[Le droit suisse de la protection des données, c’est aussi du droit du travail !

En effet, outre le renvoi de l’art. 328 b CO, le droit de la protection des données s’applique à des degrés divers dans toutes les étapes de la gestion des ressources humaines, de l’engagement au contentieux en passant par la tenue du dossier personnel.

Or le droit suisse de la protection des données va connaître un bouleversement considérable au 2e semestre 2022 avec l’entrée en vigueur de la loi révisée sur la protection des données et de son ordonnance.

Contrairement à ce que l’on peut lire ici ou là, le nouveau droit de la protection des données va entraîner des adaptations substantielles des pratiques et des manières de faire, particulièrement pour les employeurs qui ne se sont pas adaptés au RGPD car ils n’avaient pas à le faire.

Je vais donc présenter sur ce blog quelques-unes des nouveautés à venir pendant le 2e semestre 2021.]

Terminologie

A titre liminaire, une question de terminologie. Le droit suisse utilise les termes de conseiller à la protection des données, que ce soit dans le cadre de la LPD actuelle ou dans sa version révisée [(art. 11a al. 5 let. e de la loi fédérale du 19 juin 1992 sur la protection des données (LPD ; RS 235.1) ; art. 10 de la nouvelle loi fédérale du 25 septembre 2020 sur la protection des données, adoptée le 25 septembre 2020, et qui devrait renter en vigueur dans la 2e partie de 2022 (nLPD ; FF 2020 7397)]. Le droit européen utilise les termes de délégué à la protection des données, soit, dans la version anglaise du Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données (RGPD)), le Data Protection Officer (art. 37 et ss RGPD). C’est cette dernière dénomination qui tend à s’imposer dans la pratique, même si on peut constater l’existence d’autres titres et termes, comme ceux de « Privacy Officer » par exemple. Nous utiliserons ici ces termes de manière interchangeables.

La LPD actuelle

Le conseiller à la protection des données ne fait l’objet que d’une mention, presque en passant, dans la LPD actuelle. Le maître du fichier privé est en effet dispensé de déclarer son fichier s’il a désigné un conseiller à la protection des données indépendant chargé d’assurer l’application internes des dispositions relatives à la protection des données et de tenir un inventaire des fichiers (art. 11a al. 5 let. e LPD). Il ne s’agit donc que d’une incitation, la désignation du conseiller n’étant pas obligatoire.

La situation est toutefois différente pour les organes fédéraux, lesquels doivent désigner un conseiller à la protection des données, qui sera chargé de conseiller les organes responsables et les utilisateurs, de promouvoir l’information et la formation des collaborateurs et de concourir à l’application des prescriptions relatives à la protection des données (art. 23 al. 1 de l’ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des données (OLPD ; RS 235.11).

La désignation du conseiller à la protection des données, son statut et ses tâches sont régis par les art. 12a et 12b OLPD. Selon l’art. 12a al. 1 OLPD, lorsque le maître du fichier entend être délié de son devoir de déclaration des fichiers  en vertu de l’art. 11a al. 5 let. e LPD, il est tenu: de désigner un conseiller à la protection des données qui remplit les conditions de l’art. 12a al. 2 et de l’art. 12b, et d’en informer le préposé. Le maître du fichier peut donc désigner un collaborateur ou un tiers en qualité de conseiller à la protection des données ; celui-ci ne doit toutefois pas exercer d’activités incompatibles avec ses tâches de conseiller à la protection des données et doit avoir les connaissances professionnelles nécessaires (art. 12a al. 2 OLPD).

Le conseiller à la protection des données devra exercer sa fonction de manière indépendante et sans recevoir d’instructions de la part du maître du fichier, il disposera des ressources nécessaires à l’accomplissement de sa tâche et aura accès aux fichiers, aux traitements et aux informations nécessaires à l’accomplissement de ses devoirs (art. 12b al. 2 OLPD).

