La protection de la sphère privée et de l'utilisation abusive des données à caractère personnel sont réglementées par diverses lois.
Art. 13 Cst Protection de la sphère privée:
1 Toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance et des relations qu’elle établit par la poste et les télécommunications.
2 Toute personne a le droit d’être protégée contre l’emploi abusif des données qui la concernent.
Art. 6 LTr Obligations des employeurs et des travailleurs
L’employeur est tenu de prendre toutes les mesures nécessaires pour protéger l’intégrité personnelle des travailleurs.
Les travailleurs dans l’entreprise ont le droit d’être informés et consultés sur les affaires concernant la protection de la santé (cf. aussi art. 48).
Art. 59LTr Responsabilité pénale de l’employeur
1 Est punissable l’employeur qui enfreint les prescriptions sur
a. la protection de la santé et l’approbation des plans, qu’il agisse intentionnellement ou par négli¬gence;
b. ...
Art. 60 LTr Responsabilité pénale du travailleur
1 Est punissable le travailleur qui enfreint intentionnellement les prescriptions sur la protection de la santé.
2 L’infraction par négligence est également punissable si elle met gravement en danger d’autres personnes.
Art. 26 Surveillance des travailleurs
1 Il est interdit d’utiliser des systèmes de surveillance ou de contrôle destinés à surveiller le comportement des travailleurs à leur poste de travail.
2 Lorsque des systèmes de surveillance ou de contrôle sont nécessaires pour d’autres raisons, ils doivent notamment être conçus et disposés de façon à ne pas porter atteinte à la santé et à la liberté de mouvement des travailleurs.
Article 26
Surveillance des travailleurs (PDF)
Art. 328 Protection de la personnalité du travailleur
1 L’employeur protège et respecte, dans les rapports de travail, la personnalité du travailleur; il manifeste les égards voulus pour sa santé et veille au maintien de la moralité. En particulier, il veille à ce que les travailleurs ne soient pas harcelés sexuellement et qu’ils ne soient pas, le cas échéant, désavantagés en raison de tels actes.
2 Il prend, pour protéger la vie, la santé et l’intégrité personnelle du travailleur, les mesures commandées par l’expérience, applicables en l’état de la technique, et adaptées aux conditions de l’exploitation ou du ménage, dans la mesure où les rapports de travail et la nature du travail permettent équitablement de l’exiger de lui.
Art. 328b Lors du traitement de données personnelles
L’employeur ne peut traiter des données concernant le travailleur que dans la mesure où ces données portent sur les aptitudes du travailleur à remplir son emploi ou sont nécessaires à l’exécution du contrat de travail. En outre, les dispositions de la loi fédérale du 19 juin 1992 sur la protection des données sont applicables
Art. 4 Principes
1 Tout traitement de données doit être licite.
2 Leur traitement doit être effectué conformément aux principes de la bonne foi et de la proportionnalité.
3 Les données personnelles ne doivent être traitées que dans le but qui est indiqué lors de leur collecte, qui est prévu par une loi ou qui ressort des circonstances.
4 La collecte de données personnelles, et en particulier les finalités du traitement, doivent être reconnaissables pour la personne concernée.
5 Lorsque son consentement est requis pour justifier le traitement de données personnelles la concernant, la personne concernée ne consent valablement que si elle exprime sa volonté librement et après avoir été dûment informée. Lorsqu’il s’agit de données sensibles et de profils de la personnalité, son consentement doit être au surplus explicite.
Art. 5 Exactitude des données
1 Celui qui traite des données personnelles doit s’assurer qu’elles sont correctes. Il prend toute mesure appropriée permettant d’effacer ou de rectifier les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées.
2 Toute personne concernée peut requérir la rectification des données inexactes.
Art. 7 Sécurité des données
1 Les données personnelles doivent être protégées contre tout traitement non autorisé par des mesures organisationnelles et techniques appropriées.
2 Le Conseil fédéral édicte des dispositions plus détaillées sur les exigences minimales en matière de sécurité des données.
