Le droit du travail en Suisse 2021

Des questions sur le droit du travail suisse?

Des problèmes avec votre employeur ou avec vos employés?

Des questions sur le licenciement, le droit aux vacances, la protection de la personnalité, le mobbing, les clauses de non-concurrence, etc.?

Des contrats de travail à établir ou à revoir ? Des règlements du personnel à élaborer ?

Un procès devant les juridictions du travail?

Vous pouvez…

consulter ce site gratuitement: plusieurs centaines de notes de fond et d’actualité sur le droit du travail et sur les domaines apparentés (droit social, droit fiscal). [Attention à la date de publication – elles ne sont pas mises à jour et peuvent donc parfois être dépassées!]

Pour cela, utilisez d’abord le moteur de recherche en haut à droite de la page d’entrée (« Rechercher »). Vous pouvez aussi consulter les notes par catégories ou prendre connaissance des dernières entrées.

Il est aussi possible de s’abonner gratuitement à ce site et de recevoir ainsi un avis lors de toute nouvelle publication (bouton « Suivre » en bas à droite).

lire nos publications, dont:

Philippe Ehrenström, Le droit du travail suisse de A à Z, nouvelle édition révisée et augmentée, Zurich, WEKA Business Media SA, 2020

Philippe Ehrenström, Les faits de double pertinence et les juges du travail genevois, in: Jusletter 29 juin 2020

Philippe Ehrenström, Le salaire suisse. Aspects pratiques, droit du travail et droit fiscal, nouvelle édition révisée et augmentée, Zurich, WEKA Business Media SA, 2018

Philippe Ehrenström, Bonus et très hauts revenus : une appréciation critique de la jurisprudence récente, in: Jusletter, 10 octobre 2016

vous former:

Formation Contrat de travail et règlement du personnel: Lausanne, 6 mai et 4 novembre 2021

(Détails: https://www.workshoppratique.ch/seminaires/ressources-humaines/droit-du-travail/event/651-contrat-de-travail-et-reglement-du-personnel-redaction-et-ma-trise-des-risques/)

Formation Dossier du personnel et protection des données: Lausanne,  4 mars et 7 septembre 2021

(Détails: https://www.workshoppratique.ch/seminaires/ressources-humaines/droit-du-travail/event/978-dossiers-du-personnel-et-protection-de-la-personnalite/)

nous contacter:

Me Philippe Harald Ehrenström, avocat, ll.m., 6 bd des Tranchées, 1205 Genève

& 10 rue du Pontet, 1425 Onnens (VD)

Tél.: + 41 22 733 61 50; fax: + 41 22 733 61 51

Formulaire de contact :

Publié dans Astuces pratiques, Divers | Tagué , , , , , , , , , | Laisser un commentaire

Les principes en droit suisse de la protection des données

Photo de Sasha Prasastika sur Pexels.com

[Le droit suisse de la protection des données, c’est aussi du droit du travail !

En effet, outre le renvoi de l’art. 328 b CO, le droit de la protection des données s’applique à des degrés divers dans toutes les étapes de la gestion des ressources humaines, de l’engagement au contentieux en passant par la tenue du dossier personnel.

Or le droit suisse de la protection des données va connaître un bouleversement considérable au 2e semestre 2022 avec l’entrée en vigueur de la loi révisée sur la protection des données et de son ordonnance.

Contrairement à ce que l’on peut lire ici ou là, le nouveau droit de la protection des données va entraîner des adaptations substantielles des pratiques et des manières de faire, particulièrement pour les employeurs qui ne se sont pas adaptés au RGPD car ils n’avaient pas à le faire.

Je vais donc présenter sur ce blog quelques-unes des nouveautés à venir pendant le 2e semestre 2021.]

Le droit suisse de la protection des données obéit à de grands principes généraux figurant  essentiellement aux art. 4 à 7, 14 et 18a de la loi fédérale sur la protection des données (LPD ; RS 235.1) et 6 de la nouvelle loi fédérale sur la protection des données, qui devrait entrer en vigueur dans le 2e semestre 2022 (FF 2020 7397). Le cœur de la matière en est l’art. 4 LPD, qui s’applique tant au traitement de données effectué par des personnes privées que par des organes fédéraux.

Exprimés en termes très généraux, les principes ont d’abord une valeur didactique. Leur inscription spécifique dans la LPD pouvait en effet faire débat, dans la mesure où certains (licéité, bonne foi, proportionnalité) sont de toute façon applicables de manière générale dans tous les domaines du droit. Ils vont néanmoins servir à concrétiser la protection constitutionnelle de la personnalité dans le domaine spécifique de la protection des données (art. 13 al. 2 Cst). Ils guideront (enfin espérons-le) le législateur lorsqu’il édictera des prescriptions et serviront d’aide à l’interprétation. Les principes s’appliqueront dans chaque traitement individuel de données, mais aussi à toute politique globale de traitement mise en œuvre, et, en fait, à toutes les étapes du traitement de données. La violation des principes amènera enfin à retenir généralement une atteinte illicite à la personnalité de la personne concernée (art. 12 al. 2 let. a et 13 LPD ; 30 et 31 nLPD), sous réserve d’éventuels motifs justificatifs.

Le premier principe est de celui de licéité : tout traitement de données doit être licite (art. 4 al. 1 LPD ; 6 al. 1 nLPD). Un traitement de données est illicite uniquement si des données sont traitées dans une finalité contraire à une disposition impérative visant la protection de la personnalité des personnes concernées [cf. arrêt du TAF A-3548/2018 du 19 mars 2019 « Helsana » concernant une violation des dispositions sur l’assurance maladie]. Dit autrement, sont illicites les traitements de données qui contreviennent à une norme impérative hors du cadre de la LPD et qui protège directement ou indirectement la personnalité. On pensera par exemple aux dispositions pénales protégeant la personnalité ou les systèmes d’information, aux art. 28 et ss CO, aux violations de secrets protégés (art. 320 et 321 CP, art. 47 LB), etc. Pour les organes fédéraux, il convient de rappeler l’exigence de la base légale à tout traitement de données, base légale qui doit être formelle s’il s’agit de données sensibles, de profilage ou de risque d’atteinte grave aux droits fondamentaux de la personne concernée (art. 34 al. 2 et 3 nLPD ; comparer avec l’art. 17 LPD).

Le second principe est que le traitement de données doit être effectué conformément aux principes de la bonne foi (art. 4 al. 2 LPD ; 6 al. 2 nLPD). C’est un principe d’application générale dans l’ordre juridique suisse (art. 2 CC). On retiendra ainsi que le traitement doit répondre à un intérêt raisonnable, qu’il doit poursuivre un but déterminé et qu’il doit se faire conformément aux assurances données à cette fin. Dit autrement, aucune donnée ne devrait être traitée à l’insu de la personne concernée ou contre sa volonté. Une entreprise qui s’engagerait à détruire des dossiers de candidature, et qui ne le ferait pas en fin de processus, violerait ainsi le principe de la bonne foi, alors qu’en l’absence d’engagements explicite sur cette question la conservation des données après le terme du processus violerait alors le principe de proportionnalité. De la même manière une entreprise qui indiquerait que tous les champs d’un formulaire en ligne seraient obligatoires, alors que certaines ne sont pas nécessaires pour le traitement, violerait le principe de la bonne foi. Celui-ci peut aussi fonder un devoir positif d’information de tiers en cas de défaillances de sécurité ou de rectification de données [la nouvelle LPD prévoit d’ailleurs ici explicitement un devoir d’information en cas de data breach : art. 24 nLPD].

Le troisième principe est celui de la proportionnalité (art. 4 al. 2 LPD ; art. 6 al. 2 nLPD). Les sous-principes en rapport sont ceux de l’aptitude ou de l’adéquation (le moyen est apte à atteindre le but visé), de la nécessité (entre plusieurs moyens, on choisit celui qui porte l’atteinte la moins grave aux intérêts en cause) et de la proportionnalité au sens étroit (mise en balance des effets du moyen choisi sur la situation de la personne concernée avec le résultat escompté en fonction du but visé). Le maître du fichier ne peut donc traiter que les données qui sont objectivement nécessaires pour atteindre le but poursuivi, qui sont aptes à l’atteindre et pour autant que le traitement demeure dans un rapport raisonnable entre le but recherché et les moyens utilisés, tout en préservant le plus possible le droit des personnes concernées. En droit du travail, l’art. 328b CO, qui prévoit que l’employeur ne peut traiter des données que dans la mesure où elles portent sur les aptitudes du travailleur à remplir son emploi ou sont nécessaires à l’exécution du contrat de travail, est une expression du principe de proportionnalité « matérielle », laquelle s’applique notamment à l’étendue des données récoltées, traitées et/ou conservées.

Les principes de Datenvermeidung (évitement des données) et de Datensparsamkeit (minimisation ou économicité des données) découlent du principe de proportionnalité. Ils doivent être observés lors de la conception de tout système ou traitement : si le but peut être atteint sans collecte ou enregistrement de données nouvelles, alors il ne faut pas y procéder ; par ailleurs si la collecte, le traitement ou d’autres formes de traitement sont nécessaires, ils doivent porter sur le nombre et le type de données strictement nécessaires au but légitime poursuivi.

Dans un arrêt 1C_273/2020 du 05 janvier 2021, destiné à la publication, le Tribunal fédéral avait eu à connaître de l’installation de compteurs de consommation d’eau « intelligents » introduits dans une commune argovienne ensuite de la modification du règlement communal. Il avait ainsi retenu que ce compteur était peut-être justement un peu trop « intelligent ». Les données de consommation d’eau étaient bien des données personnelles au sens de l’art. 3 let. a LPD, et leur traitement à des fins de facturation était conforme au droit à l’autodétermination informationnelle (art. 13 al. 2 Cst.) Cela étant dit, leur collecte, leur conservation pendant 252 jours sur un compteur et leur émission par radio toutes les 30 ou 45 secondes sans but défini étaient contraires aux principes de l’évitement et de la minimisation de données et constituaient par conséquent une atteinte disproportionnée au droit constitutionnel précité. [commenté par Kastriot Lubishtani, Compteurs d’eau intelligents et principes de l’évitement et de la minimisation des données, 15 février 2021 in www.swissprivacy.law/56]

Le principe de proportionnalité s’applique à tous les étages et à toutes les opérations de traitement. Ainsi et par exemple, un employeur qui conserverait des données au-delà de ce qui est nécessaire au sens de l’art. 328b CO violerait ce principe. L’art. 6 al. 4 nLPD prévoit explicitement que les données sont détruites ou anonymisées dès qu’elles ne sont plus nécessaires au regard de la finalité du traitement, mais cela découlait de la simple application du principe de proportionnalité dans le droit actuel. Le responsable de traitement devra donc demain, comme aujourd’hui, fixer des délais de conservation.

Le quatrième principe est le principe de reconnaissabilité (aussi appelé principe de transparence) lequel prévoit que la collecte de données personnelles, et en particulier les finalités du traitement, doit être reconnaissable pour la personne concernée (reconnaissabilité – art. 4 al. 4 LPD ; 6 al. 3 nLPD). Ce sera le cas si l’on informe spécifiquement la personne concernée, si le traitement résulte de la loi ou lorsqu’il ressort clairement des circonstances. Un questionnaire directement lié à un tirage au sort rend la collecte des données et leur traitement reconnaissables, ce qui ne sera pas le cas si, dans un deuxième temps, les données sont utilisées à des fins de marketing. La portée du principe sera toutefois limitée dans le nouveau droit dans la mesure où l’art. 19 nLPD a introduit un devoir d’information systématique pour le responsable de traitement privé.

Le maître du fichier a par ailleurs l’obligation d’informer la personne concernée de toute collecte de données sensibles ou de profils de la personnalité la concernant, que la collecte soit effectuée directement auprès d’elle ou auprès d’un tiers (devoir d’information active – art 14 LPD). La personne concernée doit au moins recevoir les informations suivantes : identité du maître du fichier, finalité du traitement, catégories de destinataires des données si leur communication est envisagée. Si les données ne sont pas collectées auprès de la personne concernée, celle-ci doit être informée au plus tard lors de leur enregistrement ou, en l’absence d’enregistrement, lors de la 1ère communication à un tiers. Le maître du fichier est délié de son devoir d’information si la personne concernée a déjà été informée, ou si l’enregistrement ou la communication sont expressément prévus par la loi, ou encore si le devoir d’information est impossible à respecter ou nécessite des efforts disproportionnés. Il existe aussi un devoir d’informer pour les organes fédéraux (art. 18a LPD).

Le devoir d’information va être considérablement étendu par les art. 19 et ss nLPD dès le 2e semestre 2022 [sur cette question : https://droitdutravailensuisse.com/2021/07/22/protection-des-donnees-et-devoir-dinformation/]

Cinquième principe, le principe de finalité, selon lequel les données collectées ne doivent être traitées que dans le but qui est indiqué lors de leur collecte, qui est prévu par la loi ou qui ressort des circonstances (Zweckbindung : art. 4 al. 3 LPD ; 6 al. 3 nLPD). Il s’agit ici d’un principe spécifique au droit de la protection des données. Il existe en effet un risque important que des données récoltées dans un but déterminé reconnaissable ou ayant fait l’objet d’une information spécifique soient détournées et utilisées à d’autres fins, vendues, etc. On attend dès lors de celui qui traite les données de le faire dans un but préalablement défini, antérieurement au début de la récolte des données, et reconnaissable. Il est exclu de recueillir des données « au cas où » ou dans la perspective qu’elles puissent servir un jour. Le but initial ne doit pas non plus être modifié ou remplacé dans un deuxième temps, sauf motifs justificatifs (au premier rang desquels le consentement au changement de but ou une disposition légale particulière). Si l’on communique des données à des tiers, ceux-ci sont aussi liés par le principe de finalité. L’art. 6 al. 3 nLPD ajoute qu’un traitement ultérieur des données doit être « compatible » avec les finalités initiales, ce qui élargit un peu le cadre de l’art. 4 al. 3 LPD. Cela implique, par exemple, que si l’on veut traiter les données à d’autres fins, il faudra obtenir le consentement de la personne concernée.

Le principe d’exactitude est le sixième principe applicable. Celui qui traite des données personnelles doit s’assurer qu’elles sont correctes. Il prend toutes les mesures appropriées permettant d’effacer ou de rectifier les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées (art. 5 al. 1 LPD). Toute personne concernée peut requérir la rectification des données inexactes (art. 5 al. 2 LPD). La matière est réglée à l’art. 6 al. 5 nLPD dans le nouveau droit.

Le principe d’exactitude est respecté lorsque les données reflètent de manière correcte, actuelle et objective les faits et circonstances relatifs à la personne concernée. Une donnée juste à un moment X peut ne plus l’être par la suite. De la même manière, il s’agira de faits, et non de jugements de valeur ou d’appréciation.

Le maître du fichier devra mettre les données jour et les compléter dans la mesure où les circonstances le requièrent, et ce au regard des finalités du traitement et du type des données traitées ou collectées. Un employeur, par exemple, devra régulièrement s’assurer que les données du dossier personnel sont à jour, qu’elles puissent être actualisée et obliger les employés à communiquer toute information pertinente (changement d’adresse, d’état civil, etc.)

Une donnée inexacte ne devra par contre pas être systématiquement corrigée. Le responsable de traitement devra certes tenir compte des modifications dont il a connaissance, mais il n’a pas un devoir de contrôle permanent, sauf obligations légales particulières (pensons aux contraintes de l’employeur en matière d’impôt à la source ou d’assurances sociales par exemple.) La donnée devra par contre être corrigée si elle porte atteinte à la personnalité ou si la personne concernée le demande, et on peut attendre du responsable de traitement qu’il procède au moins par sondage pour s’assurer de l’exactitude des données qu’il traite (cf. arrêt du Tribunal administratif fédéral A-4232/2015 du 18 avril 2017 consid. 7.3.2 concernant une agence de rating).

Septième principe, le principe de sécurité (Datensicherheit) : les données personnelles doivent être protégées contre tout traitement non autorisé par des mesures organisationnelles et techniques appropriées (art. 7 al. 1 LPD ; 8 et ss. et 20 et ss OLPD). On renverra ici aux développements ci-après qui traite la matière de façon plus exhaustive : https://droitdutravailensuisse.com/2021/07/04/protection-des-donnees-et-securite-des-donnees-regime-actuel-regime-futur/).

Le consentement, que le législateur a fait figurer dans l’art. 4 al. 5 LPD, est moins un principe qu’un fait justificatif en cas de traitement illicite. Il sera renvoyé à ces notions.

La nLPD introduit deux principes complémentaires – la protection des données dès la conception et par défaut. Selon le premier, le responsable du traitement doit prendre, dès la conception du traitement, des mesures techniques et organisationnelles appropriées afin que le traitement respecte les principes relatifs à la protection des données et offre les garanties nécessaires afin de protéger les droits de la personne concernée (art. 25 RGPD, 7 nLPD). L’obligation doit être proportionnée. Les mesures prises devront être aptes et efficaces. L’approche sera basée sur la gestion du risque : on prendra en compte l’effort requis par les mesures, les moyens disponibles et les risques posés par le traitement pour les personnes concernées. Les mesures devront aussi être mises à jour. Le second, oblige le responsable du traitement à régler les paramètres par défaut sur le mode le plus protecteur de la sphère privée, l’utilisateur étant libre de les modifier. Dit autrement, le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données personnelles qu sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées [pour de plus amples développements : https://droitdutravailensuisse.com/2021/07/06/protection-des-donnees-des-la-conception-et-par-defaut/].