L’indépendance du conseiller à la protection des données devra être formelle, mais aussi matérielle. Le conseiller ne saurait en effet être le responsable de l’administration des systèmes d’information de l’entreprise, le responsable clientèle ou le responsable des ressources humaines. Il ne doit pas pouvoir déterminer les buts et les moyens d’un traitement de données. Il peut par contre être rattaché au responsable juridique, au service de l’audit interne ou au chargé de la sécurité informatique. Mais son indépendance doit aussi être matérielle, et non seulement organisationnelle ou formelle. Le conseiller doit en effet exercer sa fonction sans recevoir d’instructions de la part du maître du fichier pour ce qui concerne l’exercice de ses tâches, avoir les moyens de remplir sa fonction et les accès nécessaires à cette fin. Pour ce qui est des connaissances, le conseiller doit indubitablement avoir des connaissances en droit, mais aussi si possible des connaissances techniques ainsi qu’une bonne maîtrise des activités du maître du fichier et des traitements que celui-ci effectue. [Philippe MEYER, Protection des données, Berne, Stämpfli, 2011, N 1453-1455]

Les missions du conseiller à la protection des données sont sommairement décrites à l’art. 12b al. 1 OLPD. Il aura ainsi notamment pour tâches de de contrôler les traitements de données personnelles et de proposer des mesures s’il apparaît que des prescriptions sur la protection des données ont été violées, de dresser l’inventaire des fichiers gérés par le maître du fichier et de le tenir à la disposition du préposé ou des personnes concernées qui en font la demande. Le contrôle visé par l’art. 12b al. 1 OLPD suppose toutefois de fait l’accomplissement de nombreuses autres tâches en amont : conseiller et former le personnel, donner son avis sur des projets internes, réalisation ou accompagnement d’audits, information, etc. [MEYER, op. cit., N 1460]

Le conseiller n’assume par contre pas la responsabilité des traitements effectués par le maître du fichier, même si celui-ci a suivi les recommandations du conseiller, et il ne peut saisir le PFPDT s’il estime que ses recommandations ne sont pas suivies [MEYER, op. cit., N 1457, 1461]. Il assume par contre une responsabilité contractuelle envers le maître du fichier, selon les termes du contrat de travail ou du contrat de mandat le liant à celui-ci, et peut aussi être soumis à une responsabilité délictuelle s’il cause des préjudices à autrui.

La nouvelle LPD

A teneur de l’art. 10 al. 1 et al. 2 de la nouvelle loi fédérale du 25 septembre 2020 sur la protection des données (nLPD ; FF 2020 7397 – entrée en vigueur 2^e semestre 2022), les responsables du traitement privés peuvent nommer un conseiller à la protection des données qui sera l’interlocuteur des personnes concernées et des autorités chargées de la protection des données en Suisse. Il aura notamment pour tâches de former et conseiller le responsable du traitement privé dans le domaine de la protection des données et de concourir à l’application des prescriptions relatives à la protection des données.

A teneur de l’art. 10 al. 3 nLPD, le responsable de traitement ne pourra se prévaloir de l’exception prévue à l’art. 23 al. 4 [voir ci-dessous] que si le conseiller à la protection des données exerce sa fonction de manière indépendante par rapport au responsable du traitement et sans recevoir d’instruction de celui-ci. Par ailleurs le conseiller ne devra pas exercer de tâches incompatibles avec ses tâches de conseiller à la protection des données. Il devra disposer des connaissances professionnelles nécessaires. Le responsable du traitement publiera les coordonnées du conseiller à la protection des données et les communiquera au PFPDT.

Comme dans la LPD actuelle, le « bénéfice » d’une telle nomination, pour le responsable de traitement, apparaît plutôt modeste. En effet, le responsable de traitement doit consulter le PFPDT préalablement au traitement lorsque l’analyse d’impact relative à la protection des données révèle que, malgré les mesures prévues par le responsable du traitement, le traitement envisagé présente encore un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. Il peut toutefois y renoncer s’il a consulté son conseiller à la protection des données (art. 10 al. 3 et 23 al. 4 nLPD).

