[Le droit suisse de la protection des données, c’est aussi du droit du travail !
En effet, outre le renvoi de l’art. 328 b CO, le droit de la protection des données s’applique à des degrés divers dans toutes les étapes de la gestion des ressources humaines, de l’engagement au contentieux en passant par la tenue du dossier personnel.
Or le droit suisse de la protection des données va connaître un bouleversement considérable au 2e semestre 2022 avec l’entrée en vigueur de la loi révisée sur la protection des données et de son ordonnance.
Contrairement à ce que l’on peut lire ici ou là, le nouveau droit de la protection des données va entraîner des adaptations substantielles des pratiques et des manières de faire, particulièrement pour les employeurs qui ne se sont pas adaptés au RGPD car ils n’avaient pas à le faire.
Je vais donc présenter sur ce blog quelques-unes des nouveautés à venir pendant le 2e semestre 2021.]
A teneur de l’art. 12 al. 1 de la nouvelle loi fédérale du 25 septembre 2020 sur la protection des données (nLPD ; FF 2020 7397 – entrée en vigueur prévue dans le 2e semestre 2022), les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement (Registre des activités de traitement).
L’obligation actuelle de déclarer certains fichiers (art. 11a de la loi fédérale du 19 juin 1992 sur la protection des données (LPD ; RS 235.1)) est donc remplacée par une obligation de tenir un registre des activités de traitement dans le nouveau droit de la protection des données.
Le registre des activités de traitement n’est pas un journal de celles-ci ou une simple copie des données personnelles traitées. Il est, bien au contraire, un « (…) descriptif général des activités de traitement qui permet d’avoir une vue d’ensemble de tous les traitements et de se faire rapidement une idée sur la conformité des traitements. Son contenu correspond dans une large mesure aux indications que la personne concernée doit recevoir en vertu du devoir d’informer et du droit d’accès. » [Sylvain Métille, Le traitement de données personnelles sous l’angle de la (nouvelle) loi fédérale sur la protection des données du 25 septembre 2020, SJ 2021 II 16].
Le registre n’est pas une fin en soi, mais est un instrument qui aide à respecter et mettre en vigueur le droit de la protection des données. Il fournit au responsable du traitement une vue d’ensemble des activités de l’entreprise en rapport avec la protection des données. On peut ajouter que le registre a des utilités pratiques très concrètes en ce qu’il peut être mis à profit immédiatement en cas de rédaction d’une déclaration d’information en matière de protection des données (Privacy Notice), de violations de la sécurité des données, de demande de droit d’accès ou de rectification, de demandes découlant d’enquêtes administrative ou pénale, etc.
Il n’existe aucune exigence formelle particulière pour la constitution et la tenue du registre (word, excel, solutions informatiques sophistiquées, etc.) Cela étant dit, le registre des activités de traitement s’inspirant très largement du droit européen (art. 30 RGPD), il devrait être possible d’adapter les modèles mis à dispositions par les autorités de contrôle européennes en la matière [voir par exemple : https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement%5D.
Pour ce qui est du contenu, selon l’art. 12 al. 2 nLPD, le registre du responsable du traitement contient au moins les indications suivantes: a. l’identité du responsable du traitement; b. la finalité du traitement; c. une description des catégories de personnes concernées et des catégories de données personnelles traitées; d. les catégories de destinataires; e. dans la mesure du possible, le délai de conservation des données personnelles ou les critères pour déterminer la durée de conservation; f. dans la mesure du possible, une description générale des mesures visant à garantir la sécurité des données (art. 8 nLPD); g. en cas de communication de données personnelles à l’étranger, le nom de l’État concerné et les garanties prévues à l’art. 16, al. 2 permettant de déterminer si le niveau de protection de l’Etat destinataire est adéquat en l’absence de décision d’adéquation du Conseil fédéral.
Le registre du sous-traitant contient des indications concernant l’identité du sous-traitant et du responsable du traitement, les catégories de traitements effectués pour le compte du responsable du traitement ainsi que les indications prévues à l’art. 12 al. 2, let. f et g [mesures de sécurité, mesures en rapport avec la communication de données à l’étranger] (art. 12 al. 3 nLPD).
