Le 1er septembre 2023, la loi sur la protection des données (nLPD) totalement révisée entrera en vigueur, y compris l'ordonnance sur la protection des données (OPD) et l'ordonnance sur les certifications en matière de protection des données (OCPD) qui s'y rapportent. Il est important de savoir qu'il n'y aura pas de période de transition et que les entreprises devront avoir mis en œuvre les nouvelles exigences dès leur entrée en vigueur. Si tu ne t'es pas encore penché sur ce sujet, il est grand temps de le faire ! Dans cet article spécialisé, notre Legal donne une brève introduction à la nLPD, met en lumière trois exemples pratiques pertinents et donne des recommandations d'action concrètes pour les responsables RH.
Qu'est-ce que la nLPD ?
Pour l'essentiel, la loi s'aligne sur le General Data Protection Regulation (GDPR), terme anglais désignant le règlement général sur la protection des données de l'Union européenne (RGPD). Comme de nombreuses entreprises se sont déjà adaptées au GDPR, la nécessité d'agir pourrait désormais être un peu moins grande pour elles. Néanmoins, certaines spécificités suisses ne doivent pas être négligées. Une particularité suisse essentielle est le régime pénal de la protection des données, qui prévoit des amendes allant jusqu'à CHF 250'000 pour les personnes individuelles (et non les entreprises).
Qu'entend-on par données personnelles ou données à caractère personnel ?
Les données personnelles sont des informations qui rendent une personne directement ou indirectement identifiable, comme par exemple le nom, le numéro de collaborateur/d'AVS/de patient, les données de localisation, les adresses IP, les contributions aux médias sociaux ou la mention de plusieurs caractéristiques particulières (physiques, physiologiques, génétiques, psychiques, économiques, culturelles, sociales). Une catégorie spéciale de données personnelles, les « données personnelles sensibles », par exemple les données relatives aux opinions ou aux activités religieuses, philosophiques, politiques ou syndicales, sont soumises à des exigences légales accrues. Leur traitement doit par exemple faire l'objet d'un consentement explicite. Contre toute attente, les données salariales n'entrent pas dans cette catégorie.
La nLPD concerne-t-elle aussi les entreprises en dehors de la Suisse ?
Oui, en raison du champ d'application transfrontalier de la nLPD, les faits qui se déroulent en dehors de la Suisse sont également concernés, pour autant qu'ils aient des répercussions en Suisse. Donc concrètement, si tu...
- en tant qu'entreprise de l'UE, tu as des clients-e-s en Suisse et que tu leur proposes des services ou des produits en Suisse.
- tu as un établissement en Suisse.
- tu observes le comportement de citoyens suisses en Suisse (par exemple en évaluant la manière dont ils utilisent leur site web ou leur application).
- Tu traites des données de collaborateurs-ices d'une succursale suisse à l'étranger (concerne les groupes mondiaux).
Éléments clés de la nLPD
Les éléments clés suivants de la nLPD régissent les principes qui doivent être pris en compte lors de tout traitement de données personnelles. Afin d'éviter toute redondance, il est recommandé de consulter la loi. Nous nous concentrerons ici sur les principes de traitement et sur le privacy-by-design et le privacy-by-default (voir graphique ci-dessous).
Principes de traitement
Tout traitement de données à caractère personnel requiert la légitimité, qui peut être obtenue de plusieurs manières. La base juridique la plus courante est l'exécution d'un contrat et le consentement de la personne dont les données sont traitées (sujet des données). Le consentement mentionné n'est valable que si le sujet des données a été informé de la finalité et que le consentement a été donné librement. Selon le type de données personnelles, le consentement doit être explicite. Un consentement tacite ne serait par exemple pas légal dans le cas de données personnelles sensibles. En outre, tout traitement de données personnelles doit toujours avoir un but clairement défini. Par exemple, une adresse indiquée à des fins de facturation ne peut pas être utilisée à des fins totalement différentes. Les données personnelles ne sont en principe conservées qu'aussi longtemps que le but du traitement l'exige. Ensuite, elles doivent être détruites ou rendues anonymes.
Privacy-by-Design et privacy-by-default
Ces deux principes sont apparentés. Privacy-by-Design prescrit que la protection des données est déjà mise en œuvre au niveau du développement d'un produit, par exemple lors de la programmation d'un logiciel. Privacy-by-Default, en revanche, exige que des paramètres par défaut favorables à la protection des données soient mis en place. L'option la moins invasive doit toujours être choisie. Les paramètres des cookies lors de la visite de sites web en sont un exemple concret. Selon le principe « privacy-by-default », seuls les cookies techniquement nécessaires peuvent être sélectionnés par défaut. Pour les cookies supplémentaires, le consentement actif (opt-in) du visiteur du site web est nécessaire.
