Du droit à l’intégrité numérique des travailleurs

Le 8 juillet 2023 est entré en vigueur un nouvel article 21A dans la Constitution genevoise. Intitulé « Droit à l’intégrité numérique », il dispose que « toute personne a le droit à la sauvegarde de son intégrité numérique », étant précisé que « l’intégrité numérique inclut notamment le droit d’être protégé contre le traitement abusif des données liées à sa vie numérique, le droit à la sécurité dans l’espace numérique, le droit à une vie hors ligne ainsi que le droit à l’oubli » [1].

Indépendamment de la question de savoir si, s’agissant d’un droit fondamental, il pourrait ou non s’appliquer aux rapports entre particuliers, d’autant que la matière du travail est régie par le droit fédéral plutôt que cantonal, il est intéressant de se demander si le droit à l’intégrité numérique doit désormais connaître une résonnance en droit du travail.

La norme fondamentale à laquelle se rattache le droit à l’intégrité numérique est la protection de la personnalité des travailleurs, que l’employeur doit garantir. Ancrée à l’article 328 du Code des obligations, cette protection n’est pas délimitée une fois pour toutes, mais s’accroît à mesure que certaines valeurs acquièrent une force suffisante au sein de la société. Ainsi, des aspects de la vie humaine qui paraissaient jadis ne pas mériter d’égards particuliers se voient à présent inclus dans le spectre protecteur de la loi. On songe, par exemple, aux méthodes toxiques de management du personnel, au harcèlement moral et sexuel, aux risques psychosociaux, aux discriminations : autant de thématiques à l’égard desquelles le niveau de protection des travailleurs s’est élevé au cours des dernières années.

S’agit-il désormais de considérer que le droit à l’intégrité numérique a acquis un statut suffisant pour que la protection de la personnalité des travailleurs l’englobe et que les employeurs soient obligés de la garantir, sauf à engager leur responsabilité contractuelle ?

Pour répondre à cette question, explicitons d’abord ce que recouvre la notion d’intégrité numérique, lorsqu’on l’applique à des salariés, en prenant comme source la Constitution genevoise susmentionnée. Reprenons les quatre droits spécifiques qui y sont mentionnés :

– le droit d’être protégé contre le traitement abusif des données liées à sa vie numérique. Cette dimension est assurément déjà comprise dans le champ actuel de la protection de la personnalité des salariés. L’article 328b du Code des obligations vise précisément à prendre en charge cette question, et la loi fédérale sur la protection des données (LPD) s’applique aux relations de travail. La protection contre le traitement abusif des données liées à la vie numérique des travailleurs est donc déjà en place. On insistera en particulier sur le principe dit de minimisation des données, qui restreint au strict nécessaire le nombre de données que l’employeur a le droit de traiter, ainsi que sur le régime de protection renforcée des données sensibles que contient la LPD [2].

– le droit à la sécurité dans l’espace numérique. Ce droit particulier peut se déduire de la LPD, du moins en ce qui concerne la sécurité des données. Si la sécurité vise aussi le droit de ne pas être exposé à des contenus à risque ou à des piratages informatiques, on peut concevoir qu’il appartienne au devoir de protection de la personnalité des travailleurs. Cela impliquerait notamment que l’employeur mette en place un système de protection contre les attaques informatiques, voire contrôle que les salariés ne puissent accéder à des sites dangereux. Si les standards courants en matière de sécurité peuvent être imposés à l’employeur, il paraîtrait toutefois excessif d’exiger de lui qu’il garantisse un environnement numérique absolument sûr, pour autant que cela fût même possible. On peut donc exiger de l’employeur qu’il ait assuré la sécurité du système informatique au niveau commun, en fonction de la taille de son entreprise et eu égard à l’usage concret des ressources numériques par ses salariés.

– le droit à une vie hors ligne. La question cruciale ici est celle du droit à la déconnexion. Je laisse de côté le droit pour les travailleurs de refuser l’usage d’outils numériques dans leur travail, qui semble difficilement compatible avec le devoir de diligence et de loyauté d’un employé qui sait, de par sa fonction, qu’il sera nécessairement amené à utiliser de tels outils. Un tel refus malgré les instructions correctement données par l’employeur en vertu de l’article 321d du Code des obligations, serait passible de sanctions pouvant aller jusqu’au licenciement. En revanche, il est de plus en plus admis que la protection de la santé impose un devoir pesant sur l’employeur de s’assurer que les salariés n’accèdent pas en permanence à leurs outils numériques, surtout lors des périodes de repos (soirées, nuits, vacances, etc.). Il revient donc à l’employeur a minima d’inciter ses salariés à ne pas se connecter durant les temps de repos, voire à les empêcher de le faire par l’instauration de blocages temporaires d’accès aux outils numériques de l’entreprise. Ce genre d’incitations ne sont encore que peu présentes dans le monde du travail. La loi ne les impose pas expressément. Cela pourrait faire l’objet d’une modification de la loi fédérale sur le travail (LTr).

– le droit à l’oubli. Ce droit pose la question de la conservation des données informatiques des employés par l’entreprise. Des lignes directrices ont été établies par le Préposé fédéral à la protection des données [3]. C’est en général le délai de prescription légal (donc entre cinq et dix ans suivant les types de créances, cf. art. 127 et 128 CO) qui est retenu.

On observe que les éléments constitutifs du droit à l’intégrité numérique tels qu’ils ressortent de la Constitution genevoise sont en partie pris en charge par le droit positif, sous réserve de précisions et d’approfondissements que nous avons exposés ci-dessus.

Au total, il nous semble que c’est à travers la notion de « droit au respect de la vie privée » que le droit à l’intégrité numérique pourrait être mieux garanti en droit du travail, au-delà du droit de la protection des données au sens strict. Or, la notion de respect de la vie privée n’a pour l’instant guère prospéré en droit suisse. Les juristes helvétiques commencent toutefois à se familiariser avec elle par le truchement de la jurisprudence de la Cour européenne des droits de l’homme. Cette dernière y fait désormais référence en relation avec l’usage des technologies numériques dans les relations de travail [4], amenant davantage de lumière sur la pertinence de cette protection.

Références

[1] Notez que le canton de Neuchâtel votera le 24 novembre 2024 sur une modification de sa Constitution introduisant une norme semblable à celle du canton de Genève. [2] Notez que le projet de modification de la Constitution de Neuchâtel prévoyait « le droit de ne pas être surveillé, mesuré, analysé », ce qui allait plus loin et incluait potentiellement la protection contre le traitement des données par l’intelligence artificielle, actuellement consacrée par le régime des décisions individuelles automatisées (cf. art. 21 LPD). [3] Voir le site internet du Préposé : https://www.edoeb.admin.ch/edoeb/fr/home/datenschutz/arbeit_wirtschaft/datenbearbeitung-arbeitgeber.html. [4] Voir notamment : Arrêts CEDH

Köpke c. Allemagne du 5 octobre 2010, n° 420/07 ; Bărbulescu c. Roumanie , du 5 septembre 2017, n° 61496/08 ; López Ribalda c. Espagne du 17 octobre 2019, n° 1874/13 et 8567/13 ; Florindo de Almeida Vasconcelos Gramaxo c. Portugal du 13 décembre 2022, n° 26968/16.