Décisions | Chambre administrative de la Cour de justice Cour de droit public

dans la cause

A______ recourante
représentée par Me Yann LAM, avocat

contre

ÉTABLISSEMENTS PUBLICS POUR L'INTÉGRATION (EPI) intimés
représentés par Me Sébastien VOEGELI, avocat

et

PRÉPOSÉ CANTONAL À LA PROTECTION DES DONNÉES ET À LA TRANSPARENCE appelé en cause

_________

2.1 L'objet du litige est principalement défini par l'objet du recours (ou objet de la contestation), les conclusions du recourant et, accessoirement, par les griefs ou motifs qu'il invoque. L'objet du litige correspond objectivement à l'objet de la décision attaquée, qui délimite son cadre matériel admissible (ATF 136 V 362 consid. 3.4 et 4.2 ; arrêt du Tribunal fédéral 2C_581/2010 du 28 mars 2011 consid. 1.5 ; ATA/499/2021 du 11 mai 2021 consid. 2a). La contestation ne peut excéder l'objet de la décision attaquée, c'est-à-dire les prétentions ou les rapports juridiques sur lesquels l'autorité inférieure s'est prononcée ou aurait dû se prononcer. L'objet d'une procédure administrative ne peut donc pas s'étendre ou qualitativement se modifier au fil des instances, mais peut tout au plus se réduire dans la mesure où certains éléments de la décision attaquée ne sont plus contestés. Ainsi, si un recourant est libre de contester tout ou partie de la décision attaquée, il ne peut pas prendre, dans son mémoire de recours, des conclusions qui sortent du cadre des questions traitées dans la procédure antérieure (ATA/499/2021 du 11 mai 2021 consid. 2a).

2.2 En l’espèce, l’objet du litige est limité aux points 2 à 4 de la décision des EPI du 28 mars 2024, soit le constat par ces derniers de la conformité à la LIPAD de la journalisation des données relatives à la clé d’ouverture des portes sécurisées, l’utilisation considérée comme licite de ces données à des fins de contrôle des horaires de travail dans le contexte de la procédure administrative à l’encontre de la recourante et leur refus de détruire ces données.

La question de la journalisation des accès dans l’application VRH n’est plus litigieuse, la recourante ayant admis la position du préposé, lequel estimait que le traitement de ces données était licite et proportionné.

3.             La recourante souhaite le constat de l’illicéité du traitement des données issues de la journalisation de ses entrées au moyen de la clé électronique ainsi que la destruction des fichiers correspondants.

3.1 La LIPAD régit l’information relative aux activités des institutions et la protection des données personnelles (art. 1 al. 1 LIPAD). Elle poursuit deux objectifs, à savoir, d’une part, favoriser la libre formation de l’opinion et la participation à la vie publique et, d’autre part, protéger les droits fondamentaux des personnes physiques ou morales de droit privé quant aux données personnelles les concernant (art. 1 al. 2 let. a et b LIPAD). Elle comporte ainsi deux volets, l’un concernant l’information du public et l’accès aux documents réglé dans le titre II (art. 5 ss LIPAD), qui n’est pas en cause dans le cadre du présent recours, et l’autre portant sur la protection des données personnelles, dont la réglementation est prévue au titre III (art. 35 ss LIPAD).

3.2 Elle s'applique notamment aux institutions, établissements et corporations de droit public cantonaux et communaux, ainsi que leurs administrations et les commissions qui en dépendent (art. 3 al. 1 let. c LIPAD).

3.3 Par données personnelles ou données, la LIPAD vise toutes les informations se rapportant à une personne physique ou morale de droit privé, identifiée ou identifiable (art. 4 let. a LIPAD). Selon l’art. 4 let. b LIPAD, par données personnelles sensibles, on entend les données personnelles sur la sphère intime (ch. 2) et des poursuites ou sanctions pénales ou administratives (ch. 4).

Par ailleurs, constitue un traitement de ces données toute opération relative à celles‑ci - quels que soient les moyens et procédés utilisés - notamment leur collecte, conservation, exploitation, modification, communication, archivage ou destruction (art. 4 let. e LIPAD).

3.4 Selon l'art. 35 LIPAD, les institutions publiques ne peuvent traiter des données personnelles que si, et dans la mesure où, l'accomplissement de leurs tâches légales le rend nécessaire (al. 1). Des données personnelles sensibles ou des profils de la personnalité ne peuvent être traités que si une loi définit clairement la tâche considérée et si le traitement en question est absolument indispensable à l'accomplissement de cette tâche ou s’il est nécessaire et intervient avec le consentement explicite, libre et éclairé de la personne concernée (al. 2).

