19/02/2021

Privatisation de l’identité électronique (passeport numérique) : réponse à quelques arguments des partisans

Le 7 mars, le peuple se prononcera sur la loi sur les services d’identification électronique (LSIE), qui créerait un identifiant électronique officiel. Mais cet identifiant serait émis et contrôlé par des entreprises privées. Ce ne serait donc rien d’autre que la privatisation du passeport numérique et je m’y oppose fermement.

Même si les sondages sont pour le moment plus favorables au camp du non, il est important de convaincre les derniers-ères indécis-e-s, car chaque voix va compter. Voici pour cela une réponse à quelques-uns des principaux arguments du camp du oui.

numérique,eid,identité numérique,passeport numérique,gafam

  • « Ce n’est pas un passeport numérique » L’argument-phare des partisans est de prétendre que le passeport numérique sur lequel nous votons n’est pas un passeport. C’est vrai que privatiser l’émission de passeport est une idée absurde qui ne plairait qu’au plus ultralibéral des idéologues ultralibéraux. Donc, les partisans de la privatisation de l’eID, et la première d’entre eux, la Conseillère fédérale Karin Keller-Sutter, prétendent que l’identifiant électronique (eID) « n’est pas un passeport ». Sauf qu’ils se contredisent. Plusieurs partisans du oui parlent bel et bien de « passeport numérique » (comme La Poste sur la photo). Ainsi que les propres services de Mme Keller-Sutter. Quoi qu’il en soit, il suffit d’examiner les fonctions d’un passeport pour se convaincre que l’identifiant électronique soumis au vote en est bien un :
    1. Un passeport sert à franchir les frontières physiques. Ce n’est certes pas le cas d’un eID, mais dans le cyberespace, cette fonction serait totalement inutile.
    2. Un passeport permet aux autorités d’attester que vous êtes bien vous-même. C’est une des fonctions de l’eID.
    3. Un passeport vous sert à attester auprès de tiers (ou d’une autorité) que vous êtes bien vous-même : C’est aussi une des fonctions de l’eID.
    4. En revanche, un passeport ne sert pas à vous accorder une nationalité (l’eID non plus). C’est plutôt l’inverse : c’est parce que vous avez une nationalité que le pays en question vous délivre un passeport (qu’il n’est d’ailleurs pas obligatoire de détenir ; personnellement, je n’en ai pas).
  • « Le projet permettra d’avoir une solution suisse et d’éviter que Google, Facebook & co. ne s’emparent de ce marché ». Le meilleur moyen d’éviter que les GAFAM ne s’emparent de notre identité numérique, c’est encore de renoncer à une solution privée. Car la loi soumise au vote du peuple n’empêchera pas Facebook et autres entreprises qui font commerce de nos données personnelles d’émettre un passeport numérique : il leur suffirait pour cela d’avoir une succursale en Suisse (c’est déjà le cas) et de stocker les données en Suisse (c’est pas compliqué). En cas de oui, les géants californiens du numérique, s’ils remplissent ces quelques conditions, ne tarderont pas à remplacer nos offices communaux et cantonaux de l’Etat civil et ce sera la fin de notre souveraineté numérique. Détail piquant : cet argument comme quoi voter oui empêcherait les GAFAM de s’emparer de notre identité numérique vient du conseiller aux Etats PLR Ruedi Noser… dont l’entreprise a un intérêt financier dans le consortium qui émettrait les passeports numériques privatisés.
  • « Le projet d’eID renforce la sécurité des données ». Ce sera exactement le contraire. Car, en centralisant les données d’identification comme le prévoit le projet, on facilite grandement la tâche des pirates qui voudraient s’en emparer. Et on augmente les dégâts qu’ils peuvent causer, tout comme l’attrait de tenter un piratage, car tout ce qu’il y a à voler est au même endroit.
  • « L’eID ne sera pas obligatoire ». Pour faire ses achats en ligne, il sera obligatoire, car les prestataires privés l’exigeront (surtout s’ils y participent et en retirent des bénéfices). En revanche, dans le monde réel, depuis quand faut-il montrer un document d’identité pour faire ses achats au supermarché ? Par ailleurs, de plus en plus de prestations publiques ne sont facilement accessibles qu’en ligne. Impossible d’y accéder sans eID. Et on peut compter sur les entreprises qui l’émettront pour encourager leurs clients à adopter l’eID, d’abord à coup de bonus et de promotions pour les premiers qui font le pas, puis à coup de pénalités pour ceux qui renâclent. On nous a déjà fait le coup avec les factures qui deviennent payantes si on les veut sur papier. Au début, on avait un rabais si on acceptait d’avoir une facture par courriel. Aujourd’hui, si on veut une facture papier, on paie une surtaxe.
