Protection des données des employés : obligations RH sous la nLPD

La relation de travail génère une quantité considérable de données personnelles : dossiers du personnel, fiches de salaire, données médicales, résultats d'évaluation, logs de connexion. Depuis l'entrée en vigueur de la nouvelle loi fédérale sur la protection des données (nLPD) le 1er septembre 2023, les employeurs suisses sont soumis à des exigences renforcées en matière de traitement de ces informations. Pourtant, beaucoup de PME ignorent encore l'étendue de leurs obligations.

Cet article passe en revue les points essentiels que tout service RH doit maîtriser.

Base légale : l'art. 328b CO et la nLPD

Le droit du travail suisse encadre la protection des données des employés à travers deux textes complémentaires. L'art. 328b du Code des obligations (CO) pose le principe fondamental : l'employeur ne peut traiter des données concernant le travailleur que dans la mesure où ces données portent sur l'aptitude du travailleur à remplir son emploi ou sont nécessaires à l'exécution du contrat de travail.

La nLPD vient renforcer ce cadre en introduisant :

• Le principe de minimisation des données : ne collecter que ce qui est strictement nécessaire
• La notion de données sensibles (état de santé, convictions religieuses, opinions politiques, données biométriques) soumises à des règles plus strictes
• L'obligation de tenir un registre des activités de traitement pour les entreprises au-delà d'un certain seuil
• Des droits renforcés pour les personnes concernées (accès, rectification, portabilité, opposition)

Ces deux textes se cumulent. Un traitement doit respecter simultanément les exigences du CO et de la nLPD.

Données RH courantes : ce que vous pouvez — et ne pouvez pas — collecter

Dossier du personnel

Le dossier du personnel contient classiquement : CV, diplômes, contrat de travail, avenants, évaluations de performance, avertissements, correspondances significatives. Ces données sont légitimes dans la mesure où elles sont directement liées à la relation de travail.

En revanche, vous ne pouvez pas y conserver :

• Des informations sur les activités politiques ou syndicales
• Des données sur la vie privée sans lien avec le poste
• Des notes informelles non portées à la connaissance du collaborateur

Tout employé a le droit de consulter son dossier à tout moment (art. 25 et suiv. nLPD).

Données salariales et financières

Les données de rémunération, primes, retenues sociales et données bancaires sont nécessaires à l'exécution du contrat. Leur traitement est légitimé par cette nécessité contractuelle. L'accès doit cependant être strictement limité aux personnes habilitées (responsable RH, direction, comptabilité).

Données de santé

Les données relatives à l'état de santé constituent une catégorie sensible au sens de la nLPD. Elles ne peuvent être traitées qu'à des conditions particulières :

• Consentement explicite de l'employé (mais voir ci-dessous les limites du consentement)
• Nécessité pour l'exécution du contrat (p. ex. adaptation du poste pour raison médicale)
• Obligation légale (p. ex. déclaration à l'assurance accidents)

L'employeur peut demander un certificat médical pour justifier une absence, mais il ne peut en principe pas exiger de connaître le diagnostic. Il doit limiter son traitement aux informations strictement nécessaires à la gestion de l'absence.

Données de performance

Les évaluations annuelles, objectifs, feedbacks et plans de développement sont légitimes. Ils doivent cependant être portés à la connaissance du collaborateur et conservés dans le dossier officiel, non dans des notes personnelles informelles qui échaperaient au droit d'accès.

Recrutement : ce que vous pouvez demander

La phase de recrutement est particulièrement sensible. Le principe de l'art. 328b CO s'applique dès le premier contact : vous ne pouvez collecter que les informations nécessaires pour évaluer l'aptitude du candidat au poste.

Ce qui est autorisé

• CV, lettre de motivation, diplômes, références professionnelles
• Résultats de tests d'aptitude directement liés au poste
• Vérification du casier judiciaire pour des postes sensibles (gestion de fonds, travail avec des mineurs), sous réserve d'une base légale ou d'un consentement explicite

Ce qui est problématique

• Demander l'état civil, la situation familiale ou le nombre d'enfants
• Poser des questions sur les convictions religieuses ou politiques
• Interroger sur l'état de santé (sauf exceptions médicales liées au poste)
• Demander si la candidate est enceinte ou envisage une grossesse

Réseaux sociaux et background checks

Consulter le profil LinkedIn public d'un candidat est généralement admis, car il relève de l'espace professionnel que le candidat lui-même a rendu public. En revanche, fouiller les réseaux sociaux privés (Facebook, Instagram) ou utiliser des agrégateurs de données pour construire un profil détaillé dépasse largement le cadre de l'art. 328b CO.

Les données des candidats non retenus doivent être détruites dans un délai raisonnable après la fin du processus, sauf si le candidat a consenti à leur conservation pour de futures offres.

Surveillance en cours d'emploi

Surveillance des emails et d'internet

L'employeur peut surveiller l'usage professionnel des systèmes informatiques, mais sous conditions strictes. La surveillance doit :

1. Être annoncée aux employés (règlement informatique, charte d'utilisation)
2. Poursuivre un but légitime (sécurité informatique, protection des données confidentielles)
3. Être proportionnée : une surveillance systématique de tous les emails est disproportionnée

La consultation du contenu des emails personnels des employés (même depuis une adresse professionnelle) est en principe interdite, sauf cas graves et procédure encadrée.