On peut aussi considérer que les deux principes posés à l’art. 30 al. 2 let. b et c constituent aussi des principes de traitement, quand bien même ils constituent et explicitent des atteintes à la personnalité. Le premier est que les données sensibles ne peuvent être communiquées à des tiers (art. 30 al. 2 let, c nLPD). Le tiers désigne ici des responsables indépendants de traitement, i.e. des personnes qui ne sont pas des sous-traitants ou des responsables conjoints du traitement dans le cadre d’un traitement commun de données.  Le second est que des données personnelles ne peuvent être traitées contre la manifestation expresse de volonté de la personne concernée (opt-out : art. 30 al. 2 let. b nLPD).

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans nouvelle LPD, Protection de la personnalité, Protection des données | Tagué , , , | Laisser un commentaire

Protection des données et devoir d’information

Photo de Arindam Raha sur Pexels.com

[Le droit suisse de la protection des données, c’est aussi du droit du travail !

En effet, outre le renvoi de l’art. 328 b CO, le droit de la protection des données s’applique à des degrés divers dans toutes les étapes de la gestion des ressources humaines, de l’engagement au contentieux en passant par la tenue du dossier personnel.

Or le droit suisse de la protection des données va connaître un bouleversement considérable au 2e semestre 2022 avec l’entrée en vigueur de la loi révisée sur la protection des données et de son ordonnance.

Contrairement à ce que l’on peut lire ici ou là, le nouveau droit de la protection des données va entraîner des adaptations substantielles des pratiques et des manières de faire, particulièrement pour les employeurs qui ne se sont pas adaptés au RGPD car ils n’avaient pas à le faire.

Je vais donc présenter sur ce blog quelques-unes des nouveautés à venir pendant le 2e semestre 2021.]

Introduction

Le nouveau droit de la protection des données va considérablement élargir le devoir d’information du responsable de traitement privé. Le régime actuel prévoit en effet un devoir « actif » d’information uniquement en cas de récole de données sensibles ou de profils de personnalité, ou lorsque la récolte n’est pas reconnaissable. Le nouveau régime (2e semestre 2022) impose maintenant d’informer les personnes concernées chaque fois que des données personnelles sont collectées, peu importe leur type, sauf exceptions limitativement énumérées, et étend aussi le contenu des informations à transmettre. Les responsables de traitement vont donc devoir rapidement se mettre à la rédaction de Notice d’information, de Privacy Notice, etc., documents qui devront être hautement individualisés, et qui devraient reposer sur une bonne analyse des traitements de données effectués. C’’est notamment pour ce genre d’exercice qu’un registre des traitements pourra s’avérer utile.

Régime actuel

L’art. 14 de la loi fédérale sur la protection des données (LPD ; RS 235.1) LPD traite du devoir d’informer lors de la collecte de données sensibles et de profils de la personnalité.

Le maître du fichier a ainsi l’obligation d’informer la personne concernée de toute collecte de données sensibles ou de profils de la personnalité la concernant, que la collecte soit effectuée directement auprès d’elle ou auprès d’un tiers (al. 1). La collecte des autres données personnelles doit être reconnaissable au sens de l’art. 4 al. 4 LPD, i.e. la collecte de données personnelles, et en particulier les finalités du traitement, doivent être reconnaissables pour la personne concernée. Le devoir d’information existe au moment de la collecte. Le maître du fichier doit s’acquitter du devoir d’information dans le respect du principe de proportionnalité et dans celui de la bonne foi.

La personne concernée doit au moins recevoir les informations suivantes : a. l’identité du maître du fichier; b. les finalités du traitement pour lequel les données sont collectées; c. les catégories de destinataires des données si la communication des données est envisagée (al. 2). La personne concernée doit ainsi pouvoir vérifier que les principes de bonne foi, de finalité et de proportionnalité sont bien respectés. L’information devrait aussi porter sur le droit d’accès et de rectification, sur le caractère facultatif ou obligatoire des réponses demandées ainsi que sur les conséquences d’un défaut de réponse, même si cela n’est pas expressément mentionné à l’art. 14 al. 2 LPD (cf. art. 18a LPD pour les organes fédéraux) et n’entraînerait pas de sanctions pénales sous l’angle de l’art. 34 al. 1 LPD faute de précision de la base légale.

Si les données ne sont pas collectées auprès de la personne concernée, celle-ci doit être informée au plus tard lors de leur enregistrement ou, en l’absence d’un enregistrement, lors de la première communication à un tiers (al. 3 : collecte auprès d’un tiers). Cet alinéa ne règle que le moment où l’information doit être faite, le contenu de l’art. 14 al. 2 reste le même.

Le maître du fichier est délié de son devoir d’informer si la personne concernée a déjà été informée; il n’est pas non plus tenu d’informer cette dernière: a. si l’enregistrement ou la communication sont expressément prévus par la loi; b. si le devoir d’informer est impossible à respecter ou nécessite des efforts disproportionnés (art. 14 al. 4 LPD). La 2e hypothèse de l’al. 4 let. b (efforts disproportionnés) ne sera admise que de manière restrictive.

Le maître du fichier peut refuser, restreindre ou différer l’information pour les mêmes motifs que ceux prévus à l’art. 9 al. 1 et 4 LPD : une loi au sens formel le prévoit ou les intérêts prépondérants d’un tiers l’exigent (art. 9 al. 1) ; les intérêts prépondérants du maître de fichier privé dans la mesure où ses intérêts prépondérants l’exigent et à condition qu’il ne communique pas les données personnelles à un tiers (art. 9 al. 4). Le maître du fichier n’a pas à motiver son refus de fournir l’information ; l’art. 9 al. 5 LPD ne s’applique en effet qu’au refus du droit d’accès.

L’information doit être donnée d’office et de façon active par le maître du fichier, par exemple par le biais d’une Notice d’information /Privacy Notice, d’une page internet, etc.

Le non-respect du devoir d’information fondé sur l’art. 14 LPD rend la collecte de données illicite, même si l’art. 14 n’est pas mentionné à l’art. 12 al. 2 let. a LPD. On considère qu’il s’agit en fait d’une extension du principe de reconnaissabilité (art. 4 al. 4 LPD) qui est expressément mentionné à l’art. 12 al. 2 let. a LPD. L’illicéité ne saurait être justifiée par le consentement, faute, précisément, d’information permettant d’obtenir un consentement éclairé.

Les motifs justificatifs pouvant entrer en considération sont ceux des art. 14 al. 4 et 9 LPD [i.e. le devoir d’informer est impossible à respecter ou nécessite des efforts disproportionnés ; les intérêts prépondérants d’un tiers l’exigent ; un intérêt public prépondérant, en particulier la sûreté intérieure ou extérieure de la Confédération, l’exige; la communication des renseignements risque de compromettre une instruction pénale ou une autre procédure d’instruction ; les intérêts prépondérants du maître de fichier privé l’exigent – à condition qu’il ne communique pas les données personnelles à un tiers], et non ceux de l’art. 13 LPD.

La violation de l’art. 14 LPD est assortie de sanctions pénales (art. 34 al. 1 LPD), contrairement à la violation des principes généraux (art. 4, 5 et 7 LPD).

Pour ce qui est des organes fédéraux, rappelons qu’ils ne sont en droit de traiter des données personnelles que s’il existe une base légale (art. 17 al. 1 LPD). La base légale doit être une loi au sens formel si des données sensibles ou des profils de personnalités sont traités, sauf accomplissement d’une tâche clairement définie dans une loi au sens formel.

L’organe fédéral qui collecte systématiquement des données [et non pas simplement des données sensibles ou des profils de la personnalité], notamment au moyen de questionnaires, est tenu de préciser le but et la base juridique du traitement, les catégories de participants au fichier et de destinataires des données (art. 18 al. 1 LPD).

L’organe fédéral a l’obligation d’informer la personne concernée de toute collecte de données la concernant, qu’elle soit effectuée directement auprès d’elle ou auprès d’un tiers (art. 18a al. 1 LPD) ; contrairement au devoir d’information du maître de fichier privé, il n’est pas restreint aux hypothèses des données sensibles ou des profils de personnalité. La personne concernée doit au moins recevoir les informations suivantes : a. l’identité du maître du fichier ; b. les finalités du traitement pour lequel les données sont collectées ; c. les catégories de destinataires des données si la communication des données est envisagée ; d. le droit d’accéder aux données la concernant; e. les conséquences liées au refus de sa part de fournir les données personnelles demandées (art. 18a al. 2 LPD).

Si les données ne sont pas collectées auprès de la personne concernée, celle-ci doit être informée au plus tard lors de leur enregistrement ou, en l’absence d’un enregistrement, lors de la première communication à un tiers (art. 18a al. 3 LPD)

L’organe fédéral est délié de son devoir d’informer si la personne concernée a déjà été informée; il n’est pas non plus tenu d’informer cette dernière dans les cas prévus à l’al. 3: a. si l’enregistrement ou la communication sont expressément prévus par la loi; b. si le devoir d’informer est impossible à respecter ou nécessite des efforts disproportionnés (art. 18a al. 4 LPD)

Le Conseil fédéral peut limiter le devoir d’informer de l’organe fédéral aux collectes de données sensibles et de profils de la personnalité, si le devoir d’informer porte atteinte à la capacité de concurrence de cet organe (art. 18a al. 5 LPD).

Pour ce qui est des restrictions du droit d’informer, l’art. 18b al. 1 LPD prévoit que l’’organe fédéral peut refuser, restreindre ou différer l’information pour les mêmes motifs que ceux prévus à l’art. 9 al. 1 et 2 [i.e. une loi au sens formel le prévoit; les intérêts prépondérants d’un tiers l’exigent ; un intérêt public prépondérant, en particulier la sûreté intérieure ou extérieure de la Confédération, l’exige; la communication des renseignements risque de compromettre une instruction pénale ou une autre procédure d’instruction]. Dès que le motif justifiant le refus, la restriction ou l’ajournement disparaît, l’organe fédéral est tenu par le devoir d’informer, pour autant que cela ne s’avère pas impossible ou ne nécessite pas un travail disproportionné (art. 18 b al. 2 LPD).

Régime futur

Les obligations d’information du maître du fichier – devenu le responsable du traitement – ont été considérablement étendues par les art. 19-21 de la nouvelle loi fédérale du 25 septembre 2020 sur la protection des données (nLPD ; FF 2020 7397) qui entrera en vigueur (probablement) dans le courant du deuxième semestre 2022.

A teneur de l’art. 19 al. 1 nLPD, le responsable du traitement informe la personne concernée de manière adéquate de la collecte de données personnelles, que celle-ci soit effectuée auprès d’elle ou non. Cela implique que les informations soient communiquées si possible de manière concise, compréhensible et aisément accessible. En d’autres termes, cela signifie que le responsable du traitement ou le sous-traitant doivent s’assurer, lors du choix des modalités d’informations, que les informations les plus importantes sont toujours transmises dans le premier niveau de communication avec la personne concernée. Par exemple, lorsque la communication se fait sur un site internet, une bonne pratique peut consister à faire en sorte que les informations essentielles soient toutes disponibles en un coup d’œil. Pour obtenir des informations complémentaires, la personne concernée pourra ensuite cliquer sur ces premières informations et cela ouvrira une autre fenêtre contenant des détails supplémentaires. Il faut néanmoins préciser que la communication par un site internet n’est pas toujours suffisante : il faut que la personne concernée sache qu’elle trouvera ces informations sur un site en particulier. Autre exemple, si la communication se fait dans un environnement téléphonique, des explications orales peuvent être fournies par une personne physique, lesquelles peuvent être complétées par un renvoi vers un site internet ; s’il s’agit d’informations enregistrées, la personne concernée devra avoir la possibilité d’entendre des informations plus détaillées. Enfin, dans un environnement « réel » où la personne pourra être filmée par un système de vidéosurveillance fixe ou par un drone, une signalisation visible ou une campagne d’information devront par exemple mentionner cette activité. [Révision totale de l’ordonnance relative à la loi fédérale sur la protection des données, Rapport explicatif relatif à la procédure de consultation, Berne, 23 juin 2021, pp. 29-30]

Selon l’art. 19 al. 2 nLPD, lors de la collecte, le responsable de traitement communique à la personne concernée les informations nécessaires pour qu’elle puisse faire valoir ses droits selon la nLPD et pour que la transparence des traitements soit garantie ; il lui communique au moins: a. l’identité et les coordonnées du responsable du traitement; b. la finalité du traitement; c. le cas échéant, les destinataires ou les catégories de destinataires auxquels des données personnelles sont transmises. On observera que, contrairement à l’art. 13 RGPD, il n’est pas prévu de mentionner les droits que peuvent faire valoir les personnes concernées ou la durée de conservation des donées recueillies.

Si les données personnelles ne sont pas collectées auprès de la personne concernée, le responsable de traitement communique en outre les catégories de données traitées à cette personne (art. 19 al. 3 nLPD).

Lorsque des données personnelles sont communiquées à l’étranger, il communique également à la personne concernée le nom de l’État ou de l’organisme international auquel elles sont communiquées et, le cas échéant, les garanties prévues à l’art. 16, al. 2 (garanties en cas d’absence de décision d’adéquation), ou l’application d’une des exceptions prévues à l’art. 17 (dérogations) (art. 19 al. 4 nLPD).

Si les données personnelles ne sont pas collectées auprès de la personne concernée, il communique à cette personne les informations susmentionnées au plus tard un mois après qu’il a obtenu les données personnelles. S’il communique les données personnelles avant l’échéance de ce délai, il en informe la personne concernée au plus tard lors de la communication.

L’art. 20 nLPD règle les exceptions et restrictions au devoir d’informer.

Le responsable du traitement est délié du devoir d’information si l’une des conditions suivantes est remplie :  a. la personne concernée dispose déjà des informations correspondantes ; b. le traitement des données personnelles est prévu par la loi ; c. le responsable du traitement est une personne privée et il est lié par une obligation légale de garder le secret ; d. les conditions de l’art. 27 sont remplies [restrictions au droit d’accès applicables aux médias].Lorsque les données personnelles ne sont pas collectées auprès de la personne concernée, le devoir d’information ne s’applique pas non plus dans les cas suivants: a. l’information est impossible à donner; b. elle nécessite des efforts disproportionnés.

Le responsable du traitement peut également restreindre ou différer la communication des informations, ou y renoncer, si l’une des conditions suivantes est remplie: a. les intérêts prépondérants d’un tiers l’exigent; b. l’information empêche le traitement d’atteindre son but; c. lorsque le responsable du traitement est une personne privée et que ses intérêts prépondérants l’exigent et il ne communique pas les données à un tiers [les entreprises appartenant au même groupe ne sont pas considérées comme des tiers]; d. lorsque le responsable du traitement est un organe fédéral: si un intérêt public prépondérant, en particulier la sûreté intérieure ou extérieure de la Suisse, l’exige, ou si la communication des informations est susceptible de compromettre une enquête, une instruction ou une procédure judiciaire ou administrative. La limitation de l’information de l’art. 20 al. 3 nLPD entraîne une pesée d’intérêts et permet ou non, ensuite de cette pesée, de renoncer à informer, de restreindre l’information ou d’en différer la communication. Les hypothèses prévues sont exhaustives, et la disposition doit être interprétée restrictivement. En appliquant rigoureusement le principe de proportionnalité, on choisira en conséquence la solution la plus favorable à la personne concernée, en garantissant la transparence maximale du traitement au vu des circonstances.

Il existe par ailleurs un nouveau devoir d’informer en cas de décision individuelle automatisée (art. 21 nLPD).  Le responsable du traitement informe en effet la personne concernée de toute décision qui est prise exclusivement sur la base d’un traitement de données personnelles automatisé et qui a des effets juridiques pour elle ou l’affecte de manière significative (décision individuelle automatisée). Si la personne concernée le demande, le responsable du traitement lui donne la possibilité de faire valoir son point de vue. La personne concernée peut exiger que la décision individuelle automatisée soit revue par une personne physique. Font toutefois exception les situations où la décision individuelle automatisée est en relation directe avec la conclusion ou l’exécution d’un contrat entre le responsable du traitement et la personne concernée et la demande de cette dernière est satisfaite ou lorsque la personne concernée a expressément consenti à ce que la décision soit prise de manière automatisée.

Les art. 19-21 nOLPD ont été mis en œuvre aux art. 13 et ss  de l’Avant-projet d’ordonnance relative à la loi fédérale sur la protection des données (P – OLPD), en consultation jusqu’au 14 octobre 2021 https://www.admin.ch/gov/fr/accueil/documentation/communiques.msg-id-84103.html).

Ainsi, selon l’art. 13 P-OLPD, le responsable du traitement et le sous-traitant communiquent les informations sur la collecte de données personnelles de manière concise, compréhensible et facilement accessible. Lorsque l’information se fait en combinaison de pictogrammes, ceux-ci doivent êtres lisibles par machine s’ils sont présentés par voie électronique. Concernant les organes fédéraux, si la personne concernée n’est pas tenue de fournir des renseignements, l’organe fédéral qui collecte systématiquement des données personnelles notamment au moyen d’un questionnaire doit l’informer du caractère facultatif de sa réponse (art. 14 P-OLPD). Par ailleurs, le responsable du traitement et le sous-traitant indiquent au destinataire l’actualité, la fiabilité et l’exhaustivité des données personnelles qu’ils communiquent, dans la mesure où ces informations ne ressortent pas des données elles-mêmes ou des circonstances (art. 15 P-OLPD). Le responsable du traitement informera par ailleurs sans délai les destinataires auxquels il a communiqué des données personnelles de la rectification, de l’effacement ou de la destruction, ainsi que de la limitation du traitement des données personnelles, sauf si la notification est impossible ou implique des efforts disproportionnés (art. 16 P – OLPD).

La violation de l’obligation d’information est passible des sanctions de l’art. 60 al. 1 nLPD (amende de CHF 250’000.—au plus).

