[Le droit suisse de la protection des données, c’est aussi du droit du travail !

En effet, outre le renvoi de l’art. 328 b CO, le droit de la protection des données s’applique à des degrés divers dans toutes les étapes de la gestion des ressources humaines, de l’engagement au contentieux en passant par la tenue du dossier personnel.

Or le droit suisse de la protection des données va connaître un bouleversement considérable au 2e semestre 2022 avec l’entrée en vigueur de la loi révisée sur la protection des données et de son ordonnance.

Contrairement à ce que l’on peut lire ici ou là, le nouveau droit de la protection des données va entraîner des adaptations substantielles des pratiques et des manières de faire, particulièrement pour les employeurs qui ne se sont pas adaptés au RGPD car ils n’avaient pas à le faire.

Je vais donc présenter sur ce blog quelques-unes des nouveautés à venir pendant le 2e semestre 2021.]

Il existe une interaction entre la protection des données et leur sécurité, mais ces deux aspects doivent être traités séparément. La protection des données relève de la protection de la personnalité de l’individu. Quant à la sécurité des données, elle vise généralement les données présentes chez un responsable du traitement ou chez un sous-traitant et englobe le cadre organisationnel et technique général du traitement des données.

Par conséquent, la protection de l’individu n’est possible que si des mesures techniques générales ont été prises pour la sécurité des données le concernant au préalable. (Message du 15 septembre 2017 concernant la loi fédérale sur la révision totale de la loi fédérale sur la protection des données et sur la modification d’autres lois fédérales, FF 2017 6565, 6650-6651)

Les notes qui suivent présentent succinctement le régime actuel et le possible régime futur de la sécurité des données sous l’angle de la protection des données suisse.

Régime actuel

A teneur de l’art. 7 al. 1 de la loi fédérale du 19 juin 1992 sur la protection des données (RS 235.1 ; LPD) les données personnelles doivent être protégées contre tout traitement non autorisé par des mesures organisationnelles et techniques appropriées. C’est le principe de sécurité, dont la violation entraîne la présomption d’une atteinte illicite à la personnalité des personnes concernées selon l’art. 12 al. 2 let. a LPD. L’art. 7 al. 2 LPD prévoit que le Conseil fédéral édicte des dispositions plus détaillées sur les exigences minimales en matière de sécurité des données.

Le Conseil fédéral a donc développé la matière plus avant aux art. 8 à 11 de l’ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des données (RS 235.11 ; OLPD).

Les art. 8 et 9 OLPD distinguent des mesures générales et des mesures particulières.

Au titre des premières, la personne privée qui traite des données personnelles ou qui met à disposition un réseau télématique assure la confidentialité, la disponibilité et l’intégrité des données afin de garantir de manière appropriée la protection des données (art. 8 al. 1 OLPD). Elle protège les systèmes notamment contre les risques de:  a. destruction accidentelle ou non autorisée;  b. perte accidentelle;  c. erreurs techniques; d. falsification, vol ou utilisation illicite; e. modification, copie, accès ou autre traitement non autorisés. Les mesures techniques et organisationnelles prises à cette fin devront être appropriées (art. 8 al. 2 OLPD). Elles tiendront compte en particulier des critères suivants: a. but du traitement de données; b. nature et étendue du traitement de données;  c. évaluation des risques potentiels pour les personnes concernées; d. développement technique. Les mesures devront faire l’objet d’un réexamen périodique (art. 8 al. 3 OLPD).

Pour ce qui est des secondes, le maître du fichier prend, en particulier lors de traitements automatisés de données personnelles, des mesures techniques et organisationnelles propres à réaliser notamment les objectifs suivants:  a. contrôle des installations à l’entrée: les personnes non autorisées n’ont pas accès aux locaux et aux installations utilisées pour le traitement de données personnelles; b. contrôle des supports de données personnelles: les personnes non autorisées ne peuvent pas lire, copier, modifier ou éloigner des supports de données; c. contrôle du transport: les personnes non autorisées ne peuvent pas lire, copier, modifier ou effacer des données personnelles lors de leur communication ou lors du transport de supports de données; d. contrôle de communication: les destinataires auxquels des données personnelles sont communiquées à l’aide d’installations de transmission peuvent être identifiés;  e. contrôle de mémoire: les personnes non autorisées ne peuvent ni introduire de données personnelles dans la mémoire ni prendre connaissance des données mémorisées, les modifier ou les effacer; f. contrôle d’utilisation: les personnes non autorisées ne peuvent pas utiliser les systèmes de traitement automatisé de données personnelles au moyen d’installations de transmission; g. contrôle d’accès: les personnes autorisées ont accès uniquement aux données personnelles dont elles ont besoin pour accomplir leurs tâches; h. contrôle de l’introduction: l’identité des personnes introduisant des données personnelles dans le système, ainsi que les données introduites et le moment de leur introduction peuvent être vérifiés a posteriori.

