Nouvelle loi sur la protection des données : aperçu des principales nouveautés
Mar, 12 septembre 2023
Nouvelle loi sur la protection des données : aperçu des principales nouveautés
La loi révisée sur la protection des données (LPD) est entrée en vigueur le 1er septembre 2023. Elle reprend environ 80% du contenu du Règlement général européen sur la protection des données (RGPD), mais est rédigée de manière beaucoup plus synthétique. Néanmoins, la LPD s'est considérablement développée par rapport à la législation précédemment en vigueur. Elle comprend entre autres de nouveaux termes et rôles et impose de nouvelles obligations. Nous vous donnons ci-après un aperçu des principales nouveautés et leurs conséquences pour les employeurs.
Nouveaux rôles
Sont considérées comme responsables de traitement les personnes physiques ou morales ("personne privée") ou les autorités qui décident des finalités et des moyens du traitement de données à caractère personnel (art. 5 let. j LPD).
Les sous-traitants sont des personnes physiques ou morales ("personne privée") ou des autorités qui traitent des données personnelles pour le compte du responsable de traitement (art. 5 let. k LPD). Il y a souvent de la sous-traitance lorsqu'une entreprise externalise des processus commerciaux (ce qu'on appelle l'outsourcing). Un exemple typique est celui d'un employeur qui confie la comptabilité des salaires à une fiduciaire.
Le responsable de traitement a les obligations les plus étendues et assume la responsabilité du traitement des données, y compris pour le traitement effectué par le sous-traitant. C'est pourquoi, les responsables de traitement devraient examiner si les sous-traitants qu’ils mandatent respectent les exigences en matière de sécurité des données (diligence raisonnable ; se baser sur une certification, par exemple en respectant la norme ISO 27001:2013) et se fassent accorder le droit de procéder à des contrôles périodiques (droit d'audit) au moyen d'un contrat d'externalisation (également contrat de traitement des données de mandat). Le sous-traitant doit être en mesure de protéger de manière adéquate les données personnelles qui lui sont confiées contre tout accès non autorisé, toute perte accidentelle, tout dommage ou toute destruction. En d'autres termes, il doit garantir la sécurité des données (art. 9 al. 2 LPD). Plus les données sont sensibles, plus les mesures de protection exigées sont élevées.
Si le traitement des données doit avoir lieu à l'étranger, il faut en outre garantir que la protection de la personnalité soit assurée de manière équivalente selon l'article 16 LPD. Selon la LPD, c’est le Conseil fédéral qui est compétent pour constater si la législation d'un Etat étranger ou un organe international garantit une protection adéquate. Les Etats, territoires, secteurs spécifiques d’un Etat et organes internationaux offrant une protection adéquate des données sont énumérés à l'annexe 1 de l'ordonnance relative à la LPD. Si l'Etat destinataire ne garantit pas une protection adéquate des données, des mesures supplémentaires doivent être prises, comme par exemple des accords contractuels spéciaux ou l'obtention de consentements.
La communication de données personnelles à l'étranger est plus fréquente qu'on ne pourrait le croire. Les exemples suivants illustrent ce qui peut être qualifié de communication à l'étranger : enregistrement de données personnelles dans le cloud d'une entreprise de services en nuage ayant son siège à l'étranger (p. ex. Dropbox) ; envoi de données personnelles par e-mail à un destinataire à l'étranger ou transmission de données personnelles au sein d'un groupe international.
Si des données personnelles doivent être communiquées à l'étranger, la protection de la personnalité doit être équivalente à celle de la Suisse (ce que l'on appelle le Privacy Shield, art. 16 al. 1 LPD ; du point de vue de l'UE, art. 44 et suivants RGPD). Cela ne pose pas de problème dans les relations avec l'UE et le Royaume-Uni dans la mesure où ces états disposent d’un niveau de protection adéquat. Inversement, l'UE reconnaît que le niveau de protection des données en Suisse est équivalent au sien, conformément à l'art. 25 al. 6 de la directive européenne sur la protection des données.
Le sous-traitant ne peut traiter les données que comme le responsable pourrait le faire lui-même (art. 9 al. 1 let. a LPD) et uniquement si aucune obligation légale ou contractuelle n'interdit la transmission (art. 9 al. 1 let. b LPD). En outre, le traitement effectué par le sous-traitant ne peut être confié à un tiers qu'avec l'autorisation préalable du responsable de traitement (art. 9 al. 3 LPD, art. 7 OLPD). Toute violation de la sécurité des données doit être signalée au responsable de traitement (art. 24 al. 3 LPD).
En outre, l'art. 10 LPD régit la fonction et le rôle du conseiller à la protection des données. Il peut s'agir d'une personne interne ou externe à l'entreprise. Il forme et conseille le responsable de traitement privé sur les questions de protection des données, participe à l'application des dispositions relatives à la protection des données et sert de point de contact pour les personnes concernées ainsi que pour les autorités chargées de la protection des données en Suisse. Il n'est pas obligatoire de nommer un conseiller à la protection des données pour les responsables de traitement privés.
Nouvelles obligations
La principale nouveauté est l'établissement d’un registre des activités de traitement conformément à l'article 12 LPD. Il s'agit d'une description interne écrite des informations essentielles concernant tous les traitements de données effectués par le responsable de traitement ou le sous-traitant et qui répond à la question suivante : qui traite quelles données et dans quel but ? L'établissement d'un registre des données est très coûteux. C'est pourquoi le Conseil fédéral prévoit des exceptions pour les entreprises de moins de 250 collaborateurs, pour autant que le traitement de leurs données ne présente pas de risque élevé (art. 12 al. 5 LPD). Selon l'art. 24 OPDo, il faut partir du principe qu'il existe un risque élevé lorsque des données personnelles sensibles sont traitées à grande échelle ou qu'un profilage à risque élevé est effectué. Il est à noter que seul celui qui fournit intentionnellement des renseignements inexacts au PFPDT ou refuse de le faire est punissable (art. 60 al. 2 LPD). En revanche, la négligence n’est pas punissable.