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans nouvelle LPD, Protection des données | Tagué , , , , , | Laisser un commentaire

COVID-19, mesures sanitaires et restrictions des droits constitutionnels

Photo de Josh Hild sur Pexels.com

[A un moment où la France adopte, pour lutter contre la pandémie, des mesures restreignant fortement les libertés fondamentales, mesures que d’aucun souhaiteraient peu ou prou imiter, y compris en Suisse, il est utile de lire l’arrêt que vient de rendre public ce jour le Tribunal fédéral, destiné à la publication, et qui traite de l’obligation de porter le masque en droit cantonal fribourgeois. Le raisonnement, très détaillé, sera probablement appliqué selon le même canevas à d’autres mesures à l’avenir.]

La liberté personnelle inclut toutes les libertés élémentaires dont l’exercice est indispensable à l’épanouissement de la personne humaine et dont devrait jouir tout être humain, afin que la dignité humaine ne soit pas atteinte par le biais de mesures étatiques. Sa portée ne peut être définie de manière générale mais doit être déterminée de cas en cas, en tenant compte des buts de la liberté, de l’intensité de l’atteinte qui y est portée ainsi que de la personnalité de ses destinataires. Quant à l’art. 8 CEDH, il garantit le respect de la vie privée et familiale, et en particulier le droit à l’autodétermination, notamment au libre choix du mode de vie. 

En l’occurrence, le recourant estime que l’obligation de porter un masque facial dans les commerces constitue une restriction de sa liberté personnelle. Il explique que cette obligation entrave gravement l’expression non verbale des sentiments et des émotions, rendant également l’expression verbale plus difficile. Il ajoute que le port du masque facial peut entraîner transpiration et sensation d’étouffement, ainsi que maux de tête, difficultés respiratoires et développement de lésions ou de maladies cutanées. Selon lui, il existe également un risque important d’auto-contamination lors de la manipulation du masque. 

(…)  Dans le cadre de cet art. 5a al. 1 let. a de l’ordonnance fribourgeoise COVID-19, l’obligation de port du masque concerne des lieux clos qui sont tout au plus visités quelques heures par semaine et par personne. En outre, rien n’empêche le recourant de renoncer à se rendre dans ces lieux, la vente par correspondance s’étant largement répandue ces dernières années en Suisse (cf. Office fédéral de la statistique, E-commerce des particuliers en Suisse, selon différentes caractéristiques socio-démographiques, tableau publié le 10 décembre 2019, <https://www.bfs.admin.ch&gt; sous : Trouver des statistiques/Culture, médias, société de l’information, sport/Société de l’information/Ensemble des indicateurs/Ménages et population/E-commerce et e-banking) et encore plus depuis le début de la pandémie. Par conséquent, force est de constater que la restriction en cause n’est que de faible intensité.

Conformément à l’art. 36 Cst., toute restriction d’un droit fondamental doit reposer sur une base légale qui doit être de rang législatif en cas de restriction grave (al. 1); elle doit en outre être justifiée par un intérêt public ou par la protection d’un droit fondamental d’autrui (al. 2) et proportionnée au but visé (al. 3), sans violer l’essence du droit en question (al. 4). En particulier, pour être conforme au principe de la proportionnalité (art. 36 al. 3 Cst.), une restriction d’un droit fondamental doit être apte à atteindre le but visé, lequel ne peut pas être obtenu par une mesure moins incisive; il faut en outre qu’il existe un rapport raisonnable entre les effets de la mesure sur la situation de la personne visée et le résultat escompté du point de vue de l’intérêt public.

Comme on vient de le voir, toute restriction à un droit fondamental doit reposer sur une base légale (art. 36 al. 1 Cst.). Lorsque l’atteinte est grave, outre que la base légale doit être une loi au sens formel, celle-ci doit être claire et précise. Cette exigence résulte aussi du principe de la légalité, qui est posé de façon générale pour toute l’activité de l’Etat régie par le droit (art. 5 al. 1 Cst.). En d’autres termes, l’exigence d’une base légale ne concerne pas que le rang de la norme – à savoir celui d’une loi formelle en cas de restrictions graves (art. 36 al. 1 phr. 2 Cst.) -, mais s’étend à son contenu, qui doit être suffisamment clair et précis. Il faut que la base légale ait une densité normative suffisante pour que son application soit prévisible. Pour déterminer quel degré de précision l’on est en droit d’exiger de la loi, il faut tenir compte du cercle de ses destinataires et de la gravité des atteintes qu’elle autorise aux droits fondamentaux. 

S’agissant de mesures de police ordonnées pour lutter contre des dangers difficilement prévisibles et qui doivent ainsi pouvoir être adaptées à des situations spécifiques, le législateur ne peut pas se passer d’utiliser des définitions générales, relativement vagues. Le degré de précision attendu ne se détermine donc pas de manière abstraite et il est dans la nature des choses d’accepter que la base légale soit moins précise. Dans le cas de normes indéterminées, le principe de proportionnalité revêt alors une importance particulière.

 Dans le cas d’espèce, le recourant admet l’existence d’une base légale formelle, mais conteste sa densité normative. 

Le but de la loi fédérale du 28 septembre 2012 sur la lutte contre les maladies transmissibles de l’homme (LEp; RS 818.101) est de prévenir et de combattre l’apparition et la propagation des maladies transmissibles (art. 2 al. 1 LEp). L’art. 19 al. 1 LEp prévoit que la Confédération et les cantons prennent les mesures visant à contrôler et à écarter ou atténuer les risques de transmission de maladies. Plus particulièrement, l’art. 40 al. 1 LEp dispose que les autorités cantonales compétentes ordonnent les mesures nécessaires pour empêcher la propagation de maladies transmissibles au sein de la population ou dans certains groupes de personnes. Elles coordonnent leur action. A teneur de l’art. 40 al. 2 LEp, elles peuvent en particulier prononcer l’interdiction totale ou partielle de manifestations (let. a), fermer des écoles, d’autres institutions publiques ou des entreprises privées, ou réglementer leur fonctionnement (let. b), interdire ou limiter l’entrée et la sortie de certains bâtiments ou zones, ou certaines activités se déroulant dans des endroits définis (let. c). L’art. 40 LEp constitue donc la base légale formelle permettant aux autorités cantonales de prendre des mesures en vue de lutter contre la propagation de la maladie à coronavirus 2019 (cf. arrêts 2C_8/2021 du 25 juin 2021 consid. 3.8.1; 2C_941/2020 du 8 juillet 2021 consid. 3.2.2). D’un point de vue cantonal, l’art. 31 al. 1 de la loi fribourgeoise du 16 novembre 1999 sur la santé (LSan/FR; RSF 821.0.1) dispose lui aussi que l’Etat prend les mesures nécessaires pour prévenir et empêcher la propagation de maladies transmissibles, y compris les zoonoses. Il applique les dispositions du droit fédéral en la matière.

Le recourant est toutefois d’avis que le but de la LEp est énoncé de manière extrêmement large, ce qui pourrait justifier des mesures de contraintes illimitées au titre de la lutte contre la propagation de maladies transmissibles. Il ajoute que rien n’indique que ces mesures seraient limitées dans le temps, estimant que le combat de la grippe saisonnière pourrait également conduire les autorités à exiger le maintien de celles-ci. Finalement, il constate qu’à aucun moment la LEp en général, et l’art. 40 LEp en particulier, ne prévoient le port du masque comme mesure pertinente. 

Le recourant ne saurait être suivi.

Tout d’abord, force est de relever que le point de savoir si les mesures prises sur la base de la LEp pourraient être illimitées, également dans le temps, constitue plus une question de proportionnalité de ces mesures que d’existence d’une base légale suffisante. Quant aux griefs du recourant relatifs à la densité normative, ils doivent également être écartés. On constate à ce propos que la LEp ne prévoit certes pas expressément le port du masque facial comme mesure permettant d’empêcher la propagation d’une maladie transmissible au sein de la population. Toutefois, comme l’a justement relevé le Conseil d’Etat dans sa détermination au Tribunal fédéral, le port du masque a expressément été mentionné dans le Message du Conseil fédéral du 3 décembre 2010 concernant la révision de la loi fédérale sur la lutte contre les maladies transmissibles de l’homme comme étant une mesure permettant d’exclure ou à tout le moins de fortement diminuer les risques de contamination ou de transmission de la grippe (FF 2011 291 p. 306). De plus, l’art. 40 al. 2 LEp, qui, comme on l’a vu contient une liste de mesures pouvant être prises par les autorités cantonales, dispose que celles-ci peuvent en particulier prendre les mesures proposées. Cela signifie bien que la liste de l’art. 40 al. 2 LEp n’est nullement exhaustive. En outre, comme l’a déjà jugé le Tribunal fédéral, dans la mesure où l’art. 40 al. 2 LEp prévoit la possibilité de fermer des écoles, d’autres institutions publiques ou des entreprises privées (art. 40 al. 2 let. b LEp), il est toujours possible de prononcer une mesure moins restrictive, comme par exemple le port du masque. Finalement, si les mesures évoquées dans la LEp ne sont pas formulées de manière précise, il convient de rappeler que la mesure en cause, c’est-à-dire le port du masque dans les commerces et supermarchés du canton de Fribourg pour les personnes de plus de 12 ans révolus, constitue une atteinte à la liberté personnelle légère n’exigeant pas une base légale précise. Il faut encore ajouter que cette formulation large des mesures envisageables vise essentiellement à laisser une importante marge de manœuvre aux cantons, afin que ceux-ci puissent répondre le plus exactement possible à la propagation de maladies transmissibles eu égard aux particularités locales (cf. arrêt 2C_941/2020 du 8 juillet 2021 consid. 3.2.1 et 3.2.6). 

On doit donc conclure de ce qui précède que la restriction de la liberté personnelle alléguée par le recourant repose sur une base légale suffisante.

Il convient également d’admettre que l’obligation de port du masque facial dans les commerces et supermarchés du canton de Fribourg vise un intérêt public au sens de l’art. 36 al. 2 Cst (cf. arrêt 2C_941/2020 du 8 juillet 2021 consid. 3.3.1). En effet, le but de cette mesure est de prévenir et de combattre la propagation de la maladie à coronavirus 2019 (cf. art. 2 al. 1 LEp; cf. également Message du Conseil fédéral du 3 décembre 2010 concernant la révision de la loi fédérale sur la lutte contre les maladies transmissibles de l’homme; FF 2011 291 p. 372). Il s’agit là d’un but de santé publique tendant à éviter des contaminations et par conséquent les hospitalisations et décès qui peuvent en résulter. 

Le recourant fait certes valoir que cet intérêt n’existe pas s’il n’y a pas de danger sérieux pour la santé publique, faisant notamment référence à la vague annuelle de grippe qui ne conduit pas les autorités à ordonner le port du masque et au fait que le nombre de contaminations, d’hospitalisations et de morts dus à la maladie de coronavirus 2019 sont en baisse depuis le mois de juin. Il est douteux que cette question relève de l’intérêt public et pas de la proportionnalité. Force est néanmoins de constater que la maladie à coronavirus 2019, au contraire de la grippe saisonnière, a été qualifiée de pandémie le 11 mars 2020 par l’Organisation mondiale de la santé (ci-après: OMS; cf. https://www.who.int/ fr/news/item/29-06-2020-covidtimeline). En outre, l’épidémie annuelle de grippe, si elle a certes malheureusement pour conséquence une mortalité non négligeable, ne conduit en principe pas à un engorgement massif des hôpitaux et, de ce fait, à de potentielles restrictions de prise en charge d’autres affections. Quant au nombre d’hospitalisations et de décès dus à la maladie à coronavirus 2019, on ne peut que donner tort au recourant. Certes, celui-ci a rédigé son recours le 23 septembre 2020, c’est-à-dire avant l’apparition de la deuxième vague d’infections. On constate cependant qu’entre le 28 septembre 2020 et le 19 mars 2021 (faits notoires pouvant être pris en compte; cf. ATF 143 IV 380 consid. 1.1.1 et les références; arrêt 5A_251/2016 du 15 août 2016 consid. 1.5), le nombre de décès dus à la maladie à coronavirus 2019 confirmés en laboratoire a atteint 7’688, soit 88,93 pour 100’000 habitants. En outre, sur la même période, les cas établis en laboratoire ont totalisé 527’806, c’est-à-dire 6’105,49 cas pour 100’000 habitants, alors que les hospitalisations étaient de 19’525, soit 225,86 pour 100’000 habitants (chiffres tirés du site de l’Office fédéral de la santé publique; https://www.covid19.admin.ch). Ainsi, il sied de constater que l’argument de l’absence de danger, respectivement de la diminution de la létalité du virus tombe à faux. Les éléments qui précèdent justifient d’ordonner des mesures différentes pour lutter contre la maladie à coronavirus 2019 que celles généralement prises pour diminuer les effets de la grippe saisonnière (cf. arrêt 2C_941/2020 du 8 juillet 2021 consid. 3.2.3).

Il convient ainsi d’admettre l’existence d’un intérêt public à la restriction de la liberté personnelle du recourant.

 Si la restriction de la liberté personnelle du recourant repose sur une base légale suffisante et est justifiée par un intérêt public (cf. art. 2 et 19 LEp), encore faut-il que cette restriction soit proportionnée au but d’intérêt public précité. Or, pour être conforme au principe de proportionnalité (art. 36 al. 3 Cst.), une restriction d’un droit fondamental doit être apte à atteindre le but visé (règle de l’aptitude), lequel ne peut pas être obtenu par une mesure moins incisive (règle de la nécessité); il faut en outre qu’il existe un rapport raisonnable entre les effets de la mesure sur la situation de la personne visée et le résultat escompté du point de vue de l’intérêt public (règle de la proportionnalité au sens étroit). 

 Le principe de proportionnalité revêt une importance particulière lorsqu’il s’agit de procéder à une harmonisation de principes constitutionnels entrant en conflit, tels la protection de la vie et de la santé publique d’un côté et les restrictions de libertés ordonnées dans ce but de l’autre. Ainsi, même s’il existe un devoir de protection de l’Etat contre les dangers pour la santé, les mesures que celui-ci peut adopter en vue d’éviter la transmission de maladies doivent demeurer raisonnables. Un risque zéro ne saurait être attendu, même s’il s’agit d’éviter des dangers hautement préjudiciables pour la population. Il faut viser un risque acceptable en procédant à la pondération de l’ensemble des intérêts concernés. En principe, plus le risque est important et plus les mesures permettant de le réduire seront justifiées. Le principe de proportionnalité exige que les mesures ordonnées soient dans un rapport raisonnable avec les risques qu’elles visent à éviter. Dans la mesure du possible, ces risques doivent ainsi être quantifiés. Cela signifie qu’il ne faut pas uniquement prendre en compte le pire des scénarios, mais également la probabilité que celui-ci se produise. Dans cette pondération, les conséquences sociétales et économiques des mesures doivent aussi être considérées. Dans le contexte de la maladie à coronavirus 2019, il convient donc d’examiner avec quelle probabilité et intensité cette maladie peut toucher la population et si les mesures ordonnées sont aptes à en diminuer sa propagation. Il faut également mettre en balance les conséquences négatives de la maladie avec celles des mesures ordonnées en se fondant sur l’état actuel des connaissances. Les mesures ordonnées ne doivent pas durer plus longtemps que nécessaire pour prévenir la propagation d’une maladie transmissible. En outre, les mesures doivent être réexaminées régulièrement (art. 40 al. 3 LEp). 

Le Tribunal fédéral examine en principe librement si une mesure répond à l’intérêt public et respecte le principe de proportionnalité; il s’impose toutefois une certaine retenue lorsqu’il s’agit de tenir compte de circonstances locales ou de trancher de pures questions d’appréciation. Tant qu’aucune disposition légale ne définit le niveau de risque acceptable, la frontière entre risques admissibles et risques inadmissibles demeure indéterminée. Il appartient alors en premier lieu au pouvoir exécutif, par le biais d’ordonnances, et non au tribunaux de définir ce qu’est le risque acceptable. A défaut, cette tâche reviendra aux autorités judiciaires. 

A cela s’ajoute que toute mesure de protection ou de prévention comporte une certaine incertitude quant à ses effets concrets futurs. Il en va d’ailleurs toujours ainsi des mesures de prévention des risques. En particulier, l’arrivée de nouvelles maladies infectieuses a pour corollaire une grande insécurité quant au choix des mesures adéquates. Cela signifie que ces mesures ne peuvent pas être prévues par le législateur, mais doivent être prises en tenant compte de l’état des connaissances du moment, généralement incomplet, ce qui laisse également une certaine marge de manœuvre aux autorités. Celles-ci ne peuvent toutefois invoquer cet état des connaissances pour prendre des mesures restrictives que si elles cherchent activement à actualiser ces connaissances. On ne saurait ainsi admettre qu’après une longue période de mesures restrictives, les autorités continuent de les maintenir en se fondant toujours sur l’état des connaissances qu’elles avaient lorsqu’elles les ont adoptées et en invoquant le principe de précaution. Plus les limitations de liberté durent longtemps, plus les exigences en matière de mise à jour de l’évaluation des risques augmentent. Ainsi, dès que les connaissances évoluent, les mesures doivent être adaptées, ce que l’art. 31 al. 4 LEp prévoit d’ailleurs expressément. Les mesures qui étaient considérées comme aptes à atteindre le but visé sur la base des connaissances au moment où elles ont été prises peuvent donc s’avérer inutiles postérieurement, en présence de nouvelles connaissances. A l’inverse, des mesures qui s’avéreraient inefficaces pour lutter contre la propagation d’une dangereuse maladie pourraient être renforcées. Cela a pour conséquence qu’une mesure ne peut pas être considérée comme étant illégitime du seul fait que, rétrospectivement et en présence de meilleures connaissances, elle n’apparaît pas comme étant optimale. Il peut ainsi être justifié de prendre directement des mesures rigoureuses, avant que ne surviennent de graves effets négatifs, afin d’éviter de devoir prendre des mesures encore plus restrictives par la suite.

