drt 6929O droit des affaires électroniques cours 7 – vie privée en ligne Professeur agrégé Faculté de droit université de montréal chaire udm en droit de la sécurité et des affaires électroniques www.gautrais.com

plan VP en général VP au travail

Sources juridiques Loi sur la protection des renseignements personnels dans le secteur privé (1994 – Québec) Loi sur la protection des renseignements personnels et les documents électroniques (2000 - Canada) Annexe 1 de la précédente Loi (Principes énoncés dans la norme nationale du Canada intitulée code type sur la protection des renseignements personnels, CAN/CSA-Q830-96) Loi concernant le cadre juridique des technologies de l’information (2001 - Québec) CCQ, articles 2085 et suiv. Et d’autres …

Introduction Vie privée existe depuis longtemps mais… La problématique change avec l’électronique Tellement facile de copier Tellement facile de vendre, céder, échanger ces informations Tellement facile de ne pas se rendre compte que des informations personnelles nous concernant circulent Tellement facile de les communiquer à autrui.

définition Définition dans PEPIDA: «  article 2: «renseignement personnel » Tout renseignement concernant un individu identifiable, à l'exclusion du nom et du titre d'un employé d'une organisation et des adresse et numéro de téléphone de son lieu de travail. » Définition dans la loi québécoise: Article 2: « Est un renseignement personnel, tout renseignement qui concerne une personne physique et permet de l'identifier. » (aucune restriction)

En pratique, un renseignement personnel c’est… Un numéro de carte de crédit Des indications personnelles sur sa race, sa santé, son crédit, etc… Mais aussi… Nom, prénom, courriel, âge, téléphone, adresse, etc… Habitudes d’achat Il faut aussi parfois qu’il y ait un lien entre les informations Cela ne concerna pas non plus les éléments qui sont du domaine public Etc.

La problématique internationale Vie privée en Amérique du nord (sauf Québec) Droit économique Auto-régulation Grosse pression pour empêcher l’édiction de lois Mais cela change... Vie privée en Europe Droit fondamental Lois dans tous les pays La vie privée est d’ordre public Directive européenne de 1995 Perspectives d’entente difficile

1 – Loi fédérale C-6: Première tentative d’harmonisation pan-canadienne Pas simplement sur la vie privée Documents électroniques Modifications loi sur la preuve Historique Avant, il y avait C-54 C-6 est apparu en 1999 Problèmes constitutionnels de cette loi Problèmes entre Québec et ROC Aussi étrange que cela puisse être, il reste l’aval du Parlement européen Avis de la Commission européenne sur la Loi canadienne Avis des pays tiers Respect du calendrier

1 – Loi fédérale Une substance controversée Manque de mordant en terme de procédure (action) Manque de mordant en terme de substance Les articles de bases sont les articles 5 (3) 7 (1) 7 (2) 7 (3) Document qui légitimise le Code type du CSA reproduit en annexe 1 (exemple d’ une loi qui s’approprie les usages)

2 – Lois provinciales Le Code civil (art. 35, 36, 37) La Loi sur les renseignements personnels dans le secteur privé 1992 – Première province à avoir une loi En fait, deux lois Création d’une instance permanente (la Commission d’accès à l’information) Approche très européenne (comparaison avec le droit français) Approche très protectrice Fleuron du droit québécois face aux autres provinces ou aux autres pays

2 – Lois provinciales Cueillette des RP Cueillette auprès de la personne concernée sauf consentement (art. 6) sauf si intérêt légitime (notion restrictive de l’intérêt légitime) Ex: commerçant envoie des fleurs lors de l’anniversaire de la personne? Envoi de pub seulement (sans doute que non?) Justifier la provenance (être capable de dire d’où vient l’information dans le fichier – art. 7) Informer la personne concernée (art. 9) Pourquoi (finalité) Utilisation Lieu de détention de l’information

2 – Lois provinciales Principe de base - dossiers sont confidentiels et ne peuvent être communiqués (article 13) Exception – consentement Définition du consentement (article 14). « Le consentement à la communication ou à l’utilisation d’un RP doit être manifeste, libre, éclairé et être donné à des fins spécifiques. Ce consentement ne vaut que pour la durée nécessaire à la réalisation des fins pour lesquelles il a été demandé.  Un consentement qui n’est pas donné conformément au premier alinéa est sans effet. »