Exemples de pratiques RH
Ci-après, trois situations RH spécifiques sont décrites du point de vue de la protection des données et servent de guide pour des clarifications supplémentaires.
Quelles données personnelles peuvent être collectées lors de manifestations (physiques ou en ligne) ?
Dans la plupart des cas, une personne doit s'inscrire à un événement et des données personnelles sont demandées à cette occasion. Il est important que seules les données personnelles nécessaires à l'organisation de la manifestation soient demandées. Faut-il par exemple indiquer une adresse de domicile ou une adresse électronique des participants suffit-elle ? De même, une déclaration de protection des données doit être disponible sur la même page de l'inscription ou du site web et doit fournir des réponses aux questions suivantes : Que fait-on avec les données personnelles ? Pourquoi ont-elles été collectées (cf. thème de l'adresse de domicile ci-dessus) ? Combien de temps sont-elles conservées et quand sont-elles effacées ? Quels sont les droits du sujet de données en matière de protection des données ? Pour conclure, il convient de souligner que les traitements de données mentionnés dans la déclaration de protection des données doivent effectivement être mis en œuvre et ne peuvent pas se limiter à de simples déclarations.
Une personne commence un nouveau travail. L'entreprise lui demande si sa photo peut être publiée sur l'Intranet en plus de l'information sur son nouvel emploi. L'accord de la personne est-il juridiquement valable ?
Comme nous l'avons déjà mentionné, la condition essentielle d'un consentement valable est le volontariat. Dans la relation employé-employeur, on peut se demander dans quelle mesure le consentement de l'employé peut être libre. En effet, une asymétrie de pouvoir est toujours présente dans la relation entre l'employeur et l'employé, ce qui ressort déjà du droit de donner des instructions. Dans cette situation, il est facile d'imaginer que la nouvelle personne ne donne son accord que par politesse, même si elle ne se sent pas à l'aise. C'est pour cette raison que le consentement pose problème. En même temps, il est nécessaire pour le déroulement normal du travail que les collaborateurs se connaissent aussi visuellement entre eux. Une solution pragmatique pourrait consister à donner à la personne la possibilité de choisir elle-même sa photo.
Un(e) collaborateur(trice) décide de quitter l'entreprise ou part à la retraite. Quelles données peuvent et doivent continuer à être utilisées ?
La particularité de cette situation est la disparition d'une relation contractuelle (de travail) après le départ du collaborateur. La relation qui existait auparavant entre l'employeur et l'employé s'en trouve fondamentalement modifiée. Si l'entreprise a justifié l'utilisation des données personnelles par le contrat de travail en cours, une nouvelle base juridique doit exister après la fin du contrat de travail.
Après le départ d'un collaborateur, les intérêts de l'employeur changent. Celui-ci peut toutefois avoir un intérêt tout à fait fondé à conserver les données personnelles de son ancien collaborateur au-delà de la fin du contrat. D'un point de vue juridique, des risques pourraient apparaître, par exemple sous la forme d'éventuelles revendications salariales de l'ancien employé. Un grand nombre de données personnelles pourraient ainsi devenir pertinentes : Temps de travail, données bancaires, données de sécurité sociale, etc. Cette justification (d'éventuelles créances salariales ultérieures comme motif de conservation de certaines données personnelles) prend fin au plus tard à l'expiration du délai de prescription des créances salariales ultérieures, c'est-à-dire cinq ans après la fin des rapports de travail.
Mais d'autres traitements de données personnelles sont également envisageables. Les entreprises continuent souvent à entretenir des contacts avec leurs anciens employés, par exemple sous la forme d'événements organisés pour les anciens ou les retraités. C'est pourquoi il est recommandé de prendre des mesures dès le départ pour que les futurs traitements de données personnelles se fassent dans le respect de la loi. En cas d'adhésion à une organisation d'anciens élèves ou à d'autres associations, il est judicieux d'inclure une section sur la protection des données ou d'établir une convention de protection des données. Cela permet de définir à l'avance tous les traitements de données futurs et les anciens collaborateurs ne seront pas surpris de recevoir des informations.
Recommandations d'action pour les responsables RH : Ce qu'il faut faire maintenant
De nombreuses entreprises ou certains départements sont dépassés par la mise en œuvre des exigences de la nLPD et ne savent pas par où commencer. C'est compréhensible, car beaucoup de choses ne sont pas clairement formulées.
Dans un premier temps, nous recommandons d'établir un registre de traitement. Celui-ci n'est pas seulement expressément prescrit par la loi, il s'agit également d'une nécessité pratique. Un registre de traitement donne une vue d'ensemble claire de toutes les données traitées dans les RH. Il est ainsi possible de réagir aux demandes des sujets de données et de formuler une déclaration de protection des données conforme à la loi. Le registre des traitements est donc une pierre angulaire importante pour le respect de la nouvelle loi sur la protection des données et pour une pratique efficace de la protection des données dans l'entreprise.