Quant à la mesure en cause, le recourant estime en premier lieu que celle-ci n’est pas apte à atteindre le but visé. Selon lui, l’efficacité de la mesure visant à porter le masque facial n’est pas établie, ces masques ayant été conçus pour le personnel médical. Le recourant affirme que l’efficacité du masque dans la prévention de la transmission des virus est limitée, le moyen adéquat étant de son avis un respirateur. Il ajoute que l’OMS n’a recommandé le port du masque chirurgical que dans les situations où la distance sanitaire ne peut pas être respectée, comme par exemple dans les transports publics, que porter le masque sans instruction préalable est contreproductif et que le manque d’efficacité du port du masque ressort de l’observation de l’évolution de la situation sanitaire dans un canton tiers, où les cas ont malgré tout augmenté, en dépit du port du masque obligatoire dans les commerces, nécessitant l’adoption d’autres mesures (fermetures des night-clubs et discothèques). 

En premier lieu, force est de constater que, comme l’a déjà jugé le Tribunal fédéral et ainsi que l’a justement relevé le Conseil d’Etat, lorsque l’évaluation d’une mesure dépend de connaissances techniques controversées, le Tribunal fédéral n’admet une violation du principe de proportionnalité que si l’inaptitude de cette mesure à atteindre le résultat recherché paraît manifeste. En l’occurrence, le port du masque facial en vue de diminuer la propagation de la maladie à coronavirus 2019 est expressément préconisé par l’Office fédéral de la santé publique qui explique que « porter un masque au quotidien permet surtout de protéger les autres personnes. Une personne infectée peut être contagieuse sans le savoir jusqu’à deux jours avant l’apparition des symptômes. Ainsi, si tout le monde porte un masque dans un espace étroit, chaque personne est protégée des autres. Les masques ne garantissent pas une protection à 100 %, mais ils peuvent contribuer à ce que le nouveau coronavirus se propage moins rapidement » (cf. <https://www.ofsp.admin.ch&gt; sous : Maladies/ Maladies infectieuses: flambées, épidémies, pandémies/ Flambées et épidémies actuelles/ Coronavirus/ Masques). Cette mesure est également recommandée par l’OMS, qui retient que le port du masque doit être considéré comme normal lorsqu’on se trouve avec d’autres personnes. Cette organisation ajoute que pour que les masques soient aussi efficaces que possible, il est essentiel de les porter, de les ranger et de les laver ou de les jeter correctement (cf. <https://www.who.int&gt; sous : Maladie à coronavirus/ Protégez-vous). On peut donc en déduire que, fondée sur les connaissances du moment, la mesure en cause doit être considérée comme étant apte à atteindre le but visé, tendant à réduire la propagation de la maladie à coronavirus 2019.

D’ailleurs, après la mesure prise fin août 2020 par le Conseil d’Etat du canton de Fribourg, le Conseil fédéral a lui-même ordonné le port du masque facial dans tous les espaces clos et extérieurs accessibles au public des installations et établissements de suisse (art. 3b al. 1 de l’ordonnance COVID-19 situation particulière). Certes, comme le relève le recourant, il n’est pas exclu qu’une mauvaise utilisation du masque puisse avoir des effets contreproductifs, voire donner un faux sentiment de sécurité. Cela n’implique toutefois pas que le port du masque constitue une mesure inapte à protéger les personnes de la transmission du virus, mais signifie bien plus qu’il faut expliquer à celles-ci de quelle manière se protéger efficacement, comme l’ont d’ailleurs fait l’Office fédéral de la santé publique et l’OMS sur leurs sites Internet respectifs (en préconisant par exemple de se laver les mains avec une solution hydroalcoolique ou à l’eau et au savon avant de toucher le masque, de vérifier que le masque n’est ni troué, ni déchiré, de s’assurer que la bande métallique se trouve vers le haut et que la face interne du masque soit portée à l’intérieur, de s’assurer que le nez, la bouche et le menton sont couverts, d’éviter de croiser les lanières). A tout le moins, sur la base des connaissances du moment, cette mesure n’est pas inadaptée à la situation.

Dans l’éventualité où il serait démontré que le port du masque n’aurait aucun effet sur la propagation du virus, ou si cette propagation devenait inexistante avec le temps, les autorités cantonales seraient amenées à reconsidérer cette mesure. Il convient ainsi d’écarter le grief du recourant quant à la règle de l’aptitude.

 Quant à la nécessité de la mesure, le recourant explique que celle-ci est indifférenciée, ne prévoyant en particulier aucune exception pour les personnes qui pourraient attester de raisons notamment médicales les dispensant de porter le masque. De son avis, le Conseil d’Etat a omis d’examiner s’il existait d’autres mesures moins incisives pour la liberté personnelle des clients de commerces, comme par exemple des limitations du nombre de clients, respectivement une obligation de porter le masque uniquement lorsque le commerce accueille plus de dix clients simultanément. Il ajoute que les mesures réellement efficaces telles que le lavage et la désinfection des mains, ainsi que la distance sanitaire peuvent être facilement respectées dans tous les commerces, le simple fait de croiser une personne à moins d’un mètre cinquante n’étant selon lui pas suffisant pour être exposé à un risque de transmission. Le recourant ajoute pour terminer que le port du masque peut toujours intervenir sur une base volontaire, ceci afin que les personnes à risque puissent se protéger. 

Force est tout d’abord de rappeler que la mesure litigieuse n’est pas particulièrement restrictive, puisqu’elle se limite à imposer le port du masque aux personnes qui se trouvent dans des commerces ou des supermarchés du canton de Fribourg. Le recourant estime qu’une limitation à dix personnes par commerce serait une mesure moins incisive. Cet argument tombe néanmoins à faux, car limiter l’entrée des commerces à dix personnes, sans autres considérations, notamment d’espace à disposition, pourrait avoir pour conséquence que des gens se trouveraient serrés dans des petits commerces, alors que des grands commerces offrant d’importantes surfaces de vente seraient pratiquement vides. En outre, cette mesure obligerait les personnes désirant se rendre dans les commerces à attendre à l’extérieur et prolongerait de ce fait la durée des contacts avec des tiers. Le port du masque, s’il n’exclut pas d’emblée une limitation de la quantité de personnes pouvant être admises à l’intérieur d’un espace distinct, permet toutefois de laisser plus d’individus dans un même espace. Additionné à d’autres mesures, telles que la distanciation sociale (étant ici rappelé qu’il y a un risque accru d’infection lorsque la distance de 1,5 mètre ne peut pas être respectée pendant plus de 15 minutes; cf. art. 1.1 annexe 1 de l’ordonnance COVID-19 situation particulière) et la désinfection des mains (mais également la systématisation des tests et le traçage par exemple), le port du masque permet de réduire l’attente devant les magasins, respectivement d’augmenter le confort des consommateurs (cf. quant aux prescriptions relatives aux plans de protection pour l’ensemble des installations et des établissement accessibles au public qui peuvent rester ouverts: <https://www.ofsp.admin.ch&gt; sous : Maladies/ Maladies infectieuses: flambées, épidémies, pandémies/ Flambées et épidémies actuelles/ Coronavirus/ Mesures et ordonnances/ Plans de protection; cf. également art. 2.1 et 3.1 annexe 1 de l’ordonnance COVID-19 situation particulière). Cette mesure permet surtout d’éviter de prendre des mesures plus incisives, comme par exemple la fermeture pure et simple des commerces qui ne seraient pas de première nécessité.

Le recourant préconise en outre la fermeture des night-clubs et discothèques pour diminuer la propagation de la maladie à coronavirus 2019. Il faut reconnaître qu’il n’est pas exclu que cette mesure soit apte à limiter cette propagation (le Conseil fédéral ayant d’ailleurs ordonné la fermeture de ces établissements, cf. art. 5a al. 1 de l’ordonnance COVID-19 situation particulière). Il ne faut toutefois pas perdre de vue que seule une infime partie de la population se rend dans de tels lieux et qu’il ne s’agit en principe pas des personnes vulnérables, c’est-à-dire en particulier les personnes âgées (cf. <https://www.ofsp.admin.ch&gt; sous : Maladies/ Maladies infectieuses: flambées, épidémies, pandémies/ Flambées et épidémies actuelles/ Coronavirus/ Maladie, symptômes, traitement/ Personnes vulnérables). Par conséquent, la fermeture des lieux cités par le recourant, qui constitue par ailleurs globalement une mesure plus restrictive que l’obligation du port du masque en cause, ne saurait permettre à elle seule d’atteindre le but d’intérêt public poursuivi. Au demeurant, l’éventuelle fermeture des night-clubs et discothèques n’exclut pas, en plus, l’obligation de porter le masque dans les commerces.

 On mentionnera encore que les intérêts en présence permettent d’exclure toute violation du principe de proportionnalité. Le recourant fait en effet valoir à ce propos que son intérêt personnel réside notamment dans l’entrave à la communication avec autrui, expliquant que « pouvoir échanger un sourire avec son prochain, en faisant ses courses, est une joie toute simple mais nécessaire à l’épanouissement personnel ». Cet intérêt personnel, s’il est bien réel, ne saurait en aucun cas l’emporter sur l’intérêt public à une limitation de la propagation de la maladie à coronavirus 2019 et, partant, à la limitation du nombre d’hospitalisations et du nombre de morts, ainsi qu’aux dangers économiques liés à des complications de cette maladie, rencontrés par la collectivité. 

 Finalement, le recourant fait encore grief au Conseil d’Etat de ne pas avoir prévu d’exceptions à l’obligation du port du masque facial, notamment pour les personnes qui ne peuvent médicalement pas porter de tels masques. Force est ici de constater que rien n’indique qu’en dépit d’exceptions expressément prévues dans l’ordonnance fribourgeoise COVID-19, le Conseil d’Etat et les autorités compétentes auraient appliqué cette ordonnance de manière rigide, sans tolérer d’exception en cas d’attestations médicales par exemple, et en faisant ainsi fi du principe de proportionnalité. Dans le cadre d’un contrôle abstrait, cela ne suffit donc pas à qualifier la norme de disproportionnée (cf. supra consid. 2). Le Conseil d’Etat a d’ailleurs formalisé la prise en considération de ce principe en arrêtant, le 15 octobre 2020, le nouvel art. 5b de l’ordonnance fribourgeoise COVID-19 (ROF 2020_129). 

Sur le vu des considérants qui précèdent, la liberté personnelle du recourant ne saurait être considérée comme étant restreinte illégalement et de manière disproportionnée par l’art. 5a al. 1 let. a de l’ordonnance COVID-19. Le recours doit par conséquent être rejeté.

Succombant, le recourant doit supporter les frais judiciaires (art. 66 al. 1 LTF). Il n’est pas alloué de dépens (art. 68 al. 1 et 3 LTF).

 (Arrêt du Tribunal fédéral 2C_793/2020  du 8 juillet 2021 destiné à la publication)

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans Coronavirus - Covid 19, Protection de la personnalité | Tagué , , , , , , , , | Laisser un commentaire

Le registre des activités de traitement de données

Photo de Pixabay sur Pexels.com

[Le droit suisse de la protection des données, c’est aussi du droit du travail !

En effet, outre le renvoi de l’art. 328 b CO, le droit de la protection des données s’applique à des degrés divers dans toutes les étapes de la gestion des ressources humaines, de l’engagement au contentieux en passant par la tenue du dossier personnel.

Or le droit suisse de la protection des données va connaître un bouleversement considérable au 2e semestre 2022 avec l’entrée en vigueur de la loi révisée sur la protection des données et de son ordonnance.

Contrairement à ce que l’on peut lire ici ou là, le nouveau droit de la protection des données va entraîner des adaptations substantielles des pratiques et des manières de faire, particulièrement pour les employeurs qui ne se sont pas adaptés au RGPD car ils n’avaient pas à le faire.

Je vais donc présenter sur ce blog quelques-unes des nouveautés à venir pendant le 2e semestre 2021.]

A teneur de l’art. 12 al. 1 de la nouvelle loi fédérale du 25 septembre 2020 sur la protection des données (nLPD ; FF 2020 7397 – entrée en vigueur prévue dans le 2e semestre 2022), les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement (Registre des activités de traitement).

L’obligation actuelle de déclarer certains fichiers (art. 11a de la loi fédérale du 19 juin 1992 sur la protection des données (LPD ; RS 235.1)) est donc remplacée par une obligation de tenir un registre des activités de traitement dans le nouveau droit de la protection des données.

Le registre des activités de traitement n’est pas un journal de celles-ci ou une simple copie des données personnelles traitées. Il est, bien au contraire, un « (…) descriptif général des activités de traitement qui permet d’avoir une vue d’ensemble de tous les traitements et de se faire rapidement une idée sur la conformité des traitements. Son contenu correspond dans une large mesure aux indications que la personne concernée doit recevoir en vertu du devoir d’informer et du droit d’accès. » [Sylvain Métille, Le traitement de données personnelles sous l’angle de la (nouvelle) loi fédérale sur la protection des données du 25 septembre 2020, SJ 2021 II 16].

Le registre n’est pas une fin en soi, mais est un instrument qui aide à respecter et mettre en vigueur le droit de la protection des données. Il fournit au responsable du traitement une vue d’ensemble des activités de l’entreprise en rapport avec la protection des données. On peut ajouter que le registre a des utilités pratiques très concrètes en ce qu’il peut être mis à profit immédiatement en cas de rédaction d’une déclaration d’information en matière de protection des données (Privacy Notice), de violations de la sécurité des données, de demande de droit d’accès ou de rectification, de demandes découlant d’enquêtes administrative ou pénale, etc.

Il n’existe aucune exigence formelle particulière pour la constitution et la tenue du registre (word, excel, solutions informatiques sophistiquées, etc.) Cela étant dit, le registre des activités de traitement s’inspirant très largement du droit européen (art. 30 RGPD), il devrait être possible d’adapter les modèles mis à dispositions par les autorités de contrôle européennes en la matière [voir par exemple : https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement%5D.

Pour ce qui est du contenu, selon l’art. 12 al. 2 nLPD, le registre du responsable du traitement contient au moins les indications suivantes: a. l’identité du responsable du traitement; b. la finalité du traitement; c. une description des catégories de personnes concernées et des catégories de données personnelles traitées; d. les catégories de destinataires; e. dans la mesure du possible, le délai de conservation des données personnelles ou les critères pour déterminer la durée de conservation; f. dans la mesure du possible, une description générale des mesures visant à garantir la sécurité des données (art. 8 nLPD); g. en cas de communication de données personnelles à l’étranger, le nom de l’État concerné et les garanties prévues à l’art. 16, al. 2 permettant de déterminer si le niveau de protection de l’Etat destinataire est adéquat en l’absence de décision d’adéquation du Conseil fédéral.

Le registre du sous-traitant contient des indications concernant l’identité du sous-traitant et du responsable du traitement, les catégories de traitements effectués pour le compte du responsable du traitement ainsi que les indications prévues à l’art. 12 al. 2, let. f et g [mesures de sécurité, mesures en rapport avec la communication de données à l’étranger] (art. 12 al. 3 nLPD).

Les organes fédéraux déclareront leur registre d’activités de traitement au Préposé fédéral à la protection des données (PFPDT) (art. 12 al. 4 nLPD).

Le Conseil fédéral prévoit des exceptions pour les entreprises qui emploient moins de 250 collaborateurs et dont le traitement des données présente un risque limité d’atteinte à la personnalité des personnes concernées (art. 12 al. 5 nLPD).

L’art. 12 al. 5 nLPD a été mis en œuvre dans l’art. 26 de l’Avant-projet d’ordonnance relative à la loi fédérale sur la protection des données (nOLPD) [https://www.admin.ch/gov/fr/accueil/documentation/communiques.msg-id-84103.html], en consultation jusqu’au 14 octobre 2021. Selon cette disposition, les entreprises et autres organismes de droit privé employant moins de 250 collaborateurs au début d’une année, ainsi que les personnes physiques, sont déliés de leur obligation de tenir un registre des activités de traitement, à moins que l’une des conditions suivantes soit remplie:  

a. le traitement porte sur des données sensibles à grande échelle; [sont des données sensibles les données sur les opinions ou les activités religieuses, philosophiques, politiques ou syndicales ; les données sur la santé, la sphère intime ou l’origine raciale ou ethnique ; les données génétiques ; les données biométriques identifiant une personne physique de manière  univoque ; les données sur des poursuites ou sanctions pénales et administratives ; les données sur des mesures d’aide sociale – art. 5 let. c nLPD]

b. le traitement constitue un profilage à risque élevé [le profilage est toute forme de traitement automatisé de données personnelles consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique; est un profilage à risque élevé tout profilage entraînant un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, parce qu’il conduit à un appariement de données qui permet d’apprécier les caractéristiques essentielles de la personnalité d’une personne physique; cf.  – art. 5 let. f et g nLPD]

L’article 26 concrétise donc l’art. 12 al. 5 nLPD en précisant qui est concerné par cette exception et quels sont les cas dans lesquels les risques d’atteintes sont limités. Il prévoit que les entreprises, et autres organismes de droit privé, de moins de 250 collaborateurs au début d’une année, indépendamment du taux d’occupation, et les personnes physiques sont déliés de leur obligation de tenir un registre des activités de traitement si les traitements ne portent pas sur des données sensibles à grande échelle (let. a) et ne constituent pas un profilage à risque élevé (let. b ; la notion renvoie à celle qui utilisée au sens de l’analyse d’impact sur la protection des données de l’art. 22 al. 2 nLPD ; sur l’analyse d’impact : https://droitdutravailensuisse.com/2021/07/14/lanalyse-dimpact-relative-a-la-protection-des-donnees/). [Révision totale de l’ordonnance relative à la loi fédérale sur la protection des données, Rapport explicatif relatif à la procédure de consultation, Berne, 23 juin 2021, p. 38]

Il reste à voir ce que la pratique fera de l’exception de l’art. 26 de l’avant-projet d’ordonnance, s’il survit à la procédure de consultation. On ne le trouve pas particulièrement clair, ni facile d’application. Il s’agit d’ailleurs sans doute d’un faux problème, ou d’un leurre. En effet, comme indiqué ci-dessus, et comme l’écrit avec une naïveté feinte le Rapport explicatif du 23 juin 2021 (p. 38), il est en effet fort possible que les responsables de traitement qui pourraient ne pas être obligé de tenir ce registre au sens de l’art. 26 auraient de toute façon tout intérêt à le faire en raison des obligations mises à leur charge par d’autres dispositions de la nLPD (information, sécurité, data breach, etc.)