2 – Lois provinciales Accès et rectification d’un dossier Procédure écrite (art. 30) Le commerçant agit avec diligence Gratuité ou frais raisonnable (art. 33) Droit de retrancher des données

3 – droit américain Il existe évidemment une protection mais pas par des lois Jurisprudence Code de conduite Les expériences Truste et BBBonline Historique En 1996 problèmes et menaces de Clinton Création des labels de qualité Amélioration? Pas vraiment étant donné la hausse du trafic Menace encore de faire des lois 2000 – Les accords avec l’Union européenne: la fin de la guerre de la vie privée? Plusieurs lois sectorielles (enfants – finance – santé – etc.) Plusieurs grosses entreprises demandent une loi

guerre de la vie privée (USA / Europe) Directive de 1995 (article 25) 1.Les États membres prévoient que le transfert vers un pays tiers de données à caractère personnel faisant l'objet d'un traitement, ou destinées à faire l'objet d'un traitement après leur transfert, ne peut avoir lieu que si, sous réserve du respect des dispositions nationales prises en application des autres dispositions de la présente directive, le pays tiers en question assure un niveau de protection adéquat. 2. Le caractère adéquat du niveau de protection offert par un pays tiers s'apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données; en particulier, sont prises en considération la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d'origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées. 4. Lorsque la Commission constate, conformément à la procédure prévue à l'article 31 paragraphe 2, qu'un pays tiers n'assure pas un niveau de protection adéquat au sens du paragraphe 2 du présent article, les États membres prennent les mesures nécessaires en vue d'empêcher tout transfert de même nature vers le pays tiers en cause.

guerre de la vie privée (USA / Europe) Bataille depuis 1997 08 / 2000: L’accord sur le « Safe Harbour » (ou les sphères de sécurité) Toutes les entreprises déposent leurs politique au FTC Chaque politique est analysée Pouvoirs d’investigation et de sanction Si pas de respect, on retire de la liste Possibilité d’avoir des dérogation avec l’article 26

4 – droit européen Directive de 1995 Directive vie privée et communications électroniques (2002) Voir plus généralement le site de la Commission européenne sur la vie privée

principes Il y a les principes généraux (10 principes) Et il y a les principes spécifiques (10 principes) Même si recoupements possibles

principes généraux Responsabilités Finalités Consentement Limitations de la collecte Limitation de l’utilisation, communication et de la conservation Exactitude Sécurité Transparence Accès Recours

principes généraux Responsabilité « Une organisation est responsable des renseignements personnels dont elle a la gestion et doit désigner une ou des personnes qui devront s’assurer du respect des principes énoncés ci-dessous. » « Les organisations doivent assurer la mise en oeuvre des politiques et des pratiques destinées à donner suite aux principes, y compris : a) la mise en oeuvre des procédures pour protéger les renseignements personnels ; b) la mise en place des procédures pour recevoir les plaintes et les demandes de renseignements et y donner suite ; c) la formation du personnel et la transmission au personnel de l’information relative aux politiques et pratiques de l’organisation ; et d) la rédaction des documents explicatifs concernant leurs politiques et procédures.

principes généraux 2. Finalités « Les fins auxquelles des renseignements personnels sont recueillis doivent être déterminées par l’organisation avant la collecte ou au moment de celle-ci. »

principes généraux 3. Consentement « Toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. » EX: Selon une décision du Commissariat à la vie privée (Conclusion #40, 2002 IIJCan 42369 (C.V.P.C.)), du 12 mars 2002, une banque ne peut exiger d’une personne souhaitant ouvrir un compte sans avoir un quelconque crédit (simplement pour déposer des chèques), une étude crédit classique avec présentation d’un NAS.

