[Le droit suisse de la protection des données, c’est aussi du droit du travail !

En effet, outre le renvoi de l’art. 328 b CO, le droit de la protection des données s’applique à des degrés divers dans toutes les étapes de la gestion des ressources humaines, de l’engagement au contentieux en passant par la tenue du dossier personnel.

Or le droit suisse de la protection des données va connaître un bouleversement considérable au 2e semestre 2022 avec l’entrée en vigueur de la loi révisée sur la protection des données et de son ordonnance.

Contrairement à ce que l’on peut lire ici ou là, le nouveau droit de la protection des données va entraîner des adaptations substantielles des pratiques et des manières de faire, particulièrement pour les employeurs qui ne se sont pas adaptés au RGPD car ils n’avaient pas à le faire.

Je vais donc présenter sur ce blog quelques-unes des nouveautés à venir pendant le 2e semestre 2021.]

La protection des données dès la conception [Privacy by design] repose sur l’idée que la technologie est au service de la protection des données et que la majorité des violations de la sphère privée ne sont pas détectées. Il faut donc plutôt éviter qu’elles se produisent a priori dans la mesure du possible, par opposition à une simple sanction a posteriori. Elle matérialise ainsi le principe de proportionnalité et l’approche fondée sur le risque en droit suisse de la protection des données. Certains auteurs considèrent que le principe découlait déjà de l’art. 7 LPD actuelle, et qu’il a été séparé dans la nLPD des considérations relatives à la sécurité des données [David Rosenthal, Samira Studer/Alexandre Lombard (pour la traduction), La nouvelle loi sur la protection des données, in : Jusletter 16 novembre 2020, N 43].

A teneur de l’art. 7 al. 1 de la nouvelle loi fédérale du 25 septembre 2020 sur la protection des données (nLPD ; FF 2020 7397), qui devrait entrer en vigueur au second semestre 2022, le responsable du traitement est donc tenu de mettre en place des mesures techniques et organisationnelles afin que le traitement respecte les prescriptions de protection des données, en particulier les principes fixés à l’art. 6 nLPD. Il le fait dès la conception du traitement. [Privacy by design]

Rappelons que l’art. 6 nLPD prévoit que tout traitement de données personnelles doit être licite et conforme aux principes de la bonne foi et de la proportionnalité (al. 1 et 2).  Les données personnelles ne peuvent être collectées que pour des finalités déterminées et reconnaissables pour la personne concernée et doivent être traitées ultérieurement de manière compatible avec ces finalités (al. 3). Les données sont détruites ou anonymisées dès qu’elles ne sont plus nécessaires au regard des finalités du traitement (art. 4) Celui qui traite des données personnelles doit s’assurer qu’elles sont exactes. Il prend toute mesure appropriée permettant de rectifier, d’effacer ou de détruire les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées ; le caractère approprié de la mesure dépend notamment du type de traitement et de son étendue, ainsi que du risque que le traitement des données en question présente pour la personnalité ou les droits fondamentaux des personnes concernées (al. 5). Lorsque le consentement de la personne concernée est requis, celle-ci ne consent valablement que si elle exprime librement sa volonté concernant un ou plusieurs traitements déterminés et après avoir été dûment informée (al. 6). Le consentement doit être exprès dans les cas suivants: traitement de données sensibles; profilage à risque élevé effectué par une personne privée; profilage effectué par un organe fédéral (al.  7).

Les mesures techniques et organisationnelles requises par l’art. 7 al. 1 nLPD doivent être appropriées au regard notamment de l’état de la technique, du type de traitement et de son étendue, ainsi que du risque que le traitement des données présente pour la personnalité ou les droits fondamentaux des personnes concernées (art. 7 al. 2 nLPD). Il est à noter que les mesures ne sont pas seulement techniques /informatiques, mais couvrent bien tout ce qui est lié au traitement de données personnelles : processus, gouvernance, responsabilités, allocation des ressources, etc.

La protection des données par défaut matérialise quant à elle essentiellement le principe de proportionnalité. La personne concernée, sans action spécifique de sa part, bénéficie ainsi du régime le plus respectueux possible de sa personnalité. Elle ne devrait pas, par exemple, être obligée de créer un compte client pour faire une commande en ligne. Le responsable du traitement est donc tenu de garantir, par le biais de préréglages appropriés, que le traitement des données personnelles soit limité au minimum requis par la finalité poursuivie, pour autant que la personne concernée n’en dispose pas autrement [Privacy by default : art. 7 al. 3 nLPD].

Il est à noter que tant la Privacy by design que la Privacy by default ne sont pas des principes dont la violation constituerait une atteinte illicite à la personnalité au sens de l’art. 30 al. 2 let. a nLPD.