3.5 L'art. 36 al. 1 LIPAD dispose que les institutions publiques veillent, lors de tout traitement de données personnelles, à ce que ces dernières soient pertinentes et nécessaires à l'accomplissement de leurs tâches légales (let. a) ainsi qu'exactes et si nécessaire mises à jour et complétées, autant que les circonstances permettent de l’exiger (let. b). Lorsqu’une institution publique constate que des données personnelles qu’une autre institution lui a communiquées en vertu de l’art. 39 al. 1 LIPAD, sont inexactes, incomplètes ou obsolètes, elle en informe cette dernière, à moins que cette information ne soit contraire à une loi ou à un règlement (al. 2).

3.6 La collecte de données personnelles doit être faite de manière reconnaissable pour la personne concernée (art. 38 al. 1 LIPAD).

3.7 Les institutions publiques détruisent ou rendent anonymes les données personnelles dont elles n'ont plus besoin pour accomplir leurs tâches légales, dans la mesure où ces données ne doivent pas être conservées en vertu d’une autre loi (art. 40 al. 1 LIPAD). Sur décision de l'instance dirigeante de l'institution publique concernée, la destruction de données personnelles peut être différée durant deux ans au maximum à des fins d'évaluation de politiques publiques. Ces données sont dès lors soustraites à communication, sauf si elles sont accessibles au regard de la loi sur les archives publiques, du 1er décembre 2000, ou du titre II de la LIPAD (art. 40 al. 2 LIPAD).

3.8 L'art. 47 al. 1 LIPAD prévoit que toute personne physique ou morale de droit privé peut notamment, à propos des données la concernant, exiger des institutions publiques qu’elles s’abstiennent de procéder à un traitement illicite (let. a), mettent fin à un traitement illicite et en suppriment les effets (let. b) ou constatent le caractère illicite du traitement (al. 3).

Sauf disposition légale contraire, elle est en particulier en droit d’obtenir des institutions publiques, à propos des données la concernant, qu’elles détruisent celles qui ne sont pas pertinentes ou nécessaires (al. 2 let. a), qu'elles rectifient, complètent ou mettent à jour celles qui sont respectivement inexactes, incomplètes ou dépassées (al. 2 let. b).

3.9 Selon l'art. 49 LIPAD, toute requête fondée sur l'art. 47 LIPAD notamment doit être adressée par écrit au responsable chargé de la surveillance de l’organe dont relève le traitement considéré (al. 1). Si le responsable n’entend pas faire droit intégralement aux prétentions du requérant ou en cas de doute sur le bien-fondé de celles-ci, il transmet la requête au préposé avec ses observations et les pièces utiles (al. 2). Le préposé cantonal instruit la requête de manière informelle, puis il formule, à l’adresse de l’institution concernée et du requérant, une recommandation écrite sur la suite à donner à la requête (al. 3). L’institution concernée statue alors par voie de décision dans les dix jours sur les prétentions du requérant (al. 4).

À cet égard, la chambre de céans a d'ores et déjà jugé que l'absence d'une recommandation préalable du préposé ne pouvait conduire à une irrecevabilité du recours contre la décision querellée mais plutôt à son annulation pour violation d'une règle essentielle de procédure (ATA/229/2018 du 13 mars 2018 consid. 6 d).

3.10 En droit privé, l'art. 328b de la loi fédérale du 30 mars 1911, complétant le Code civil suisse (CO, Code des obligations - RS 220), prévoit que l’employeur ne peut traiter des données concernant le travailleur que dans la mesure où ces données portent sur les aptitudes du travailleur à remplir son emploi ou sont nécessaires à l’exécution du contrat de travail. En outre, les dispositions de la loi fédérale sur la protection des données du 19 juin 1992 (LPD - RS 235.1) sont applicables. Cet article règlemente les questions liées à la protection des données dans le contrat de travail (Marie MAJOR, Questions spécifiques/Le droit d’accès de l’employé à son dossier personnel ; in Jean-Philippe DUNAND/Pascal MAHON [éd.], La protection des données dans les relations de travail, 2017, p. 289).

À l'instar de ce qui prévaut pour l'art. 328 CO, l'art. 328b CO doit également s'appliquer par analogie en droit public, en l’absence de dispositions expresses prévues par le droit de la fonction publique (ATA/649/2023 du 20 juin 2023 consid. 2.3.2.3 et les références citées).