  • « L’eID sera gratuit ». Ah bon ? Rien ne le garantit dans la loi soumise au vote. Rien du tout. Pire : les communes devront payer les prestataires privés d’eID pour identifier leurs propres citoyens. Dans tous les cas, difficile d’imaginer que les entreprises privées qui émettent les passeports numériques renoncent à faire des bénéfices si la loi les y autorise.
  • « L’eID nous facilitera la vie sur internet ». Pour en finir avec les « soucis » que cause une multitude de mots de passe à gérer, un bon gestionnaire de mots de passe suffit. Pas besoin pour cela de confier à des privés le soin d’attester officiellement que nous sommes bien nous-mêmes. Et je relève que la Fédération des Entreprises Romandes nous avertit que « le risque existe (…) qu’une bureaucratie coûteuse soit créée pour gérer le système » (« entreprise romande », 12 février 2021).
  • « L’Etat est incapable de gérer un projet informatique aussi ambitieux ». C’est faux. L’Estonie montre que, si l’Etat veut, l’Etat peut. Mais c’est clair qu’à force de leur répéter le contraire, les collectivités publiques vont finir par le croire. Pourtant, des offices fédéraux (Fedpol), des cantons (SH, VD) ou des communes (Zoug) ont des projets d’eID publiques. C’est donc possible !
  • « Ce sont les privés qui impriment les passeports et les billets de banque ». Il ne faut pas confondre fabrication et émission d’un document officiel. Peu importe qu’il soit fabriqué par un privé ou par une entité publique, ce qui compte, c’est que son exactitude soit garantie par l’Etat. Un passeport « sur papier » a de la valeur parce que c’est l’Etat qui l’émet et qui garantit son contenu, peu importe comment et par qui il a été imprimé. La même remarque vaut pour les billets de banques.
  • « La protection des données est garantie par la loi ». Sur le papier, c’est vrai. Mais qui ira contrôler ? Personne. Le Préposé fédéral à la protection des données aura-t-il plus de moyen pour le faire ? Non. Quoi qu’il en soit, qui pourrait faire confiance à des entreprises privées qui pourraient faire main basse sur une masse colossale de données personnelles de très grande valeur ? Pas moi, en tout cas. Par ailleurs le Préposé fédéral à la protection des données a dû démentir qu’il soutenait la LSIE : même si certains partisans l’ont prétendu, ce n’est pas vrai.
  • « Le fournisseur d’eID ne saura pas ce que je fais avec mon identifiant. Il saura seulement qui s’est connecté avec l’e-ID, où et quand.» (KKS in « 24 heures » du 13 février) C’est faux. C’est en tout cas ce qu’ont montré les recherches du magazine en ligne Republik. En outre, savoir qui s’est connecté, où, et quand, c’est déjà une information très précieuse qui permet en général de savoir précisément le « pourquoi ». Les émetteurs privés de l’eID pourront donc nous suivre à la trace. Et nous les paieront pour ça.
  • « Il pourra y avoir plusieurs modèles d’eID, dont des modèles publics cantonaux ou communaux, les usagers pourront faire leur choix ». Ça, ça m’étonnerait. En matière de nouvelles technologies, il y a un principe qui s’applique à presque tous les marchés : « the winner takes it all ». Le consortium privé swisssign comporte de nombreuses grandes entreprises très bien établies qui n’auront aucun problème à imposer leur solution à leurs clients. Développer d’autres solutions sera cher et les chances de succès très maigres face à un tel mastodonte. Personne ne va donc s’y risquer. Sauf peut-être d’autres entreprises encore plus grandes, encore plus puissantes et encore plus intéressées à faire main basse sur nos données personnelles sensibles, comme les GAFAM… Quoi qu’il en soit, la NZZ a révélé que le canton de Schaffhouse n’a pas l’intention d’émettre un modèle d’eID conforme à la LSIE. Son modèle ne pourrait donc pas servir d’alternative publique à l’eID proposé par un consortium privé. Sur ce point, la cheffe du DFJP n’a pas dit la vérité.
  • « Si c’est non, la Suisse n’aura jamais d’eID avant des années et creusera son retard numérique ». C’est faux, un projet de la Police fédérale d’identifiant numérique public basé sur la puce du passeport biométrique serait faisable pour 2023. Les recherches de Republik ont montré qu’un projet était prêt à être soumis au Parlement, mais que le consortium privé qui souhaite faire des bénéfice avec l’eID a réussi à le torpiller…

