Les droits et devoirs des employé-e-s en cas de cybermenaces et cyberattaques

La récente vague de cyberattaques pose plusieurs problèmes de droit du travail. Récemment une importante gérance immobilière lausannoise a vu ses activités paralysées pendant plusieurs jours à cause d’un rançogiciel (ransomware) ; ses employé-e-s auraient été forcés de prendre des vacances et des congés sur ces jours où il n’était plus possible de travailler, ce qui est totalement illégal. Comme les cybermenaces ne vont certainement pas diminuer, voici un petit aperçu des questions que cela pose en matière de droits et devoirs des personnes concernées. Ces conseils s’appliquent aux contrats de travail de droit privé suisse, mais les principes sont généralement assez similaires pour les contrats de travail de droit public (notamment ceux des employé-e-s communaux-ales).

Continuer la lecture

La loi Covid, une réelle menace ? Mes réponses juridiques

La pandémie nous gâche la vie depuis de long mois et nous a privé de nos loisirs collectifs. Toutes et tous souhaitons qu’elle finisse le plus vite possible. Nous nous prononçons à nouveau sur la loi qui doit nous permettre d’en sortir. Voici quelques réflexions et précisions à ce sujet :

Continuer la lecture

Sélection et embauche par des algorithmes: que dit le droit du travail ?

Comme le révélait récemment le « Tages-Anzeiger », les algorithmes sont de plus en plus utilisés lors de l’embauche de nouveaux collaborateurs par des entreprises suisses (comme la Migros, La Poste, les CFF, Crédit Suisse, Axpo, Helsana ou encore UBS) . Il existe en effet un nombre croissant d’outils informatiques qui permettent de trier les dossiers de candidatures, de les évaluer, voire de mener un entretien d’embauche via un « chatbot » ou même un véritable robot. Dans certains cas, cela a lieu sans aucune intervention humaine.

Si elle facilite grandement la tâche des employeurs et leur fait économiser un temps considérable, en particulier ceux qui font face à un très grand nombre de candidatures pour les postes qu’ils mettent au concours, l’utilisation d’algorithmes ne va pas sans poser des problèmes de droit du travail. J’avais traité cette question (avec celle du licenciement prononcé par un algorithme… dont je reparlerai une autre fois), dans un article scientifique paru l’an dernier (« Quand les algorithmes embauchent et licencient », in Müller/Rudolph/Schnyder/von Kaenel/Waas (éd.), Festchrift für Wolfgang Portmann, Zurich 2020 ). En voici un résumé (pour les références complètes, se reporter au texte original).

Continuer la lecture

Privatisation du passeport électronique : une attaque contre l’autonomie communale et une discrimination numérique

Attester d’une identité et émettre des documents d’identité comme des passeports est une tâche importante des cantons et des communes. La révolution numérique nécessite que cela soit désormais possible en ligne. Mais, au lieu d’écouter les nombreux cantons et communes qui étaient prêts à développer une identité électronique (eID), le Parlement fédéral imposé sa privatisation. Si la loi sur les services d’identification électronique est acceptée le 7 mars prochain, ce sont de grandes entreprises comme des assurances, des caisses-maladies ou des banques qui pourront émettre un identifiant électronique pour attester de l’identité des citoyens et des résidents suisses. Ces entreprises privées auront donc le droit d’émettre de véritables passeports numériques. Cette privatisation est aussi une atteinte à l’autonomie communale.

Continuer la lecture

Pourquoi je soutiens et j’utiliserai l’application de traçage de proximité

Je suis très attaché à la protection des données et j’ai œuvré pour la renforcer. Je me suis engagé pour éviter que les GAFA ne fassent main basse sur nos données et ne nous enferment dans leurs écosystèmes où règnent leurs lois. J’ai donc été de d’abord sceptique face aux projets de traçage de proximité (contact tracing) que les Etats comptent déployer pour lutter contre le covid-19. Le risque d’une surveillance généralisée, d’une utilisation ultérieure de données sensibles à des fins contraires à l’intérêt public et d’une captation de ces données par des multinationales est énorme.