3.11 L’art. 26 al. 1 de l’ordonnance 3 relative à la loi fédérale sur le travail dans l'industrie, l'artisanat et le commerce du 13 mars 1964 (LTr - RS 822.11) (ci‑après :  OLT 3) concerne la surveillance des travailleurs. La protection de la personnalité des travailleurs, ancrée à l’art. 328 CO, qui s’étend par cet article au droit public du travail, rappelle que le traitement des données personnelles doit respecter le principe de la bonne foi. Dans ce cadre, cela signifie que le traitement des données doit être effectué de manière transparente pour la personne concernée, c’est-à-dire qu’elle doit être informée au préalable de manière détaillée du type et du but du traitement. Le principe de proportionnalité doit être systématiquement respecté (Commentaire de l’OLT 3 du Secrétariat d’État à l’économie ad art. 26 p. 6).

3.12 Les relations entre les EPI et son personnel sont régies par la loi générale relative au personnel de l’administration cantonale, du pouvoir judiciaire et des établissements publics médicaux du 4 décembre 1997 (LPAC - B 5 05) (art. 43 al. 1 de la loi sur l’intégration des personnes handicapées du 16 mai 2003 - LIPH - K 1 36). Des contrôles statistiques et non individualisés de l’utilisation des ressources informatiques par le personnel peuvent être effectués (art. 23A al. 4 du règlement d’application de la loi générale relative au personnel de l’administration cantonale, du pouvoir judiciaire et des établissements publics médicaux du 24 février 1999 - RPAC - B 5 05.01). Lorsque les intérêts prépondérants de l’État de Genève, tels que la sécurité informatique ou le bon fonctionnement du service l’exigent, des contrôles individualisés, et le cas échéant, un accès à la liste des appels, à leur durée, au poste de travail informatique ou au compte de messagerie peuvent être ordonnés par le chef du département ou son secrétaire général. Ces mesures respectent dans tout la mesure du possible la sphère privée des membres du personnel concernés (art. 23A al. 5 RPAC).

3.13 Les directives sont des ordonnances administratives dont les destinataires sont ceux qui sont chargés de l'exécution d'une tâche publique, et non les administrés. Elles ne sont pas publiées dans le recueil officiel de la collectivité publique et ne peuvent donc avoir pour objet la situation juridique de tiers (Pierre MOOR/Alexandre FLÜCKIGER/Vincent MARTENET, Droit administratif, vol. I, 3^e éd., 2012, ch. 2.8.3.1). Une ordonnance administrative ne lie pas le juge, mais celui-ci la prendra en considération, surtout si elle concerne des questions d’ordre technique, tout en s’en écartant dès qu’il considère que l’interprétation qu’elle donne n’est pas conforme à la loi ou à des principes généraux (arrêt du Tribunal fédéral 2C_348/2022 du 7 mars 2023 ; ATA/697/2016 du 23 août 2016 consid. 5c ; ATA/722/2015 du 14 juillet 2015 consid. 4b ; ATA/31/2012 du 17 janvier 2012 consid. 7).

3.14 La charte informatique des EPI (ci-après : la charte informatique) est, comme le rappelle son al.  1, une directive. Elle précise à son art. 9 les mesures de contrôles possibles. Notamment, différentes informations peuvent être enregistrées de manière automatique à savoir : le trafic de messagerie et d’internet, les données d’authentification, les accès aux serveurs de fichiers et les statistiques d’appels téléphonique (ch. 9.1.1). Si un responsable hiérarchique dispose d’éléments concrets faisant soupçonner qu’un délit a été commis dans l’utilisation des ressources informatiques, il mandate le service des systèmes d’information afin que celui-ci réunisse les éventuelles preuves liées à la malversation. Il doit réunir les preuves matérielles (journaux, sauvegardes complètes et/ou partielles) qui le cas échéant seront remises aux autorités compétentes (ch. 9.3.1).

La quittance de remise des « médias utilisateurs » des EPI précise que : « L’utilisation de cette clé donne lieu à une journalisation de ses accès aux différentes portes sécurisées. Ces données sont collectées à des fins de sécurité et conservées au sein de la base de donnée EXOS gérée par les services généraux et systèmes d’information des EPI. L’historique des accès est détruit après une année et des extractions de cette journalisation peuvent être demandées au service précité par la direction des ressources humaines en cas de soupçon de malversation. ».