En droit européen, le consid. 78 RGPD souligne que l’obligation de Privacy by Design/by Default s’applique certes au responsable de traitement, mais pas que. Lors de l’élaboration, de la conception, de la sélection et de l’utilisation d’applications, de services et de produits qui reposent sur le traitement de données à caractère personnel ou traitent des données à caractère personnel pour remplir leurs fonctions, il convient en effet d’inciter les fabricants de produits, les prestataires de services et les producteurs d’applications à prendre en compte le droit à la protection des données lors de l’élaboration et de la conception de tels produits, services et applications et, compte dûment tenu de l’état des connaissances, à s’assurer que les responsables du traitement et les sous-traitants sont en mesure de s’acquitter des obligations qui leur incombent en matière de protection des données. Les principes de protection des données dès la conception et de protection des données par défaut devraient également être pris en considération dans le cadre des marchés publics. [Voir aussi edpb, Lignes directrices 4/2019 relatives à l’article 25. Protection des données dès la conception et protection des données par défaut, version 2.0 adoptée le 20 octobre 2020, N 1].

L’art. 25 § 1 RGPD prévoit que compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données [art. 5 RGPD], par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée [Privacy by Design].

Le consid. 39 RGPD considère, à propos des principes relatifs à la protection des données de l’art. 5 RGPD que tout traitement de données à caractère personnel doit être licite et loyal. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l’égard des personnes physiques concernées. Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. Ce principe vaut, notamment, pour les informations communiquées aux personnes concernées sur l’identité du responsable du traitement et sur les finalités du traitement ainsi que pour les autres informations visant à assurer un traitement loyal et transparent à l’égard des personnes physiques concernées et leur droit d’obtenir la confirmation et la communication des données à caractère personnel les concernant qui font l’objet d’un traitement. Les personnes physiques devraient être informées des risques, règles, garanties et droits liés au traitement des données à caractère personnel et des modalités d’exercice de leurs droits en ce qui concerne ce traitement. En particulier, les finalités spécifiques du traitement des données à caractère personnel devraient être explicites et légitimes, et déterminées lors de la collecte des données à caractère personnel. Les données à caractère personnel devraient être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées. Cela exige, notamment, de garantir que la durée de conservation des données soit limitée au strict minimum. Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens. Afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement pour leur effacement ou pour un examen périodique. Il y a lieu de prendre toutes les mesures raisonnables afin de garantir que les données à caractère personnel qui sont inexactes sont rectifiées ou supprimées. Les données à caractère personnel devraient être traitées de manière à garantir une sécurité et une confidentialité appropriées, y compris pour prévenir l’accès non autorisé à ces données et à l’équipement utilisé pour leur traitement ainsi que l’utilisation non autorisée de ces données et de cet équipement.

Les mesures techniques et organisationnelles appropriées au sens de l’art. 25 § 1 et les garanties nécessaires peuvent s’entendre au sens large comme toute méthode ou tout moyen qu’un responsable du traitement peut employer dans le cadre du traitement. Approprié signifie que les mesures et les garanties nécessaires doivent être adaptées pour atteindre le but visé, c’est-à-dire qu’elles doivent mettre en œuvre les principes de protection des données de façon effective. On entend par «mesure technique ou organisationnelle et garantie» diverses mesures pouvant aller de l’utilisation de solutions techniques avancées à la formation de base du personnel. Parmi les exemples de mesures et de garanties adéquates, on peut citer, selon le contexte et les risques associés au traitement concerné, la pseudonymisation des données à caractère personnel, la conservation des données à caractère personnel disponibles dans un format structuré, couramment utilisé et lisible par machine, la possibilité pour les personnes concernées d’intervenir dans le traitement, la fourniture d’informations sur la conservation des données à caractère personnel, la mise en place de systèmes de détection des logiciels malveillants, la formation des salariés aux principes de base de la «cyberhygiène», la mise en place de systèmes de gestion de la protection de la vie privée et de la sécurité des informations, l’obligation contractuelle pour les sous-traitants de mettre en œuvre des pratiques spécifiques de minimisation des données, etc.

Parmi les critères de l’art. 25 § 1, l’« état des connaissances » impose aux responsables du traitement, lors de la définition des mesures techniques et organisationnelles appropriées, de prendre en considération le progrès technologique actuel présent sur le marché. Cette disposition impose l’obligation pour les responsables du traitement d’avoir connaissance et de se tenir informés des progrès technologiques, de la manière dont la technologie peut présenter des risques ou des opportunités, en matière de protection des données, pour l’opération de traitement, et de la manière de mettre en œuvre et de tenir à jour les mesures et garanties qui assurent une mise en œuvre effective des principes et des droits des personnes concernées dans un contexte technologique en constante évolution. L’«état des connaissances» est une notion dynamique qui ne peut se définir de manière statique à un moment précis, mais qui doit être évaluée en continu au regard des progrès technologiques. Compte tenu des avancées technologiques, un responsable du traitement pourrait estimer qu’une mesure a fourni à un moment donné un niveau de protection adéquat, mais que ce n’est plus le cas. Le critère de l’«état des connaissances» ne s’applique pas uniquement aux mesures technologiques, mais aussi aux mesures organisationnelles. Parmi les exemples de mesures organisationnelles, on peut citer l’adoption de politiques internes, la réalisation de formations actualisées sur la technologie, la sécurité et la protection des données, ou encore l’élaboration de politiques de gouvernance et de gestion de la sécurité informatique.