Malgré cela, je soutiens le projet DP-3T, développé notamment par l’EPFL et l’ETHZ ( aussi appelé Swiss Proximity-Tracing-System, SPTS et actuellement en phase de test et qui a été approuvé par le préposé fédéral à la protection des données et à la transparence). Pas parce qu’en raison de l’ampleur de la crise, il faudrait sacrifier ses principes (surtout pas !). Pas parce que la lutte pour la sphère privée est déjà perdue (c’est faux !). Mais parce que c’est un projet qui permet de conjuguer l’intérêt public de lutter efficacement contre la pandémie tout en respectant la sphère privée. Je le soutiens d’abord parce qu’il est décentralisé, c’est-à-dire que les informations de proximité collectées par nos téléphones restent dans nos téléphones. Le serveur central (appelé à être géré par l’OFSP) se contente de vérifier que les annonces de cas positifs sont légitimes, et de retransmettre cette information.

Les personnes infectées sont ensuite redirigées vers les services médicaux, sans pour autant que leur identité ne soit révélée au système. Ce n’est pas l’algorithme qui prend les décisions subséquentes, comme faire un test ou décréter en quarantaine, mais bien un humain ; un médecin, sur la base d’un jugement clinique. Ce n’est pas un système de géolocalisation ou de suivi des déplacements et des contacts (même si certains l’ont prétendu).

Je soutien aussi le système DP-3T/SPTS parce qu’il est open source : transparent, documenté, examinable et corrigeable Enfin, je le soutiens parce que les données sont efficacement cryptées.

La clef du succès de cette application sera la confiance. Sinon, il sera impossible de convaincre assez de monde pour atteindre l’efficacité escomptée. La confiance se gagnera notamment par le volontariat. Ne serait-ce qu’en raison de la fracture numérique, il faut éviter qu’utiliser cette application ne soit obligatoire par décret étatique ou, indirectement, parce qu’il faudra démontrer qu’on l’utilise avant de bénéficier de prestations publiques ou privées, ou parce que les employeurs l’imposent à leur personnel (ce serait illégal). En outre, le volontariat ne peut être qu’un consentement éclairé : inciter la population à utiliser un outil numérique dans un but de santé publique ne peut fonctionner que si on sait exactement à quoi on s’engage. Au vu de certaines prises de positions, il y a encore du pain sur la planche en matière d’explication. La confiance se gagne aussi par un réel anonymat : il faudra veiller à ce qu’il n’y ait aucune possibilité de ré-identifier les utilisateurs. Il faudra enfin s’assurer que les données soient définitivement effacées et ne puisse pas être utilisées dans un autre but, même d’intérêt public, que celui prévu par la base légale.

Jusqu’à présent, la lutte numérique contre le Covid-19 ressemble surtout à une aubaine pour les GAFA, ceux qui captent les données comme ceux qui tuent les petits commerçants. Le projet DP-3T/SPTS, à condition d’en rendre l’utilisation réellement volontaire et limitée à la durée de la crise, permettra enfin que les progrès du numérique se servent exclusivement l’intérêt public. Car tant que les citoyens auront l’impression que les nouvelles technologies ne servent qu’à les mettre à la merci des géants du net ou à créer une surveillance généralisée, ils seront réticents face à bon nombre d’innovations. Un dernier élément m’a convaincu : la souveraineté numérique. Jusqu’ici, la plupart des nouveaux standards numériques – et des nouvelles règles qui en découlent, mais aussi la philosophie sous-jacente – viennent de Californie. En conséquence, les Etats peinent à appliquer leurs propres règles dans l’espace numérique. C’est une perte de souveraineté massive et insidieuse. Qu’une solution développée en Suisse devienne un nouveau standard serait un réjouissant retournement de tendance !