principes généraux 4. Limitation de la collecte « L’organisation ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées et doit procéder de façon honnête et licite.  »

principes généraux 5. Limitation du traitement « Les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée n’y consente ou que la loi ne l’exige. On ne doit conserver les renseignements personnels qu’aussi longtemps que nécessaire pour la réalisation des fins déterminées. » EX: Selon une décision du Commissariat à la vie privée (Conclusion #121, 2003 IIJCan 33645 (C.V.P.C.)), du 23 janvier 2003, une banque est responsable d’un employé qui utilise des renseignements sur un client pour commettre une fraude. En l’occurrence, le dédommagement offert par la banque est jugé suffisant.

principes généraux 6. Exactitude « Les renseignements personnels doivent être aussi exacts, complets et à jour que l’exigent les fins auxquelles ils sont destinés. »

principes généraux 7. Mesures de sécurité « Les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. » EX: Selon une décision du Commissariat à la vie privée (Conclusion #177, 2003 IIJCan 38271 (C.V.P.C.)), du 05 juin 2003, une banque ne peut laisser un ordinateur connecté à des renseignements personnels dans une aire publique sans mot de passe. EX: Selon une décision du Commissariat à la vie privée (Conclusion #289, 2005 IIJCan 15488 (C.V.P.C.)), du 03 février 2005, une banque est resposable du vol d’un ordinateur portatif de l’une de ses employée.

principes généraux 8. Transparence « Une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne. » EX: Selon une décision du Commissariat à la vie privée (Conclusion #183, 2003 IIJCan 38064 (C.V.P.C.)), du 10 juillet 2003, une banque n’est pas tenue de publier ses politiques et ses pratiques concernant la gestion des renseignements personnels. Il est notamment précisé que « le commissaire était d’avis qu’une institution bancaire doit savoir de façon plus générale quelles seront les conséquences de la diffusion de détails sur ses politiques et pratiques. Il a trouvé logique qu’une banque ne veuille pas rendre public les étapes précises suivies pour empêcher la fraude, puisque les criminels pourraient utiliser cette information pour déjouer les mesures de protection de l’institution ».

principes généraux 9. Accès « Une organisation doit informer toute personne qui en fait la demande de l’existence de renseignements personnels qui la concernent, de l’usage qui en est fait et du fait qu’ils ont été communiqués à des tiers, et lui permettre de les consulter. Il sera aussi possible de contester l’exactitude et l’intégralité des renseignements et d’y faire apporter les corrections appropriées. »

principes généraux 10. Plaintes « Toute personne doit être en mesure de se plaindre du non-respect des principes énoncés ci-dessus en communiquant avec le ou les personnes responsables de les faire respecter au sein de l’organisation concernée. »

principes spécifiques 1. Existence d’une politique Reprendre les éléments de base Les respecter Écrire une politique lisible Disposer cette politique dans un endroit stratégique (voir par exemple les exigences de TrustE) 2. Inscrire dans la politique la finalité de la collection, l’utilisation ou la communication des RP

principes spécifiques 3. Aménager le consentement OPT-IN: droit d’opposition quant à l’utilisation ultérieure Soit actif Soit passif OPT-OUT: droit de retrait N’importe quand Ne plus utiliser les RP pour les finalités déjà consenties Attention au formulaire de renonciation (idem contrat)

principes spécifiques 4. Utilisation des cookies. Sont-ils comestibles? Qu’est-ce c’est? A quoi ça sert? Retracer Sécurité Faciliter l’utilisation (ex: panier d’achat) Expliquer ce que c’est et dire comment s’en prémuni

principes spécifiques 5. Le droit d’accès 6. Le respect d’une certaine sécurité 7. Mettre la liste des RP saisis sur le site et éventuellement préciser ceux qui ne le sont pas 8. Éventuellement envisager des situations spéciales selon les spécificités du site Enfants Informations sur la santé 9. Éventuellement faire une mention de la loi applicable 10. Éventuellement permettre un lien par courriel à un responsable des RP sur le site

Pause réflexion ! Et si tout cela était inadapté ?  Pierre TRUDEL, « De la « surveillance » à la qualité : les fondements actualisés du droit de la protection des données personnelles dans le gouvernement en ligne », 2005.  Vincent GAUTRAIS, « Le défi de la protection de la vie privée face aux besoins de circulation de l’information personnelle », (2004) 9-2 Lex Electronica