16/10/2020

Conseils droits du travail et Covid-19 : bref commentaire à chaud de la convention de l’union patronale sur le télétravail

L’Union Patronale Suisse (UPS) vient de proposer un modèle de convention pour les travailleurs en télétravail (ci-après : MCT). Cela part certes d’une bonne intention, car cette façon de travailler désormais très à la mode (pour ne pas dire indispensable en période de quarantaine) se trouve un peu dans un no man’s land juridique. En tout cas du point de vue de celui ou celle qui ne prend pas le temps d’analyser la situation. Malheureusement, la proposition de l’UPS est une catastrophe au niveau des droits des travailleurs. En effet, elle reporte sur ceux-ci toute une série d’obligations fondamentales de l’employeur, dans des domaines aussi importants que le remboursement des frais professionnels, de la protection de la santé et de la protection des données. Mon conseil donc : ne surtout pas signer une convention fondée sur ce modèle. Ni en tant que travailleurs, ni en tant qu’employeur. En effet, en tant que travailleur, on risque de renoncer valablement à des droits pourtant importants. Par ailleurs, les travailleurs ne pouvant renoncer valablement à certains autres de leurs droits (art. 314 al. 1 CO), même sciemment, volontairement et de bonne foi, les employeurs qui se croiraient déliés de toute responsabilité grâce à cette convention feraient une énorme erreur qui pourrait leur coûter cher.

 

Voici quelques points du modèle de convention passés en revue (à chaud) :

Horaires de travail (art. 3 du MCT)

« L’Employé(e) s’engage à respecter les prescriptions impératives de la loi relatives à la durée du travail et du repos. » Il s’agit d’un report de la responsabilité de l’employeur sur ses travailleurs. C’est à lui de veiller au respect des horaires de travail. Cette clause n’a donc qu’une valeur déclaratoire et ne délie pas l’employeur de sa responsabilité de veiller au respect des horaires du travail et des pauses, de même qu’à l’interdiction de travailler la nuit et le dimanche,

 

Remboursement des frais (art. 5 MCT)

Le modèle de convention reporte les frais professionnels sur les employés. Or, l’art. 327a CO consacré aux frais professionnels est limpide :

1 L’employeur rembourse au travailleur tous les frais imposés par l’exécution du travail et, lorsque le travailleur est occupé en dehors de son lieu de travail, les dépenses nécessaires pour son entretien.

2 Un accord écrit, un contrat-type de travail ou une convention collective peut prévoir que les frais engagés par le travailleur lui seront remboursés sous forme d’une indemnité fixe, telle qu’une indemnité journalière ou une indemnité hebdomadaire ou mensuelle forfaitaire, à la condition qu’elle couvre tous les frais nécessaires.

3 Les accords en vertu desquels le travailleur supporte lui-même tout ou partie de ses frais nécessaires sont nuls.

Le MCT est donc illégal sur ce point.