(Texte paru dans « Le Temps » du mardi 12 mai)

Surveillance dans la chambre à coucher : le mythe qui n’en est pas un

Les partisans de la surveillance généralisées des assurés par les assureurs, en particulier les caisses-maladies, n’ont de cesse de réfuter que la surveillance dans une chambre à coucher soit possible. Certains, comme Isabelle Chevalley aujourd’hui dans « 24 heures » parlent même de « mythe ». Et d’ailleurs, poursuit-elle, « l’intérieur du domicile ne peut faire l’objet d’aucune observation, tel en a décidé le Tribunal fédéral ».

Deux remarques à ce sujet. D’une part, il est impossible que le Tribunal fédéral (TF) se soit prononcé sur une loi qui n’est pas encore en vigueur, car la Suisse ne connaît pas de contrôle constitutionnel préalable des lois fédérales. Ce qu’a dit le TF, c’est que, selon la loi actuelle, l’observation dans une chambre à coucher est interdite. Mais c’est justement ce que veulent changer les assureurs et la droite du Parlement et c’est parce que le TF a mis le holà aux surveillance abusives qu’ils ont élaboré cette nouvelle loi.

D’autre part, il suffit de lire la loi soumise au vote du peuple pour vérifier qu’une surveillance est bel et bien possible à l’intérieur d’un appartement. En effet, selon l’art. 43a al. 4 P-LPGA, l’assuré ne peut être observé que si « il se trouve dans un lieu qui est librement visible depuis un lieu accessible au public ». Comme une chambre à coucher, un balcon ou un jardin visible depuis le trottoir d’en face. Et comme la loi ne le précise pas, un détective qui observe à l’aide d’un drône pourra probablement observer tout ce qu’il veut, du moment que c’est « depuis un lieu accessible au public ». Enfin, comme la loi n’interdit pas explicitement aux assureurs d’utiliser les informations recueillies illégalement (l’al. 6 n’interdit que leur utilisation « à d’autres fins » ou par « un autre assureur »), nul doute que les caisses-maladies utiliseront toutes les méthodes possibles et imaginables… et qu’elles finiront bien par trouver un petit détail qui justifiera que l’on rabote les prestations.

Si la loi n’est pas rejetée le 25 novembre, il sera donc bel et bien possible de mener des surveillance très invasives et donc très couteuses. Sur le dos des assurés… et à leur frais !

« Je n’ai rien à cacher »

Loin de moi l’idée de me prononcer sur le fond de l’« affaire Broulis ». D’autres le feront mieux que moi, qui ne connais pas tous les éléments du dossiers. La presse, qui n’est certainement pas motivée par une jalousie ou une rivalité valdo-zurichoise fantasmée, fait d’ailleurs très bien son travail, tant sur les bords du Léman que sur ceux de la Limmat.

Mais ce n’est le fond de cette affaire qui m’intéresse ici. C’est plutôt la phrase «  Je n’ai rien à cacher ». En ces temps où la protection des données et de la sphère privée ainsi que la surveillance de masse étatique ou privée sont sur toutes les bouches, d’aucuns argumentent volontiers que toutes les atteintes dont on parle ne sont pas si graves pour celles et ceux qui n’ont « rien à cacher ». C’est vrai, pourquoi se plaindre d’être surveillé, traqué, examiné, fiché, analysé sous toutes les coutures, par toute sorte d’agences étatiques ou d’entreprises privées si l’on n’a « rien à cacher » ??? L’exemple de M. Broulis est très révélateur de la vacuité de l’argument « qui n’a rien à cacher n’a rien à craindre ».

