Sylvain Métille

Protection de son patrimoine informationnel : surveillance de l’employé par l’employeur, quelles limites ? – Event Archive

Posted on by Swissintell

Les présentations de Maître Sylvain Métille, avocat spécialisé dans les questions de protection des données, et de Lennig Pedron, Directrice Ressources Humaines et Communication dans la cybersécurité, ont réuni une trentaine de personnes à la Mère-Royaume autour du sujet « Protection de son patrimoine informationnel : surveillance de l’employé par l’employeur, quelles limites ? »

Me Métille a ouvert la soirée en exposant les aspects légaux liés à cette problématique, notamment les normes à considérer par l’employeur. En effet, avant toute mise en place d’une surveillance de l’employé, il est primordial de se renseigner sur les normes relatives à la protection des données, de la personnalité, au droit du travail et au droit pénal.

« Il est dans la nature même des relations de travail que l’employeur puisse exercer un certain contrôle sur l’activité et les prestations de son personnel » ATF 130 II

Sylvain Métille Event Surveillance Employés

Il est en principe proscrit de traiter les données personnelles d’un employé, sauf dans la mesure où ces données portent sur les aptitudes du travailleur à remplir son emploi ou sont nécessaires à l’exécution du contrat de travail(Art. 328b CO).

L’employeur se doit d’informer l’employé de la mise en place d’un quelconque système de surveillance et, lors de l’engagement, indiquer clairement et si possible par un règlement d’utilisation des ressources informatiques et moyens de communication, quelles utilisations des médias digitaux sont tolérées ou non au sein de l’entreprise.

En citant l’ordonnance 3 relative à la loi sur le travail (OLT3), Maître Métille indique qu’il est interdit d’utiliser des systèmes de surveillance ou de contrôle destinés à surveiller le comportement des travailleurs à leur poste de travail. Néanmoins, lorsque des systèmes de surveillance ou de contrôle sont nécessaires pour d’autres raisons comme la prévention des accidents, la protection des personnes et des biens, la sécurité des personnes et des biens, l’organisation/planification du travail, ils doivent notamment être conçus et disposés de façon à ne pas porter atteinte à la santé et à la liberté de mouvement des travailleurs.

SylvainMetille_EventSurveillanceEmployés2.jpg

Maître Métille conclut par quelques recommandations et indique notamment qu’il est préférable de montrer aux employés, en cas de mise en place d’un système de logiciels de surveillance, le fonctionnement de celui-ci afin de le « dédiaboliser » et de conserver la confiance des collaborateurs.

Lennig Pedron est, quant à elle, revenue sur quatre cas concrets rencontrés dans le cadre de sa fonction de DRH. Pour chacun elle a présenté :

  • les mécanismes opérés par un employé ou un sous-traitant qui provoque une fuite de données ;
  • la détection de la fuite par le service de sécurité informatique ;
  • l’intervention et la réaction de la direction des ressources humaines.

Lennig Pedron Event Surveillance Employés

Les cas mettent en relief la nécessité d’anticiper le départ d’un employé et le risque de vols de données, grâce à la surveillance ou la gestion des accès de celui-ci aux ressources de l’entreprise.  Lennig Pedron insiste néanmoins sur le fait que les employés doivent être informés de cette surveillance. Elle illustre son propos avec l’exemple d’employés sur le départ sous surveillance, ayant subtilisé des données sensibles. Ces derniers se sont retournés contre leur employeur car celui-ci ne les avait pas informés de la mise en place d’une surveillance sur leurs postes de travail.  Et de citer Talleyrand : « Ce qui va sans dire va encore mieux en le disant ! ».

La sécurité des données scolaires en Suisse laisse à désirer

Posted on by Swissintell

Problèmes de santé, notes, comportement, téléphones et adresses mail, les établissements scolaires stockent des données importantes sur les élèves. Mais leur niveau de protection et leur conservation diffèrent selon les cantons.