 

 Santé et ergonomie au travail (art. 6 MCT)

« L’Employé(e) s’engage à respecter les dispositions de sécurité et d’ergonomie ». Veiller au respect des dispositions de sécurité et d’ergonomie est d’abord la tâche de l’employeur (art. 6 LTr, art. 328 CO). Il doit prendre toutes les mesures appropriées pour protéger la santé et la sécurité de son personnel, les payer et veiller à leur bonne mise en œuvre. Certes, les employés doivent respecter les mesures imposées par l’employeur, le cas échéant collaborer à leur mise en œuvre, mais la responsabilité de base demeure chez l’employeur qui ne peut pas s’en exonérer, même avec un accord conclu de bonne foi par le travailleur. Là encore, cette clause n’a qu’une portée déclaratoire et ne délie pas l’employeur de sa responsabilité de tout mettre en œuvre pour protéger la santé de son personnel, y compris lorsqu’il travaille hors de ses locaux.

 

Protection des données (art. 7 MCT)

« L’Employé(e) est rendu(e) attentif(ti-ve) à la confidentialité des données qu’il/elle traite. Il/elle s’engage notamment à prendre toutes les mesures nécessaires afin de préserver la sécurité informatique de ces données et d’éviter toute intrusion dans les systèmes informatiques de l’Employeur. (…) Toute violation de cet article peut entraîner la résiliation sans délai de la convention de télétravail ainsi que des sanctions disciplinaires. En outre, l’Employeur se réserve le droit de réclamer à l’Employé(e) tout dommage en résultant (art. 321e CO). » Voici un autre report illégal de responsabilité de l’employeur sur le travailleur. Cette clause revient à faire assumer les frais liés à la sécurité informatique aux travailleurs (cf. plus haut), mais revient aussi à lui faire assumer une responsabilité qui n’est pas la sienne. Selon l’art. 321e CO, la responsabilité des travailleurs pour les dommages causés à l’employeur est en effet limitée et ne s’étend pas à des tâches pour lesquels ils ne sont pas compétents. Or, nul ne saurait être tenu d’avoir pour son domicile un niveau de sécurité informatique digne d’une entreprise. Les éventuelles sanctions disciplinaires prévues dans l’art. 7 MCT seront abusives, à moins que l’employé ne cause un dommage intentionnellement ou suite à une très grave négligence.

 

Entrée en vigueur et fin (art. 2)

Une fin unilatérale et immédiate d’une convention de télétravail ne sera en général pas possible. Pour modifier un contrat de travail, il faut soit l’accord des deux parties, soit un congé-modification. Dans tous les cas, une modification à laquelle un travailleur s’oppose ne peut entrer en vigueur qu’à l’échéance de son délai de congé et non immédiatement.

 

 

29/05/2020

App SwissCovid : quel paiement du salaire en cas d’auto-quarantaine ?

Un des éléments-clef du succès des mesures contre la pandémie a été l’octroi d’allocations perte de gain (APG) aux personnes qui ont dû, sur ordre médical, s’astreindre à une quarantaine parce qu’elles présentaient des symptômes de covid-19 ou étaient soupçonnées d’être infectées, notamment parce qu’elles avaient été en contact avec de telles personnes. Sans ces mesures, bon nombre de personnes qui auraient dû rester chez elles se seraient rendues à leur travail pour ne pas se retrouver sans revenu, favorisant ainsi la diffusion du coronavirus. Plusieurs pays, notamment ceux où la couverture perte de gain en cas de maladie est notoirement trop faible comme les USA en ont fait l’amère expérience. Le même scénario s’est reproduit dans d’autres pays comme la Suède où des personnes en situation précaire ont préféré se rendre à leur travail au lieu de se confiner, notamment dans le secteur pourtant très à risque des soins aux personnes âgées, ce qui cause un désastre sanitaire. Pour que les mesures contre la pandémie portent leurs fruits, il est donc crucial que les personnes qui doivent se confiner ne perdent pas de revenu (ou en tout cas pas trop), faute de quoi elles feront courir des risques importants à la collectivité, pour des raisons financières qu’on ne saurait leur reprocher.