En effet, M. Broulis prétend n’avoir « rien à cacher » à propos de sa situation fiscale. Mais refuse donc d’en dévoiler les détails, arguant qu’il s’agit de sa sphère privée. Cela montre bien que, la signification du « rien à cacher » peut être fort différente du point de vue de celui qui cache et de celui qui cherche. Car, tant que l’on ne sait pas ce que celui qui cherche cherche, tant que l’on en sait pas ce qu’il pourrait, de son point de vue, vous reprocher, impossible de savoir si l’on a vraiment « rien à cacher ». Car c’est celui qui cherche qui sait ce qu’il cherche… et donc qui définit, à l’aune de ses propres critères, ce qu’il considère comme « à cacher ». En l’espèce, M. Broulis étant une personnalité publique qui plus est responsable des finances cantonales, l’intérêt public à révéler les détails de sa situation fiscale me semble évident. Mais il n’en demeure pas moins que, lorsque quelque chose relève de la sphère privée, peu importe que l’on considère n’avoir « rien à cacher ». Ou que l’on ait vraiment, du point de vue d’une personne extérieure, réellement « rien à cacher ». Du moment qu’il s’agit de notre sphère privée, on doit pouvoir le dissimuler sans avoir à se justifier, l’intérêt public à révéler certaines informations étant réservé.

Autre exemple, plus trivial, mais très efficace : Quand on va aux toilettes, tout le monde sait ce qu’on va y faire. Il n’y a donc pas grand-chose « à cacher ». Mais on ferme tout de même la porte. La protection des données et de la sphère privée, c’est la même chose. Peu importe que l’on ait ou pas quelque chose « à cacher ». Du moment que l’on refuse de le montrer, cela doit rester secret.

 

*   *   *

A toutes celles et ceux qui pensent n’avoir « rien à cacher », je recommande ce site.

Insoutenable clémence envers les criminels fiscaux…

Imaginons un instant que les forces de l’ordre arrêtent en flagrant délit un dealer notoire. Mais ce dernier leur rétorque qu’elles ne peuvent pas le fouiller, ni l’arrêter, et que personne ne pourra le condamner, parce qu’il ne transporte que peu de drogue, et qu’il ne l’a d’ailleurs pas très bien cachée. Aucune autorité n’aura donc le pouvoir d’établir la preuve de son crime. Il ajoute que, si les forces de l’ordre intervenaient sur mandat d’une autorité étrangère, elles pourraient l’arrêter sans problème. La police n’a pas d’autre choix que de laisser partir le dealer avec son butin.

Choquant, non ? Et il serait tout aussi choquant que le Parlement vote une disposition constitutionnelle qui autoriserait pareille dérive… Continuer la lecture

Le PLR (fait semblant de) s’intéresse(r) au numérique.

Quand j’ai appris que le PLR allait adopter une prise de position consacrée aux défis du numérique et de la digitalisation de l’économie, je me suis réjoui de pouvoir en débattre. En effet, il était temps que ce parti de gouvernement se penche enfin sur ces questions importantes, même si c’est un an après le PS, qui a adopté un vaste papier de position sur les questions politiques liées à internet en décembre 2015.

Mais, à la lecture de cette prise de position, quelle déception ! Non pas pour des questions de fond. Au contraire, j’aurais adoré quelques propositions bien tranchées sur lesquelles le débat aurait été possible. Et certainement passionné. Continuer la lecture

Nouvelle loi sur le renseignement (LRens): inefficace contre le terrorisme, nuisible pour nos libertés 

Comme toutes les lois estampillées « lutte contre le terrorisme », la nouvelle Loi sur le renseignement (LRens) sert surtout à renforcer la surveillance préventive de masse, grâce à des moyens invasifs que le Service de Renseignement de la Confédération (SRC) peut mettre en oeuvre sur la base de simples soupçons ou grâce à l’« exploration du réseau câblé », qui permet de surveiller l’entier des communications électroniques, y compris le flux internet Suisse-Suisse (qui transite souvent par des serveurs étrangers). Ces mesures restreignent beaucoup plus les libertés fondamentales qu’elles ne permettent de lutter contre le terrorisme. Continuer la lecture