Selon l’art. 328b CO (Protection de la personnalité du travailleur lors du traitement de données personnelles), l’employeur ne peut traiter des données concernant le travailleur que dans la mesure où ces données portent sur les aptitudes du travailleur à remplir son emploi ou sont nécessaires à l’exécution du contrat de travail. En outre, les dispositions de la loi fédérale du 19 juin 1992 sur la protection des données sont applicables.

Or une réforme substantielle de loi fédérale du 19 juin 1992 sur la protection des données (LPD ; 235.1) est actuellement en procédure de consultation jusqu’au 7 avril 2017 (cf.  : https://www.ejpd.admin.ch/ejpd/fr/home/aktuell/news/2016/2016-12-21.html). On devrait pouvoir attendre un projet de loi et un message aux chambres pour la fin de l’année.

Le projet renforce les droits des personnes concernées et les obligations et responsabilités des responsables du traitement (les anciens maîtres du fichier), notamment en termes d’information et de documentation des processus. Ces derniers verront également leur responsabilité augmenter.

Les responsables du traitement et les sous-traitants disposeront toutefois d’un délai de deux ans dès la date d’entrée en vigueur de la loi pour effectuer une analyse d’impact, intégrer la protection des données dès la conception et la protection des données par défaut, ainsi que prendre les mesures de documentation.

La protection des données dès la conception comprend les mesures préventives techniques et organisationnelles permettant d’assurer cette protection; la protection des données par défaut couvre les réglages prédéfinis qui doivent traiter uniquement les données concernées par le traitement et seulement autant que nécessaire.

Le projet prévoit notamment un devoir d’information étendu du responsable du traitement, qui sera exigé dans tous les cas. Le responsable doit être « proactif », i.e. informer la personne concernée sans attendre une éventuelle sollicitation, question, etc. Les informations minimales devant être délivrées sont l’identité et les coordonnées du responsable du traitement, les données ou catégories de données traitées et les finalités du traitement.

En cas de communication des données, le responsable du traitement et le sous-traitant sont tenus d’informer les destinataires des données personnelles de toute rectification, effacement, destruction ou violation de la protection des données.

Un devoir de documentation des processus de traitement de données est aussi instauré, qui sera précisé par ordonnance.

Le responsable du traitement devra notifier au Préposé fédéral à la protection des données et à la transparence (PFPDT) tout traitement non autorisé de données et toute perte de données, à moins que la violation ne présente vraisemblablement pas de risques pour la personnalité et les droits fondamentaux de la personne concernée.

Une analyse d’impact préalable est aussi exigée chaque fois que le traitement envisagé est susceptible d’entraîner un risque accru pour la personnalité et les droits fondamentaux de la personne concernée. L’analyse d’impact devra exposer les différents processus, le but du traitement et la durée de conservation des données personnelles, les risques pour la personne dont les données sont concernées, ainsi que les mesures prises pour réduire ces risques. L’analyse sera transmise au PFPDT qui dispose d’un délai de trois mois pour faire valoir d’éventuelles objections, lesquelles ne semblent toutefois guère avoir de portée pratique (sanctions, protection de la bonne foi, etc.)

La loi établit également les notions de protection des données dès la conception et de protection des données par défaut.

Concernant la sous-traitance, la personne dont les données sont sous-traitées doit être informée de l’identité et des coordonnées du sous-traitant, ainsi que des données ou catégories de données concernées. Le sous-traitant ne pourra à son tour déléguer le traitement qu’avec l’accord du responsable du traitement.

Le projet souhaite également renforcer les droits de la personne concernée par le traitement de données.

Le droit d’accès va permettre de connaître gratuitement l’identité et les coordonnées du responsable du traitement, les données traitées, la finalité du traitement, la durée de la conservation des données ou les critères pour fixer cette dernière et les informations disponibles sur l’origine des données. La détermination de la « durée de conservation » pourra s’avérer difficile en pratique.

La révision soumise à consultation supprime aussi la protection des personnes morales, la Suisse étant un des seuls pays au monde à considérer aujourd’hui les données de personnes morales comme des données personnelles.

Si la révision n’introduit malheureusement pas la possibilité d’actions collectives, il faut relever que le Code de procédure civile (CPC) sera modifié pour supprimer les frais de justice en rapport avec des actions civiles en matière de protection des données. La partie qui succombe devra toutefois toujours verser des dépens, sans compter encore les frais de représentation.

On notera enfin dans le cadre des mesures administratives que le PFPDT pourra ordonner la suspension, la modification ou la cessation de tout ou partie du traitement ainsi que la destruction de tout ou partie des données en cas de violation des dispositions de protection des données, ainsi que suspendre ou interdire la communication de données personnelles à l’étranger. Cette décision sera sujette à recours au Tribunal administratif fédéral. La problématique des sanctions pénales apparaît quant à elle inutilement compliquée. Si les sanction sont certes augmentées, mais dans une mesure moindre qu’en droit européen, elles ne viseront pour l’essentiel que les individus responsables et non l’entreprise en tant que telle.

(Pour une présentation plus complète de la réforme, on consultera les notes en rapport sur l’excellent blog de Me Sylvain Métille : https://smetille.ch/)

Me Philippe Ehrenström, avocat, ll.m., Genève et Yverdon