Allons plus loin.

L’exercice consistant à dresser un registre des traitements peut être long et fastidieux. Il faut aussi pourvoir à sa révisionet à sa mise à jour. Mais c’est aussi un instrument de travail important dans toutes les opérations touchant au traitement des données et à la protection des données. Autant le faire, donc, et savoir l’utiliser de manière positive. On peut penser à la contrainte de l’enregistrement du temps de travail : c’est fastidieux, voire paperassier, mais, bien utilisé, c’est une mine d’information pour qui sait les utiliser et une base solide pour quantités de décisions et de mesures de gestion. 

Ce qu’on ne peut éviter, il faut le vouloir – et savoir l’utiliser.

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans nouvelle LPD, Protection de la personnalité, Protection des données | Tagué , , , | Laisser un commentaire

Le droit à la portabilité des données

Photo de cottonbro sur Pexels.com

[Le droit suisse de la protection des données, c’est aussi du droit du travail !

En effet, outre le renvoi de l’art. 328 b CO, le droit de la protection des données s’applique à des degrés divers dans toutes les étapes de la gestion des ressources humaines, de l’engagement au contentieux en passant par la tenue du dossier personnel.

Or le droit suisse de la protection des données va connaître un bouleversement considérable au 2e semestre 2022 avec l’entrée en vigueur de la loi révisée sur la protection des données et de son ordonnance.

Contrairement à ce que l’on peut lire ici ou là, le nouveau droit de la protection des données va entraîner des adaptations substantielles des pratiques et des manières de faire, particulièrement pour les employeurs qui ne se sont pas adaptés au RGPD car ils n’avaient pas à le faire.

Je vais donc présenter sur ce blog quelques-unes des nouveautés à venir pendant le 2e semestre 2021.]

Le droit à la portabilité des données, reconnu par l’art. 20 RGPD, est introduit en droit suisse par les art. 28 et 29  de la nouvelle loi fédérale du 25 septembre 2020 sur la protection des données, adoptée le 25 septembre 2020, et qui devrait renter en vigueur dans la 2e partie de 2022 (nLPD ; FF 2020 7397).

Relevons déjà que la portabilité apparaît être un corps étranger dans le droit de la protection des données, et relever plutôt de celui de la protection des consommateurs. En effet, le droit à la portabilité vise à garantir au consommateur le pouvoir de disposer des données qu’il a fournies à un prestataire de services afin qu’elles puissent être facilement utilisées ailleurs, avec un autre prestataire par exemple.

A teneur de l’art. 28 al. 1 nLPD (« Droit à la remise ou à la transmission des données personnelles »), la personne concernée peut demander au responsable du traitement qu’il lui remette sous un format électronique couramment utilisé les données personnelles la concernant qu’elle lui a communiquées lorsque les conditions suivantes sont réunies: a. le responsable du traitement traite les données personnelles de manière automatisée; b. les données personnelles sont traitées avec le consentement de la personne concernée ou en relation directe avec la conclusion ou l’exécution d’un contrat entre elle et le responsable du traitement.

Les conditions posées apparaissent curieuses, et résulter d’un copier/coller mal pensé du droit européen. En effet, le consentement ou la nécessité contractuelle sont des faits justificatifs au traitement selon l’art. 6 par. 1 let. a et b RGPD, alors que le consentement n’est, en droit suisse, requis que s’il y a atteinte à la personnalité. Le législateur a-t-il voulu exclure la portabilité quand le traitement n’est pas en lien avec un contrat mais respecte les principes de l’art. 6 nLPD (ce qui entraîne que le consentement n’est pas nécessaire), et l’admettre lorsque le traitement viole l’art. 6 nLPD et nécessite un consentement ? C’est peu cohérent [Sylvain Métille, Le traitement des données personnelles sous l’angle de la (nouvelle) loi fédérale sur la protection des données su 25 septembre 2020, SJ 2021 II 1 et ss, 32]. Le responsable de traitement aura ainsi probablement intérêt à interpréter l’art. 28 al. 1 nLPD plus largement que sa lettre.

Selon l’art. 28 al. 2 nLPD, la personne concernée peut en outre demander au responsable du traitement qu’il transmette les données personnelles la concernant à un autre responsable du traitement, pour autant que les conditions de l’al. 1 soient remplies et que cela n’exige pas des efforts disproportionnés.

Le responsable du traitement remet ou transmet gratuitement les données personnelles. Le Conseil fédéral peut prévoir des exceptions, notamment si la remise ou la transmission des données personnelles exige des efforts disproportionnés (art. 28 al. 3 nLPD).  Cela pourra être le cas, par exemple, s’agissant de données de communication, lorsqu’un tri complexe entre les propres propos et ceux de tiers est nécessaire [Nouvelle loi fédérale sur la protection des données : le point de vue du PFPDT, Berne, 9 février 2021, p. 7]

Selon l’art. 29 al. 1 nLPD, le responsable du traitement peut refuser, restreindre ou différer la remise ou la transmission de données personnelles pour les mêmes motifs que ceux prévus pour le droit d’accès. L’art. 26 al. 1 nLPD prévoit à cet égard que le responsable du traitement peut refuser, restreindre ou différer la communication des renseignements dans les cas suivants: a. une loi au sens formel le prévoit, notamment pour protéger un secret professionnel; b. les intérêts prépondérants d’un tiers l’exigent; c. la demande d’accès est manifestement infondée notamment parce qu’elle poursuit un but contraire à la protection des données ou est manifestement procédurière. Selon l’art. 26 al. 2 nLPD, il est au surplus possible de refuser, de restreindre ou de différer la communication des renseignements lorsque le responsable du traitement est une personne privée et que les conditions suivantes sont remplies: 1. ses intérêts prépondérants l’exigent, 2. il ne communique pas les données à un tiers. Selon l’art. 29 al. 2 nLPD, le responsable du traitement indique le motif pour lequel il refuse, restreint ou diffère la remise ou la transmission des données personnelles

Concernant les modalités d’exercice du droit à la portabilité, certaines dispositions relatives au droit d’accès s’appliquent par analogie [Avant projet d’ordonnance relative à la loi fédérale sur la protection des données (OLPD), en consultation jusqu’au 14 octobre 2021, art. 20-24 [https://www.admin.ch/gov/fr/accueil/documentation/communiques.msg-id-84103.html] ; voir aussi Révision totale de l’ordonnance relative à la loi fédérale sur la protection des données Rapport explicatif relatif à la procédure de consultation, 23 juin 2021, p. 36]. La demande devra ainsi faite par écrit, mais pourra l’être oralement moyennant l’accord du responsable du traitement. Le responsable du traitement prendra les mesures adéquates pour assurer l’identification de la personne concernée et pour protéger les données de celle-ci de tout accès de tiers non autorisé lors de la communication des renseignements. La personne concernée est tenue de collaborer à son identification. Le responsable du traitement documentera le motif pour lequel il refuse, restreint ou diffère la communication des informations. La documentation sera conservée pendant au moins trois ans.

Lorsqu’il existe plusieurs responsables pour le traitement des données personnelles, la personne concernée pourra demander la portabilité auprès de chacun d’eux. Si l’un des responsables du traitement n’est pas compétent pour traiter la demande, il la transmettra au responsable du traitement compétent. Si la demande de renseignement porte sur des données traitées par un sous-traitant, le responsable du traitement transmettra la demande au sous-traitant s’il n’est pas en mesure de fournir les renseignements lui-même.

Le responsable de traitement devra s’exécuter dans les 30 jours, ou répondre dans le même délai s’il entend refuser, restreindre ou différer la portabilité. Le délai peut être prolongé après information du responsable de traitement et indication du nouveau délai.

La gratuité reste le principe, mais une participation aux frais d’un montant de CHF 300.—maximum peut être demandée en cas d’efforts disproportionnés. La personne concernée est préalablement informée du montant et peut retirer sa requête dans les dix jours.

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans nouvelle LPD, Protection de la personnalité, Protection des données | Tagué , , , | Laisser un commentaire

L’analyse d’impact relative à la protection des données

Photo de Skitterphoto sur Pexels.com

[Le droit suisse de la protection des données, c’est aussi du droit du travail !

En effet, outre le renvoi de l’art. 328 b CO, le droit de la protection des données s’applique à des degrés divers dans toutes les étapes de la gestion des ressources humaines, de l’engagement au contentieux en passant par la tenue du dossier personnel.

Or le droit suisse de la protection des données va connaître un bouleversement considérable au 2e semestre 2022 avec l’entrée en vigueur de la loi révisée sur la protection des données et de son ordonnance.

Contrairement à ce que l’on peut lire ici ou là, le nouveau droit de la protection des données va entraîner des adaptations substantielles des pratiques et des manières de faire, particulièrement pour les employeurs qui ne se sont pas adaptés au RGPD car ils n’avaient pas à le faire.

Je vais donc présenter sur ce blog quelques-unes des nouveautés à venir pendant le 2e semestre 2021.]

L’art. 22 de la nouvelle loi fédérale du 25 septembre 2020 sur la protection des données, adoptée le 25 septembre 2020, et qui devrait renter en vigueur dans la 2e partie de 2022 (nLPD ; FF 2020 7397), introduit dans notre droit l’analyse d’impact relative à la protection des données personnelles [ci-après AIPD] (en droit européen : art. 35 RGPD).

L’AIPD, sous la forme d’une auto-évaluation, est un instrument préventif, un outil de compliance pour valider et justifier les traitements de données plus sensibles du point de vue du respect de la protection des données.

A teneur de l’art. 22 al. 1 nLPD, lorsque le traitement de données envisagé est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, le responsable du traitement procède au préalable à une analyse d’impact relative à la protection des données personnelles. S’il envisage d’effectuer plusieurs opérations de traitement semblables, il peut établir une analyse d’impact commune.

L’existence d’un risque élevé, en particulier lors du recours à de nouvelles technologies, dépend de la nature, de l’étendue, des circonstances et de la finalité du traitement. Un tel risque existe notamment dans les cas suivants: a. traitement de données sensibles à grande échelle; b. surveillance systématique de grandes parties du domaine public.

La notion de risque élevé est à la fois complexe et floue. Le risque est la combinaison de sa probabilité d’occurrence et de la gravité du dommage en résultant. Ainsi, si la première est probable ou très probable, et la seconde importante à grande, alors il y aura vraisemblablement un « risque élevé » pour la personnalité et les droits fondamentaux de la personne concernée. [Sylvain Métille, Le traitement de données personnelles sous l’angle de la (nouvelle) loi fédérale sur la protection des données du 25 septembre 2020, SJ 2021 II 1 et ss, 23 ; David Rosenthal, La nouvelle loi sur la protection des données, in : Jusletter 16 novembre 2020 N 153 ; Livio di tria, L’analyse d’impact relative à la protection des données (AIPD) en droit européen et suisse, sic ! 3/2020, pp. 119 et ss., 123-124].

L’analyse d’impact contient une description du traitement envisagé, une évaluation des risques pour la personnalité ou les droits fondamentaux de la personne concernée, ainsi que les mesures prévues pour protéger sa personnalité et ses droits fondamentaux (art. 22 al. 3 nLFD). La loi ne contient pas méthodologie particulière. Il conviendra de s’inspirer de ce qui est conseillé par les autorités de contrôle européennes [voir les critères contenus dans ARTICLE 29 DATA PROTECTION WORKING PARTY, Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679, 4 octobre 2017 ; file:///C:/Users/phe48/Downloads/20171013_wp248_rev_01_en_D7D5A266-FAE9-3CA1-65B7371E82EE1891_47711.pdf; de la même manière, selon l’art. 35 al. 4 RGPD, les autorités de contrôle sont tenues d’établir et de publier des listes « positives » de types d’opération pour lesquels une AIPD est requise].

Le responsable du traitement privé est délié de son obligation d’établir une analyse d’impact s’il est tenu d’effectuer le traitement en vertu d’une obligation légale.

Le responsable du traitement privé peut renoncer à établir une analyse d’impact lorsqu’il recourt à un système, un produit ou un service certifié conformément à l’art. 13 nLPD pour l’utilisation prévue ou qu’il respecte un code de conduite au sens de l’art. 11 nLPD remplissant les conditions suivantes: a. il repose sur une analyse d’impact relative à la protection des données personnelles; b. il prévoit des mesures pour protéger la personnalité et les droits fondamentaux de la personne concernée; c. il a été soumis au Préposé fédéral à la protection des données et à la transparence (PFPDT).

L’art. 23 nLPD règle les cas où le responsable de traitement doit consulter au préalable le PFPDT.

Le responsable du traitement consulte ainsi le PFPDT préalablement au traitement lorsque l’analyse d’impact relative à la protection des données révèle que, malgré les mesures prévues par le responsable du traitement, le traitement envisagé présente encore un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée (art. 23 al. 1 nLPD).

Le PFPDT communique au responsable du traitement ses objections concernant le traitement envisagé dans un délai de deux mois, délai qui peut encore être prolongé mois lorsqu’il s’agit d’un traitement de données complexe (art. 23 al. 2 nLPD). Si le PFPDT a des objections concernant le traitement envisagé, il propose au responsable du traitement des mesures appropriées (art. 23 al. 3 nLPD).

Le responsable du traitement privé peut renoncer à consulter le PFPDT s’il a consulté son conseiller à la protection des données (art. 23 al. 4 nLPD).

Concernant la forme et la conservation de l’AIPD, l’art. 18 de l’avant projet d’Ordonnance relative à la loi fédérale sur la protection des données, mis en consultation jusqu’au 14 octobre 2021 (nOLPD) [https://www.admin.ch/gov/fr/accueil/documentation/communiques.msg-id-84103.html] prévoit que le responsable du traitement consigne par écrit l’analyse d’impact relative à la protection des données personnelles ; l’AIPD est conservée pendant deux ans après la fin du traitement des données.

Le rapport explicatif au nouveau projet d’ordonnance précise que la forme écrite comprend à la fois les documents papiers et ceux sous forme électronique. Elle est particulièrement importante pour prouver qu’une analyse d’impact a bien été faite. Par ailleurs, si l’analyse d’impact relative à la protection des données doit être conservée après que le traitement des données ait eu lieu, c’est parce qu’elle constitue un instrument central de la législation sur la protection des données. Elle peut notamment se révéler importante lorsqu’il faut faire la lumière sur une violation de la sécurité des données ou évaluer la punissabilité d’un comportement. Elle fournit donc des informations sur la façon dont on a évalué les risques pour la personnalité et les droits fondamentaux, et les mesures qui ont été prises. [Révision totale de l’ordonnance relative à la loi fédérale sur la protection des données, Rapport explicatif relatif à la procédure de consultation, 23 juin 2021, pp. 30-31]

Si le responsable de traitement décide de ne pas procéder à une AIPD, il devra documenter et expliquer les circonstances et les motifs qui l’ont mené à prendre cette décision.

La violation de l’obligation de procéder à une AIPD n’est enfin pas sanctionnée pénalement, mais le PFPDT peut ordonner à la personne privée ou à l’organe fédéral de procéder à une AIPD (art. 51 al. 3 let. d nLPD), cas échant sous la menace de la peine prévue à l’art. 63 nLPD.

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans nouvelle LPD, Protection de la personnalité, Protection des données | Tagué , , , , , | Laisser un commentaire

Le contrat de travail du Data Protection Officer (DPO)

Photo de Federico Orlandi sur Pexels.com

Introduction

Le Data Protection Officer (DPO ou conseiller à la protection des données) n’est pas une nouveauté en droit suisse. Le droit actuel de la protection des données, comme le droit futur, octroie de (modestes) avantages légaux à l’entreprise qui s’adjoindrait une telle fonction. La réforme du droit de la protection des données, qui entrera en vigueur dans le deuxième semestre 2022, entraînera toutefois des adaptations et des modifications conséquentes des pratiques et mode de faire des entreprises en Suisse. Et c’est bien ce changement qui va pousser beaucoup d’entre elles à devoir sauter le pas, d’abord pour s’adapter aux nouvelles contraintes légales, et ensuite pour exercer concrètement les nouveaux droits et responsabilités de la protection des données nouvelle manière.

Concrètement, comment les entreprises pourront-elles s’adjoindre un Data Protection Officer ? Un certain nombre auront recours à des prestataires externes. D’autres recourront à du personnel déjà existant. Mais les contraintes et exigences spécifiques de la fonction de DPO rendront ce panachage de fonctions parfois délicat. D’autres enfin engageront spécifiquement un DPO par le biais d’un contrat de travail adapté, à des termes et conditions que nous allons essayer d’esquisser, et qui présente certains avantages par rapport aux deux autres possibilités sus évoquées.

Terminologie

A titre liminaire, une question de terminologie. Le droit suisse utilise les termes de conseiller à la protection des données, que ce soit dans le cadre de la LPD actuelle ou dans sa version révisée [(art. 11a al. 5 let. e de la loi fédérale du 19 juin 1992 sur la protection des données (LPD ; RS 235.1) ; art. 10 de la nouvelle loi fédérale du 25 septembre 2020 sur la protection des données, adoptée le 25 septembre 2020, et qui devrait renter en vigueur dans la 2e partie de 2022 (nLPD ; FF 2020 7397)]. Le droit européen utilise les termes de délégué à la protection des données, soit, dans la version anglaise du Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données (RGPD)), le Data Protection Officer (art. 37 et ss RGPD). C’est cette dernière dénomination qui tend à s’imposer dans la pratique, même si on peut constater l’existence d’autres titres et termes, comme ceux de « Privacy Officer » par exemple. Nous utiliserons ici les termes de DPO ou de conseiller à la protection des données.