3.15 En l’espèce, les EPI considèrent que la journalisation des données liées à l’utilisation de la clé est conforme à la LIPAD et refusent donc sa destruction. Les termes utilisés dans la charte informatique étaient clairs et couvraient également la question du timbrage.

Le préposé a retenu que tel n’était pas le cas, faute pour l’usage des données d’être conforme aux principes de la finalité, de reconnaissabilité et de proportionnalité. La recourante souscrit à l’avis de ce dernier.

À titre préalable, il sera rappelé que les EPI sont un établissement public, doté de la personnalité juridique et dont le siège est à Genève (art. 28 LIPH). La LIPAD leur est applicable (art. 3 al. 1 let. c LIPAD).

Il n’est pas querellé que les données journalisées sont liées à une personne identifiée et qu’il s’agit ainsi d’un traitement des données personnelles au sens de la LIPAD. La chambre de céans ne peut que suivre l’avis du préposé relatif au traitement illicite du croisement des données horaires insérées manuellement par la recourante dans MOBATIME et celles issues de relevés de l’utilisation de sa clé électronique pour accéder au service RH. En effet, selon le préposé, le principe de finalité (art. 35 al. 1 LIPAD) implique que les données collectées ne peuvent être traitées que pour atteindre un but légitime qui a été communiqué lors de leur collecte, qui découle des circonstances ou qui est prévu par la loi. Les données collectées n’ont pas à être utilisées à d’autres fins. Or, in casu, la finalité du traitement, contrairement à l’avis des intimés, ne ressort pas explicitement de la charte. La collecte des données est, de prime abord, en lien avec la sécurité des locaux. Le terme malversation ne peut être compris, dans ce cadre, qu’en lien avec un accès indu aux locaux, tout comme le contexte dans lequel le terme est inséré dans la charte, en lien avec un « délit » au sens du droit pénal, comme par exemple un vol, un accès indu aux locaux, une violation de domicile ou encore un dommage à la propriété. L’utilisation de « malversation », bien que signifiant un comportement humain répréhensible, ne peut donc être compris qu’en lien avec la sécurité des lieux, au vu de la formulation choisie par les EPI dans leur charte informatique et non en lien avec toute possibilité de malversation, comme avec le contrôle horaire et le respect du timbrage.

Cette conclusion est corroborée par les EPI eux-mêmes, qui indiquent qu’ils ne contrôlent pas les horaires par la porte d’entrée mais bien par l’application MOBATIME. Ils ne peuvent donc justifier sous cet angle l’usage des données à des fins de surveillance. En outre, faute de système de timbrage pour sortir du secteur, l’analyse des données est imprécise et ne peut reconstituer un horaire entier. Finalement, la recourante donne de manière convaincante plusieurs explications concernant une absence de timbrage ou une insertion manuelle des horaires, comme par exemple que l’entrée peut se faire avec plusieurs collègues, un seul ouvrant la porte pour tous, ne permettant pas de vérifier systématiquement l’entrée de chacun ni de reconstituer un horaire complet, pas plus que l’heure exacte d’arrivée. Dans ces conditions, l’utilisation de la base de données liées à la sécurité des locaux ne peut être utilisée à des fins de contrôle horaire, rendant cet usage contraire au principe de finalité. Pour ce motif déjà, le traitement est illicite.

Le préposé rappelle que les finalités du traitement doivent être reconnaissables pour la personne concernée. Cette exigence concrétise le principe de la bonne foi et augmente la transparence du traitement des données. L’art. 38 LIPAD implique que selon le cours ordinaire des choses, la personne concernée doit pouvoir percevoir que des données la concernant sont ou vont être collectées. Elle doit pouvoir identifier la finalité du traitement, soit que celles-ci lui sont indiquées à la collecte ou qu’elles découlent des circonstances. En l’espèce, il sera tout d’abord souligné que la charte informatique des EPI ne mentionne pas la journalisation des accès au moyen de la clé électronique. En effet, le ch. 9.1 qui concerne la journalisation, indique que différentes informations sont enregistrées de manières automatiques (sic), à savoir « le trafic de messagerie et d’internet, les données d’authentification, les accès aux serveurs de fichiers, les statistiques d’appels téléphoniques » (ch. 9.1.1). Sous cet angle, on peut douter que la journalisation des accès liée aux clés électroniques soit ainsi conforme à la charte informatique et par conséquent licite au plan de la reconnaissabilité. En outre, il ressort du dossier que la recourante n’a pas signé une telle quittance, ayant reçu sa clé avant l’existence de ce document. Ainsi, de ce point de vue, le principe de la bonne foi n’est pas respecté ni s’agissant de l’utilisation des données à des fins de sécurité ni à des fins de contrôle horaire. À titre superfétatoire, il sera souligné que même si la recourante avait effectivement eu connaissance du contenu de cette quittance, ce dernier ne permet pas de comprendre que les termes « en cas de soupçon de malversation » recouvrent l’utilisation des données à des fins de contrôle des horaires. On ne peut ainsi retenir, contrairement à l’avis des EPI, un lien évident, reconnaissable, entre la journalisation des données et une problématique de gestion du personnel relative aux horaires, étant rappelé que la charte informatique ne comprend pas la journalisation des entrées. Le principe de reconnaissabilité n’est ainsi pas respecté.