VP et travail 20% de loisirs au travail !!! EX: Grief d’arbitrage le 28 janvier 2000 Licenciement confirmé par l’arbitre 329 heures sur Internet dont sites pornos 223 utilisation de son mot de passe OK, mais comment fait l’employeur pour avoir des données aussi précises et à quel prix? Moyens de surveillance très élaborés Logiciels spécialisés (Little Brother, Redhand, etc…) Étude aux Etats-Unis de l’American Management Association International selon laquelle en 1998 63% des employeurs surveillent les courriels des employés 23% ne le disent pas Mais moyens de contourner de plus en plus fort aussi… Crypto Adresse ailleurs

Problématique juridique Vers la reconnaissance d’une vie privée au travail Charte canadienne des droits et libertés (art. 8 sur les fouilles pas explicite mais néanmoins présent) Charte québécoise (art. 5 « toute personne a droit à la protection de la vie privée ») et aussi 4 (dignité) 24 (fouilles) 46 (personne qui travaille a droit à des conditions justes et raisonnables…) C.c.Q. 5 (général) 35 et ss (vie privée) 2087 (dignité) 2058 (pas de preuve si atteinte aux droits fondamentaux) EN France, COMPARONS Code pénal 226-1 (écoutes téléphoniques) 226-15 (violation du secret des correspondances privées) Code du travail 122-45 (idem) 121-8 (aucune information concernant personnellement un salarié ou un candidat à l’embauche ne peut être collectée par un dispositif qui n’a pas été portée personnellement à la connaissance du salarié)

Problématique juridique Bridgestone c. Firestone (1999) (CA) (filature d’un employé sensé être malade) Triple rupture Motifs rationnels Mesure de filature est rendue nécessaire Mesure la moins intrusive possible Lien avec le web 2.0 Lieux publics ou lieu privé ? Raisonnabilité ? D’autres moyens ? Rationnalité ? Etc.

2858. Le tribunal doit, même d'office, rejeter tout élément de preuve obtenu dans des conditions qui portent atteinte aux droits et libertés fondamentaux et dont l'utilisation est susceptible de déconsidérer l'administration de la justice.

admission (trop?) fréquente

mais admission fréquente Pawlus c. Hum, 2008 QCCQ 11136 (CanLII) Fraternity House

mais admission fréquente Renaud et Ali Excavation, 2009 QCCLP 4133 (CanLII) « 26 janvier : JE VIENS ARRIVER DU DOCTEUR COOL JAI EU CE QUE JE VOULAIS » [sic]

mais admission fréquente Droit de la famille — 091638, 2009 QCCS 3099 (CanLII) [25] Pour son père, elle doit « se brancher ». Il se dit prêt à l’aider en lui remboursant une partie de ce qu’elle aura payé pour ses études. Il doute toutefois du sérieux de son projet d’études collégiales : elle a, jusqu’à présent, montré peu de motivation pour l’école. Des messages qu’elle envoie à de prétendus amis sur « Facebook » sont loin de démontrer son intérêt lorsque pris au pied de la lettre : elle parle de l’école en des mots vulgaires et négatifs. [37(…) À l’audience, elle réussit à convaincre qu’elle est maintenant décidée à aller chercher la formation dont elle a besoin pour acquérir son autonomie financière. Elle explique, par exemple, que ses commentaires sur « Facebook » à l’égard de l’école sont formulés comme des blagues et ne reflètent pas ses véritables intentions. Elle n’envisageait sûrement pas qu’ils soient portés à la connaissance de ses parents et du Tribunal.

mais admission fréquente Garderie Les << Chat >> ouilleux inc. et Marchese, 2009 QCCLP 7139 (CanLII) [26]           Lors de son témoignage, la travailleuse a confirmé avoir passé une semaine de vacances en République Dominicaine au mois de janvier 2008. Elle a mentionné qu’elle avait toujours mal au dos à ce moment-là mais qu’elle avait besoin de vacances pour son moral et qu’elle s’était reposée, évitant de faire des activités. Des photographies prises lors de cette semaine de vacances, provenant du site de la travailleuse sur « Facebook », ont été imprimées par l’employeur et produites à l’audience. [59]  (…). De plus, certaines photographies produites à l’audience montrent la travailleuse en vacances en République Dominicaine, en janvier 2008, dans des positions peu compatibles avec une souffrance lombaire aussi importante que ce qu’elle décrit à ses médecins à la même (…).

