Le contrat de travail du Data Protection Officer (DPO)

Photo de Federico Orlandi sur Pexels.com

Introduction

Le Data Protection Officer (DPO ou conseiller à la protection des données) n’est pas une nouveauté en droit suisse. Le droit actuel de la protection des données, comme le droit futur, octroie de (modestes) avantages légaux à l’entreprise qui s’adjoindrait une telle fonction. La réforme du droit de la protection des données, qui entrera en vigueur dans le deuxième semestre 2022, entraînera toutefois des adaptations et des modifications conséquentes des pratiques et mode de faire des entreprises en Suisse. Et c’est bien ce changement qui va pousser beaucoup d’entre elles à devoir sauter le pas, d’abord pour s’adapter aux nouvelles contraintes légales, et ensuite pour exercer concrètement les nouveaux droits et responsabilités de la protection des données nouvelle manière.

Concrètement, comment les entreprises pourront-elles s’adjoindre un Data Protection Officer ? Un certain nombre auront recours à des prestataires externes. D’autres recourront à du personnel déjà existant. Mais les contraintes et exigences spécifiques de la fonction de DPO rendront ce panachage de fonctions parfois délicat. D’autres enfin engageront spécifiquement un DPO par le biais d’un contrat de travail adapté, à des termes et conditions que nous allons essayer d’esquisser, et qui présente certains avantages par rapport aux deux autres possibilités sus évoquées.

Terminologie

A titre liminaire, une question de terminologie. Le droit suisse utilise les termes de conseiller à la protection des données, que ce soit dans le cadre de la LPD actuelle ou dans sa version révisée [(art. 11a al. 5 let. e de la loi fédérale du 19 juin 1992 sur la protection des données (LPD ; RS 235.1) ; art. 10 de la nouvelle loi fédérale du 25 septembre 2020 sur la protection des données, adoptée le 25 septembre 2020, et qui devrait renter en vigueur dans la 2e partie de 2022 (nLPD ; FF 2020 7397)]. Le droit européen utilise les termes de délégué à la protection des données, soit, dans la version anglaise du Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données (RGPD)), le Data Protection Officer (art. 37 et ss RGPD). C’est cette dernière dénomination qui tend à s’imposer dans la pratique, même si on peut constater l’existence d’autres titres et termes, comme ceux de « Privacy Officer » par exemple. Nous utiliserons ici les termes de DPO ou de conseiller à la protection des données.

La LPD actuelle

Le conseiller à la protection des données ne fait l’objet que d’une mention, presque en passant, dans la LPD actuelle. Le maître du fichier privé est en effet dispensé de déclarer son fichier s’il a désigné un conseiller à la protection des données indépendant chargé d’assurer l’application internes des dispositions relatives à la protection des données et de tenir un inventaire des fichiers (art. 11a al. 5 let. e LPD). Il ne s’agit donc que d’une incitation, la désignation du conseiller n’étant pas obligatoire (contrairement aux organes fédéraux).

La désignation du conseiller à la protection des données, son statut et ses tâches sont régis par les art. 12a et 12b de l’ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des données (OLPD ; RS 235.11OLPD. Selon l’art. 12a al. 1 OLPD, lorsque le maître du fichier entend être délié de son devoir de déclaration des fichiers  en vertu de l’art. 11a al. 5 let. e LPD, il est tenu: de désigner un conseiller à la protection des données qui remplit les conditions de l’art. 12a al. 2 et de l’art. 12b, et d’en informer le préposé. Le maître du fichier peut donc désigner un collaborateur ou un tiers en qualité de conseiller à la protection des données ; celui-ci ne doit toutefois pas exercer d’activités incompatibles avec ses tâches de conseiller à la protection des données et doit avoir les connaissances professionnelles nécessaires (art. 12a al. 2 OLPD).

Le conseiller à la protection des données devra par ailleurs exercer sa fonction de manière indépendante et sans recevoir d’instructions de la part du maître du fichier, il disposera des ressources nécessaires à l’accomplissement de sa tâche et aura accès aux fichiers, aux traitements et aux informations nécessaires à l’accomplissement de ses devoirs (art. 12b al. 2 OLPD).

