[Le droit suisse de la protection des données, c’est aussi du droit du travail !

En effet, outre le renvoi de l’art. 328 b CO, le droit de la protection des données s’applique à des degrés divers dans toutes les étapes de la gestion des ressources humaines, de l’engagement au contentieux en passant par la tenue du dossier personnel.

Or le droit suisse de la protection des données va connaître un bouleversement considérable au 2e semestre 2022 avec l’entrée en vigueur de la loi révisée sur la protection des données et de son ordonnance.

Contrairement à ce que l’on peut lire ici ou là, le nouveau droit de la protection des données va entraîner des adaptations substantielles des pratiques et des manières de faire, particulièrement pour les employeurs qui ne se sont pas adaptés au RGPD car ils n’avaient pas à le faire.

Je vais donc présenter sur ce blog quelques-unes des nouveautés à venir pendant le 2e semestre 2021.]

L’obligation d’annoncer les violations de la sécurité des données (data breach)au Préposé fédéral à la protection des données et à la transparence (PFPDT) est une nouveauté introduite par l’art. 24 de la nouvelle loi fédérale du 25 septembre 2020 sur la protection des données (nLPD ; FF 2020 7397), laquelle devrait entrer en vigueur au deuxième semestre 2022. Jusqu’alors, dans le cadre de la loi actuelle sur la protection des données, le PFPDT pouvait, en cas de soupçon de violation de la sécurité, tout au plus mener une enquête et émettre des recommandations. L’art. 29 de la loi du 22 juin 2007sur l’Autorité fédérale de surveillance des marchés financiers (Loi sur la surveillance des marchés financiers, LFINMA ; RS 956.1) permettait également d’obliger les établissements soumis à la surveillance de la FINMA à signaler les cyberattaques. Mais il n’y avait pas d’obligation d’annonce générale en cas de « data breach ». C’est ce qui va changer avec l’art. 24 nLPD.

Le responsable de traitement et le sous-traitant, pour effectuer un traitement de données licite, doivent respecter les principes fondamentaux de la protection des données, dont le principe de sécurité de l’art. 8 nLPD.  Selon l’art. 8 al. 1 nLPD, les responsables du traitement et les sous-traitants doivent ainsi assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru. Les mesures techniques consistent, par exemple, en l’authentification par un mot de passe approprié, le chiffrement, des sauvegardes régulières, etc. Les mesures organisationnelles peuvent recouper la formation, la documentation, les instructions, les audits, l’optimisation contractuelle, etc.

L’art. 32 § 1 du Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, dit règlement général sur la protection des données (RGPD), prévoit quant à lui que le responsable de traitement et le sous-traitant mettront en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, comprenant notamment le chiffrement et la pseudonymisation des données à caractère personnel ; des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constante des systèmes et des services de traitement ; des moyens permettant de rétablir la disponibilité des données et l’accès à celle-ci dans des délais et appropriées ; et une procédure visant à tester, analyser et évaluer régulièrement l’efficacité des mesures techniques et opérationnelles pour assurer la sécurité du traitement. Rappelons que le RGPD peut s’appliquer de manière extraterritoriale aux traitements de données relatives à des personnes concernées qui se trouvent sur le territoire de l’UE par un responsable de traitement ou un sous-traitant qui n’est pas établi dans l’UE lorsque les activités de traitement sont liées (i) à l’offre de biens ou de services à ces personnes dans l’UE, qu’un paiement soit exigé de celles-ci ou non ou (ii) au suivi de comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union (art. 3 § 2 RGPD).

Les mesures organisationnelles et techniques appropriées doivent permettre d’éviter toute violation de la sécurité des données (art. 8 al. 2 nLPD), soit toute violation de la sécurité entraînant de manière accidentelle ou illicite la perte de données personnelles, leur modification, leur effacement ou leur destruction, leur divulgation ou un accès non autorisés à ces données (art. 5 let. h nLPD). Elles constituent un préalable à la protection de la personnalité de la personne concernée. Le RGPD considère que les mesures doivent permettre de garantir un niveau de sécurité adapté au risque (art. 32 § 1 RGPD).

Il est important de souligner les mesures requises doivent être prises a priori, soit avant toute violation de la sécurité des données, mais aussi a posteriori pour éviter qu’une violation se reproduise (retour d’expérience, limitation des risques, mesures correctives, etc.)  L’obligation d’annonce, qui est une de ces mesures, doit aussi être systématiquement envisagée dans le cadre d’un plan de réponse standardisé en cas de violation de la sécurité des données (data breach response plan): monitoring /surveillance des données et de leurs flux en temps normal, détection et analyse d’une violation, contre-mesures, estimation du risque pour les personnes concernées et annonce obligatoire à l’autorité et éventuellement aux personnes concernées si les conditions sont remplies, documentation. Il existe des modèles pour établir de tels plans de réponse, dont celui du National Institute of Standards and Technology (NIST) [https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf]).

