Le Préposé fédéral à la protection des données et à la transparence (PFPDT) vient de publier des «Explications relatives aux contrôles de sécurité (employés du secteur privé)» .

Les contrôles de sécurité (background check en anglais) ne sont pas des mesures de surveillance qui visent à contrôler l’activité du travailleur pendant son temps de travail, mais que l’employé ne représente pas un danger pour la sécurité de l’entreprise. Ces contrôles ont souvent lieu avant le début de l’activité et comme condition à l’embauche. Le degré de risque ne dépend pas tellement du niveau hiérarchique mais plutôt des possibilités d’accès et de la confidentialité des données traitées. Le personnel d’entretien aura généralement un accès très vaste aux locaux et documents qu’ils renferment, de même que les personnes en charge de l’infrastructure informatique jouissent souvent de privilèges d’accès dépassant ceux de certains dirigeants.

Au sein de l’administration, les contrôles sont notamment régis par l’Ordonnance sur les contrôles de sécurité relatifs aux personnes (OCSP). Pour le secteur privé, ce sera principalement l’art. 328b CO et la LPD: l’employeur ne peut traiter des données concernant le travailleur que dans la mesure où ces données portent sur les aptitudes du travailleur à remplir son emploi ou sont nécessaires à l’exécution du contrat de travail.

Information écrite préalable et interdiction des vérifications secrètes
Le contrôle devrait idéalement avoir lieu avant ou au début des rapports de travail. Si les rapports de travail sont en cours, l’employeur doit annoncer la mesure assez tôt et laisser au travailleur un temps de réflexion suffisant. Le collaborateur qui travaille dans un secteur présentant des risques importants doit accepter un contrôle de sécurité proportionné et adéquat. S’il s’oppose, il risque de faire face à un licenciement.

L’employeur doit informer le personnel par écrit avant que n’ait lieu le contrôle de sécurité. Le PFPDT souligne qu’une mention orale suffit dans un premier temps dans le cas d’un entretien avec un candidat postulant pour un emploi nécessitant un contrôle, mais que le principe de la transparence veut que les personnes concernées soient informées sur l’objectif de la collecte d’informations, sur leur durée de conservation, et sur la personne qui va effectuer cette tâche, spécialement dans la situation où une société externe est mandatée. L’employeur doit en outre motiver auprès de chaque salarié la raison qui impose un contrôle dans son cas.

L’ensemble des vérifications doit être proportionné, y compris s’il est réalisé par un tiers. Selon le PFPDT, l’employeur ne peut réaliser un contrôle de sécurité qu’avec le concours des personnes concernées et les vérifications secrètes sont interdites.

Les données recueillies ne peuvent être réutilisées à d’autres fins et celles qui ne sont plus nécessaires doivent être détruites. L’accès aux données doit en outre être limité. Le travailleur jouit lui en revanche en tout temps d’un droit d’accès à ses données (art. 8 LPD), même si elles ont été recueillies par un tiers.