[Le droit suisse de la protection des données, c’est aussi du droit du travail !

En effet, outre le renvoi de l’art. 328 b CO, le droit de la protection des données s’applique à des degrés divers dans toutes les étapes de la gestion des ressources humaines, de l’engagement au contentieux en passant par la tenue du dossier personnel.

Or le droit suisse de la protection des données va connaître un bouleversement considérable au 2e semestre 2022 avec l’entrée en vigueur de la loi révisée sur la protection des données et de son ordonnance.

Contrairement à ce que l’on peut lire ici ou là, le nouveau droit de la protection des données va entraîner des adaptations substantielles des pratiques et des manières de faire, particulièrement pour les employeurs qui ne se sont pas adaptés au RGPD car ils n’avaient pas à le faire.

Je vais donc présenter sur ce blog quelques-unes des nouveautés à venir pendant le 2e semestre 2021.]

L’art. 22 de la nouvelle loi fédérale du 25 septembre 2020 sur la protection des données, adoptée le 25 septembre 2020, et qui devrait renter en vigueur dans la 2e partie de 2022 (nLPD ; FF 2020 7397), introduit dans notre droit l’analyse d’impact relative à la protection des données personnelles [ci-après AIPD] (en droit européen : art. 35 RGPD).

L’AIPD, sous la forme d’une auto-évaluation, est un instrument préventif, un outil de compliance pour valider et justifier les traitements de données plus sensibles du point de vue du respect de la protection des données.

A teneur de l’art. 22 al. 1 nLPD, lorsque le traitement de données envisagé est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, le responsable du traitement procède au préalable à une analyse d’impact relative à la protection des données personnelles. S’il envisage d’effectuer plusieurs opérations de traitement semblables, il peut établir une analyse d’impact commune.

L’existence d’un risque élevé, en particulier lors du recours à de nouvelles technologies, dépend de la nature, de l’étendue, des circonstances et de la finalité du traitement. Un tel risque existe notamment dans les cas suivants: a. traitement de données sensibles à grande échelle; b. surveillance systématique de grandes parties du domaine public.

La notion de risque élevé est à la fois complexe et floue. Le risque est la combinaison de sa probabilité d’occurrence et de la gravité du dommage en résultant. Ainsi, si la première est probable ou très probable, et la seconde importante à grande, alors il y aura vraisemblablement un « risque élevé » pour la personnalité et les droits fondamentaux de la personne concernée. [Sylvain Métille, Le traitement de données personnelles sous l’angle de la (nouvelle) loi fédérale sur la protection des données du 25 septembre 2020, SJ 2021 II 1 et ss, 23 ; David Rosenthal, La nouvelle loi sur la protection des données, in : Jusletter 16 novembre 2020 N 153 ; Livio di tria, L’analyse d’impact relative à la protection des données (AIPD) en droit européen et suisse, sic ! 3/2020, pp. 119 et ss., 123-124].

L’analyse d’impact contient une description du traitement envisagé, une évaluation des risques pour la personnalité ou les droits fondamentaux de la personne concernée, ainsi que les mesures prévues pour protéger sa personnalité et ses droits fondamentaux (art. 22 al. 3 nLFD). La loi ne contient pas méthodologie particulière. Il conviendra de s’inspirer de ce qui est conseillé par les autorités de contrôle européennes [voir les critères contenus dans ARTICLE 29 DATA PROTECTION WORKING PARTY, Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679, 4 octobre 2017 ; file:///C:/Users/phe48/Downloads/20171013_wp248_rev_01_en_D7D5A266-FAE9-3CA1-65B7371E82EE1891_47711.pdf; de la même manière, selon l’art. 35 al. 4 RGPD, les autorités de contrôle sont tenues d’établir et de publier des listes « positives » de types d’opération pour lesquels une AIPD est requise].

Le responsable du traitement privé est délié de son obligation d’établir une analyse d’impact s’il est tenu d’effectuer le traitement en vertu d’une obligation légale.

Le responsable du traitement privé peut renoncer à établir une analyse d’impact lorsqu’il recourt à un système, un produit ou un service certifié conformément à l’art. 13 nLPD pour l’utilisation prévue ou qu’il respecte un code de conduite au sens de l’art. 11 nLPD remplissant les conditions suivantes: a. il repose sur une analyse d’impact relative à la protection des données personnelles; b. il prévoit des mesures pour protéger la personnalité et les droits fondamentaux de la personne concernée; c. il a été soumis au Préposé fédéral à la protection des données et à la transparence (PFPDT).

L’art. 23 nLPD règle les cas où le responsable de traitement doit consulter au préalable le PFPDT.

Le responsable du traitement consulte ainsi le PFPDT préalablement au traitement lorsque l’analyse d’impact relative à la protection des données révèle que, malgré les mesures prévues par le responsable du traitement, le traitement envisagé présente encore un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée (art. 23 al. 1 nLPD).

Le PFPDT communique au responsable du traitement ses objections concernant le traitement envisagé dans un délai de deux mois, délai qui peut encore être prolongé mois lorsqu’il s’agit d’un traitement de données complexe (art. 23 al. 2 nLPD). Si le PFPDT a des objections concernant le traitement envisagé, il propose au responsable du traitement des mesures appropriées (art. 23 al. 3 nLPD).

Le responsable du traitement privé peut renoncer à consulter le PFPDT s’il a consulté son conseiller à la protection des données (art. 23 al. 4 nLPD).

Concernant la forme et la conservation de l’AIPD, l’art. 18 de l’avant projet d’Ordonnance relative à la loi fédérale sur la protection des données, mis en consultation jusqu’au 14 octobre 2021 (nOLPD) [https://www.admin.ch/gov/fr/accueil/documentation/communiques.msg-id-84103.html] prévoit que le responsable du traitement consigne par écrit l’analyse d’impact relative à la protection des données personnelles ; l’AIPD est conservée pendant deux ans après la fin du traitement des données.

Le rapport explicatif au nouveau projet d’ordonnance précise que la forme écrite comprend à la fois les documents papiers et ceux sous forme électronique. Elle est particulièrement importante pour prouver qu’une analyse d’impact a bien été faite. Par ailleurs, si l’analyse d’impact relative à la protection des données doit être conservée après que le traitement des données ait eu lieu, c’est parce qu’elle constitue un instrument central de la législation sur la protection des données. Elle peut notamment se révéler importante lorsqu’il faut faire la lumière sur une violation de la sécurité des données ou évaluer la punissabilité d’un comportement. Elle fournit donc des informations sur la façon dont on a évalué les risques pour la personnalité et les droits fondamentaux, et les mesures qui ont été prises. [Révision totale de l’ordonnance relative à la loi fédérale sur la protection des données, Rapport explicatif relatif à la procédure de consultation, 23 juin 2021, pp. 30-31]

Si le responsable de traitement décide de ne pas procéder à une AIPD, il devra documenter et expliquer les circonstances et les motifs qui l’ont mené à prendre cette décision.

La violation de l’obligation de procéder à une AIPD n’est enfin pas sanctionnée pénalement, mais le PFPDT peut ordonner à la personne privée ou à l’organe fédéral de procéder à une AIPD (art. 51 al. 3 let. d nLPD), cas échant sous la menace de la peine prévue à l’art. 63 nLPD.

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)