HR Fondue
Swiss HR in one dish!
nLPD & Données2026-03-21 · 8 min

Personal data: 5 things your employer is not allowed to do

The essentials in 30 seconds

  • The FADP (Federal Act on Data Protection) strictly limits what your employer can do with your personal data.
  • 5 common practices are now prohibited — and many SMEs don't know it yet.
  • Fines can reach CHF 250,000 for the responsible individual (not the company).

1. Collecter des données sans raison valable

Marc, patron d'une menuiserie de 12 personnes à Fribourg, demandait systématiquement la religion de ses employés sur la fiche d'embauche.

C'est interdit. L'Art. 328b CO (Code des Obligations) est clair : l'employeur ne peut traiter des données concernant le travailleur que dans la mesure où elles portent sur les aptitudes du travailleur à remplir son emploi.

En clair : si la donnée n'est pas nécessaire pour faire le travail, vous n'avez pas le droit de la demander. Point.

2. Conserver des données médicales sans protection renforcée

Sophie, responsable RH dans une PME genevoise de 85 collaborateurs, conservait les certificats médicaux dans le même dossier que les évaluations annuelles.

Les données de santé sont des données sensibles au sens de l'Art. 5 let. c nLPD. Elles nécessitent des mesures de protection renforcées : accès restreint, chiffrement, et une base légale spécifique pour leur traitement.

3. Transmettre des informations à des tiers sans consentement

Votre employeur partage votre évaluation annuelle avec un prestataire externe "pour le développement des talents" ? Sans votre consentement explicite, c'est une violation de l'Art. 6 nLPD.

4. Surveiller sans informer

Caméras au bureau, logiciel de suivi d'écran, GPS sur le véhicule de service — tout cela est potentiellement légal, mais uniquement si le collaborateur est informé au préalable (Art. 19 nLPD).

La surveillance secrète est interdite, sauf dans des cas exceptionnels et avec l'accord du PFPDT (Préposé fédéral à la protection des données et à la transparence).

5. Ignorer le droit d'accès

Tout collaborateur a le droit de demander quelles données son employeur détient sur lui (Art. 25 nLPD). L'employeur a 30 jours pour répondre. Ignorer cette demande ou y répondre de manière incomplète est une infraction.

Fatima, assistante administrative à Zurich, a demandé à son employeur l'accès à son dossier personnel. Trois mois plus tard, toujours pas de réponse. Elle a contacté le PFPDT, qui a ouvert une procédure.

Further reading

  • Art. 328b CO — Traitement des données personnelles du travailleur
  • Art. 5 let. c nLPD — Définition des données sensibles
  • Art. 6 nLPD — Principes de traitement
  • Art. 19 nLPD — Devoir d'informer
  • Art. 25 nLPD — Droit d'accès
  • Art. 60-63 nLPD — Dispositions pénales (amendes jusqu'à 250'000 CHF)

Swiss HR essentials, every Tuesday in 5 minutes

Join the HR professionals who stay informed effortlessly.

Gratuit · Chaque mardi · Désinscription en 1 clic