mais admission fréquente « She said she could no longer kayak, hike or bicycle, but the defendant produced some of the plaintiff’s own photographs posted on her Facebook page that showed her doing these activities. » (Bagasbas v. Atwal, 2009 BCSC 512)

mais admission fréquente « [44] The wife’s counsel has asked me to consider the entry that the husband’s girlfriend placed on her Facebook page, which says: “Cat Food $50, Lawyer’s Bills $500,000, Bothering ex – Priceless.” [45] I am satisfied that I am unable to attribute those comments in Facebook to the husband, or to conclude that he even had any knowledge of it. Therefore, I disregard it entirely. » (Mills v. Eglin, 2009 BCSC 1595 )

Problématique juridique La jurisprudence canadienne fait souvent référence au droit américain et met des limites à la vie privée Quant au lieu SAQ c. Syndicat … (1983) TA 335 Cour suprême pas si sûr (1988 dans Dyment) Cour suprême ajuste (1984) Hunter c. Southam) dépend des circonstances Quant au consentement implicite Qui peut apparaître implicitement dans un contrat de travail Bridgestone c. Firestone (1999) (CA) (filature d’un employé sensé être malade) Triple rupture Valable même dans l’établissement Subordination n’entraîne pas forcément renonciation implicite Raisonnabilité de la surveillance

sur le plan pratique 1) Les raisons d’un « monitoring » de l’employeur i.      L’efficacité de l’employé (diligence à 2088 C.c.Q.) ii.     La fuite d’informations confidentielles (exception: 1472 C.c.Q.) iii.    La propriété intellectuelle 2) Le droit de l’employeur de contrôler le travail 3) Le devoir de loyauté de l’employé (2088 / 1375 C.c.Q.) 4) La protection des droits individuels : principes généraux (pas systématique et discriminatoire) 5) Étude de la jurisprudence : la spécificité de la protection de l’employé

sur le plan pratique 1 – Sanctions possibles si avertissements (politique) De plus en plus un critère (clair au fédéral – moins au provincial) États-Unis: pas besoin Europe (France): cela dépend… Attention donc au droit comparé 2 – Contrôle possible de l’employeur si Avertissements Pas arbitraire « Raisonnable » 3 – Proportionnalité de la sanction Pas forcément de sanctions graves la première fois 4 – Autres critères susceptibles d’être pris en compte Propriété de l’ordinateur Lieu du travail (télétravail?)

Avertissements Belisle c. Rawdon (Municipalité), 2005 QCCRT 453 (IIJCan) (il n’y a pas eu avertissement) [168]      De surcroît, en l’absence d’une politique claire de l’intimée quant à l’usage du matériel informatique et en l’absence de preuve d’un préjudice quelconque à l’employeur, ce motif ne saurait justifier le congédiement du plaignant, comme le souligne la Cour du Québec dans l’affaire Commission des normes du travail c. Bourse de Montréal (2002) R.J.D.T. 617 Commission des normes du travail c. Bourse de Montréal, D.T.E. 2002T-373 (Québec) il n’y a pas eu avertissement) Services d'administration P.C.R. Ltée. c. Québec (Commissaire du travail), 2003 IIJCan 602 (QC C.S.) (il y a eu avertissement) Syndicat canadien des communications, de l’énergie et du papier, Section locale 522 c. CAE Électronique Ltée, D.T.E. 2000T-157 (T.A.) (il y a eu avertissement)

Avertissements Même si politique, peut ne pas marcher Bell Canada c. Association canadienne des employés de téléphone, D.T.E. 2000T-254 (T.A.) Boisvert c. Industrie Machinex (2002) Même si absence de politique, employé peut être condamné

Contrôle possible de l’employeur si … 1 – Raisonnabilité 2 – Mais attente raisonnable de vie privée de l’employeur Srivastava Bell Canada Blais c. Société des Loteries Vidéos du Québec Inc., 2003 QCCRT 14 (IIJCan) 3 – Pas de congédiement prétexte 4 – Charge de la preuve à l’employeur Alliance de la fonction publique du Canada c. Musée des beaux-arts du Canada (2003)