Finalement, le préposé peut également être suivi quand il retient que le choix d'une option de traitement moins incisif aurait dû être privilégié. Contrairement aux dires des intimés, il n’est pas exact de retenir que seul le croisement des données, au demeurant imprécis, permettait de vérifier les horaires de la recourante. Par exemple, comme mentionné par le préposé, il était loisible aux intimés de vérifier l’heure inscrite dans MOBATIME et de contrôler immédiatement l’heure réelle d’arrivée de la recourante afin de confirmer ou infirmer les soupçons du supérieur hiérarchique. Contrairement à l’avis des intimés, cet aménagement n’est ni si coûteux en temps et en argent public que cela se révèle impraticable, étant précisé que l’horaire variable de la recourante implique que ce n’est pas un timbrage horaire total inexact qui lui est reproché mais bien un timbrage d’arrivée différent de l’horaire réel d’arrivée. Le principe de la proportionnalité n’est ainsi pas respecté.

Au vu de ce qui précède, le recours sera admis, les points 2 à 4 de la décision attaquée annulés et le dossier sera renvoyé à l'autorité intimée afin qu'elle constate l’illicéité du traitement des données et procède à la destruction des données correspondantes, conformément à la recommandation du préposé.

4.             Vu l'issue du litige, aucun émolument ne sera mis à la charge de la recourante qui obtient gain de cause (art. 87 al. 1 LPA). Une indemnité de procédure de CHF 1'000.- lui sera allouée, à la charge des intimés (art. 87 al. 2 LPA).

Le litige s'inscrit dans le contexte des rapports de service de la recourante. Il concerne toutefois une contestation non pécuniaire (art. 83 let. a de la loi fédérale sur le Tribunal fédéral du 17 juin 2005 - LTF - RS 173.110).

* * * * *

PAR CES MOTIFS
LA CHAMBRE ADMINISTRATIVE

à la forme :

déclare recevable le recours interjeté le 6 mai 2024 par A______ contre la décision des Établissements publics pour l'intégration (EPI) du 28 mars 2024 ;

au fond :

l’admet ;

constate que l’utilisation de la journalisation des accès au moyen de la clé électronique d’A______ à des fins de contrôle horaire constituait un traitement de données illicite ;

ordonne la destruction des fichiers récapitulant les accès d’A______ au moyen de sa clé électronique ;

dit qu’il n’est pas perçu d’émolument ;

alloue à A______ une indemnité de procédure de CHF 1'000.-, à la charge des EPI ;

dit que, conformément aux art. 82 ss LTF, le présent arrêt peut être porté dans les trente jours qui suivent sa notification par-devant le Tribunal fédéral :

- par la voie du recours en matière de droit public ;

- par la voie du recours constitutionnel subsidiaire, aux conditions posées par les art. 113 ss LTF ;

le mémoire de recours doit indiquer les conclusions, motifs et moyens de preuve et porter la signature du recourant ou de son mandataire ; il doit être adressé au Tribunal fédéral, av. du Tribunal-Fédéral 29, 1000 Lausanne 14, par voie postale ou par voie électronique aux conditions de l'art. 42 LTF. Le présent arrêt et les pièces en possession du recourant, invoquées comme moyens de preuve, doivent être joints à l'envoi;

communique le présent arrêt à Me Yann LAM, avocat de la recourante, à Me Sébastien VOEGELI, avocat des Établissements publics pour l'intégration (EPI), ainsi qu’au bureau du préposé cantonal à la protection des données et à la transparence.

Siégeant : Michèle PERNET, présidente, Florence KRAUSKOPF, Jean-Marc VERNIORY, Patrick CHENAUX, Claudio MASCOTTO, juges.

Au nom de la chambre administrative :

Copie conforme de cet arrêt a été communiquée aux parties.