A teneur de l’art. 24 al. 1 nLPD, le responsable du traitement doit ainsi annoncer dans les meilleurs délais au PFPDT les cas de violation de la sécurité des données entraînant vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. Il est à noter que la solution, en droit européen, est différente. L’art. 33 § 1 RGPD prévoit ainsi la notification à l’autorité de contrôle dans tous les cas, sauf si la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés de la personne concernée. Le responsable de traitement devra aussi communiquer dans les meilleurs délais à la personne concernée une violation de données dans les meilleurs délais si celle-ci est susceptible d’engendrer un risque élevé pour ses droits et libertés (art. 34 § 1 RGPD). L’art. 24 al. 4 nLPD prévoit quant à lui que le responsable du traitement informe la personne concernée lorsque cela est nécessaire à sa protection ou lorsque le PFPDT l’exige.

Le responsable de traitement devra documenter toute violation de données à caractère personnel, y compris celles qui n’ont pas donné lieu à une notification au sens de ce qui précède (art. 33 § 5 RGPD). Le but est ici de permettre à l’autorité de contrôle de pouvoir évaluer le respect de l’art. 33 RGPD. L’art. 24 nLPD ne reprend pas cette disposition, mais le responsable de traitement serait probablement bien inspiré d’adopter cette pratique également en mettant en œuvre les dispositions de la nLPD.

Le sous-traitant est placé dans une situation particulière : il devra annoncer toute violation de sécurité au responsable du traitement, sans considération pour le degré de gravité du risque pour les personnes concernées (art. 24 al. 3 nLPD). En droit européen, on retrouve cette obligation de notifier toute violation de données à caractère personnel au responsable de traitement (art. 33 § 2 RGPD).

Une violation de la sécurité des données peut prendre différentes formes selon qu’elle porte atteinte à la disponibilité des données, à leur intégrité ou à la confidentialité. Elle peut avoir diverses causes (humaines, techniques), résulter de l’intention ou de la négligence. Les données peuvent avoir été subséquemment exploitées ou non, et l’ampleur et les conséquences de la violation peuvent être plus ou moins importantes. Peu importe pour ce qui est de la violation de la sécurité, il suffit qu’elle remplisse les conditions de l’art. 5 let. h nLPD. Ces notions seront par contre importantes dans un deuxième temps pour déterminer le risque pour les personnes concernées et définir les mesures à prendre, dont la communication.

La violation peut en effet être plus ou moins grave, et entraîner des risques plus ou moins élevés pour la personnalité et les droits fondamentaux des personnes concernées. Un examen au cas par cas s’impose toujours, étant précisé qu’il n’y a pas de règle de minimis : une violation grave constituant un risque élevé peut très bien ne concerner qu’une seule personne. Pour évaluer le risque, on tiendra compte de la probabilité que la violation ait une conséquence négative pour les personnes concernées, et de la gravité des conséquences pour celles-ci. Si un site de vente en ligne est paralysé par une cyberattaque pendant laquelle les données sont momentanément non disponible, par exemple, le risque est faible ou insignifiant. Si, par contre, les données clients, y compris celles concernant les moyens de paiement, sont copiées, ce qui permettrait des usurpations d’identités ou des atteintes au patrimoine, alors là le risque serait considéré comme élevé. En matière de ressources humaines, on pourra ainsi considérer que la perte d’une clé USB non cryptée contenant les données privées et les salaires des employés ou l’accès libre aux données sensibles des employés, que ce soit de manière externe ou même interne, constituent des risques élevés.

L’annonce doit être faite auprès du PFPDT et, dans certains cas, aussi auprès des personnes concernées lorsque cela est nécessaire à leur protection ou si le PFPDT l’exige (art. 24 al. 4 nLPD). Cette dernière hypothèse est particulièrement pertinente si les personnes concernées doivent pouvoir prendre rapidement des mesures de protection (changer des mots de passe par exemple, vérifier des relevés, modifier des données d’accès, saisir le juge de mesures provisionnelles, informer des proches, etc. ; cf. aussi RGPD, consid. 86 : la communication doit permettre à la personne concernée de prendre les précautions qui s’imposent). L’obligation d’annoncer aux tiers est toutefois soumise aux exceptions de l’art. 24 al. 5 nLPD. L’annonce peut ainsi être restreinte, différée ou abandonnée en cas de devoir de garder le secret, en présence d’intérêts publics ou privés prépondérants, si la communication est susceptible de compromettre une enquête ou une procédure judiciaire, si l’information est impossible à fournir ou exige des efforts disproportionnés ou si l’information de la personne concernée peut être garantie de manière équivalente par une communication publique. 

