Data Mining – Mon patron a-t-il le droit de recueillir mes données ?
À l’heure du Big Data et de l’intelligence artificielle de plus en plus d’employeurs utilisent des algorithmes pour collecter des données sur leurs employés. Ce processus est connu sous le nom de “data mining” et est utilisé pour faire des prévisions sur l’évolution des ressources humaines et pour optimiser les décisions.
L’analyse des données et les algorithmes sont omniprésents aujourd’hui : c’est également vrai dans la vie professionnelle. Les technologies modernes sont utilisées pour recueillir des données sur les employés, par exemple en analysant les courriers électroniques, afin de suivre les performances des employés et de prendre des décisions ciblées en matière de personnel. Ce processus est connu sous le nom de “data mining”. Mais est-ce même permis du point de vue du droit du travail et de la protection des données ?
Traitement des données par l’employeur
La loi sur la protection des données s’applique aux données personnelles, c’est-à-dire aux informations relatives à une personne identifiée ou identifiable (art. 3 LPD). On entend par traitement tout traitement de données à caractère personnel, quels que soient les moyens et procédures utilisés, notamment l’obtention, le stockage, l’utilisation, la modification, la divulgation, l’archivage ou la destruction de données. Une personne est identifiable si son identité peut être déduite des informations collectées ou peut être déterminée avec un effort raisonnable. Comme les données collectées dans les entreprises sont en grande partie des données personnelles, elles tombent généralement sous le coup de la loi sur la protection des données.
Mesures de protection en droit du travail
Selon l’art. 328b CO, l’employeur ne peut traiter les données relatives à l’employé que si elles concernent son aptitude professionnelle ou sont nécessaires à l’exécution du contrat de travail. Cette condition est remplie, par exemple, lorsqu’il s’agit de garantir des procédures opérationnelles légitimes, telles que la garantie de la qualité, la préservation des preuves dans les transactions commerciales ou le contrôle du respect des instructions par l’employé. L’art. 26, al. 1 de l’ordonnance sur le code du travail (OLT 3) interdit également l’utilisation de systèmes de surveillance et de contrôle destinés à surveiller le comportement des employés sur le lieu de travail. Les contrôles de performance et de sécurité sont exclus de cette disposition. Toutefois, si des systèmes de contrôle sont utilisés à cette fin, ils doivent être conçus de manière à ne pas porter atteinte à la liberté de circulation ou à la santé des salariés.
Mesures de protection dans le cadre de la législation sur la protection des données
Selon l’art. 4 LPD, les données personnelles ne peuvent être traitées que de manière licite. Pour garantir qu’aucun droit de la personne ne soit violé, la surveillance nécessite donc une justification. Il convient de noter que le consentement du salarié seul ne suffit pas, car dans la relation de travail, le salarié n’a guère d’autre choix que de donner son consentement. En outre, le suivi et l’évaluation des données doivent être proportionnés et effectués de bonne foi. Cela signifie que l’employeur doit choisir la forme de contrôle la plus légère. Les analyses de données volumineuses, en particulier, répondent rarement à ce critère, étant donné que de grandes quantités d’informations inutiles sont également collectées. En outre, la collecte de données à caractère personnel doit être appropriée et l’exigence de transparence doit être respectée. Le caractère approprié peut être assuré par l’adoption d’un règlement de contrôle dans lequel sont définies les raisons qui permettent la collecte des données et les règles de traitement des données. Afin de garantir la transparence, l’employeur doit informer les employés de l’étendue et du but de la surveillance.
Données anonymes
Étant donné que la loi sur la protection des données ne couvre que les données personnelles, c’est-à-dire les données qui permettent l’identification, les dispositions de protection peuvent théoriquement être contournées en rendant les données anonymes. Le traitement est autorisé dans ce cas si les données ne peuvent pas être désanonymisées, c’est-à-dire si les données ne permettent pas de tirer des conclusions sur l’identité des personnes. Mais attention : la prudence est de mise ici ! Bien que le contournement de la loi sur la protection des données soit possible en théorie, il est difficile à mettre en œuvre dans la pratique. Les technologies modernes telles que les algorithmes du Big Data et les machines d’apprentissage automatique sont souvent capables de tirer des conclusions sur les personnes qui sont soumises à l’analyse, même sur la base de données apparemment anonymes.