La LPD actuelle

Le conseiller à la protection des données ne fait l’objet que d’une mention, presque en passant, dans la LPD actuelle. Le maître du fichier privé est en effet dispensé de déclarer son fichier s’il a désigné un conseiller à la protection des données indépendant chargé d’assurer l’application internes des dispositions relatives à la protection des données et de tenir un inventaire des fichiers (art. 11a al. 5 let. e LPD). Il ne s’agit donc que d’une incitation, la désignation du conseiller n’étant pas obligatoire (contrairement aux organes fédéraux).

La désignation du conseiller à la protection des données, son statut et ses tâches sont régis par les art. 12a et 12b de l’ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des données (OLPD ; RS 235.11OLPD. Selon l’art. 12a al. 1 OLPD, lorsque le maître du fichier entend être délié de son devoir de déclaration des fichiers  en vertu de l’art. 11a al. 5 let. e LPD, il est tenu: de désigner un conseiller à la protection des données qui remplit les conditions de l’art. 12a al. 2 et de l’art. 12b, et d’en informer le préposé. Le maître du fichier peut donc désigner un collaborateur ou un tiers en qualité de conseiller à la protection des données ; celui-ci ne doit toutefois pas exercer d’activités incompatibles avec ses tâches de conseiller à la protection des données et doit avoir les connaissances professionnelles nécessaires (art. 12a al. 2 OLPD).

Le conseiller à la protection des données devra par ailleurs exercer sa fonction de manière indépendante et sans recevoir d’instructions de la part du maître du fichier, il disposera des ressources nécessaires à l’accomplissement de sa tâche et aura accès aux fichiers, aux traitements et aux informations nécessaires à l’accomplissement de ses devoirs (art. 12b al. 2 OLPD).

L’indépendance du conseiller à la protection des données devra être formelle, mais aussi matérielle. Le conseiller ne saurait en effet être le responsable de l’administration des systèmes d’information de l’entreprise, le responsable clientèle ou le responsable des ressources humaines. Il ne doit pas pouvoir déterminer les buts et les moyens d’un traitement de données. Son indépendance doit aussi être matérielle, et non seulement organisationnelle ou formelle. Le conseiller doit en effet exercer sa fonction sans recevoir d’instructions de la part du maître du fichier pour ce qui concerne l’exercice de ses tâches, avoir les moyens de remplir sa fonction et les accès nécessaires à cette fin. Pour ce qui est des connaissances, le conseiller doit indubitablement avoir des connaissances en droit, mais aussi si possible des connaissances techniques ainsi qu’une bonne maîtrise des activités du maître du fichier et des traitements que celui-ci effectue. [Philippe MEYER, Protection des données, Berne, Stämpfli, 2011, N 1453-1455]

Les missions du conseiller à la protection des données sont sommairement décrites à l’art. 12b al. 1 OLPD. Il aura ainsi notamment pour tâches de de contrôler les traitements de données personnelles et de proposer des mesures s’il apparaît que des prescriptions sur la protection des données ont été violées, de dresser l’inventaire des fichiers gérés par le maître du fichier et de le tenir à la disposition du préposé ou des personnes concernées qui en font la demande. Le contrôle visé par l’art. 12b al. 1 OLPD suppose toutefois de fait l’accomplissement de nombreuses autres tâches en amont : conseiller et former le personnel, donner son avis sur des projets internes, réalisation ou accompagnement d’audits, information, etc. [MEYER, op. cit., N 1460]

Le conseiller n’assume par contre pas la responsabilité des traitements effectués par le maître du fichier, même si celui-ci a suivi les recommandations du conseiller, et il ne peut saisir le PFPDT s’il estime que ses recommandations ne sont pas suivies [MEYER, op. cit., N 1457, 1461]. Il assume par contre une responsabilité contractuelle envers le maître du fichier, selon les termes du contrat de travail ou du contrat de mandat le liant à celui-ci, et peut aussi être soumis à une responsabilité délictuelle s’il cause des préjudices à autrui.

La nouvelle LPD

A teneur de l’art. 10 al. 1 et al. 2 nLPD, les responsables du traitement privés peuvent nommer un conseiller à la protection des données qui sera l’interlocuteur des personnes concernées et des autorités chargées de la protection des données en Suisse. Il aura notamment pour tâches de former et conseiller le responsable du traitement privé dans le domaine de la protection des données et de concourir à l’application des prescriptions relatives à la protection des données.

Le conseiller à la protection des données exercera sa fonction de manière indépendante par rapport au responsable du traitement et sans recevoir d’instruction de celui-ci. Par ailleurs le conseiller ne devra pas exercer de tâches incompatibles avec ses tâches de conseiller à la protection des données. Il devra disposer des connaissances professionnelles nécessaires. Le responsable du traitement publiera les coordonnées du conseiller à la protection des données et les communiquera au PFPDT.

Comme dans la LPD actuelle, le « bénéfice » légal de la nomination d’un DPO, pour le responsable de traitement, apparaît plutôt modeste. En effet, le responsable de traitement doit consulter le Préposé fédéral à la protection des données (PFPDT) préalablement au traitement lorsque l’analyse d’impact relative à la protection des données révèle que, malgré les mesures prévues par le responsable du traitement, le traitement envisagé présente encore un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. Il peut toutefois y renoncer s’il a consulté son conseiller à la protection des données (art. 10 al. 3 et 23 al. 4 nLPD).

C’est toutefois ignorer que, malgré la modestie de l’avantage conféré par l’art. 23 al. 4 nLPD, le nouveau droit de la protection des données va mettre à charge des responsables de traitement de considérables nouvelles obligations (information, registre des traitements, annonce des violations de sécurité, étude d’impact, etc.), et ce sans compter encore sur un nouveau régime de sanctions pénales ou sur les nouveaux pouvoirs conférés au PFPDT. La nomination d’un conseiller à la protection des données est donc une question que les entreprises vont devoir se poser, et rapidement eu égard au calendrier.

Le contrat de travail du DPO

Eu égard à ce qui précède, et en première analyse, on peut s’attendre à ce que les entreprises « bombardent » certains salariés d’un nouveau titre et leur demandent d’assumer ces nouvelles fonctions. Des salariés déjà existants coûtent ainsi moins chers que des prestataires externes ou de nouvelles recrues.

C’est oublier toutefois que le DPO ne doit pas participer au but et aux moyens d’un traitement de données, ce qui limite déjà fortement les départements dont pourraient être issues ces « volontaires ». Par ailleurs, le DPO ne doit pas subir de « dommage » découlant de l’exercice de ses fonctions. En d’autres termes, et par exemple, on ne doit pas pouvoir le sanctionner s’il conseille, par exemple, d’annoncer une violation de sécurité qui pourrait avoir des conséquences dramatiques sur les résultats de l’entreprise. Or cette indépendance est beaucoup plus difficile à assurer si le DPO, au sein de l’entreprise, assume une double ou une triple fonction : comment s’assurer, par exemple, qu’il serait sanctionné pour une faute commise en rapport avec ses autres fonctions et non en représailles à l’exercice de ses responsabilités de DPO ?

La rémunération du DPO peut aussi s’avérer délicate, particulièrement les rémunérations variables et les gratifications. L’indépendance du DPO s’accommoderait ainsi mal d’une gratification destinée à « récompenser » ses prestations, alors qu’il peut être un porteur de très mauvaises nouvelles pour le sort de l’entreprise et ses résultats. De la même manière, une rémunération variable indexée sur les résultats de l’entreprise enverrait un mauvais signal, alors que le DPO doit pouvoir conseiller des actions pouvant un avoir un impact négatif parfois significatif sur les résultats, le cours de l’action, etc.

La question du taux d’activité peut se résoudre plus facilement. Il est en effet à prévoir que l’activité des DPO sera intense dans un premier temps, en raison des adaptations nécessaires au nouveau droit. Il est donc tout à fait possible de prévoir un taux d’activité qui baissera, par exemple dès 2024. Plus difficile est le problème de la répartition de l’activité sur l’année. Imaginons en effet un incident de sécurité : le DPO, au sein d’un Incident Response Team, devra déployer des heures importantes sur une courte période, alors que l’activité sera moins intense par la suite. La difficulté peut ici être résolue par le biais d’un horaire de travail flexible (gleitende Arbeitszeit) à temps partiel. Les parties peuvent en effet convenir que le travailleur, dans un cadre prédéfini, détermine librement la durée de son temps de travail journalier, pourvu qu’à l’issue d’une période de référence, il ait accompli le nombre d’heures contractuellement dues. Généralement, des heures de présence obligatoire (plages « bloquées ») doivent être respectées, le travailleur pouvant s’organiser librement le reste du temps. En contrepartie de cette autonomie, le travailleur a la responsabilité de récupérer à temps le solde de travail excédentaire qu’il a librement accumulé.

La question de la formation et des compétences est cruciale dans l’activité du DPO. Un contrat de travail, même à temps partiel et horaire flexible, devrait insister sur la formation continue et garantir qu’un certain budget puisse être alloué chaque année au DPO à cette fin.

L’employeur serait peu inspiré d’utiliser des clauses de non concurrence dans des contrats de travail avec des DPO. C’est d’abord parce que les connaissances techniques spécifiques à ces fonctions ne courent pas les rues, d’une part. Mais c’est aussi, d’autre part, parce que ces connaissances techniques particulières sont indissociables de la personne du DPO. Une clause de non concurrence aurait ainsi de bonnes chances de ne pas être valable.

Conclusion

On voit ainsi qu’entre le recours à des prestataires externes onéreux et la désignation interne de responsables, il peut y avoir de la place pour des contrats de travail à temps partiel, avec horaire flexible, si et pour autant certaines clauses du contrat de travail sont adaptées.

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans nouvelle LPD, Protection de la personnalité, Protection des données | Tagué , , , , | Laisser un commentaire

Le Data Protection Officer (DPO) en droit suisse

Photo de Mateusz Dach sur Pexels.com

[Le droit suisse de la protection des données, c’est aussi du droit du travail !

En effet, outre le renvoi de l’art. 328 b CO, le droit de la protection des données s’applique à des degrés divers dans toutes les étapes de la gestion des ressources humaines, de l’engagement au contentieux en passant par la tenue du dossier personnel.

Or le droit suisse de la protection des données va connaître un bouleversement considérable au 2e semestre 2022 avec l’entrée en vigueur de la loi révisée sur la protection des données et de son ordonnance.

Contrairement à ce que l’on peut lire ici ou là, le nouveau droit de la protection des données va entraîner des adaptations substantielles des pratiques et des manières de faire, particulièrement pour les employeurs qui ne se sont pas adaptés au RGPD car ils n’avaient pas à le faire.

Je vais donc présenter sur ce blog quelques-unes des nouveautés à venir pendant le 2e semestre 2021.]

Terminologie

A titre liminaire, une question de terminologie. Le droit suisse utilise les termes de conseiller à la protection des données, que ce soit dans le cadre de la LPD actuelle ou dans sa version révisée [(art. 11a al. 5 let. e de la loi fédérale du 19 juin 1992 sur la protection des données (LPD ; RS 235.1) ; art. 10 de la nouvelle loi fédérale du 25 septembre 2020 sur la protection des données, adoptée le 25 septembre 2020, et qui devrait renter en vigueur dans la 2e partie de 2022 (nLPD ; FF 2020 7397)]. Le droit européen utilise les termes de délégué à la protection des données, soit, dans la version anglaise du Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données (RGPD)), le Data Protection Officer (art. 37 et ss RGPD). C’est cette dernière dénomination qui tend à s’imposer dans la pratique, même si on peut constater l’existence d’autres titres et termes, comme ceux de « Privacy Officer » par exemple. Nous utiliserons ici ces termes de manière interchangeables.

La LPD actuelle

Le conseiller à la protection des données ne fait l’objet que d’une mention, presque en passant, dans la LPD actuelle. Le maître du fichier privé est en effet dispensé de déclarer son fichier s’il a désigné un conseiller à la protection des données indépendant chargé d’assurer l’application internes des dispositions relatives à la protection des données et de tenir un inventaire des fichiers (art. 11a al. 5 let. e LPD). Il ne s’agit donc que d’une incitation, la désignation du conseiller n’étant pas obligatoire.

La situation est toutefois différente pour les organes fédéraux, lesquels doivent désigner un conseiller à la protection des données, qui sera chargé de conseiller les organes responsables et les utilisateurs, de promouvoir l’information et la formation des collaborateurs et de concourir à l’application des prescriptions relatives à la protection des données (art. 23 al. 1 de l’ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des données (OLPD ; RS 235.11).

La désignation du conseiller à la protection des données, son statut et ses tâches sont régis par les art. 12a et 12b OLPD. Selon l’art. 12a al. 1 OLPD, lorsque le maître du fichier entend être délié de son devoir de déclaration des fichiers  en vertu de l’art. 11a al. 5 let. e LPD, il est tenu: de désigner un conseiller à la protection des données qui remplit les conditions de l’art. 12a al. 2 et de l’art. 12b, et d’en informer le préposé. Le maître du fichier peut donc désigner un collaborateur ou un tiers en qualité de conseiller à la protection des données ; celui-ci ne doit toutefois pas exercer d’activités incompatibles avec ses tâches de conseiller à la protection des données et doit avoir les connaissances professionnelles nécessaires (art. 12a al. 2 OLPD).

Le conseiller à la protection des données devra exercer sa fonction de manière indépendante et sans recevoir d’instructions de la part du maître du fichier, il disposera des ressources nécessaires à l’accomplissement de sa tâche et aura accès aux fichiers, aux traitements et aux informations nécessaires à l’accomplissement de ses devoirs (art. 12b al. 2 OLPD).

L’indépendance du conseiller à la protection des données devra être formelle, mais aussi matérielle. Le conseiller ne saurait en effet être le responsable de l’administration des systèmes d’information de l’entreprise, le responsable clientèle ou le responsable des ressources humaines. Il ne doit pas pouvoir déterminer les buts et les moyens d’un traitement de données. Il peut par contre être rattaché au responsable juridique, au service de l’audit interne ou au chargé de la sécurité informatique. Mais son indépendance doit aussi être matérielle, et non seulement organisationnelle ou formelle. Le conseiller doit en effet exercer sa fonction sans recevoir d’instructions de la part du maître du fichier pour ce qui concerne l’exercice de ses tâches, avoir les moyens de remplir sa fonction et les accès nécessaires à cette fin. Pour ce qui est des connaissances, le conseiller doit indubitablement avoir des connaissances en droit, mais aussi si possible des connaissances techniques ainsi qu’une bonne maîtrise des activités du maître du fichier et des traitements que celui-ci effectue. [Philippe MEYER, Protection des données, Berne, Stämpfli, 2011, N 1453-1455]

Les missions du conseiller à la protection des données sont sommairement décrites à l’art. 12b al. 1 OLPD. Il aura ainsi notamment pour tâches de de contrôler les traitements de données personnelles et de proposer des mesures s’il apparaît que des prescriptions sur la protection des données ont été violées, de dresser l’inventaire des fichiers gérés par le maître du fichier et de le tenir à la disposition du préposé ou des personnes concernées qui en font la demande. Le contrôle visé par l’art. 12b al. 1 OLPD suppose toutefois de fait l’accomplissement de nombreuses autres tâches en amont : conseiller et former le personnel, donner son avis sur des projets internes, réalisation ou accompagnement d’audits, information, etc. [MEYER, op. cit., N 1460]

Le conseiller n’assume par contre pas la responsabilité des traitements effectués par le maître du fichier, même si celui-ci a suivi les recommandations du conseiller, et il ne peut saisir le PFPDT s’il estime que ses recommandations ne sont pas suivies [MEYER, op. cit., N 1457, 1461]. Il assume par contre une responsabilité contractuelle envers le maître du fichier, selon les termes du contrat de travail ou du contrat de mandat le liant à celui-ci, et peut aussi être soumis à une responsabilité délictuelle s’il cause des préjudices à autrui.

La nouvelle LPD

A teneur de l’art. 10 al. 1 et al. 2 de la nouvelle loi fédérale du 25 septembre 2020 sur la protection des données (nLPD ; FF 2020 7397 – entrée en vigueur 2e semestre 2022), les responsables du traitement privés peuvent nommer un conseiller à la protection des données qui sera l’interlocuteur des personnes concernées et des autorités chargées de la protection des données en Suisse. Il aura notamment pour tâches de former et conseiller le responsable du traitement privé dans le domaine de la protection des données et de concourir à l’application des prescriptions relatives à la protection des données.

A teneur de l’art. 10 al. 3 nLPD, le responsable de traitement ne pourra se prévaloir de l’exception prévue à l’art. 23 al. 4 [voir ci-dessous] que si le conseiller à la protection des données exerce sa fonction de manière indépendante par rapport au responsable du traitement et sans recevoir d’instruction de celui-ci. Par ailleurs le conseiller ne devra pas exercer de tâches incompatibles avec ses tâches de conseiller à la protection des données. Il devra disposer des connaissances professionnelles nécessaires. Le responsable du traitement publiera les coordonnées du conseiller à la protection des données et les communiquera au PFPDT.

Comme dans la LPD actuelle, le « bénéfice » d’une telle nomination, pour le responsable de traitement, apparaît plutôt modeste. En effet, le responsable de traitement doit consulter le PFPDT préalablement au traitement lorsque l’analyse d’impact relative à la protection des données révèle que, malgré les mesures prévues par le responsable du traitement, le traitement envisagé présente encore un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. Il peut toutefois y renoncer s’il a consulté son conseiller à la protection des données (art. 10 al. 3 et 23 al. 4 nLPD).