L’art. 9 al. 2 OLPD ajoute que les fichiers doivent être organisés de manière à permettre à la personne concernée d’exercer ses droits d’accès et de rectification, ce qui est une condition de l’exercice de ces droits, et non une mesure de sécurité au sens strict.

L’art. 10 OLPD traite de la journalisation. L’objectif de la journalisation est de pouvoir vérifier le traitement des données personnelles a posteriori, afin de déterminer si des données ont été perdues, effacées, détruites, modifiées ou si elles ont été divulguées. La journalisation peut aussi fournir des renseignements permettant de savoir si les données personnelles ont été traitées conformément aux finalités. Elle sert en outre à déceler et à faire la lumière sur les violations de la sécurité des données. Elle n’est en revanche pas destinée à surveiller la façon dont les utilisateurs traitent les données personnelles.

Le maître du fichier journalise ainsi les traitements automatisés de données sensibles ou de profils de la personnalité lorsque les mesures préventives ne suffisent pas à garantir la protection des données. Une journalisation est notamment nécessaire, lorsque, sans cette mesure, il ne serait pas possible de vérifier a posteriori que les données ont été traitées conformément aux finalités pour lesquelles elles ont été collectées ou communiquées. Le PFPDT peut recommander la journalisation pour d’autres traitements. Les procès-verbaux de journalisation sont conservés durant une année et sous une forme répondant aux exigences de la révision. Ils sont accessibles aux seuls organes ou personnes chargés de vérifier l’application des dispositions de protection des données personnelles, et ils ne sont utilisés qu’à cette fin.

Selon l’art. 11 al. 1 OLPD, le maître d’un fichier automatisé soumis à déclaration, parce qu’il traite régulièrement des données sensibles ou des profils de la personnalité (art. 11a al. 3 LPD) et qu’il n’est pas exempté de cette obligation au sens de l’art. 11a al. 5 let. b.-d (traitement non susceptible de menacer les droits de la personne concernée selon l’art. 4 OLPD, fichier utilisé exclusivement pour la publication dans la partie rédactionnelle d’un média à caractère périodique, instrument de travail d’un journaliste), doit élaborer un règlement de traitement décrivant en particulier l’organisation interne et les procédures de traitement et de contrôle des données, et comprenant les documents relatifs à la planification, à l’élaboration et à la gestion du fichier et des moyens informatiques. Le maître du fichier mettra régulièrement à jour le règlement de traitement. Il sera mis à disposition, sur demande, au PFPDT et/ou au conseiller à la protection des données (le DPO de l’art. 11a al. 5 let. e LPD).

Régime futur (2^e semestre 2022)

La nouvelle loi fédérale du 25 septembre 2020 sur la protection des données (nLPD ; FF 2020 7397), qui devrait entrer en vigueur au second semestre 2022, prévoit en son art. 8, que les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru. Il s’agit d’une approche fondée sur le risque : plus le risque d’une atteinte à la sécurité des données est élevé, plus les exigences auxquelles doivent répondre les mesures à prendre seront élevées. Les mesures doivent permettre d’éviter toute violation de la sécurité des données (art. 8 al. 2), soit toute violation de la sécurité entraînant la perte de données personnelles, leur modification, leur effacement ou leur destruction, leur divulgation ou un accès non autorisé à celles-ci, et ce indépendamment de savoir si la violation est intentionnelle ou non, licite ou illicite. Les mesures peuvent viser par exemple à pseudonymiser des données, à assurer la confidentialité et la disponibilité du système ou de ses services, ou encore à élaborer des procédures visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures prises. Selon le même mécanisme que pour la LPD actuelle, le Conseil fédéral édicte par ailleurs des dispositions sur les exigences minimales en matière de sécurité des données.