Art. 8 Droit d’accès
1 Toute personne peut demander au maître d’un fichier si des données la concernant sont traitées.
2 Le maître du fichier doit lui communiquer:
a. toutes les données la concernant qui sont contenues dans le fichier, y compris les informations disponibles sur l’origine des données;
b. le but et éventuellement la base juridique du traitement, les catégories de données personnelles traitées, de participants au fichier et de destinataires des données.
3 Le maître du fichier peut communiquer à la personne concernée des données sur sa santé par l’intermédiaire d’un médecin qu’elle a désigné.
4 Le maître du fichier qui fait traiter des données par un tiers demeure tenu de fournir les renseignements demandés. Cette obligation incombe toutefois au tiers, s’il ne révèle pas l’identité du maître du fichier ou si ce dernier n’a pas de domicile en Suisse.
5 Les renseignements sont, en règle générale, fournis gratuitement et par écrit, sous forme d’imprimé ou de photocopie. Le Conseil fédéral règle les exceptions.
6 Nul ne peut renoncer par avance au droit d’accès.
Art. 12 Restriction du droit d’accès
1 Quiconque traite des données personnelles ne doit pas porter une atteinte illicite à la personnalité des personnes concernées.
2 Personne n’est en droit notamment de:
a. traiter des données personnelles en violation des principes définis aux art. 4, 5, al. 1, et 7, al. 1;
b. traiter des données contre la volonté expresse de la personne concernée sans motifs justificatifs;
c. communiquer à des tiers des données sensibles ou des profils de la personnalité sans motifs justificatifs.
3 En règle générale, il n’y a pas atteinte à la personnalité lorsque la personne concernée a rendu les données accessibles à tout un chacun et ne s’est pas opposée formellement au traitement.
Art. 13 Motifs justificatifs
1 Une atteinte à la personnalité est illicite à moins d’être justifiée par le consentement de la victime, par un intérêt prépondérant privé ou public, ou par la loi.
2 Les intérêts prépondérants de la personne qui traite des données personnelles entrent notamment en considération si:
a. le traitement est en relation directe avec la conclusion ou l’exécution d’un contrat et les données traitées concernent le cocontractant;
b. le traitement s’inscrit dans un rapport de concurrence économique actuel ou futur avec une autre personne, à condition toutefois qu’aucune donnée personnelle traitée ne soit communiquée à des tiers;
c. les données personnelles sont traitées dans le but d’évaluer le crédit d’une autre personne, à condition toutefois qu’elles ne soient ni sensibles ni constitutives de profils de la personnalité et qu’elles ne soient communiquées à des tiers que si ceux-ci en ont besoin pour conclure ou exécuter un contrat avec la personne concernée;
d. les données personnelles sont traitées de manière professionnelle exclusivement en vue d’une publication dans la partie rédactionnelle d’un média à caractère périodique;
e. les données personnelles sont traitées à des fins ne se rapportant pas à des personnes, notamment dans le cadre de la recherche, de la planification ou de la statistique, à condition toutefois que les résultats soient publiés sous une forme ne permettant pas d’identifier les personnes concernées;
f. les données recueillies concernent une personnalité publique, dans la mesure où ces données se réfèrent à son activité publique.
Art. 14 Devoir d’informer lors de la collecte de données sensibles et de profils de la personnalité
1 Le maître du fichier a l’obligation d’informer la personne concernée de toute collecte de données sensibles ou de profils de la personnalité la concernant, que la collecte soit effectuée directement auprès d’elle ou auprès d’un tiers.
2 La personne concernée doit au moins recevoir les informations suivantes:
a. l’identité du maître du fichier;
b. les finalités du traitement pour lequel les données sont collectées;
c. les catégories de destinataires des données si la communication des données est envisagée.
3 Si les données ne sont pas collectées auprès de la personne concernée, celle-ci doit être informée au plus tard lors de leur enregistrement ou, en l’absence d’un enregistrement, lors de la première communication à un tiers.