L’indépendance du conseiller à la protection des données devra être formelle, mais aussi matérielle. Le conseiller ne saurait en effet être le responsable de l’administration des systèmes d’information de l’entreprise, le responsable clientèle ou le responsable des ressources humaines. Il ne doit pas pouvoir déterminer les buts et les moyens d’un traitement de données. Son indépendance doit aussi être matérielle, et non seulement organisationnelle ou formelle. Le conseiller doit en effet exercer sa fonction sans recevoir d’instructions de la part du maître du fichier pour ce qui concerne l’exercice de ses tâches, avoir les moyens de remplir sa fonction et les accès nécessaires à cette fin. Pour ce qui est des connaissances, le conseiller doit indubitablement avoir des connaissances en droit, mais aussi si possible des connaissances techniques ainsi qu’une bonne maîtrise des activités du maître du fichier et des traitements que celui-ci effectue. [Philippe MEYER, Protection des données, Berne, Stämpfli, 2011, N 1453-1455]

Les missions du conseiller à la protection des données sont sommairement décrites à l’art. 12b al. 1 OLPD. Il aura ainsi notamment pour tâches de de contrôler les traitements de données personnelles et de proposer des mesures s’il apparaît que des prescriptions sur la protection des données ont été violées, de dresser l’inventaire des fichiers gérés par le maître du fichier et de le tenir à la disposition du préposé ou des personnes concernées qui en font la demande. Le contrôle visé par l’art. 12b al. 1 OLPD suppose toutefois de fait l’accomplissement de nombreuses autres tâches en amont : conseiller et former le personnel, donner son avis sur des projets internes, réalisation ou accompagnement d’audits, information, etc. [MEYER, op. cit., N 1460]

Le conseiller n’assume par contre pas la responsabilité des traitements effectués par le maître du fichier, même si celui-ci a suivi les recommandations du conseiller, et il ne peut saisir le PFPDT s’il estime que ses recommandations ne sont pas suivies [MEYER, op. cit., N 1457, 1461]. Il assume par contre une responsabilité contractuelle envers le maître du fichier, selon les termes du contrat de travail ou du contrat de mandat le liant à celui-ci, et peut aussi être soumis à une responsabilité délictuelle s’il cause des préjudices à autrui.

La nouvelle LPD

A teneur de l’art. 10 al. 1 et al. 2 nLPD, les responsables du traitement privés peuvent nommer un conseiller à la protection des données qui sera l’interlocuteur des personnes concernées et des autorités chargées de la protection des données en Suisse. Il aura notamment pour tâches de former et conseiller le responsable du traitement privé dans le domaine de la protection des données et de concourir à l’application des prescriptions relatives à la protection des données.

Le conseiller à la protection des données exercera sa fonction de manière indépendante par rapport au responsable du traitement et sans recevoir d’instruction de celui-ci. Par ailleurs le conseiller ne devra pas exercer de tâches incompatibles avec ses tâches de conseiller à la protection des données. Il devra disposer des connaissances professionnelles nécessaires. Le responsable du traitement publiera les coordonnées du conseiller à la protection des données et les communiquera au PFPDT.

Comme dans la LPD actuelle, le « bénéfice » légal de la nomination d’un DPO, pour le responsable de traitement, apparaît plutôt modeste. En effet, le responsable de traitement doit consulter le Préposé fédéral à la protection des données (PFPDT) préalablement au traitement lorsque l’analyse d’impact relative à la protection des données révèle que, malgré les mesures prévues par le responsable du traitement, le traitement envisagé présente encore un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. Il peut toutefois y renoncer s’il a consulté son conseiller à la protection des données (art. 10 al. 3 et 23 al. 4 nLPD).

C’est toutefois ignorer que, malgré la modestie de l’avantage conféré par l’art. 23 al. 4 nLPD, le nouveau droit de la protection des données va mettre à charge des responsables de traitement de considérables nouvelles obligations (information, registre des traitements, annonce des violations de sécurité, étude d’impact, etc.), et ce sans compter encore sur un nouveau régime de sanctions pénales ou sur les nouveaux pouvoirs conférés au PFPDT. La nomination d’un conseiller à la protection des données est donc une question que les entreprises vont devoir se poser, et rapidement eu égard au calendrier.