Ces dispositions figurent aux art. 1 à 5 de l’Avant-projet d’Ordonnance relative à la loi fédérale sur la protection des données (nOLPD), dont la procédure de consultation prendra fin le 14 octobre 2021 [cf. OFJ, Révision totale de l’ordonnance relative à la loi fédérale sur la protection des données, Rapport explicatif relatif à la procédure de consultation, 23 juin 2021, pp. 14-22].

Selon le Rapport, il a été renoncé à inscrire des exigences minimales strictes dans la nOLPD car la loi suit une approche fondée sur le risque et qu’il est impossible de fixer des exigences minimales générales applicables à chaque branche. L’approche suivie repose plutôt sur le fait qu’il incombe en premier lieu au responsable du traitement de déterminer les mesures nécessaires dans un cas précis, et de les prendre. Ces mesures ne peuvent être prises qu’au  cas par cas, et leur portée dépend du risque encouru. En toute logique, les exigences sont ainsi plus élevées pour un hôpital qui traite régulièrement des données sensibles que pour une boulangerie ou une boucherie qui traite les données de ses clients ou de ses fournisseurs. La nOLPD contient donc surtout des lignes directrices permettant de déterminer les mesures à prendre. Cela permet de garantir la flexibilité nécessaire pour couvrir le large éventail de cas et éviter un excès de réglementation, en particulier pour les entreprises pour lesquelles les traitements de données sont rares et présentent peu de risques. Les mesures spécifiques pour la garantie de la sécurité des données prévues dans le droit en vigueur sont par ailleurs conservées (journalisation, règlements de traitement).

Le Conseil fédéral continue de suivre une approche fondée sur le risque : plus les droits de la personnalité et les droits fondamentaux de l’individu sont menacés, plus les exigences sont élevées.

Selon l’art. 1 nOLPD, pour savoir si les mesures techniques ou organisationnelles visant à garantir la sécurité des données sont adaptées au risque, les critères suivants sont pris en considération: a. la finalité, la nature, l’étendue et les circonstances du traitement des données; b. la probabilité d’une violation de la sécurité des données et son impact potentiel sur les personnes concernées, les deux critères s’apprécient ensemble; c. l’état de la technique – il suffit ici d’utiliser des mesures déjà disponibles et qui ont prouvé leur efficacité, on ne saurait exiger le recours à des techniques ultramodernes, non testées, ou qui sont encore en cours de développement; d. les coûts de mise en œuvre ; ce critère signifie que lorsqu’il existe plusieurs mesures permettant de  garantir un niveau de protection des données adéquat en toutes circonstances, on peut privilégier la variante la plus économique. Les mesures doivent par ailleurs être réexaminées à des intervalles appropriés pendant toute la durée du traitement ou après un incident de sécurité des données.

A teneur de l’art. 2 nOLPD, dans la mesure du possible, les mesures de sécurité des données doivent permettre d’atteindre les objectifs de protection suivants: a. contrôle de l’accès aux données: l’accès des personnes autorisées est limité aux données personnelles dont elles ont besoin pour accomplir leurs tâches; b. contrôle de l’accès aux locaux et installations: l’accès aux locaux et aux installations utilisés pour le traitement de données personnelles est refusé aux personnes non autorisées; c. contrôle des supports de données: les personnes non autorisées ne peuvent pas lire, copier, modifier, déplacer ou supprimer des supports de données; d. contrôle de mémoire: les personnes non autorisées ne peuvent ni introduire de données personnelles dans la mémoire ni consulter, modifier ou effacer des données personnelles enregistrées; e. contrôle d’utilisation: les personnes non autorisées ne peuvent pas utiliser les systèmes de traitement automatisé de données personnelles au moyen d’installations de transmission; f. contrôle du transport: les personnes non autorisées ne peuvent pas lire, copier, modifier ou effacer des données personnelles lors de leur communication ou lors du transport de supports de données; g. contrôle de la saisie: l’identité des personnes saisissant ou modifiant des données personnelles dans le système automatisé, ainsi que les données saisies ou modifiées et le moment de leur saisie ou modification peuvent être vérifiés; h. contrôle de la communication: il doit être possible de vérifier à qui sont communiquées des données personnelles à l’aide d’installations de transmission; i. restauration: la disponibilité des données personnelles et l’accès aux données personnelles peuvent être rapidement rétablis en cas d’incident physique ou technique; j. toutes les fonctions du système doivent être disponibles (disponibilité), les  dysfonctionnements éventuels doivent être signalés (fiabilité) et les données personnelles stockées ne doivent pas pouvoir être endommagées par des dysfonctionnements du système (intégrité des données); k. détection: les violations de la sécurité des données doivent pouvoir être rapidement détectées et des mesures doivent pouvoir être prises pour réduire ou éliminer les conséquences.