GPS et géolocalisation

Le suivi GPS des véhicules de service peut être licite pour des raisons opérationnelles ou de sécurité. Il doit cependant :

• Être documenté dans le règlement interne
• Ne pas être utilisé pour surveiller chaque déplacement privé
• Respecter le principe de proportionnalité

Vidéosurveillance

La vidéosurveillance sur le lieu de travail est soumise à des conditions très strictes. Elle n'est admise que pour des motifs de sécurité ou de protection contre les vols, pas pour contrôler les performances des employés. Les zones de repos, sanitaires et vestiaires sont totalement exclues. Les employés doivent être informés et la durée de conservation des images limitée (en général 72 heures sauf incident).

Contrôle du temps de travail

L'enregistrement du temps de travail est une obligation légale pour beaucoup d'employeurs (OLT 1). Les données générées doivent être conservées cinq ans. Leur utilisation doit se limiter à leur finalité première et ne pas servir à un profilage comportemental.

Données de santé : règles spécifiques

Les données médicales méritent une attention particulière. La nLPD les classe dans les données sensibles, ce qui implique :

• Un traitement uniquement si une base légale explicite existe
• Des mesures de sécurité renforcées (accès restreint, chiffrement)
• Une séparation physique ou logique du reste du dossier du personnel

En pratique :

• Le médecin du travail traite les données médicales sous secret professionnel et ne transmet à l'employeur que les informations nécessaires (aptitude ou inaptitude au poste, restrictions)
• L'employeur ne doit pas conserver les diagnostics dans le dossier RH
• Les absences maladie peuvent être enregistrées (durée, fréquence) à des fins de gestion mais pas les causes médicales

Télétravail et protection des données

Le télétravail généralisé crée de nouveaux défis. Les données RH traitées à domicile doivent bénéficier des mêmes protections qu'au bureau :

• Connexions sécurisées (VPN) pour accéder aux systèmes RH
• Interdiction d'imprimer des documents contenant des données personnelles sur des imprimantes personnelles non sécurisées
• Politique de bureau propre adaptée à l'environnement domestique
• Chiffrement des appareils professionnels

Si des outils de monitoring du télétravail sont utilisés (capture d'écran, mesure de l'activité clavier), ceux-ci sont soumis aux mêmes règles de surveillance que décrites ci-dessus : annonce préalable, proportionnalité, finalité légitime.

La valeur limitée du consentement en droit du travail

En droit de la protection des données, le consentement est une base légale valable. Mais en contexte de travail, il perd une grande partie de sa valeur.

Le déséquilibre de pouvoir entre employeur et employé rend le consentement structurellement problématique : un employé peut raisonnablement craindre des conséquences s'il refuse de consentir. Les autorités de protection des données considèrent donc que le consentement ne peut pas valablement légitimer des traitements qui ne sont pas indépendants de la relation de travail.

En pratique : ne fondez pas vos traitements RH sur le consentement si vous disposez d'une autre base légale (nécessité contractuelle, obligation légale, intérêt légitime). Réservez le consentement aux situations où il est réellement libre, éclairé et révocable sans conséquence (p. ex. participation volontaire à un programme de bien-être).

Politique de confidentialité RH interne

La nLPD exige que les personnes concernées soient informées de la manière dont leurs données sont traitées. Pour les employés, cela se traduit par une politique de confidentialité RH (ou notice de traitement des données) qui doit couvrir :

• Les catégories de données traitées
• Les finalités de chaque traitement
• Les bases légales
• Les destinataires des données (prestataires de paie, assurances, autorités)
• Les durées de conservation
• Les droits des employés et comment les exercer
• Les transferts éventuels à l'étranger

Ce document doit être remis à tout nouvel employé au moment de l'onboarding et mis à disposition de tous les employés existants.

Conservation des données après la fin du contrat

La fin du contrat de travail ne signifie pas la suppression immédiate de toutes les données. Des délais de conservation légaux s'imposent :

Au-delà de ces délais, les données doivent être effacées ou anonymisées.

Transferts internationaux de données RH

De nombreuses entreprises suisses utilisent des outils RH dont les serveurs sont localisés hors de Suisse (ATS, SIRH, outils de paie cloud). La nLPD encadre ces transferts :

• Transferts vers des pays reconnus adéquats par le PFPDT : autorisés sans formalité supplémentaire (UE/EEE, quelques autres pays)
• Transferts vers d'autres pays : nécessitent des garanties appropriées (clauses contractuelles types, règles d'entreprise contraignantes)

Depuis le 15 septembre 2024, la Suisse reconnaît un niveau de protection adéquat pour les destinataires américains certifiés dans le cadre du Swiss-U.S. Data Privacy Framework (DPF). Si votre SIRH est hébergé chez un fournisseur américain, vérifiez s'il est certifié Swiss-U.S. DPF. Dans le cas contraire, des garanties appropriées (clauses contractuelles types ou protections contractuelles équivalentes) restent nécessaires.

Checklist pratique pour les RH

En résumé

La protection des données RH n'est pas un sujet réservé aux grandes entreprises. Chaque PME qui emploie du personnel traite des données sensibles et doit le faire dans le respect de la nLPD et de l'art. 328b CO. Les enjeux sont réels : sanctions pénales et mesures de surveillance (p. ex. injonctions du PFPDT), risques réputationnels, conflits du travail.

La clé est de partir d'un principe simple : ne collecter que ce qui est nécessaire, protéger ce qui est collecté, supprimer ce qui n'est plus utile.

Vous gérez un site web et souhaitez vérifier votre conformité au-delà des seules obligations RH ? Analysez gratuitement vos cookies et traceurs avec PrivaScan — résultats en quelques secondes, sans installation.