Autre critère de l’art. 25 § 1, l’élément « coût » n’oblige pas le responsable du traitement à dépenser une quantité disproportionnée de ressources lorsqu’il existe d’autres mesures moins exigeantes en ressources, mais tout aussi efficaces.

On tiendra compte également du risque. Lorsqu’il effectue l’analyse de risque en conformité avec l’article 25, le responsable du traitement doit identifier les risques que présente une violation des principes pour les droits des personnes concernées, et doit déterminer la probabilité et la gravité de ces risques dans le but de mettre en œuvre des mesures atténuant de façon effective les risques recensés.

D’autres critères appellent moins de développements. La notion de nature peut s’entendre comme les caractéristiques intrinsèques du traitement. La portée fait référence à l’ampleur et à l’étendue du traitement. Le contexte a trait aux circonstances du traitement susceptibles d’influencer les attentes de la personne concernée, tandis que les finalités concernent les objectifs du traitement.

Selon l’art. 25 § 2 RGPD, le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée [Privacy by Default].

Le terme «par défaut», dans le cadre du traitement de données à caractère personnel, désigne le fait de faire des choix concernant les valeurs de configuration ou les options de traitement définies ou prescrites dans un système de traitement, tel qu’une application logicielle, un service ou un dispositif, ou une procédure de traitement manuel, qui affectent la quantité de données à caractère personnel collectées, l’étendue de leur traitement, la durée de leur conservation ainsi que leur accessibilité. Seul le traitement qui est strictement nécessaire pour atteindre la finalité licite prévue doit être effectué par défaut. Il s’ensuit que, par défaut, le responsable du traitement ne doit ni collecter plus de données que nécessaire, ni traiter les données collectées plus qu’il n’est nécessaire pour atteindre ses finalités, ni conserver les données plus longtemps que nécessaire. Si le responsable du traitement utilise un logiciel tiers ou un logiciel du commerce, il doit procéder à une évaluation des risques du produit et s’assurer que les fonctions qui n’ont pas de base juridique ou qui ne sont pas compatibles avec les finalités prévues du traitement sont désactivées. Les mêmes considérations valent aussi pour les mesures organisationnelles à l’appui du traitement. Elles doivent être conçues pour ne traiter, dès le début, que la quantité minimale de données à caractère personnel nécessaires aux opérations spécifiques. Ce point devrait tout particulièrement être pris en considération lors de l’attribution de l’accès aux données aux membres du personnel ayant des rôles différents et des besoins d’accès différents. Les «mesures techniques et organisationnelles» appropriées dans le contexte de la protection des données par défaut recouvrent donc la même notion que celle qui a été exposée ci-dessus, mais appliquée spécifiquement à la mise en œuvre du principe de minimisation des données.

Concernant la quantité de données collectées, si certaines catégories de données à caractère personnel ne sont pas nécessaires ou si des données détaillées ne sont pas requises car des données d’une granularité moins fine sont suffisantes, toute donnée à caractère personnel excédentaire ne doit pas être collectée. Pour ce qui est de l’étendue de leur traitement, les opérations de traitement doivent se limiter à ce qui est nécessaire. Pour ce qui est de la durée de conservation, les données ne sont pas conservées si elles ne sont pas nécessaires à la finalité du traitement et s’il n’en existe pas d’autre ou de fondement juridique. Le responsable du traitement limite la période de conservation à la durée nécessaire à la finalité. Si les données à caractère personnel ne sont plus nécessaires aux fins du traitement, elles devront, par défaut, être supprimées ou anonymisées. La durée de conservation dépendra donc de la finalité du traitement en question. Concernant l’accessibilité, Le responsable du traitement devrait limiter le nombre de personnes ayant accès et les types d’accès aux données à caractère personnel en fonction d’une évaluation de la nécessité, et devrait également veiller à ce que les données à caractère personnel soient effectivement accessibles aux personnes qui en ont besoin lorsque cela est nécessaire, par exemple dans des situations critiques. L’article 25, paragraphe 2, précise en outre que les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée. Le responsable du traitement doit, par défaut, limiter l’accès et donner à la personne concernée la possibilité d’intervenir avant de publier ou de mettre à la disposition d’un nombre indéterminé de personnes physiques des données à caractère personnel la concernant.

* * *

Les responsables du traitement mettent en œuvre la protection des données dès la conception et la protection des données par défaut avant le traitement, et de manière continue pendant celui-ci, en examinant régulièrement l’effectivité des mesures et des garanties choisies. La protection des données dès la conception et la protection des données par défaut s’appliquent également aux systèmes existants qui traitent des données à caractère personnel, et aux traitements effectués par l’intermédiaire de sous-traitants.

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)