Proportionnalité Alliance de la fonction publique du Canada c. Musée des beaux-arts du Canada (2003) Jacobs c. Mohawks Internet Technologies/Sports Interaction (2004) Pas de mise en garde (Syndicat des cols bleus)

critères aggravants Haut niveau d’indépendance de l’employé Syndicat canadien des communications, de l’énergie et du papier, Section locale 522 c. CAE Électronique Ltée, D.T.E. 2000T-157 (T.A.)  Refus de collaboration – faible ancienneté – mauvaise foi Syndicat des spécialistes et professionnels d’Hydro-Québec c. Hydro-Québec, non rapporté, 2 septembre 2003 DiVito Centre de réadaptation Lethbridge Propriété Srivastava c. Hindu Mission of Canada, [2001] J.Q. 1913 (CA) NON Arpin c. Grenier, 2004 IIJCan 11259 (QC C.Q.) OUI Gravité Perrault

critères exonérants Ancienneté / utilisation ponctuelle Bell Canada c. Association canadienne des employés de téléphone, D.T.E. 2000T-254 (T.A.) L’arbitre note que l’incident ne représente pas un cas isolé et convient qu’il est compréhensible que le temps et l’équipement de l’employeur, tels le téléphone ou l’Internet, soient parfois utilisés à des fins personnelles. Il y aura faute si l’usage est fréquent et prive la direction de l’exécution du travail. Malgré la dérogation au code de conduite qui interdisait la transmission de ce genre de messages, le décideur considère que le salarié n’a pas utilisé exagérément le temps de son employeur, que ce dernier accorde trop d’importance au contenu érotique des fichiers et que leur transmission n’a pas affecté sa réputation. Vu les neuf ans d’ancienneté et le dossier disciplinaire vierge, l’arbitre impose plutôt une suspension de trois mois. Pas de précédent Bell Canada Absence de dommages (sur des sites de hackers) Commission des normes du travail c. Bourse de Montréal inc., D.T.E. 2002T-373 (C.Q.) 

Illustrations – Jurisprudence Alliance de la fonction publique du Canada c. Musée des beaux-arts du Canada (2003) Fiset c. Services d’administration P.C.R. (2003) Perreault c. Syndicats des employés de soutien de l’Université de Sherbrooke (2004) Syndicat des cols bleus regroupés de Montréal, section locale 301 c. La Ronde (Six Flags) (2004) Jacobs c. Mohawks Internet Technologies/Sports Interaction (2004) Arpin c. Grenier (2004) Centre de réadaptation Lethbridge c. Syndicat des physiothérapeute et des thérapeutes en réadaptation physique du Québec (2004) Blais c. Société des loteries vidéo du Québec (2003) Boisvert c. Industrie Machinex (2002) DiVito c. MacDonald Dettwiler & Associates, [1996] B.C.J. 1436. Srivastava c. Hindu Mission of Canada, [2001] J.Q. 1913 (CA) Bell Canada c. Association canadienne des employés de téléphone, (2000) DTE T-254 (TA) Syndicat canadien des communications, de l’énergie et du papier, section locale 522 c. CAE Électronique, (2000) DTE T-157 (TA) Commission des normes du travail c. Bourse de Montréal, (2002) DTE T0373 (CQ) Syndicat des spécialistes d’Hydro-Québec c. Hydro-Québec, non rapporté (2003)

Forme d’une politique de VP Reprendre les éléments de base Les respecter Écrire une politique lisible Disposer cette politique dans un endroit stratégique La mise à la connaissance de l’employé Avis aux employés et modalités de mises à la connaissance Répétition des avis (programmation des accès Internet) Formation des employés Signature d’un document (électronique ou papier) Modalités de contrôle

Contenu d’une politique de VP Étendue des permissions Étendue des interdictions (activités prohibées) Propriété des outils de « production » Protéger contre utilisation inappropriée Protection des informations sensibles Réserve des droits de l’employeur Fréquence des contrôles Prévoir sanctions si manquement Prévoir si empoylé s’en va de l’entreprise Etc…