En bref:
- La nLPD garantit aux employés suisses des droits spécifiques sur leurs données personnelles au travail. Ces droits incluent l'accès, la rectification, l'effacement et la contestation des décisions automatisées. Les employés doivent exercer ces droits en formulant des demandes écrites précises et documentées, et peuvent saisir le PFPDT en cas de non-respect.
La nouvelle loi fédérale sur la protection des données (nLPD), entrée en vigueur en septembre 2023, garantit aux employés suisses des droits explicites sur leurs données personnelles au travail. Ces droits couvrent l'accès aux dossiers RH, la rectification des informations inexactes, et la contestation de décisions prises par des outils d'intelligence artificielle. Les employeurs ont des obligations précises en retour. Comprendre ces droits n'est pas seulement rassurant. C'est la première étape pour les faire respecter, notamment à l'heure où les outils numériques et l'IA s'imposent dans les ressources humaines suisses.
1. Quels sont les droits essentiels accordés aux employés selon la nLPD ?
La nLPD accorde aux employés suisses un ensemble de droits directement applicables dans la relation de travail. Ces droits sont définis aux articles 25 à 32 de la nLPD et s'appliquent à toutes les données personnelles détenues par l'employeur.
Les droits fondamentaux sont les suivants :
- Droit d'accès : vous pouvez demander à votre employeur la liste complète des données personnelles qu'il détient sur vous, y compris les données opérationnelles comme les enregistrements téléphoniques, sous certaines conditions.
- Droit de rectification : toute donnée inexacte ou incomplète peut être corrigée sur demande. L'employeur doit justifier tout refus de rectification.
- Droit à l'effacement : vous pouvez demander la suppression de données dont le traitement n'est plus justifié. Ce droit est plus limité que sous le RGPD européen, notamment lorsque la conservation est imposée par la loi.
- Droit à la limitation du traitement : vous pouvez demander que vos données ne soient plus utilisées dans l'attente d'une vérification ou d'un litige.
- Droit d'opposition : vous pouvez vous opposer à certains traitements, notamment au profilage automatisé qui produit des effets significatifs sur votre situation professionnelle.
- Droit à la portabilité : dans certains cas, vous pouvez obtenir vos données dans un format structuré et lisible par machine pour les transmettre à un autre responsable du traitement.
La nLPD se distingue du RGPD européen sur plusieurs points. Elle n'impose pas de délai strict de 72 heures pour la notification des violations. Elle ne prévoit pas non plus de droit à la portabilité aussi étendu. En revanche, elle renforce les obligations de transparence et d'information au moment de la collecte des données, ce qui profite directement aux employés.
L'efficacité réelle de ces droits dépend de la capacité de l'employé à formuler des demandes précises et documentées. Un droit mal exercé produit une réponse partielle.

2. Comment exercer ses droits sous la nLPD en tant qu'employé suisse ?
Exercer ses droits sous la nLPD suit une procédure claire. Voici les étapes à respecter pour maximiser l'efficacité de votre démarche.
- Rédigez une demande écrite et datée. Adressez-la au responsable des ressources humaines ou au délégué à la protection des données (DPO) de votre entreprise. Précisez votre identité, les données concernées, et le droit que vous souhaitez exercer.
- Demandez explicitement les logs et traces techniques. Une demande d'accès utile inclut non seulement les données présentes dans la base RH, mais aussi les journaux d'activité et les traces de traitement. Sans cette précision, la réponse risque d'être incomplète.
- Conservez une copie de votre demande. La preuve de l'envoi est essentielle si vous devez saisir une autorité de recours ultérieurement.
- Attendez la réponse dans le délai légal. L'employeur dispose de 30 jours pour répondre. Ce délai peut être prolongé à 60 jours en cas de complexité, mais l'employeur doit vous en informer et justifier la prolongation.
- Analysez la réponse reçue. Un refus partiel est possible si la communication des données porte atteinte à des droits de tiers ou à des secrets d'affaires légitimes. L'employeur doit motiver tout refus par écrit.
- Saisissez le PFPDT en cas de non-respect. Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est l'autorité de surveillance compétente. Vous pouvez déposer une plainte si votre employeur refuse de répondre ou répond de manière insuffisante.
Conseil de pro : Incluez systématiquement dans votre demande la phrase suivante : "Je souhaite également accéder aux journaux de traitement (logs) et aux traces techniques associées à mes données." Cela oblige l'employeur à fournir une réponse complète et exploitable.
3. Quels impacts ont les technologies d'IA sur les droits des employés selon la nLPD ?
L'intelligence artificielle s'impose progressivement dans les processus RH suisses : évaluation des candidatures, analyse des performances, planification des équipes. Ces usages créent de nouveaux risques pour les droits des employés.
La nLPD distingue deux situations :
- Décision assistée par IA : un humain prend la décision finale en s'appuyant sur une recommandation algorithmique. Les protections standard s'appliquent.