C’est toutefois ignorer que, malgré la modestie de l’avantage conféré par l’art. 23 al. 4 nLPD, le nouveau droit de la protection des données va mettre à charge des responsables de traitement de considérables nouvelles obligations (information, registre des traitements, annonce des violations de sécurité, étude d’impact, etc.), et ce sans compter encore sur un nouveau régime de sanctions pénales ou sur les nouveaux pouvoirs conférés au PFPDT. La nomination d’un conseiller à la protection des données est donc une question que les entreprises vont devoir se poser, et rapidement eu égard au calendrier (mise en vigueur du nouveau droit dans le courant du semestre 2022).

L’avant-projet d’ordonnance précise et détaille les dispositions de la nLPD.

A teneur de l’art. 25 de l’avant projet d’Ordonnance relative à la loi fédérale sur la protection des onnées, mis en consultation jusqu’au 14 octobre 2021 (nOLPD), le conseiller à la protection des données personnelles d’un responsable du traitement privé doit accomplir les tâches suivantes: a. contrôler le traitement de données personnelles ainsi que ses exigences et proposer des mesures s’il constate que des prescriptions de protection des données ont été violées; b. concourir à l’établissement de l’analyse d’impact relative à la protection des données, et la vérifier, dans tous les cas lorsque le responsable du traitement privé entend renoncer à consulter le PFPDT au sens de l’art. 23 al. 4 LPD.  Le responsable du traitement privé mettra à disposition du conseiller à la protection des données personnelles les ressources nécessaires. Il donnera au conseiller à la protection des données accès à tous les renseignements, documents, registres des activités de traitement et données personnelles dont il a besoin pour l’accomplissement de ses tâches.

Dans son rapport explicatif [Révision totale de l’ordonnance relative à la loi fédérale sur la protection des données Rapport explicatif du 23 juin 2021 relatif à la procédure de consultation, pp. 36-38], le Conseil fédéral souligne que l’art. 10 al. 2 nLPD prévoit, de façon non exhaustive, deux tâches que conseiller à la protection des données d’un responsable de traitement privé devra accomplir : former et conseiller le responsable du traitement dans le domaine de la protection des données (let. a) et concourir à l’application des prescriptions relatives à la protection des données (let. b). Ces tâches sont décrites plus en détail dans l’art. 25 nOLPD, qui reprend les dispositions de l’OLPD actuelle, avec quelques adaptations.

Le conseiller à la protection des données doit ainsi contrôler le traitement des données personnelles ainsi que ses exigences et proposer des mesures s’il constate que des prescriptions de protection des données ont été violées. Il surveille le respect de la législation sur la protection des données et des éventuelles prescriptions internes relatives à la protection des données édictées par le responsable du traitement. Le conseiller doit aussi vérifier si les prescriptions internes de protection des données sont compatibles avec la législation. Le responsable du traitement ne peut en aucun cas infliger des sanctions à l’encontre du conseiller à la protection des données dans l’exercice de ses fonctions.

Dans ce contexte, il est opportun de préciser que le conseiller à la protection des données a, comme son nom l’indique, une fonction de conseil et de soutien. Puisqu’il a une compétence décisionnelle, le responsable du traitement est bien la seule personne responsable du respect de la protection des données, en particulier vis-à-vis des personnes concernées. La tâche visée à la let. a [former et conseiller] n’engage en principe pas la responsabilité du conseiller à la protection des données si le responsable du traitement contrevient à la législation.

L’art. 25 al. 1 let. b concrétise le rôle du conseiller à la protection des données dans la réalisation des analyses d’impact relatives à la protection des données. En vertu de l’art. 23 al. 4  nLPD, le responsable du traitement privé peut renoncer à consulter le PFPDT à la suite d’une analyse d’impact relative à la protection des données s’il a nommé un conseiller au sens de l’art. 10 nLPD et qu’il l’a consulté au sujet de ladite analyse. Il ne suffit pas de lui soumettre les résultats de l’analyse une fois celle-ci effectuée. Le conseiller doit en effet véritablement concourir à la réalisation de l’analyse. Il vérifie tout particulièrement l’évaluation des risques et les mesures proposées par le responsable du traitement. Idéalement, le responsable du traitement devrait toujours prévoir de recourir au conseiller, mais ce n’est une obligation que dans le cas où il doit renoncer à consulter le PFPDT en application de l’art. 23 al. 4 nLPD.

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans Non classé | Laisser un commentaire

Protection des données dès la conception et par défaut

Photo de Connor Danylenko sur Pexels.com

[Le droit suisse de la protection des données, c’est aussi du droit du travail !

En effet, outre le renvoi de l’art. 328 b CO, le droit de la protection des données s’applique à des degrés divers dans toutes les étapes de la gestion des ressources humaines, de l’engagement au contentieux en passant par la tenue du dossier personnel.

Or le droit suisse de la protection des données va connaître un bouleversement considérable au 2e semestre 2022 avec l’entrée en vigueur de la loi révisée sur la protection des données et de son ordonnance.

Contrairement à ce que l’on peut lire ici ou là, le nouveau droit de la protection des données va entraîner des adaptations substantielles des pratiques et des manières de faire, particulièrement pour les employeurs qui ne se sont pas adaptés au RGPD car ils n’avaient pas à le faire.

Je vais donc présenter sur ce blog quelques-unes des nouveautés à venir pendant le 2e semestre 2021.]

La protection des données dès la conception [Privacy by design] repose sur l’idée que la technologie est au service de la protection des données et que la majorité des violations de la sphère privée ne sont pas détectées. Il faut donc plutôt éviter qu’elles se produisent a priori dans la mesure du possible, par opposition à une simple sanction a posteriori. Elle matérialise ainsi le principe de proportionnalité et l’approche fondée sur le risque en droit suisse de la protection des données. Certains auteurs considèrent que le principe découlait déjà de l’art. 7 LPD actuelle, et qu’il a été séparé dans la nLPD des considérations relatives à la sécurité des données [David Rosenthal, Samira Studer/Alexandre Lombard (pour la traduction), La nouvelle loi sur la protection des données, in : Jusletter 16 novembre 2020, N 43].

A teneur de l’art. 7 al. 1 de la nouvelle loi fédérale du 25 septembre 2020 sur la protection des données (nLPD ; FF 2020 7397), qui devrait entrer en vigueur au second semestre 2022, le responsable du traitement est donc tenu de mettre en place des mesures techniques et organisationnelles afin que le traitement respecte les prescriptions de protection des données, en particulier les principes fixés à l’art. 6 nLPD. Il le fait dès la conception du traitement. [Privacy by design]

Rappelons que l’art. 6 nLPD prévoit que tout traitement de données personnelles doit être licite et conforme aux principes de la bonne foi et de la proportionnalité (al. 1 et 2).  Les données personnelles ne peuvent être collectées que pour des finalités déterminées et reconnaissables pour la personne concernée et doivent être traitées ultérieurement de manière compatible avec ces finalités (al. 3). Les données sont détruites ou anonymisées dès qu’elles ne sont plus nécessaires au regard des finalités du traitement (art. 4) Celui qui traite des données personnelles doit s’assurer qu’elles sont exactes. Il prend toute mesure appropriée permettant de rectifier, d’effacer ou de détruire les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées ; le caractère approprié de la mesure dépend notamment du type de traitement et de son étendue, ainsi que du risque que le traitement des données en question présente pour la personnalité ou les droits fondamentaux des personnes concernées (al. 5). Lorsque le consentement de la personne concernée est requis, celle-ci ne consent valablement que si elle exprime librement sa volonté concernant un ou plusieurs traitements déterminés et après avoir été dûment informée (al. 6). Le consentement doit être exprès dans les cas suivants: traitement de données sensibles; profilage à risque élevé effectué par une personne privée; profilage effectué par un organe fédéral (al.  7).

Les mesures techniques et organisationnelles requises par l’art. 7 al. 1 nLPD doivent être appropriées au regard notamment de l’état de la technique, du type de traitement et de son étendue, ainsi que du risque que le traitement des données présente pour la personnalité ou les droits fondamentaux des personnes concernées (art. 7 al. 2 nLPD). Il est à noter que les mesures ne sont pas seulement techniques /informatiques, mais couvrent bien tout ce qui est lié au traitement de données personnelles : processus, gouvernance, responsabilités, allocation des ressources, etc.

La protection des données par défaut matérialise quant à elle essentiellement le principe de proportionnalité. La personne concernée, sans action spécifique de sa part, bénéficie ainsi du régime le plus respectueux possible de sa personnalité. Elle ne devrait pas, par exemple, être obligée de créer un compte client pour faire une commande en ligne. Le responsable du traitement est donc tenu de garantir, par le biais de préréglages appropriés, que le traitement des données personnelles soit limité au minimum requis par la finalité poursuivie, pour autant que la personne concernée n’en dispose pas autrement [Privacy by default : art. 7 al. 3 nLPD].

Il est à noter que tant la Privacy by design que la Privacy by default ne sont pas des principes dont la violation constituerait une atteinte illicite à la personnalité au sens de l’art. 30 al. 2 let. a nLPD.

En droit européen, le consid. 78 RGPD souligne que l’obligation de Privacy by Design/by Default s’applique certes au responsable de traitement, mais pas que. Lors de l’élaboration, de la conception, de la sélection et de l’utilisation d’applications, de services et de produits qui reposent sur le traitement de données à caractère personnel ou traitent des données à caractère personnel pour remplir leurs fonctions, il convient en effet d’inciter les fabricants de produits, les prestataires de services et les producteurs d’applications à prendre en compte le droit à la protection des données lors de l’élaboration et de la conception de tels produits, services et applications et, compte dûment tenu de l’état des connaissances, à s’assurer que les responsables du traitement et les sous-traitants sont en mesure de s’acquitter des obligations qui leur incombent en matière de protection des données. Les principes de protection des données dès la conception et de protection des données par défaut devraient également être pris en considération dans le cadre des marchés publics. [Voir aussi edpb, Lignes directrices 4/2019 relatives à l’article 25. Protection des données dès la conception et protection des données par défaut, version 2.0 adoptée le 20 octobre 2020, N 1].

L’art. 25 § 1 RGPD prévoit que compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données [art. 5 RGPD], par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée [Privacy by Design].

Le consid. 39 RGPD considère, à propos des principes relatifs à la protection des données de l’art. 5 RGPD que tout traitement de données à caractère personnel doit être licite et loyal. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l’égard des personnes physiques concernées. Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. Ce principe vaut, notamment, pour les informations communiquées aux personnes concernées sur l’identité du responsable du traitement et sur les finalités du traitement ainsi que pour les autres informations visant à assurer un traitement loyal et transparent à l’égard des personnes physiques concernées et leur droit d’obtenir la confirmation et la communication des données à caractère personnel les concernant qui font l’objet d’un traitement. Les personnes physiques devraient être informées des risques, règles, garanties et droits liés au traitement des données à caractère personnel et des modalités d’exercice de leurs droits en ce qui concerne ce traitement. En particulier, les finalités spécifiques du traitement des données à caractère personnel devraient être explicites et légitimes, et déterminées lors de la collecte des données à caractère personnel. Les données à caractère personnel devraient être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées. Cela exige, notamment, de garantir que la durée de conservation des données soit limitée au strict minimum. Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens. Afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement pour leur effacement ou pour un examen périodique. Il y a lieu de prendre toutes les mesures raisonnables afin de garantir que les données à caractère personnel qui sont inexactes sont rectifiées ou supprimées. Les données à caractère personnel devraient être traitées de manière à garantir une sécurité et une confidentialité appropriées, y compris pour prévenir l’accès non autorisé à ces données et à l’équipement utilisé pour leur traitement ainsi que l’utilisation non autorisée de ces données et de cet équipement.

Les mesures techniques et organisationnelles appropriées au sens de l’art. 25 § 1 et les garanties nécessaires peuvent s’entendre au sens large comme toute méthode ou tout moyen qu’un responsable du traitement peut employer dans le cadre du traitement. Approprié signifie que les mesures et les garanties nécessaires doivent être adaptées pour atteindre le but visé, c’est-à-dire qu’elles doivent mettre en œuvre les principes de protection des données de façon effective. On entend par «mesure technique ou organisationnelle et garantie» diverses mesures pouvant aller de l’utilisation de solutions techniques avancées à la formation de base du personnel. Parmi les exemples de mesures et de garanties adéquates, on peut citer, selon le contexte et les risques associés au traitement concerné, la pseudonymisation des données à caractère personnel, la conservation des données à caractère personnel disponibles dans un format structuré, couramment utilisé et lisible par machine, la possibilité pour les personnes concernées d’intervenir dans le traitement, la fourniture d’informations sur la conservation des données à caractère personnel, la mise en place de systèmes de détection des logiciels malveillants, la formation des salariés aux principes de base de la «cyberhygiène», la mise en place de systèmes de gestion de la protection de la vie privée et de la sécurité des informations, l’obligation contractuelle pour les sous-traitants de mettre en œuvre des pratiques spécifiques de minimisation des données, etc.

Parmi les critères de l’art. 25 § 1, l’« état des connaissances » impose aux responsables du traitement, lors de la définition des mesures techniques et organisationnelles appropriées, de prendre en considération le progrès technologique actuel présent sur le marché. Cette disposition impose l’obligation pour les responsables du traitement d’avoir connaissance et de se tenir informés des progrès technologiques, de la manière dont la technologie peut présenter des risques ou des opportunités, en matière de protection des données, pour l’opération de traitement, et de la manière de mettre en œuvre et de tenir à jour les mesures et garanties qui assurent une mise en œuvre effective des principes et des droits des personnes concernées dans un contexte technologique en constante évolution. L’«état des connaissances» est une notion dynamique qui ne peut se définir de manière statique à un moment précis, mais qui doit être évaluée en continu au regard des progrès technologiques. Compte tenu des avancées technologiques, un responsable du traitement pourrait estimer qu’une mesure a fourni à un moment donné un niveau de protection adéquat, mais que ce n’est plus le cas. Le critère de l’«état des connaissances» ne s’applique pas uniquement aux mesures technologiques, mais aussi aux mesures organisationnelles. Parmi les exemples de mesures organisationnelles, on peut citer l’adoption de politiques internes, la réalisation de formations actualisées sur la technologie, la sécurité et la protection des données, ou encore l’élaboration de politiques de gouvernance et de gestion de la sécurité informatique.

Autre critère de l’art. 25 § 1, l’élément « coût » n’oblige pas le responsable du traitement à dépenser une quantité disproportionnée de ressources lorsqu’il existe d’autres mesures moins exigeantes en ressources, mais tout aussi efficaces.

On tiendra compte également du risque. Lorsqu’il effectue l’analyse de risque en conformité avec l’article 25, le responsable du traitement doit identifier les risques que présente une violation des principes pour les droits des personnes concernées, et doit déterminer la probabilité et la gravité de ces risques dans le but de mettre en œuvre des mesures atténuant de façon effective les risques recensés.

D’autres critères appellent moins de développements. La notion de nature peut s’entendre comme les caractéristiques intrinsèques du traitement. La portée fait référence à l’ampleur et à l’étendue du traitement. Le contexte a trait aux circonstances du traitement susceptibles d’influencer les attentes de la personne concernée, tandis que les finalités concernent les objectifs du traitement.

Selon l’art. 25 § 2 RGPD, le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée [Privacy by Default].

Le terme «par défaut», dans le cadre du traitement de données à caractère personnel, désigne le fait de faire des choix concernant les valeurs de configuration ou les options de traitement définies ou prescrites dans un système de traitement, tel qu’une application logicielle, un service ou un dispositif, ou une procédure de traitement manuel, qui affectent la quantité de données à caractère personnel collectées, l’étendue de leur traitement, la durée de leur conservation ainsi que leur accessibilité. Seul le traitement qui est strictement nécessaire pour atteindre la finalité licite prévue doit être effectué par défaut. Il s’ensuit que, par défaut, le responsable du traitement ne doit ni collecter plus de données que nécessaire, ni traiter les données collectées plus qu’il n’est nécessaire pour atteindre ses finalités, ni conserver les données plus longtemps que nécessaire. Si le responsable du traitement utilise un logiciel tiers ou un logiciel du commerce, il doit procéder à une évaluation des risques du produit et s’assurer que les fonctions qui n’ont pas de base juridique ou qui ne sont pas compatibles avec les finalités prévues du traitement sont désactivées. Les mêmes considérations valent aussi pour les mesures organisationnelles à l’appui du traitement. Elles doivent être conçues pour ne traiter, dès le début, que la quantité minimale de données à caractère personnel nécessaires aux opérations spécifiques. Ce point devrait tout particulièrement être pris en considération lors de l’attribution de l’accès aux données aux membres du personnel ayant des rôles différents et des besoins d’accès différents. Les «mesures techniques et organisationnelles» appropriées dans le contexte de la protection des données par défaut recouvrent donc la même notion que celle qui a été exposée ci-dessus, mais appliquée spécifiquement à la mise en œuvre du principe de minimisation des données.

Concernant la quantité de données collectées, si certaines catégories de données à caractère personnel ne sont pas nécessaires ou si des données détaillées ne sont pas requises car des données d’une granularité moins fine sont suffisantes, toute donnée à caractère personnel excédentaire ne doit pas être collectée. Pour ce qui est de l’étendue de leur traitement, les opérations de traitement doivent se limiter à ce qui est nécessaire. Pour ce qui est de la durée de conservation, les données ne sont pas conservées si elles ne sont pas nécessaires à la finalité du traitement et s’il n’en existe pas d’autre ou de fondement juridique. Le responsable du traitement limite la période de conservation à la durée nécessaire à la finalité. Si les données à caractère personnel ne sont plus nécessaires aux fins du traitement, elles devront, par défaut, être supprimées ou anonymisées. La durée de conservation dépendra donc de la finalité du traitement en question. Concernant l’accessibilité, Le responsable du traitement devrait limiter le nombre de personnes ayant accès et les types d’accès aux données à caractère personnel en fonction d’une évaluation de la nécessité, et devrait également veiller à ce que les données à caractère personnel soient effectivement accessibles aux personnes qui en ont besoin lorsque cela est nécessaire, par exemple dans des situations critiques. L’article 25, paragraphe 2, précise en outre que les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée. Le responsable du traitement doit, par défaut, limiter l’accès et donner à la personne concernée la possibilité d’intervenir avant de publier ou de mettre à la disposition d’un nombre indéterminé de personnes physiques des données à caractère personnel la concernant.