Dans ce contexte, il est donc important que celles et ceux qui utiliseront l’application de traçage de proximité SwissCovid (mon avis à ce sujet) en suivent les recommandations. Or, si le fait de se mettre en auto-quarantaine sur recommandation de l’application mène à une perte de revenu, beaucoup n’obtempéreront pas, pas uniquement celles et ceux dont la situation est la plus précaire.

Juridiquement, le paiement du salaire en cas de quarantaine est controversé dans la doctrine juridique, désormais fournie (ce qui n’était pas le cas au début de la pandémie). Je soutiens la thèse que le salaire est dû s’il s’agit d’une quarantaine ordonnée par un médecin ou une autorité, comme si le travailleur concerné était malade. En effet, il s’agit là soit d’un cas médical (qui doit être attesté par un médecin, comme en cas de maladie) ou d’une obligation légale reposant sur une décision d’une autorité, deux états de faits qui fondent l’obligation de l’employeur de continuer à payer le salaire (art. 324a CO). Vu la situation exceptionnelle, l’ordonnance du Conseil fédéral a permis que cette charge frappant les employeurs soit allégée par le recours aux APG.

En cas d’auto-quarantaine, c’est-à-dire sur seule décision personnel du travailleur concerné, la situation est plus compliquée. En effet, sauf avis médical démontrant le contraire, la personne concernée n’est pas malade et ne s’appuie pas sur une décision médicale ni sur un ordre d’une autorité, mais sur une simple recommandation. Pendant la phase de confinement, l’OFSP recommandait dans certains cas aux travailleurs de se mettre en auto-quarantaine et à leurs employeurs de faire preuve de souplesse en matière d’exigence d’un certificat médical, dans le but d’éviter une surcharge du système de santé. Même si ce risque est désormais écarté et s’il convient de faire preuve ce genre de la plus grande des prudences face à une recommandation automatisée émise par un algorithme (mais c’est un autre débat), il n’en demeure pas moins que la recommandation émise par l’application SwissCovid est un avis suffisamment sérieux pour justifier qu’une auto-quarantaine soit traitée de la même manière qu’une quarantaine sur ordre médical, et donne donc droit au paiement d’un salaire comme en cas de maladie. L’intérêt public de protéger la santé et d’éviter une « deuxième vague » dont les effets économiques seraient à n’en pas douter dévastateurs renforce encore ce point de vue.

Or, le message du Conseil fédéral pour la base légale permettant la mise en service de l’application précise (en p. 4365) qu’une quarantaine volontaire ne donne pas droit au paiement du salaire, même si c’est une mesure « qui permet d’interrompre la chaîne de transmission ». Cet avis, qui n’est pas un avis de doctrine élaboré et argumenté, est discutable du point de vue du droit du travail. Il n’en demeure pas moins qu’il est défendable, même si, à titre personnel et comme développé ci-dessus, je ne le partage pas. Dans ces conditions, pour garantir le paiement du salaire serait de passer dans tous les cas par un médecin et donc d’éviter les auto-quarantaines. Mais cela risquerait certainement d’engorger les cabinets médicaux et générerait des frais supplémentaires. Afin d’éviter que cette question d’interprétation ne génère des incertitudes dommageables tant pour les salariés et les employeurs que du point de vue de la santé publique, le Parlement fédéral devrait donc, lorsqu’il traitera du projet de base légale modifier le projet pour couvrir 80% du revenu des personnes concernées via les APG, comme cela a déjà été fait pendant la phase de confinement. Cela aura certes un coût non-négligeable pour les caisses publiques (et allégera la charge des entreprises, même si les employeurs cofinancent les APG par leurs cotisations). Mais le succès de la lutte contre la pandémie sera à ce prix. Car une application de traçage de proximité qui recommande des quarantaines que trop peu de monde respecte par craintes de perte financières risque au final de ne pas servir à grand’chose.