Au total, ce sont des milliers de données personnelles qui sont collectées. Mais le directeur du collège l’assure: tout est mis en oeuvre pour protéger et sécuriser ces informations grâce, notamment, aux mots de passe qui sont changés régulièrement.

Mais surprise. Lorsque l’équipe de la RTS a tenté de se connecter, son navigateur l’a mise en garde: le site n’est pas suffisamment sécurisé.

Mais de l’aveu même du préposé à la protection des données des cantons de Neuchâtel et du Jura, Christian Flückiger, il est impossible de tout contrôler: “Il y a 2000 enseignants dans le canton de Neuchâtel et 20’000 élèves. Donc tout ce que je peux faire, c’est donner les bonnes pratiques et intervenir si quelqu’un dénonce un traitement incorrect. Mais on n’est pas à l’abri que, parmi les centaines de milliers de données, toutes ne respectent pas la protection des données. Je ne me fais pas d’illusion.”

Pour éviter les dérives, ces données scolaires doivent être détruites dès la fin de la scolarité. Mais les règles varient d’un canton à l’autre: de 3 ans de conservation en Valais contre 100 ans à Genève.

Des délais excessifs pour Sylvain Métille, avocat spécialisé dans la protection des données: “Ça paraît difficilement justifiable, puisque les données doivent être conservées le temps de l’objectif. On peut admettre un petit délai, ensuite ça devrait être basculé dans les archives.

Source : RTS Info

La Suisse est en retard en matière de protection des données personnelles

Posted on by Swissintell

Les futures règles de l’Union européenne (UE) sont censées mieux encadrer les activités d’entreprises comme Facebook, qui brassent des millions de données chaque jour. Les utilisateurs, eux, seront mieux protégés.

Mais en Suisse, la modernisation de la législation en la matière prendra encore plusieurs années. Les utilisateurs suisses devront donc encore patienter et plusieurs spécialistes de la protection des données protestent contre ce retard.

Le Parlement a opté en janvier pour un examen en deux temps: d’abord la protection des données sous l’angle policier et sécuritaire et ensuite seulement le contrôle des plateformes et la protection des utilisateurs, au mieux l’an prochain.

Source : RTS Info

L’économie suisse en danger

La stratégie décidée par la Suisse est «dangereuse», le risque de se reposer sur des institutions étrangères s’apparente à un «naufrage» qui pourrait s’avérer «cataclysmique». Cette semaine, des sommités du monde académique, des avocats, des responsables de l’économie et des préposés à la protection des données sonnent l’alarme: si la loi actuelle sur les données n’est pas révisée rapidement, les conséquences pour la Suisse pourraient s’avérer désastreuses.

Dans leur lettre, la vingtaine de personnalités estiment qu’une «mise à jour de la loi suisse est indispensable et urgente». «En conservant une loi qui a plus de vingt-cinq ans, la Suisse risque de perdre son statut de pays équivalent, ce qui rendrait le transfert de données de l’UE vers la Suisse plus compliqué. Les sous-traitants et fournisseurs de services suisses seraient particulièrement désavantagés», affirment les signataires. Parmi eux se trouvent Edouard Bugnion, professeur à l’EPFL et vice-président pour les systèmes d’information, Sébastien Kulling, responsable de Digitalswitzerland pour la Suisse romande, ou encore Sophie Michaud Gigon, secrétaire générale de la FRC.

Selon eux, «le RGPD ne doit pas être un standard qui se substitue au cadre juridique suisse. On voit pourtant déjà des entreprises suisses affirmer leur conformité au droit européen, en l’absence de référentiel valable en Suisse.» «La commission du National a pris une décision absurde en janvier, c’est une hérésie de perdre autant de temps», affirme Jean-Henry Morin, professeur de systèmes d’information à l’Université de Genève, initiateur de cette lettre avec l’avocat Sylvain Métille.

Source : Le Temps