Les organes fédéraux déclareront leur registre d’activités de traitement au Préposé fédéral à la protection des données (PFPDT) (art. 12 al. 4 nLPD).
Le Conseil fédéral prévoit des exceptions pour les entreprises qui emploient moins de 250 collaborateurs et dont le traitement des données présente un risque limité d’atteinte à la personnalité des personnes concernées (art. 12 al. 5 nLPD).
L’art. 12 al. 5 nLPD a été mis en œuvre dans l’art. 26 de l’Avant-projet d’ordonnance relative à la loi fédérale sur la protection des données (nOLPD) [https://www.admin.ch/gov/fr/accueil/documentation/communiques.msg-id-84103.html], en consultation jusqu’au 14 octobre 2021. Selon cette disposition, les entreprises et autres organismes de droit privé employant moins de 250 collaborateurs au début d’une année, ainsi que les personnes physiques, sont déliés de leur obligation de tenir un registre des activités de traitement, à moins que l’une des conditions suivantes soit remplie:
a. le traitement porte sur des données sensibles à grande échelle; [sont des données sensibles les données sur les opinions ou les activités religieuses, philosophiques, politiques ou syndicales ; les données sur la santé, la sphère intime ou l’origine raciale ou ethnique ; les données génétiques ; les données biométriques identifiant une personne physique de manière univoque ; les données sur des poursuites ou sanctions pénales et administratives ; les données sur des mesures d’aide sociale – art. 5 let. c nLPD]
b. le traitement constitue un profilage à risque élevé [le profilage est toute forme de traitement automatisé de données personnelles consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique; est un profilage à risque élevé tout profilage entraînant un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, parce qu’il conduit à un appariement de données qui permet d’apprécier les caractéristiques essentielles de la personnalité d’une personne physique; cf. – art. 5 let. f et g nLPD]
L’article 26 concrétise donc l’art. 12 al. 5 nLPD en précisant qui est concerné par cette exception et quels sont les cas dans lesquels les risques d’atteintes sont limités. Il prévoit que les entreprises, et autres organismes de droit privé, de moins de 250 collaborateurs au début d’une année, indépendamment du taux d’occupation, et les personnes physiques sont déliés de leur obligation de tenir un registre des activités de traitement si les traitements ne portent pas sur des données sensibles à grande échelle (let. a) et ne constituent pas un profilage à risque élevé (let. b ; la notion renvoie à celle qui utilisée au sens de l’analyse d’impact sur la protection des données de l’art. 22 al. 2 nLPD ; sur l’analyse d’impact : https://droitdutravailensuisse.com/2021/07/14/lanalyse-dimpact-relative-a-la-protection-des-donnees/). [Révision totale de l’ordonnance relative à la loi fédérale sur la protection des données, Rapport explicatif relatif à la procédure de consultation, Berne, 23 juin 2021, p. 38]
Il reste à voir ce que la pratique fera de l’exception de l’art. 26 de l’avant-projet d’ordonnance, s’il survit à la procédure de consultation. On ne le trouve pas particulièrement clair, ni facile d’application. Il s’agit d’ailleurs sans doute d’un faux problème, ou d’un leurre. En effet, comme indiqué ci-dessus, et comme l’écrit avec une naïveté feinte le Rapport explicatif du 23 juin 2021 (p. 38), il est en effet fort possible que les responsables de traitement qui pourraient ne pas être obligé de tenir ce registre au sens de l’art. 26 auraient de toute façon tout intérêt à le faire en raison des obligations mises à leur charge par d’autres dispositions de la nLPD (information, sécurité, data breach, etc.)
Allons plus loin.
L’exercice consistant à dresser un registre des traitements peut être long et fastidieux. Il faut aussi pourvoir à sa révisionet à sa mise à jour. Mais c’est aussi un instrument de travail important dans toutes les opérations touchant au traitement des données et à la protection des données. Autant le faire, donc, et savoir l’utiliser de manière positive. On peut penser à la contrainte de l’enregistrement du temps de travail : c’est fastidieux, voire paperassier, mais, bien utilisé, c’est une mine d’information pour qui sait les utiliser et une base solide pour quantités de décisions et de mesures de gestion.
Ce qu’on ne peut éviter, il faut le vouloir – et savoir l’utiliser.
Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)
Le droit du travail et de la protection des données en Suisse 