- Décision individuelle automatisée : l'algorithme prend seul une décision qui affecte significativement l'employé, comme un refus de promotion ou une évaluation de performance. Dans ce cas, l'employé peut demander une intervention humaine et contester la décision.
La frontière entre décision assistée et décision entièrement automatisée est souvent floue en pratique. C'est précisément cette zone grise qui détermine les protections dont vous bénéficiez. Si un humain valide formellement une décision automatisée sans en examiner le fond, la protection prévue pour les décisions automatisées s'applique.
Les employeurs qui déploient des outils d'IA en RH ont des obligations spécifiques :
- Informer les employés sur la finalité du traitement et le rôle de l'IA dans la prise de décision.
- Réaliser une analyse d'impact sur la protection des données (AIPD) avant tout déploiement à risque élevé.
- Appliquer le principe de privacy-by-design, c'est-à-dire intégrer la protection des données dès la conception de l'outil.
- Documenter précisément le processus de validation humaine pour permettre une contestation sur des bases objectives.
La surveillance numérique via des outils IA est soumise aux mêmes principes de finalité, proportionnalité et transparence que toute autre forme de surveillance au travail. Un outil qui analyse en continu les communications ou les déplacements d'un employé sans justification claire et proportionnée est illicite selon la nLPD.
Conseil de pro : Avant d'accepter l'utilisation d'un outil IA par votre employeur, demandez par écrit : "Cet outil prend-il des décisions automatisées me concernant ? Si oui, comment puis-je les contester ?" Cette question force l'employeur à clarifier le cadre légal applicable.
Pour les entreprises qui souhaitent utiliser l'IA en conformité avec la nLPD, le traitement des données sur des serveurs suisses est une condition préalable indispensable.
4. Comment les violations de données affectent-elles les employés et quelles sont les obligations des employeurs ?
Une violation de données en entreprise peut exposer des informations sensibles sur les employés : données salariales, évaluations, données médicales, communications internes. La nLPD encadre précisément les obligations de l'employeur dans ce cas.
| Situation | Obligation de l'employeur | Délai |
|---|---|---|
| Risque élevé pour la personnalité | Notification obligatoire au PFPDT | Dans les meilleurs délais |
| Risque modéré | Documentation interne uniquement | Sans délai imposé |
| Communication aux employés | Obligatoire si nécessaire pour leur protection | Dès que possible |
La notification au PFPDT est déclenchée uniquement lorsque la violation présente un risque élevé pour les personnes concernées. La nLPD ne fixe pas de délai chiffré strict, contrairement au RGPD européen qui impose 72 heures. Cette différence est souvent mal comprise par les employeurs suisses.
La classification du risque est souvent mal calibrée en pratique. Les employeurs sous-estiment régulièrement la gravité d'une violation, ce qui retarde une notification pourtant obligatoire. Cette erreur expose les dirigeants à une responsabilité pénale personnelle.
La responsabilité pénale des dirigeants en cas de non-notification ou de notification tardive d'une violation de données sensibles souligne la nécessité d'une gestion rigoureuse. En tant qu'employé, vous avez le droit d'être informé si une violation vous concerne directement et si cette information est nécessaire pour vous protéger.
Conseil de pro : Si vous suspectez une violation de données vous concernant, demandez par écrit à votre employeur s'il a procédé à une évaluation du risque et s'il a notifié le PFPDT. Cette demande est légitime et protégée par la nLPD.
5. Quels conseils pratiques pour les employés face à la protection des données et à l'IA au travail ?
Connaître ses droits est une chose. Les exercer efficacement en est une autre. Voici les réflexes concrets à adopter.
- Posez des questions lors de l'implémentation d'un nouvel outil numérique. Demandez à votre employeur quelle données sont collectées, pour quelle finalité, et combien de temps elles sont conservées. L'information claire au moment de la collecte est une obligation légale de l'employeur, pas une faveur.
- Détectez les traitements disproportionnés. Une surveillance continue des emails personnels, une analyse permanente des déplacements ou une évaluation algorithmique opaque sans recours humain sont des signaux d'alerte. La surveillance numérique au travail doit toujours être justifiée et proportionnée.
- Documentez chaque échange avec votre employeur. Conservez les emails, les réponses à vos demandes d'accès, et les refus motivés. Cette documentation est votre seule preuve en cas de litige devant le PFPDT ou un tribunal.
- Identifiez le DPO de votre entreprise. Les entreprises dont le traitement de données présente des risques élevés doivent désigner un délégué à la protection des données. Ce responsable est votre interlocuteur privilégié pour toute question relative à vos données.