Concernant la journalisation, l’art. 3 prévoit que lorsque l’analyse d’impact sur la protection des données de l’art. 22 nLPD révèle que, malgré les mesures prévues par le responsable du traitement, le traitement envisagé présente encore un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées, le responsable du traitement privé et son sous-traitant journalisent au moins les opérations suivantes: enregistrement, modification, lecture, communication, effacement ou destruction. La journalisation doit fournir des informations sur la nature du traitement, l’identité de la personne qui a effectué le traitement, l’identité du destinataire et le moment auquel le traitement a eu lieu. Les procès-verbaux de journalisation sont conservés durant deux ans [et plus une année seulement], séparément du système dans lequel les données personnelles sont traitées. Ils sont accessibles aux seuls organes ou personnes chargés de vérifier l’application des dispositions de protection des données personnelles ou de rétablir la confidentialité, l’intégrité, la disponibilité et la traçabilité des données, et ils ne sont utilisés qu’à cette fin.

[Rappelons que selon l’art. 22 nLPD, lorsque le traitement envisagé est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, le responsable du traitement procède au préalable à une analyse d’impact relative à la protection des données personnelles ; il y a notamment « risque élevé » en cas de traitement de données sensibles à grande échelle ou de surveillance systématique de grandes parties du domaine public.]

L’art. 4 nOLPD reprend et détaille le règlement de traitement des personnes privées. Le responsable du traitement et son sous-traitant établissent ainsi un règlement pour les traitements automatisés en cas:  a. de traitement de données sensibles à grande échelle, ou b. de profilage à risque élevé. Le règlement de traitement contient au moins des indications sur:  a. la finalité du traitement; b. les catégories de personnes concernées et les catégories de données personnelles traitées; c. la durée de conservation des données personnelles ou les critères utilisés pour déterminer cette durée; d. l’organisation interne; e. l’origine des données personnelles et leur mode de collecte; f. les mesures techniques et organisationnelles visant à garantir la sécurité des données; g. les autorisations d’accès, ainsi que sur la nature et l’étendue de cet accès; h. les mesures prises pour la minimisation des données; i. les procédures de traitement des données, notamment les procédures, d’enregistrement, de rectification, de communication, de conservation, d’archivage, de pseudonymisation, d’anonymisation et d’effacement ou de destruction des données;  j. la procédure d’exercice du droit d’accès et du droit à la remise ou à la transmission des données personnelles. Le règlement est régulièrement actualisé et est mis à la disposition du PFPDT sous une forme intelligible. [L’art. 5 nOLPD traite du règlement de traitement des organes fédéraux].

Enfin, seront, sur plainte, punies d’une amende de CHF 250’000.—au plus les personnes privées qui, intentionnellement, ne respecteront pas les exigences minimales en matière de sécurité des données édictées par le Conseil fédéral (art. 61 let. c nLPD). Il convient toutefois de relever que toute violation de la sécurité des données au sens de l’art. 5, let. h, nLPD ne constitue pas une violation des exigences minimales au sens de l’art. 8 nLPD et donc une violation des devoirs de dilligence au sens de l’art. 61 let. c nLPD. On ne peut ni ne doit exiger une sécurité absolue. Il est en effet concevable que le responsable du traitement ait pris toutes les mesures adéquates, mais que la sécurité des données soit malgré tout violée en raison du risque résiduel ; cela ne saurait être imputé au responsable. Dans le cadre des exigences minimales, il importe surtout de vérifier si le responsable du traitement et le sous-traitant ont pris des mesures adéquates dans le cas concret, qu’il y ait eu une violation de la sécurité des données ou non.

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)