* * *

Les responsables du traitement mettent en œuvre la protection des données dès la conception et la protection des données par défaut avant le traitement, et de manière continue pendant celui-ci, en examinant régulièrement l’effectivité des mesures et des garanties choisies. La protection des données dès la conception et la protection des données par défaut s’appliquent également aux systèmes existants qui traitent des données à caractère personnel, et aux traitements effectués par l’intermédiaire de sous-traitants.

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans nouvelle LPD, Protection de la personnalité, Protection des données | Tagué , , , , | Laisser un commentaire

Protection des données et sécurité des données: régime actuel, régime futur

Photo de Pixabay sur Pexels.com

[Le droit suisse de la protection des données, c’est aussi du droit du travail !

En effet, outre le renvoi de l’art. 328 b CO, le droit de la protection des données s’applique à des degrés divers dans toutes les étapes de la gestion des ressources humaines, de l’engagement au contentieux en passant par la tenue du dossier personnel.

Or le droit suisse de la protection des données va connaître un bouleversement considérable au 2e semestre 2022 avec l’entrée en vigueur de la loi révisée sur la protection des données et de son ordonnance.

Contrairement à ce que l’on peut lire ici ou là, le nouveau droit de la protection des données va entraîner des adaptations substantielles des pratiques et des manières de faire, particulièrement pour les employeurs qui ne se sont pas adaptés au RGPD car ils n’avaient pas à le faire.

Je vais donc présenter sur ce blog quelques-unes des nouveautés à venir pendant le 2e semestre 2021.]

Il existe une interaction entre la protection des données et leur sécurité, mais ces deux aspects doivent être traités séparément. La protection des données relève de la protection de la personnalité de l’individu. Quant à la sécurité des données, elle vise généralement les données présentes chez un responsable du traitement ou chez un sous-traitant et englobe le cadre organisationnel et technique général du traitement des données.

Par conséquent, la protection de l’individu n’est possible que si des mesures techniques générales ont été prises pour la sécurité des données le concernant au préalable. (Message du 15 septembre 2017 concernant la loi fédérale sur la révision totale de la loi fédérale sur la protection des données et sur la modification d’autres lois fédérales, FF 2017 6565, 6650-6651)

Les notes qui suivent présentent succinctement le régime actuel et le possible régime futur de la sécurité des données sous l’angle de la protection des données suisse.

Régime actuel

A teneur de l’art. 7 al. 1 de la loi fédérale du 19 juin 1992 sur la protection des données (RS 235.1 ; LPD) les données personnelles doivent être protégées contre tout traitement non autorisé par des mesures organisationnelles et techniques appropriées. C’est le principe de sécurité, dont la violation entraîne la présomption d’une atteinte illicite à la personnalité des personnes concernées selon l’art. 12 al. 2 let. a LPD. L’art. 7 al. 2 LPD prévoit que le Conseil fédéral édicte des dispositions plus détaillées sur les exigences minimales en matière de sécurité des données.

Le Conseil fédéral a donc développé la matière plus avant aux art. 8 à 11 de l’ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des données (RS 235.11 ; OLPD).

Les art. 8 et 9 OLPD distinguent des mesures générales et des mesures particulières.

Au titre des premières, la personne privée qui traite des données personnelles ou qui met à disposition un réseau télématique assure la confidentialité, la disponibilité et l’intégrité des données afin de garantir de manière appropriée la protection des données (art. 8 al. 1 OLPD). Elle protège les systèmes notamment contre les risques de:  a. destruction accidentelle ou non autorisée;  b. perte accidentelle;  c. erreurs techniques; d. falsification, vol ou utilisation illicite; e. modification, copie, accès ou autre traitement non autorisés. Les mesures techniques et organisationnelles prises à cette fin devront être appropriées (art. 8 al. 2 OLPD). Elles tiendront compte en particulier des critères suivants: a. but du traitement de données; b. nature et étendue du traitement de données;  c. évaluation des risques potentiels pour les personnes concernées; d. développement technique. Les mesures devront faire l’objet d’un réexamen périodique (art. 8 al. 3 OLPD).

Pour ce qui est des secondes, le maître du fichier prend, en particulier lors de traitements automatisés de données personnelles, des mesures techniques et organisationnelles propres à réaliser notamment les objectifs suivants:  a. contrôle des installations à l’entrée: les personnes non autorisées n’ont pas accès aux locaux et aux installations utilisées pour le traitement de données personnelles; b. contrôle des supports de données personnelles: les personnes non autorisées ne peuvent pas lire, copier, modifier ou éloigner des supports de données; c. contrôle du transport: les personnes non autorisées ne peuvent pas lire, copier, modifier ou effacer des données personnelles lors de leur communication ou lors du transport de supports de données; d. contrôle de communication: les destinataires auxquels des données personnelles sont communiquées à l’aide d’installations de transmission peuvent être identifiés;  e. contrôle de mémoire: les personnes non autorisées ne peuvent ni introduire de données personnelles dans la mémoire ni prendre connaissance des données mémorisées, les modifier ou les effacer; f. contrôle d’utilisation: les personnes non autorisées ne peuvent pas utiliser les systèmes de traitement automatisé de données personnelles au moyen d’installations de transmission; g. contrôle d’accès: les personnes autorisées ont accès uniquement aux données personnelles dont elles ont besoin pour accomplir leurs tâches; h. contrôle de l’introduction: l’identité des personnes introduisant des données personnelles dans le système, ainsi que les données introduites et le moment de leur introduction peuvent être vérifiés a posteriori.

L’art. 9 al. 2 OLPD ajoute que les fichiers doivent être organisés de manière à permettre à la personne concernée d’exercer ses droits d’accès et de rectification, ce qui est une condition de l’exercice de ces droits, et non une mesure de sécurité au sens strict.

L’art. 10 OLPD traite de la journalisation. L’objectif de la journalisation est de pouvoir vérifier le traitement des données personnelles a posteriori, afin de déterminer si des données ont été perdues, effacées, détruites, modifiées ou si elles ont été divulguées. La journalisation peut aussi fournir des renseignements permettant de savoir si les données personnelles ont été traitées conformément aux finalités. Elle sert en outre à déceler et à faire la lumière sur les violations de la sécurité des données. Elle n’est en revanche pas destinée à surveiller la façon dont les utilisateurs traitent les données personnelles.

Le maître du fichier journalise ainsi les traitements automatisés de données sensibles ou de profils de la personnalité lorsque les mesures préventives ne suffisent pas à garantir la protection des données. Une journalisation est notamment nécessaire, lorsque, sans cette mesure, il ne serait pas possible de vérifier a posteriori que les données ont été traitées conformément aux finalités pour lesquelles elles ont été collectées ou communiquées. Le PFPDT peut recommander la journalisation pour d’autres traitements. Les procès-verbaux de journalisation sont conservés durant une année et sous une forme répondant aux exigences de la révision. Ils sont accessibles aux seuls organes ou personnes chargés de vérifier l’application des dispositions de protection des données personnelles, et ils ne sont utilisés qu’à cette fin.

Selon l’art. 11 al. 1 OLPD, le maître d’un fichier automatisé soumis à déclaration, parce qu’il traite régulièrement des données sensibles ou des profils de la personnalité (art. 11a al. 3 LPD) et qu’il n’est pas exempté de cette obligation au sens de l’art. 11a al. 5 let. b.-d (traitement non susceptible de menacer les droits de la personne concernée selon l’art. 4 OLPD, fichier utilisé exclusivement pour la publication dans la partie rédactionnelle d’un média à caractère périodique, instrument de travail d’un journaliste), doit élaborer un règlement de traitement décrivant en particulier l’organisation interne et les procédures de traitement et de contrôle des données, et comprenant les documents relatifs à la planification, à l’élaboration et à la gestion du fichier et des moyens informatiques. Le maître du fichier mettra régulièrement à jour le règlement de traitement. Il sera mis à disposition, sur demande, au PFPDT et/ou au conseiller à la protection des données (le DPO de l’art. 11a al. 5 let. e LPD).

Régime futur (2e semestre 2022)

La nouvelle loi fédérale du 25 septembre 2020 sur la protection des données (nLPD ; FF 2020 7397), qui devrait entrer en vigueur au second semestre 2022, prévoit en son art. 8, que les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru. Il s’agit d’une approche fondée sur le risque : plus le risque d’une atteinte à la sécurité des données est élevé, plus les exigences auxquelles doivent répondre les mesures à prendre seront élevées. Les mesures doivent permettre d’éviter toute violation de la sécurité des données (art. 8 al. 2), soit toute violation de la sécurité entraînant la perte de données personnelles, leur modification, leur effacement ou leur destruction, leur divulgation ou un accès non autorisé à celles-ci, et ce indépendamment de savoir si la violation est intentionnelle ou non, licite ou illicite. Les mesures peuvent viser par exemple à pseudonymiser des données, à assurer la confidentialité et la disponibilité du système ou de ses services, ou encore à élaborer des procédures visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures prises. Selon le même mécanisme que pour la LPD actuelle, le Conseil fédéral édicte par ailleurs des dispositions sur les exigences minimales en matière de sécurité des données.

Ces dispositions figurent aux art. 1 à 5 de l’Avant-projet d’Ordonnance relative à la loi fédérale sur la protection des données (nOLPD), dont la procédure de consultation prendra fin le 14 octobre 2021 [cf. OFJ, Révision totale de l’ordonnance relative à la loi fédérale sur la protection des données, Rapport explicatif relatif à la procédure de consultation, 23 juin 2021, pp. 14-22].

Selon le Rapport, il a été renoncé à inscrire des exigences minimales strictes dans la nOLPD car la loi suit une approche fondée sur le risque et qu’il est impossible de fixer des exigences minimales générales applicables à chaque branche. L’approche suivie repose plutôt sur le fait qu’il incombe en premier lieu au responsable du traitement de déterminer les mesures nécessaires dans un cas précis, et de les prendre. Ces mesures ne peuvent être prises qu’au  cas par cas, et leur portée dépend du risque encouru. En toute logique, les exigences sont ainsi plus élevées pour un hôpital qui traite régulièrement des données sensibles que pour une boulangerie ou une boucherie qui traite les données de ses clients ou de ses fournisseurs. La nOLPD contient donc surtout des lignes directrices permettant de déterminer les mesures à prendre. Cela permet de garantir la flexibilité nécessaire pour couvrir le large éventail de cas et éviter un excès de réglementation, en particulier pour les entreprises pour lesquelles les traitements de données sont rares et présentent peu de risques. Les mesures spécifiques pour la garantie de la sécurité des données prévues dans le droit en vigueur sont par ailleurs conservées (journalisation, règlements de traitement).

Le Conseil fédéral continue de suivre une approche fondée sur le risque : plus les droits de la personnalité et les droits fondamentaux de l’individu sont menacés, plus les exigences sont élevées.

Selon l’art. 1 nOLPD, pour savoir si les mesures techniques ou organisationnelles visant à garantir la sécurité des données sont adaptées au risque, les critères suivants sont pris en considération: a. la finalité, la nature, l’étendue et les circonstances du traitement des données; b. la probabilité d’une violation de la sécurité des données et son impact potentiel sur les personnes concernées, les deux critères s’apprécient ensemble; c. l’état de la technique – il suffit ici d’utiliser des mesures déjà disponibles et qui ont prouvé leur efficacité, on ne saurait exiger le recours à des techniques ultramodernes, non testées, ou qui sont encore en cours de développement; d. les coûts de mise en œuvre ; ce critère signifie que lorsqu’il existe plusieurs mesures permettant de  garantir un niveau de protection des données adéquat en toutes circonstances, on peut privilégier la variante la plus économique. Les mesures doivent par ailleurs être réexaminées à des intervalles appropriés pendant toute la durée du traitement ou après un incident de sécurité des données.

A teneur de l’art. 2 nOLPD, dans la mesure du possible, les mesures de sécurité des données doivent permettre d’atteindre les objectifs de protection suivants: a. contrôle de l’accès aux données: l’accès des personnes autorisées est limité aux données personnelles dont elles ont besoin pour accomplir leurs tâches; b. contrôle de l’accès aux locaux et installations: l’accès aux locaux et aux installations utilisés pour le traitement de données personnelles est refusé aux personnes non autorisées; c. contrôle des supports de données: les personnes non autorisées ne peuvent pas lire, copier, modifier, déplacer ou supprimer des supports de données; d. contrôle de mémoire: les personnes non autorisées ne peuvent ni introduire de données personnelles dans la mémoire ni consulter, modifier ou effacer des données personnelles enregistrées; e. contrôle d’utilisation: les personnes non autorisées ne peuvent pas utiliser les systèmes de traitement automatisé de données personnelles au moyen d’installations de transmission; f. contrôle du transport: les personnes non autorisées ne peuvent pas lire, copier, modifier ou effacer des données personnelles lors de leur communication ou lors du transport de supports de données; g. contrôle de la saisie: l’identité des personnes saisissant ou modifiant des données personnelles dans le système automatisé, ainsi que les données saisies ou modifiées et le moment de leur saisie ou modification peuvent être vérifiés; h. contrôle de la communication: il doit être possible de vérifier à qui sont communiquées des données personnelles à l’aide d’installations de transmission; i. restauration: la disponibilité des données personnelles et l’accès aux données personnelles peuvent être rapidement rétablis en cas d’incident physique ou technique; j. toutes les fonctions du système doivent être disponibles (disponibilité), les  dysfonctionnements éventuels doivent être signalés (fiabilité) et les données personnelles stockées ne doivent pas pouvoir être endommagées par des dysfonctionnements du système (intégrité des données); k. détection: les violations de la sécurité des données doivent pouvoir être rapidement détectées et des mesures doivent pouvoir être prises pour réduire ou éliminer les conséquences.

Concernant la journalisation, l’art. 3 prévoit que lorsque l’analyse d’impact sur la protection des données de l’art. 22 nLPD révèle que, malgré les mesures prévues par le responsable du traitement, le traitement envisagé présente encore un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées, le responsable du traitement privé et son sous-traitant journalisent au moins les opérations suivantes: enregistrement, modification, lecture, communication, effacement ou destruction. La journalisation doit fournir des informations sur la nature du traitement, l’identité de la personne qui a effectué le traitement, l’identité du destinataire et le moment auquel le traitement a eu lieu. Les procès-verbaux de journalisation sont conservés durant deux ans [et plus une année seulement], séparément du système dans lequel les données personnelles sont traitées. Ils sont accessibles aux seuls organes ou personnes chargés de vérifier l’application des dispositions de protection des données personnelles ou de rétablir la confidentialité, l’intégrité, la disponibilité et la traçabilité des données, et ils ne sont utilisés qu’à cette fin.

[Rappelons que selon l’art. 22 nLPD, lorsque le traitement envisagé est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, le responsable du traitement procède au préalable à une analyse d’impact relative à la protection des données personnelles ; il y a notamment « risque élevé » en cas de traitement de données sensibles à grande échelle ou de surveillance systématique de grandes parties du domaine public.]

L’art. 4 nOLPD reprend et détaille le règlement de traitement des personnes privées. Le responsable du traitement et son sous-traitant établissent ainsi un règlement pour les traitements automatisés en cas:  a. de traitement de données sensibles à grande échelle, ou b. de profilage à risque élevé. Le règlement de traitement contient au moins des indications sur:  a. la finalité du traitement; b. les catégories de personnes concernées et les catégories de données personnelles traitées; c. la durée de conservation des données personnelles ou les critères utilisés pour déterminer cette durée; d. l’organisation interne; e. l’origine des données personnelles et leur mode de collecte; f. les mesures techniques et organisationnelles visant à garantir la sécurité des données; g. les autorisations d’accès, ainsi que sur la nature et l’étendue de cet accès; h. les mesures prises pour la minimisation des données; i. les procédures de traitement des données, notamment les procédures, d’enregistrement, de rectification, de communication, de conservation, d’archivage, de pseudonymisation, d’anonymisation et d’effacement ou de destruction des données;  j. la procédure d’exercice du droit d’accès et du droit à la remise ou à la transmission des données personnelles. Le règlement est régulièrement actualisé et est mis à la disposition du PFPDT sous une forme intelligible. [L’art. 5 nOLPD traite du règlement de traitement des organes fédéraux].

Enfin, seront, sur plainte, punies d’une amende de CHF 250’000.—au plus les personnes privées qui, intentionnellement, ne respecteront pas les exigences minimales en matière de sécurité des données édictées par le Conseil fédéral (art. 61 let. c nLPD). Il convient toutefois de relever que toute violation de la sécurité des données au sens de l’art. 5, let. h, nLPD ne constitue pas une violation des exigences minimales au sens de l’art. 8 nLPD et donc une violation des devoirs de dilligence au sens de l’art. 61 let. c nLPD. On ne peut ni ne doit exiger une sécurité absolue. Il est en effet concevable que le responsable du traitement ait pris toutes les mesures adéquates, mais que la sécurité des données soit malgré tout violée en raison du risque résiduel ; cela ne saurait être imputé au responsable. Dans le cadre des exigences minimales, il importe surtout de vérifier si le responsable du traitement et le sous-traitant ont pris des mesures adéquates dans le cas concret, qu’il y ait eu une violation de la sécurité des données ou non.

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans nouvelle LPD, Protection de la personnalité, Protection des données | Tagué , , , | Laisser un commentaire