Le contrat de travail du DPO

Eu égard à ce qui précède, et en première analyse, on peut s’attendre à ce que les entreprises « bombardent » certains salariés d’un nouveau titre et leur demandent d’assumer ces nouvelles fonctions. Des salariés déjà existants coûtent ainsi moins chers que des prestataires externes ou de nouvelles recrues.

C’est oublier toutefois que le DPO ne doit pas participer au but et aux moyens d’un traitement de données, ce qui limite déjà fortement les départements dont pourraient être issues ces « volontaires ». Par ailleurs, le DPO ne doit pas subir de « dommage » découlant de l’exercice de ses fonctions. En d’autres termes, et par exemple, on ne doit pas pouvoir le sanctionner s’il conseille, par exemple, d’annoncer une violation de sécurité qui pourrait avoir des conséquences dramatiques sur les résultats de l’entreprise. Or cette indépendance est beaucoup plus difficile à assurer si le DPO, au sein de l’entreprise, assume une double ou une triple fonction : comment s’assurer, par exemple, qu’il serait sanctionné pour une faute commise en rapport avec ses autres fonctions et non en représailles à l’exercice de ses responsabilités de DPO ?

La rémunération du DPO peut aussi s’avérer délicate, particulièrement les rémunérations variables et les gratifications. L’indépendance du DPO s’accommoderait ainsi mal d’une gratification destinée à « récompenser » ses prestations, alors qu’il peut être un porteur de très mauvaises nouvelles pour le sort de l’entreprise et ses résultats. De la même manière, une rémunération variable indexée sur les résultats de l’entreprise enverrait un mauvais signal, alors que le DPO doit pouvoir conseiller des actions pouvant un avoir un impact négatif parfois significatif sur les résultats, le cours de l’action, etc.

La question du taux d’activité peut se résoudre plus facilement. Il est en effet à prévoir que l’activité des DPO sera intense dans un premier temps, en raison des adaptations nécessaires au nouveau droit. Il est donc tout à fait possible de prévoir un taux d’activité qui baissera, par exemple dès 2024. Plus difficile est le problème de la répartition de l’activité sur l’année. Imaginons en effet un incident de sécurité : le DPO, au sein d’un Incident Response Team, devra déployer des heures importantes sur une courte période, alors que l’activité sera moins intense par la suite. La difficulté peut ici être résolue par le biais d’un horaire de travail flexible (gleitende Arbeitszeit) à temps partiel. Les parties peuvent en effet convenir que le travailleur, dans un cadre prédéfini, détermine librement la durée de son temps de travail journalier, pourvu qu’à l’issue d’une période de référence, il ait accompli le nombre d’heures contractuellement dues. Généralement, des heures de présence obligatoire (plages « bloquées ») doivent être respectées, le travailleur pouvant s’organiser librement le reste du temps. En contrepartie de cette autonomie, le travailleur a la responsabilité de récupérer à temps le solde de travail excédentaire qu’il a librement accumulé.

La question de la formation et des compétences est cruciale dans l’activité du DPO. Un contrat de travail, même à temps partiel et horaire flexible, devrait insister sur la formation continue et garantir qu’un certain budget puisse être alloué chaque année au DPO à cette fin.

L’employeur serait peu inspiré d’utiliser des clauses de non concurrence dans des contrats de travail avec des DPO. C’est d’abord parce que les connaissances techniques spécifiques à ces fonctions ne courent pas les rues, d’une part. Mais c’est aussi, d’autre part, parce que ces connaissances techniques particulières sont indissociables de la personne du DPO. Une clause de non concurrence aurait ainsi de bonnes chances de ne pas être valable.

Conclusion

On voit ainsi qu’entre le recours à des prestataires externes onéreux et la désignation interne de responsables, il peut y avoir de la place pour des contrats de travail à temps partiel, avec horaire flexible, si et pour autant certaines clauses du contrat de travail sont adaptées.

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

A propos Me Philippe Ehrenström

Ce blog présente certains thèmes juridiques en Suisse ainsi que des questions d'actualité. Il est rédigé par Me Philippe Ehrenström, avocat indépendant, LL.M. (Tax), Genève et Yverdon.
Cet article, publié dans nouvelle LPD, Protection de la personnalité, Protection des données, est tagué , , , , . Ajoutez ce permalien à vos favoris.

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s