L’annonce doit être faite « dans les meilleurs délais » (art. 24 al. 1 nLPD). Même si le législateur n’a pas repris le seuil rigide de l’art. 33 § 1 RGPD (72 heures au plus tard après avoir pris connaissance de la violation), elle devrait en tout cas être faite au plus vite, même sous une forme échelonnée si tous les éléments ne sont pas immédiatement connus du responsable de traitement (cf. art. 33 §4 RGPD). L’art. 24 al. 2 nLPD précise que l’annonce doit indiquer au moins la nature de la violation de la sécurité des données, ses conséquences et les mesures prises ou envisagées. L’art. 19 de la nouvelle ordonnance relative à la loi fédérale sur la protection des données (nOLPD), mise en consultation jusqu’au 14 octobre 2021, et qui devrait entrer en vigueur dans le deuxième semestre 2022, précise qu’en cas de violation de la sécurité des données, le responsable de traitement annoncera au PFPDT : a. la nature de la violation; b. dans la mesure du possible, le moment et la durée; c. dans la mesure du possible, les catégories et le nombre approximatif de données personnelles concernées; d. dans la mesure du possible, les catégories et le nombre approximatif de personnes concernées; e. les conséquences, y compris les risques éventuels, pour les personnes concernées; f. les mesures prises ou envisagées pour remédier à cette défaillance ou en atténuer les conséquences; g. le nom et les coordonnées d’une personne de contact. Une communication échelonnée est possible : si, lors de la détection de la violation de la sécurité des données, le responsable du traitement n’est pas en mesure de fournir au PFPDT toutes les informations susmentionnées dans le même temps, il peut les lui mettre à disposition progressivement sans retard excessif. Pour ce qui est des personnes concernées, le responsable de traitement communiquera, dans un langage simple et compréhensible, la nature de la violation, les conséquences, y compris les risques éventuels, les mesures prises ou envisagées pour remédier à cette défaillance ou en atténuer les conséquences et le nom et les coordonnées d’une personne de contact. Le responsable du traitement devra documenter les violations. La documentation contient tous les faits relatifs aux incidents, à leurs effets et aux mesures prises. Elle est conservée pendant au moins trois ans à compter de la date d’annonce.

Le fait de ne pas annoncer une violation de la sécurité des données n’est pas directement sanctionné pénalement en droit suisse. Le PFPDT peut toutefois, sur la base de l’art. 51 al. 3 let. f nLPD ordonner au responsable de traitement de respecter son obligation d’annonce auprès des personnes concernées ou du PFPDT sous la menace des peines de droit (art. 63 nLPD ; insoumission à une décision). Le système est ici très différent de celui du RGPD, qui permet le prononcé d’amendes administratives conséquentes en cas de violation du devoir d’annonce (art. 82 § 4 let. a RGPD) et/ou le prononcé de mesures correctives au sens de l’art. 58 § 2 RGPD. Le responsable de traitement engage aussi également sa responsabilité privée, ce qui peut être particulièrement dissuasif.

Une annonce fondée l’art. 24 al. 1 nLPD ne peut enfin être utilisée dans le cadre d’une procédure pénale contre la personne tenue d’annoncer qu’avec son consentement (droit de ne pas s’auto-incriminer : nemo tenetur se ipsum accusare). Cette règle ne trouve pas d’équivalent en droit européen, qui semble permettre l’utilisation de l’annonce de violation dans le cadre de sanctions prises contre le responsable de traitement.

(Bibliographie : Article 29 Data Protection Working Party, Guidelines on Personnal data breach under Regulation 2016/679, 06.02.20218 ; Communication FINMA sur la surveillance 05/2020 ; edpb, Guidelines 01/2021 on Examples regarding Data Breach Notification; C. Hirsch, Condamnation de Marriott pour une fuite de données, 9 avril 2021 in http://www.swissprivacy.law/68; J. Levis, Auto-incrimination et notification de violation des données, 17 avril 2021 in http://www.swissprivacy.law/70; S.Métille/P. Meyer, Annonce des violations de la sécurité des données : une nouvelle obligation de la nLPD, RSDA 2021 pp. 23-33 ; Projet de nouvelle ordonnance relative à la loi fédérale sur la protection des données : https://www.admin.ch/gov/fr/accueil/documentation/communiques.msg-id-84103.html)

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)