C’est toutefois ignorer que, malgré la modestie de l’avantage conféré par l’art. 23 al. 4 nLPD, le nouveau droit de la protection des données va mettre à charge des responsables de traitement de considérables nouvelles obligations (information, registre des traitements, annonce des violations de sécurité, étude d’impact, etc.), et ce sans compter encore sur un nouveau régime de sanctions pénales ou sur les nouveaux pouvoirs conférés au PFPDT. La nomination d’un conseiller à la protection des données est donc une question que les entreprises vont devoir se poser, et rapidement eu égard au calendrier (mise en vigueur du nouveau droit dans le courant du semestre 2022).

L’avant-projet d’ordonnance précise et détaille les dispositions de la nLPD.

A teneur de l’art. 25 de l’avant projet d’Ordonnance relative à la loi fédérale sur la protection des onnées, mis en consultation jusqu’au 14 octobre 2021 (nOLPD), le conseiller à la protection des données personnelles d’un responsable du traitement privé doit accomplir les tâches suivantes: a. contrôler le traitement de données personnelles ainsi que ses exigences et proposer des mesures s’il constate que des prescriptions de protection des données ont été violées; b. concourir à l’établissement de l’analyse d’impact relative à la protection des données, et la vérifier, dans tous les cas lorsque le responsable du traitement privé entend renoncer à consulter le PFPDT au sens de l’art. 23 al. 4 LPD.  Le responsable du traitement privé mettra à disposition du conseiller à la protection des données personnelles les ressources nécessaires. Il donnera au conseiller à la protection des données accès à tous les renseignements, documents, registres des activités de traitement et données personnelles dont il a besoin pour l’accomplissement de ses tâches.

Dans son rapport explicatif [Révision totale de l’ordonnance relative à la loi fédérale sur la protection des données Rapport explicatif du 23 juin 2021 relatif à la procédure de consultation, pp. 36-38], le Conseil fédéral souligne que l’art. 10 al. 2 nLPD prévoit, de façon non exhaustive, deux tâches que conseiller à la protection des données d’un responsable de traitement privé devra accomplir : former et conseiller le responsable du traitement dans le domaine de la protection des données (let. a) et concourir à l’application des prescriptions relatives à la protection des données (let. b). Ces tâches sont décrites plus en détail dans l’art. 25 nOLPD, qui reprend les dispositions de l’OLPD actuelle, avec quelques adaptations.

Le conseiller à la protection des données doit ainsi contrôler le traitement des données personnelles ainsi que ses exigences et proposer des mesures s’il constate que des prescriptions de protection des données ont été violées. Il surveille le respect de la législation sur la protection des données et des éventuelles prescriptions internes relatives à la protection des données édictées par le responsable du traitement. Le conseiller doit aussi vérifier si les prescriptions internes de protection des données sont compatibles avec la législation. Le responsable du traitement ne peut en aucun cas infliger des sanctions à l’encontre du conseiller à la protection des données dans l’exercice de ses fonctions.

Dans ce contexte, il est opportun de préciser que le conseiller à la protection des données a, comme son nom l’indique, une fonction de conseil et de soutien. Puisqu’il a une compétence décisionnelle, le responsable du traitement est bien la seule personne responsable du respect de la protection des données, en particulier vis-à-vis des personnes concernées. La tâche visée à la let. a [former et conseiller] n’engage en principe pas la responsabilité du conseiller à la protection des données si le responsable du traitement contrevient à la législation.

L’art. 25 al. 1 let. b concrétise le rôle du conseiller à la protection des données dans la réalisation des analyses d’impact relatives à la protection des données. En vertu de l’art. 23 al. 4  nLPD, le responsable du traitement privé peut renoncer à consulter le PFPDT à la suite d’une analyse d’impact relative à la protection des données s’il a nommé un conseiller au sens de l’art. 10 nLPD et qu’il l’a consulté au sujet de ladite analyse. Il ne suffit pas de lui soumettre les résultats de l’analyse une fois celle-ci effectuée. Le conseiller doit en effet véritablement concourir à la réalisation de l’analyse. Il vérifie tout particulièrement l’évaluation des risques et les mesures proposées par le responsable du traitement. Idéalement, le responsable du traitement devrait toujours prévoir de recourir au conseiller, mais ce n’est une obligation que dans le cas où il doit renoncer à consulter le PFPDT en application de l’art. 23 al. 4 nLPD.

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)