Outre l'établissement d'un registre des traitements, les périodes de conservation et de suppression de toute donnée personnelle utilisée par les RH doivent être répertoriées dans un tableau. Concrètement, il convient de définir pour chaque type de données personnelles la durée de conservation et le moment de leur suppression. Par exemple, il faut définir combien de temps les certificats médicaux doivent être conservés. Il est nécessaire de procéder à un examen approfondi des dispositions légales relatives à la protection des données ainsi que d'autres dispositions légales (par exemple les délais de prescription) afin de déterminer ces périodes. Il est en outre important de prendre en compte les scénarios futurs possibles (p. ex. quelles données personnelles doivent continuer à être traitées après le départ d'un collaborateur ? )
Chaque entreprise a la responsabilité de fournir les preuves d'un comportement conforme à la protection des données, ce qui signifie qu'elle doit être en mesure de prouver à tout moment qu'elle respecte la nouvelle législation. C'est pourquoi une documentation et une obligation de preuve strictes pèsent sur l'entreprise, et les données à caractère personnel doivent être protégées par des mesures de sécurité appropriées. En tant qu'entreprise, nous avons la responsabilité de supprimer les données des candidats, des collaborateurs-ices actuels et anciens et des clients dès que la finalité du traitement n'existe plus ou qu'il n'existe plus d'autre base juridique, par exemple en raison d'obligations légales de conservation. Il est donc essentiel de savoir exactement où et sous quelle forme les données à caractère personnel sont stockées. Cela peut concerner les systèmes suivants : Système ERP/RH, logiciel CRM, listes Excel ou dossiers papier systématiquement structurés et autres. Une saisie et une documentation minutieuses des données permettent de garantir le respect des nouvelles dispositions en matière de protection des données et la protection de la sphère privée des parties prenantes.
Enfin, je recommande de former les nouveaux collaborateurs à la protection des données dès leur arrivée et d'attirer leur attention sur tous les documents pertinents, y compris les éventuelles directives de protection des données, les déclarations de protection des données et les dispositions relatives à la protection des données dans le contrat de travail. Si les nouveaux collaborateurs sont sensibilisés et formés aux directives de l'entreprise en matière de protection des données et s'ils les considèrent comme faisant partie intégrante de la culture d'entreprise, il est plus probable qu'ils soient davantage conscients et responsables de la protection des données.
Mot de la fin : le chemin est le but
Maintenant, tu dois te mettre en route. Une préparation sérieuse à la nouvelle législation est vivement recommandée. Ne pas prendre de mesures et ne pas agir est dans tous les cas pire que de se lancer. Cela devient évident lorsqu'on regarde les sanctions en cas d'infraction. Non seulement en Suisse, mais aussi à l'étranger, on a appris avec des hochements de tête que des personnes privées pourraient à l'avenir être poursuivies pénalement si elles enfreignaient la nLPD. Le fait que les personnes privées puissent être frappées d'une amende pouvant aller jusqu'à un quart de million de francs suisses reste une particularité suisse largement critiquée (cf. art. 60 ss. nLPD). Cette nouvelle réglementation pourrait être comprise dans le sens d'une prévention générale, c'est-à-dire comme une dissuasion contre les infractions à la nLPD.
Il ne fait aucun doute qu'il y aura toujours quelque chose à faire en ce qui concerne l'amélioration de ta conformité en matière de protection des données. La garantie d'un niveau de protection adéquat est un processus continu. En t'efforçant activement d'optimiser en permanence tes mesures de protection des données, tu t'assures de répondre aux exigences et de protéger la sphère privée de tes parties prenantes. Un engagement continu te permet d'instaurer la confiance, de minimiser les risques pour ta réputation et de te conformer aux exigences légales. Reste attentif, tire les leçons de l'expérience et adapte constamment ta stratégie de protection des données à l'évolution des conditions. Tu seras ainsi bien équipé pour relever avec succès les défis de la protection des données et pour garantir la protection des données et la conformité à long terme. N'oublie pas : le chemin est la destination.
Auteur
Aniq Iselin
Legal
Master of Law, Legal Counsel et Data Protection Officer (DPO-HSG). A grandi bilingue (allemand & anglais), formation juridique aux universités de Zurich et de Lucerne ainsi qu'à l'université d'Oxford (Oriel College), missions d'enseignement dans des universités en Suisse et à l'étranger, activités juridiques dans des cabinets d'avocats et des sociétés de conseil. Il a trouvé sa passion dans le lien entre le droit et l'informatique, c'est-à-dire le droit de l'informatique et plus particulièrement le droit de la protection des données. Chez HR Campus, il a mis en place une organisation de protection des données. Dans ses échanges quotidiens avec les entreprises de logiciels et les clients-e-s, il trouve des solutions avancées dans les domaines du droit contractuel des logiciels et de la protection des données.