4 Le maître du fichier est délié de son devoir d’informer si la personne concernée a déjà été informée; il n’est pas non plus tenu d’informer cette dernière dans les cas prévus à l’al. 3:
a. si l’enregistrement ou la communication sont expressément prévus par la loi;
b. si le devoir d’informer est impossible à respecter ou nécessite des efforts disproportionnés.
5 Il peut refuser, restreindre ou différer l’information pour les mêmes motifs que ceux prévus à l’art. 9, al. 1 et 4.
Art. 15 Prétentions
1 Les actions concernant la protection de la personnalité sont régies par les art. 28, 28a et 28l du code civil. Le demandeur peut requérir en particulier que le traitement des données, notamment la communication à des tiers, soit interdit ou que les données soient rectifiées ou détruites.
2 Si ni l’exactitude, ni l’inexactitude d’une donnée personnelle ne peut être établie, le demandeur peut requérir que l’on ajoute à la donnée la mention de son caractère litigieux.
3 Le demandeur peut demander que la rectification ou la destruction des données, l’interdiction de la communication, à des tiers notamment, la mention du caractère litigieux ou la décision soient communiquées à des tiers ou publiées.
4 Le tribunal statue sur les actions en exécution du droit d’accès selon la procédure simplifiée prévue par le code de procédure civile du 19 décembre 2008.
Art. 9 Mesures particulières
1 Le maître du fichier prend, en particulier lors de traitements automatisés de données personnelles, des mesures techniques et organisationnelles propres à réaliser notamment les objectifs suivants:
a. contrôle des installations à l’entrée: les personnes non autorisées n’ont pas accès aux locaux et aux installations utilisées pour le traitement de données personnelles;
b. contrôle des supports de données personnelles: les personnes non autorisées ne peuvent pas lire, copier, modifier ou éloigner des supports de données;
c. contrôle du transport: les personnes non autorisées ne peuvent pas lire, copier, modifier ou effacer des données personnelles lors de leur communication ou lors du transport de supports de données;
d. contrôle de communication: les destinataires auxquels des données personnelles sont communiquées à l’aide d’installations de transmission peuvent être identifiés;
e. contrôle de mémoire: les personnes non autorisées ne peuvent ni introduire de données personnelles dans la mémoire ni prendre connaissance des données mémorisées, les modifier ou les effacer;
f. contrôle d’utilisation: les personnes non autorisées ne peuvent pas utiliser les systèmes de traitement automatisé de données personnelles au moyen d’installations de transmission;
g. contrôle d’accès: les personnes autorisées ont accès uniquement aux données personnelles dont elles ont besoin pour accomplir leurs tâches;
h. contrôle de l’introduction: l’identité des personnes introduisant des données personnelles dans le système, ainsi que les données introduites et le moment de leur introduction peuvent être vérifiés a posteriori.
2 Les fichiers doivent être organisés de manière à permettre à la personne concernée d’exercer ses droits d’accès et de rectification.
Liste de contrôle Surveillance des travailleurs au poste de travail
Afin de protéger la santé de ses travailleurs, l’employeur est tenu de prendre toutes les mesures dont l’expérience a démontré la nécessité, que l’état de la technique permet d’appliquer et qui sont adaptées aux conditions d’exploitation de l’entreprise. Il doit aussi prendre toutes les mesures nécessaires pour protéger l’intégrité personnelle des travailleurs. PDF à télécharger
Surveillance technique au poste de travail
Cette brochure fournit aux employeurs, aux cadres dirigeants, aux responsables de la sécurité et du personnel, ainsi qu’à d’autres personnes intéressées, un aperçu des principes, un rappel des conditions préalables et des restrictions concernant la mise en place de systèmes techniques de surveillance et de contrôle dans des zones comportant des postes de travail. Le personnel technique est rendu attentif aux points importants à considérer, sous l’angle juridique, lors de l’installation et de l’exploitation de tels systèmes dans l’entreprise. PDF à télécharger