) et s’assure de la bonne exécu­tion du mandat de prise en charge de ses patients. La collecte et la conser­va­tion de données Covid-19, même sensibles, paraît ici licite au sens de l’article  328b CO, pour autant que les prin­cipes pres­crits à l’article 4 LPD demeurent respec­tés et que les données concer­nées soient réduites au strict mini­mum, au besoin caviar­dées, qu’une poli­tique interne claire en matière de conser­va­tion et d’accès à ces données soit adop­tée, et que le devoir d’information, voire de consul­ta­tion soit observé (art. 5 et 6 OLT 3).

S’agissant des travailleurs exer­çant une acti­vité impli­quant de voya­ger dans des pays où des restric­tions sani­taires et des exigences rela­tives, par exemple, au statut vacci­nal, sont encore en vigueur, l’employeur pourra légi­ti­me­ment collec­ter de telles données afin d’évaluer l’aptitude d’un certain travailleur à exécu­ter son emploi (art. 328b CO). Le trai­te­ment de ces données devra néan­moins toujours s’opérer confor­mé­ment au prin­cipe de propor­tion­na­lité en ce sens que l’information peut être solli­ci­tée, mais elle ne pourra être conser­vée qu’à la condi­tion qu’elle soit conti­nuel­le­ment néces­saire à la bonne exécu­tion du contrat. Dans l’hypothèse où le travailleur ne serait amené à se dépla­cer que dans des lieux où le statut vacci­nal n’a aucun effet sur le séjour, l’employeur devra spon­ta­né­ment procé­der à l’effacement de ces données.

Conclusion

Compte tenu de la quan­tité de données, surtout sensibles, collec­tées par l’employeur durant la période de pandé­mie, un tri s’impose inévi­ta­ble­ment. Au stade de ce tri, il convient de distin­guer les données rela­tives à la vie person­nelle des données rela­tives à la vie profes­sion­nelle. Si les secondes peuvent encore être conser­vées à des fins parti­cu­lières et moyen­nant le respect des prin­cipes de propor­tion­na­lité et de fina­lité ainsi que l’accomplissement du devoir d’information, les premières doivent en prin­cipe être inté­gra­le­ment détruites.

Font excep­tion à ce prin­cipe les données de travailleurs actifs dans un domaine spéci­fique – prin­ci­pa­le­ment le domaine de la santé – ou qui exercent leur travail de façon parti­cu­lière. Dans de telles hypo­thèses, l’adoption d’une règle­men­ta­tion interne circons­tan­ciée ne consti­tuera plus unique­ment une good prac­tice mais bien plutôt une exigence sous l’angle de la néces­sité du trai­te­ment et de la sécu­rité des données.



Proposition de citation : Nina Aguiar / Kevin Guillet, L’effacement des données des employés collectées lors de la pandémie de Covid-19 : une exigence excessive ou une nécessité ?, 4 juin 2022 in www.swissprivacy.law/149


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Documentation externe et interne aux entreprises en matière de protection de données
  • Peut-on encore, en Suisse, recourir à des services cloud offerts par Microsoft ?
  • Que signifie pour une personne concernée de rendre ses données personnelles « manifestement publiques » ?
  • Compteurs d’eau intelligents et principes de l’évitement et de la minimisation des données
Derniers articles
  • Consécration du principe de la gratuité de la transparence
  • Un licenciement fondé sur les données GPS conforme à la CEDH ?
  • Sujets traités lors d’une séance d’un exécutif communal vaudois : publics ou confidentiels ?
  • Cyberattaques : vers une nouvelle obligation d’annonce
Abonnement à notre newsletter
swissprivacy.law