- Utilisez uniquement des outils validés par votre employeur. L'utilisation personnelle d'outils d'IA non approuvés pour traiter des données professionnelles peut vous exposer à des risques légaux. Vérifiez que les outils utilisés dans votre entreprise sont conformes à la nLPD, notamment qu'ils n'exposent pas vos données au CLOUD Act américain.
- Saisissez le PFPDT en dernier recours. Si votre employeur ne répond pas à vos demandes ou viole manifestement vos droits, le PFPDT peut ouvrir une enquête et émettre des recommandations contraignantes.
Points clés
Les droits nLPD des employés suisses sont précis, exerçables et renforcés par des obligations légales claires pesant sur les employeurs, notamment face à l'essor de l'IA en RH.
| Point | Détails |
|---|---|
| Droits d'accès et rectification | Demandez vos données RH et les logs techniques pour obtenir une réponse complète. |
| Délai de réponse légal | L'employeur doit répondre dans 30 jours, prolongeable à 60 jours avec justification. |
| IA et décisions automatisées | Vous pouvez demander une intervention humaine et contester toute décision automatisée significative. |
| Violations de données | L'employeur doit notifier le PFPDT en cas de risque élevé et vous informer si nécessaire. |
| Recours disponibles | Le PFPDT est l'autorité compétente pour toute plainte relative à vos droits sous la nLPD. |
La nLPD, un cadre encore sous-utilisé par les employés suisses
La nLPD est entrée en vigueur en septembre 2023. Trois ans plus tard, la majorité des employés suisses n'ont jamais exercé un seul de leurs droits. Ce n'est pas par manque de droits. C'est par manque d'information et de confiance dans la démarche.
Ce qui me frappe dans les discussions autour de la nLPD, c'est que les employeurs investissent massivement dans la conformité technique, les registres de traitement, les analyses d'impact, mais négligent presque systématiquement la formation des employés sur leurs propres droits. Un employé qui ne sait pas qu'il peut demander ses données ne les demandera jamais. Et un droit qui n'est jamais exercé finit par s'atrophier dans les faits.
L'arrivée de l'IA en RH change la donne de manière profonde. Les décisions qui affectent une carrière, une évaluation, une promotion, sont de plus en plus influencées par des algorithmes. La frontière entre assistance et automatisation est floue, et c'est précisément là que les risques pour les employés sont les plus élevés. La nLPD prévoit des protections spécifiques pour ces situations, mais elles ne s'activent que si l'employé les connaît et les réclame.
Mon conseil est simple : exercez votre droit d'accès une fois par an. Demandez vos données, vos logs, vos traces. Lisez la réponse. Vous apprendrez plus sur la façon dont votre employeur vous perçoit numériquement que par n'importe quel autre moyen. Et si la réponse est incomplète ou tardive, vous saurez exactement quoi faire.
— Nectos
Nectos, l'IA suisse qui protège les données de vos employés
Les entreprises suisses qui déploient des outils d'IA en RH ont une responsabilité légale claire : les données de leurs employés ne doivent pas quitter la Suisse sans garanties contractuelles solides.
Nectos est un espace de travail IA souverain, hébergé exclusivement sur des serveurs suisses, conforme à la nLPD. Aucune donnée ne transite vers des serveurs américains ou européens. Les modèles d'IA sont hébergés localement, sans partage avec des tiers. Nectos propose l'analyse de documents, des bases de connaissances privées, la transcription de réunions et des assistants IA adaptés aux contextes professionnels suisses. Pour les équipes RH qui veulent utiliser l'IA sans compromettre les droits de leurs employés, l'offre produit Nectos est conçue pour répondre exactement à ces exigences de conformité en 2026.
Questions fréquentes
Qu'est-ce que la nLPD et à qui s'applique-t-elle ?
La nLPD est la nouvelle loi fédérale suisse sur la protection des données, en vigueur depuis septembre 2023. Elle s'applique à toute entreprise traitant des données personnelles de personnes en Suisse, y compris les données de leurs propres employés.
Quels droits un employé peut-il exercer sur ses données RH ?
Un employé peut demander l'accès, la rectification, l'effacement et la limitation du traitement de ses données personnelles détenues par son employeur, conformément aux articles 25 à 32 de la nLPD.
Quel est le délai légal de réponse à une demande d'accès ?
L'employeur dispose de 30 jours pour répondre à une demande d'accès. Ce délai peut être prolongé à 60 jours en cas de complexité, avec obligation d'en informer l'employé et de justifier la prolongation.
Peut-on contester une décision prise par un algorithme au travail ?
Oui. La nLPD permet à l'employé de demander une intervention humaine et de contester toute décision individuelle automatisée qui affecte significativement sa situation professionnelle.
Que faire si l'employeur ne respecte pas les droits prévus par la nLPD ?
L'employé peut saisir le Préposé fédéral à la protection des données et à la transparence (PFPDT), qui est l'autorité de surveillance compétente pour instruire les plaintes et émettre des recommandations contraignantes.

