[Le droit suisse de la protection des données, c’est aussi du droit du travail !

En effet, outre le renvoi de l’art. 328 b CO, le droit de la protection des données s’applique à des degrés divers dans toutes les étapes de la gestion des ressources humaines, de l’engagement au contentieux en passant par la tenue du dossier personnel.

Or le droit suisse de la protection des données va connaître un bouleversement considérable au 2e semestre 2022 avec l’entrée en vigueur de la loi révisée sur la protection des données et de son ordonnance.

Contrairement à ce que l’on peut lire ici ou là, le nouveau droit de la protection des données va entraîner des adaptations substantielles des pratiques et des manières de faire, particulièrement pour les employeurs qui ne se sont pas adaptés au RGPD car ils n’avaient pas à le faire.

Je vais donc présenter sur ce blog quelques-unes des nouveautés à venir pendant le 2e semestre 2021.]

Le droit à la portabilité des données, reconnu par l’art. 20 RGPD, est introduit en droit suisse par les art. 28 et 29  de la nouvelle loi fédérale du 25 septembre 2020 sur la protection des données, adoptée le 25 septembre 2020, et qui devrait renter en vigueur dans la 2e partie de 2022 (nLPD ; FF 2020 7397).

Relevons déjà que la portabilité apparaît être un corps étranger dans le droit de la protection des données, et relever plutôt de celui de la protection des consommateurs. En effet, le droit à la portabilité vise à garantir au consommateur le pouvoir de disposer des données qu’il a fournies à un prestataire de services afin qu’elles puissent être facilement utilisées ailleurs, avec un autre prestataire par exemple.

A teneur de l’art. 28 al. 1 nLPD (« Droit à la remise ou à la transmission des données personnelles »), la personne concernée peut demander au responsable du traitement qu’il lui remette sous un format électronique couramment utilisé les données personnelles la concernant qu’elle lui a communiquées lorsque les conditions suivantes sont réunies: a. le responsable du traitement traite les données personnelles de manière automatisée; b. les données personnelles sont traitées avec le consentement de la personne concernée ou en relation directe avec la conclusion ou l’exécution d’un contrat entre elle et le responsable du traitement.

Les conditions posées apparaissent curieuses, et résulter d’un copier/coller mal pensé du droit européen. En effet, le consentement ou la nécessité contractuelle sont des faits justificatifs au traitement selon l’art. 6 par. 1 let. a et b RGPD, alors que le consentement n’est, en droit suisse, requis que s’il y a atteinte à la personnalité. Le législateur a-t-il voulu exclure la portabilité quand le traitement n’est pas en lien avec un contrat mais respecte les principes de l’art. 6 nLPD (ce qui entraîne que le consentement n’est pas nécessaire), et l’admettre lorsque le traitement viole l’art. 6 nLPD et nécessite un consentement ? C’est peu cohérent [Sylvain Métille, Le traitement des données personnelles sous l’angle de la (nouvelle) loi fédérale sur la protection des données su 25 septembre 2020, SJ 2021 II 1 et ss, 32]. Le responsable de traitement aura ainsi probablement intérêt à interpréter l’art. 28 al. 1 nLPD plus largement que sa lettre.

Selon l’art. 28 al. 2 nLPD, la personne concernée peut en outre demander au responsable du traitement qu’il transmette les données personnelles la concernant à un autre responsable du traitement, pour autant que les conditions de l’al. 1 soient remplies et que cela n’exige pas des efforts disproportionnés.

Le responsable du traitement remet ou transmet gratuitement les données personnelles. Le Conseil fédéral peut prévoir des exceptions, notamment si la remise ou la transmission des données personnelles exige des efforts disproportionnés (art. 28 al. 3 nLPD).  Cela pourra être le cas, par exemple, s’agissant de données de communication, lorsqu’un tri complexe entre les propres propos et ceux de tiers est nécessaire [Nouvelle loi fédérale sur la protection des données : le point de vue du PFPDT, Berne, 9 février 2021, p. 7]

Selon l’art. 29 al. 1 nLPD, le responsable du traitement peut refuser, restreindre ou différer la remise ou la transmission de données personnelles pour les mêmes motifs que ceux prévus pour le droit d’accès. L’art. 26 al. 1 nLPD prévoit à cet égard que le responsable du traitement peut refuser, restreindre ou différer la communication des renseignements dans les cas suivants: a. une loi au sens formel le prévoit, notamment pour protéger un secret professionnel; b. les intérêts prépondérants d’un tiers l’exigent; c. la demande d’accès est manifestement infondée notamment parce qu’elle poursuit un but contraire à la protection des données ou est manifestement procédurière. Selon l’art. 26 al. 2 nLPD, il est au surplus possible de refuser, de restreindre ou de différer la communication des renseignements lorsque le responsable du traitement est une personne privée et que les conditions suivantes sont remplies: 1. ses intérêts prépondérants l’exigent, 2. il ne communique pas les données à un tiers. Selon l’art. 29 al. 2 nLPD, le responsable du traitement indique le motif pour lequel il refuse, restreint ou diffère la remise ou la transmission des données personnelles

Concernant les modalités d’exercice du droit à la portabilité, certaines dispositions relatives au droit d’accès s’appliquent par analogie [Avant projet d’ordonnance relative à la loi fédérale sur la protection des données (OLPD), en consultation jusqu’au 14 octobre 2021, art. 20-24 [https://www.admin.ch/gov/fr/accueil/documentation/communiques.msg-id-84103.html] ; voir aussi Révision totale de l’ordonnance relative à la loi fédérale sur la protection des données Rapport explicatif relatif à la procédure de consultation, 23 juin 2021, p. 36]. La demande devra ainsi faite par écrit, mais pourra l’être oralement moyennant l’accord du responsable du traitement. Le responsable du traitement prendra les mesures adéquates pour assurer l’identification de la personne concernée et pour protéger les données de celle-ci de tout accès de tiers non autorisé lors de la communication des renseignements. La personne concernée est tenue de collaborer à son identification. Le responsable du traitement documentera le motif pour lequel il refuse, restreint ou diffère la communication des informations. La documentation sera conservée pendant au moins trois ans.

Lorsqu’il existe plusieurs responsables pour le traitement des données personnelles, la personne concernée pourra demander la portabilité auprès de chacun d’eux. Si l’un des responsables du traitement n’est pas compétent pour traiter la demande, il la transmettra au responsable du traitement compétent. Si la demande de renseignement porte sur des données traitées par un sous-traitant, le responsable du traitement transmettra la demande au sous-traitant s’il n’est pas en mesure de fournir les renseignements lui-même.

Le responsable de traitement devra s’exécuter dans les 30 jours, ou répondre dans le même délai s’il entend refuser, restreindre ou différer la portabilité. Le délai peut être prolongé après information du responsable de traitement et indication du nouveau délai.

La gratuité reste le principe, mais une participation aux frais d’un montant de CHF 300.—maximum peut être demandée en cas d’efforts disproportionnés. La personne concernée est préalablement informée du montant et peut retirer sa requête dans les dix jours.

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)