Toutes les opérations de traitement de données relatives aux collaborateurs font également partie du registre des activités de traitement. Même si l'établissement d'un registre n'est pas obligatoire, celui-ci peut aider à avoir une vue d'ensemble des traitements de données effectués dans l'entreprise et à garantir la mise en œuvre des obligations légales en matière de protection des données.
Une autre nouveauté est l'analyse d'impact sur la protection des données (AIPD), qui sert à limiter systématiquement les risques liés au traitement des données (art. 22 LPD). Les risques doivent être identifiés et réduits par des moyens appropriés. Selon l'article 22 LPD, il existe un risque élevé notamment lorsque des données personnelles sensibles sont traitées à grande échelle ou lorsque des domaines publics étendus sont systématiquement surveillés. La violation de l'obligation d'effectuer une AIPD n'est certes pas punissable, mais le PFPDT peut obliger le responsable à en effectuer une (art. 51 al. 3 let. d LPD) ou à lui donner accès à tous les renseignements et documents nécessaires (art. 50 al. 1 let. a LPD).
Si un employeur envisage de traiter des données de collaborateurs, il devrait réfléchir au préalable aux risques que le traitement pourrait avoir sur ces derniers. Il est recommandé de documenter non seulement l'exécution proprement dite de l’AIPD, mais aussi les réflexions sur la nécessité d'en effectuer une et sur la conclusion à laquelle on est parvenu.
En outre, la loi prévoit désormais la notification des violations de la sécurité des données au PFPDT (art. 24 LPD). Il est recommandé de mettre en place un processus permettant de documenter et d'évaluer les violations pour pouvoir les annoncer dans les cas où cela est obligatoire.
Pour les employeurs, cela signifie qu'ils doivent veiller à ce que les violations de la sécurité des données soient identifiées et signalées à la personne compétente au sein de l'entreprise. Cela exige que les collaborateurs qui traitent régulièrement des données personnelles soient formés sur le thème de la protection des données. Cela vaut par exemple pour les collaborateurs des RH qui traitent des données personnelles sensibles.
Afin de garantir la transparence, les articles 19 et suivants de la LPD prévoient une obligation d'information lorsque des données concernant une personne physique sont collectées. Cette obligation concerne désormais toutes les données personnelles, et pas seulement les données sensibles ou les profils de la personnalité, ce qui entraîne un surcroît de travail considérable pour les entreprises.
Le traitement des données des collaborateurs ou des candidats à un emploi est un traitement de données caractéristique nécessitant le respect des principes relatifs à la protection des données. En conséquence, l'employeur doit informer les personnes concernées du traitement de leurs données personnelles. Pour les collaborateurs, il peut le faire dans une déclaration de protection des données dans laquelle est indiqué comment les données sont traitées tout au long de la relation de travail. S’agissant des candidats, l'employeur mentionnera, dans une déclaration de protection des données, comment les données sont traitées depuis la postulation jusqu'à l'embauche ou le refus d’embauche.
Conformément aux articles 25 et suivants LPD, toute personne peut en principe demander gratuitement des renseignements au responsable du traitement afin de savoir si des données personnelles la concernant sont traitées. Il est recommandé de mettre en place des processus afin de pouvoir répondre systématiquement aux demandes d'information (y compris les demandes d'effacement, de limitation du traitement ou de rectification des données).
L'employeur devrait mettre en place un processus pour répondre aux demandes d'accès, d'effacement et de rectification émises par les collaborateurs. Voici les questions importantes à se poser : où les demandes de renseignements sont-elles reçues, qui examine la demande, toutes les données peuvent-elles être identifiées et rassemblées et qui coordonne la réponse dans quel délai ? Il est recommandé de désigner en interne une personne responsable des questions de protection des données au sein des RH.
Le droit de la protection des données en tant que droit pénal accessoire
Selon les articles 60 et suivants de la LPD, la violation de certaines obligations peut entraîner une amende pouvant aller jusqu'à 250 000 CHF. Contrairement au RGPD, lequel prévoit la punissabilité de l’entreprise, selon la LPD ce sont les personnes physiques elles-mêmes qui sont punissables. A titre subsidiaire, la LPD prévoit tout de même la possibilité de sanctionner l’entreprise (art. 64 LPD). Seule la commission intentionnelle de l'infraction, est punissable. La poursuite a lieu uniquement sur plainte (pas d’infractions poursuivies d'office). Le délai de prescription de l'action pénale est de 5 ans (art. 66 LPD).
Importance pour les employeurs
Pour satisfaire aux nouvelles exigences, les entreprises sont confrontées à des obligations accrues en matière de documentation, d'information et de déclaration. Elles ont donc tout intérêt à se préoccuper le plus tôt possible de leur conformité à la législation sur la protection des données ainsi que des conséquences afin de les intégrer dans leur stratégie d'entreprise. Même si le catalogue des sanctions s’est étendu, la stratégie de l’entreprise doit être conçue de manière à satisfaire aux nouvelles obligations en matière de protection des données. En cas de transmission de données personnelles à des sous-traitants, les exigences imposées aux responsables se refléteront dans les contrats d'externalisation.
Choisir une catégorie: