Protection des données et devoir d’information

Photo de Arindam Raha sur Pexels.com

[Le droit suisse de la protection des données, c’est aussi du droit du travail !

En effet, outre le renvoi de l’art. 328 b CO, le droit de la protection des données s’applique à des degrés divers dans toutes les étapes de la gestion des ressources humaines, de l’engagement au contentieux en passant par la tenue du dossier personnel.

Or le droit suisse de la protection des données va connaître un bouleversement considérable au 2e semestre 2022 avec l’entrée en vigueur de la loi révisée sur la protection des données et de son ordonnance.

Contrairement à ce que l’on peut lire ici ou là, le nouveau droit de la protection des données va entraîner des adaptations substantielles des pratiques et des manières de faire, particulièrement pour les employeurs qui ne se sont pas adaptés au RGPD car ils n’avaient pas à le faire.

Je vais donc présenter sur ce blog quelques-unes des nouveautés à venir pendant le 2e semestre 2021.]

Introduction

Le nouveau droit de la protection des données va considérablement élargir le devoir d’information du responsable de traitement privé. Le régime actuel prévoit en effet un devoir « actif » d’information uniquement en cas de récole de données sensibles ou de profils de personnalité, ou lorsque la récolte n’est pas reconnaissable. Le nouveau régime (2e semestre 2022) impose maintenant d’informer les personnes concernées chaque fois que des données personnelles sont collectées, peu importe leur type, sauf exceptions limitativement énumérées, et étend aussi le contenu des informations à transmettre. Les responsables de traitement vont donc devoir rapidement se mettre à la rédaction de Notice d’information, de Privacy Notice, etc., documents qui devront être hautement individualisés, et qui devraient reposer sur une bonne analyse des traitements de données effectués. C’’est notamment pour ce genre d’exercice qu’un registre des traitements pourra s’avérer utile.

Régime actuel

L’art. 14 de la loi fédérale sur la protection des données (LPD ; RS 235.1) LPD traite du devoir d’informer lors de la collecte de données sensibles et de profils de la personnalité.

Le maître du fichier a ainsi l’obligation d’informer la personne concernée de toute collecte de données sensibles ou de profils de la personnalité la concernant, que la collecte soit effectuée directement auprès d’elle ou auprès d’un tiers (al. 1). La collecte des autres données personnelles doit être reconnaissable au sens de l’art. 4 al. 4 LPD, i.e. la collecte de données personnelles, et en particulier les finalités du traitement, doivent être reconnaissables pour la personne concernée. Le devoir d’information existe au moment de la collecte. Le maître du fichier doit s’acquitter du devoir d’information dans le respect du principe de proportionnalité et dans celui de la bonne foi.

La personne concernée doit au moins recevoir les informations suivantes : a. l’identité du maître du fichier; b. les finalités du traitement pour lequel les données sont collectées; c. les catégories de destinataires des données si la communication des données est envisagée (al. 2). La personne concernée doit ainsi pouvoir vérifier que les principes de bonne foi, de finalité et de proportionnalité sont bien respectés. L’information devrait aussi porter sur le droit d’accès et de rectification, sur le caractère facultatif ou obligatoire des réponses demandées ainsi que sur les conséquences d’un défaut de réponse, même si cela n’est pas expressément mentionné à l’art. 14 al. 2 LPD (cf. art. 18a LPD pour les organes fédéraux) et n’entraînerait pas de sanctions pénales sous l’angle de l’art. 34 al. 1 LPD faute de précision de la base légale.

Si les données ne sont pas collectées auprès de la personne concernée, celle-ci doit être informée au plus tard lors de leur enregistrement ou, en l’absence d’un enregistrement, lors de la première communication à un tiers (al. 3 : collecte auprès d’un tiers). Cet alinéa ne règle que le moment où l’information doit être faite, le contenu de l’art. 14 al. 2 reste le même.

Le maître du fichier est délié de son devoir d’informer si la personne concernée a déjà été informée; il n’est pas non plus tenu d’informer cette dernière: a. si l’enregistrement ou la communication sont expressément prévus par la loi; b. si le devoir d’informer est impossible à respecter ou nécessite des efforts disproportionnés (art. 14 al. 4 LPD). La 2e hypothèse de l’al. 4 let. b (efforts disproportionnés) ne sera admise que de manière restrictive.

Le maître du fichier peut refuser, restreindre ou différer l’information pour les mêmes motifs que ceux prévus à l’art. 9 al. 1 et 4 LPD : une loi au sens formel le prévoit ou les intérêts prépondérants d’un tiers l’exigent (art. 9 al. 1) ; les intérêts prépondérants du maître de fichier privé dans la mesure où ses intérêts prépondérants l’exigent et à condition qu’il ne communique pas les données personnelles à un tiers (art. 9 al. 4). Le maître du fichier n’a pas à motiver son refus de fournir l’information ; l’art. 9 al. 5 LPD ne s’applique en effet qu’au refus du droit d’accès.

L’information doit être donnée d’office et de façon active par le maître du fichier, par exemple par le biais d’une Notice d’information /Privacy Notice, d’une page internet, etc.

Le non-respect du devoir d’information fondé sur l’art. 14 LPD rend la collecte de données illicite, même si l’art. 14 n’est pas mentionné à l’art. 12 al. 2 let. a LPD. On considère qu’il s’agit en fait d’une extension du principe de reconnaissabilité (art. 4 al. 4 LPD) qui est expressément mentionné à l’art. 12 al. 2 let. a LPD. L’illicéité ne saurait être justifiée par le consentement, faute, précisément, d’information permettant d’obtenir un consentement éclairé.

Les motifs justificatifs pouvant entrer en considération sont ceux des art. 14 al. 4 et 9 LPD [i.e. le devoir d’informer est impossible à respecter ou nécessite des efforts disproportionnés ; les intérêts prépondérants d’un tiers l’exigent ; un intérêt public prépondérant, en particulier la sûreté intérieure ou extérieure de la Confédération, l’exige; la communication des renseignements risque de compromettre une instruction pénale ou une autre procédure d’instruction ; les intérêts prépondérants du maître de fichier privé l’exigent – à condition qu’il ne communique pas les données personnelles à un tiers], et non ceux de l’art. 13 LPD.

La violation de l’art. 14 LPD est assortie de sanctions pénales (art. 34 al. 1 LPD), contrairement à la violation des principes généraux (art. 4, 5 et 7 LPD).

Pour ce qui est des organes fédéraux, rappelons qu’ils ne sont en droit de traiter des données personnelles que s’il existe une base légale (art. 17 al. 1 LPD). La base légale doit être une loi au sens formel si des données sensibles ou des profils de personnalités sont traités, sauf accomplissement d’une tâche clairement définie dans une loi au sens formel.

L’organe fédéral qui collecte systématiquement des données [et non pas simplement des données sensibles ou des profils de la personnalité], notamment au moyen de questionnaires, est tenu de préciser le but et la base juridique du traitement, les catégories de participants au fichier et de destinataires des données (art. 18 al. 1 LPD).

L’organe fédéral a l’obligation d’informer la personne concernée de toute collecte de données la concernant, qu’elle soit effectuée directement auprès d’elle ou auprès d’un tiers (art. 18a al. 1 LPD) ; contrairement au devoir d’information du maître de fichier privé, il n’est pas restreint aux hypothèses des données sensibles ou des profils de personnalité. La personne concernée doit au moins recevoir les informations suivantes : a. l’identité du maître du fichier ; b. les finalités du traitement pour lequel les données sont collectées ; c. les catégories de destinataires des données si la communication des données est envisagée ; d. le droit d’accéder aux données la concernant; e. les conséquences liées au refus de sa part de fournir les données personnelles demandées (art. 18a al. 2 LPD).

Si les données ne sont pas collectées auprès de la personne concernée, celle-ci doit être informée au plus tard lors de leur enregistrement ou, en l’absence d’un enregistrement, lors de la première communication à un tiers (art. 18a al. 3 LPD)

L’organe fédéral est délié de son devoir d’informer si la personne concernée a déjà été informée; il n’est pas non plus tenu d’informer cette dernière dans les cas prévus à l’al. 3: a. si l’enregistrement ou la communication sont expressément prévus par la loi; b. si le devoir d’informer est impossible à respecter ou nécessite des efforts disproportionnés (art. 18a al. 4 LPD)

Le Conseil fédéral peut limiter le devoir d’informer de l’organe fédéral aux collectes de données sensibles et de profils de la personnalité, si le devoir d’informer porte atteinte à la capacité de concurrence de cet organe (art. 18a al. 5 LPD).

Pour ce qui est des restrictions du droit d’informer, l’art. 18b al. 1 LPD prévoit que l’’organe fédéral peut refuser, restreindre ou différer l’information pour les mêmes motifs que ceux prévus à l’art. 9 al. 1 et 2 [i.e. une loi au sens formel le prévoit; les intérêts prépondérants d’un tiers l’exigent ; un intérêt public prépondérant, en particulier la sûreté intérieure ou extérieure de la Confédération, l’exige; la communication des renseignements risque de compromettre une instruction pénale ou une autre procédure d’instruction]. Dès que le motif justifiant le refus, la restriction ou l’ajournement disparaît, l’organe fédéral est tenu par le devoir d’informer, pour autant que cela ne s’avère pas impossible ou ne nécessite pas un travail disproportionné (art. 18 b al. 2 LPD).

Régime futur

Les obligations d’information du maître du fichier – devenu le responsable du traitement – ont été considérablement étendues par les art. 19-21 de la nouvelle loi fédérale du 25 septembre 2020 sur la protection des données (nLPD ; FF 2020 7397) qui entrera en vigueur (probablement) dans le courant du deuxième semestre 2022.

A teneur de l’art. 19 al. 1 nLPD, le responsable du traitement informe la personne concernée de manière adéquate de la collecte de données personnelles, que celle-ci soit effectuée auprès d’elle ou non. Cela implique que les informations soient communiquées si possible de manière concise, compréhensible et aisément accessible. En d’autres termes, cela signifie que le responsable du traitement ou le sous-traitant doivent s’assurer, lors du choix des modalités d’informations, que les informations les plus importantes sont toujours transmises dans le premier niveau de communication avec la personne concernée. Par exemple, lorsque la communication se fait sur un site internet, une bonne pratique peut consister à faire en sorte que les informations essentielles soient toutes disponibles en un coup d’œil. Pour obtenir des informations complémentaires, la personne concernée pourra ensuite cliquer sur ces premières informations et cela ouvrira une autre fenêtre contenant des détails supplémentaires. Il faut néanmoins préciser que la communication par un site internet n’est pas toujours suffisante : il faut que la personne concernée sache qu’elle trouvera ces informations sur un site en particulier. Autre exemple, si la communication se fait dans un environnement téléphonique, des explications orales peuvent être fournies par une personne physique, lesquelles peuvent être complétées par un renvoi vers un site internet ; s’il s’agit d’informations enregistrées, la personne concernée devra avoir la possibilité d’entendre des informations plus détaillées. Enfin, dans un environnement « réel » où la personne pourra être filmée par un système de vidéosurveillance fixe ou par un drone, une signalisation visible ou une campagne d’information devront par exemple mentionner cette activité. [Révision totale de l’ordonnance relative à la loi fédérale sur la protection des données, Rapport explicatif relatif à la procédure de consultation, Berne, 23 juin 2021, pp. 29-30]

Selon l’art. 19 al. 2 nLPD, lors de la collecte, le responsable de traitement communique à la personne concernée les informations nécessaires pour qu’elle puisse faire valoir ses droits selon la nLPD et pour que la transparence des traitements soit garantie ; il lui communique au moins: a. l’identité et les coordonnées du responsable du traitement; b. la finalité du traitement; c. le cas échéant, les destinataires ou les catégories de destinataires auxquels des données personnelles sont transmises. On observera que, contrairement à l’art. 13 RGPD, il n’est pas prévu de mentionner les droits que peuvent faire valoir les personnes concernées ou la durée de conservation des donées recueillies.

Si les données personnelles ne sont pas collectées auprès de la personne concernée, le responsable de traitement communique en outre les catégories de données traitées à cette personne (art. 19 al. 3 nLPD).

Lorsque des données personnelles sont communiquées à l’étranger, il communique également à la personne concernée le nom de l’État ou de l’organisme international auquel elles sont communiquées et, le cas échéant, les garanties prévues à l’art. 16, al. 2 (garanties en cas d’absence de décision d’adéquation), ou l’application d’une des exceptions prévues à l’art. 17 (dérogations) (art. 19 al. 4 nLPD).

Si les données personnelles ne sont pas collectées auprès de la personne concernée, il communique à cette personne les informations susmentionnées au plus tard un mois après qu’il a obtenu les données personnelles. S’il communique les données personnelles avant l’échéance de ce délai, il en informe la personne concernée au plus tard lors de la communication.

L’art. 20 nLPD règle les exceptions et restrictions au devoir d’informer.

Le responsable du traitement est délié du devoir d’information si l’une des conditions suivantes est remplie :  a. la personne concernée dispose déjà des informations correspondantes ; b. le traitement des données personnelles est prévu par la loi ; c. le responsable du traitement est une personne privée et il est lié par une obligation légale de garder le secret ; d. les conditions de l’art. 27 sont remplies [restrictions au droit d’accès applicables aux médias].Lorsque les données personnelles ne sont pas collectées auprès de la personne concernée, le devoir d’information ne s’applique pas non plus dans les cas suivants: a. l’information est impossible à donner; b. elle nécessite des efforts disproportionnés.

Le responsable du traitement peut également restreindre ou différer la communication des informations, ou y renoncer, si l’une des conditions suivantes est remplie: a. les intérêts prépondérants d’un tiers l’exigent; b. l’information empêche le traitement d’atteindre son but; c. lorsque le responsable du traitement est une personne privée et que ses intérêts prépondérants l’exigent et il ne communique pas les données à un tiers [les entreprises appartenant au même groupe ne sont pas considérées comme des tiers]; d. lorsque le responsable du traitement est un organe fédéral: si un intérêt public prépondérant, en particulier la sûreté intérieure ou extérieure de la Suisse, l’exige, ou si la communication des informations est susceptible de compromettre une enquête, une instruction ou une procédure judiciaire ou administrative. La limitation de l’information de l’art. 20 al. 3 nLPD entraîne une pesée d’intérêts et permet ou non, ensuite de cette pesée, de renoncer à informer, de restreindre l’information ou d’en différer la communication. Les hypothèses prévues sont exhaustives, et la disposition doit être interprétée restrictivement. En appliquant rigoureusement le principe de proportionnalité, on choisira en conséquence la solution la plus favorable à la personne concernée, en garantissant la transparence maximale du traitement au vu des circonstances.

Il existe par ailleurs un nouveau devoir d’informer en cas de décision individuelle automatisée (art. 21 nLPD).  Le responsable du traitement informe en effet la personne concernée de toute décision qui est prise exclusivement sur la base d’un traitement de données personnelles automatisé et qui a des effets juridiques pour elle ou l’affecte de manière significative (décision individuelle automatisée). Si la personne concernée le demande, le responsable du traitement lui donne la possibilité de faire valoir son point de vue. La personne concernée peut exiger que la décision individuelle automatisée soit revue par une personne physique. Font toutefois exception les situations où la décision individuelle automatisée est en relation directe avec la conclusion ou l’exécution d’un contrat entre le responsable du traitement et la personne concernée et la demande de cette dernière est satisfaite ou lorsque la personne concernée a expressément consenti à ce que la décision soit prise de manière automatisée.

Les art. 19-21 nOLPD ont été mis en œuvre aux art. 13 et ss  de l’Avant-projet d’ordonnance relative à la loi fédérale sur la protection des données (P – OLPD), en consultation jusqu’au 14 octobre 2021 https://www.admin.ch/gov/fr/accueil/documentation/communiques.msg-id-84103.html).

Ainsi, selon l’art. 13 P-OLPD, le responsable du traitement et le sous-traitant communiquent les informations sur la collecte de données personnelles de manière concise, compréhensible et facilement accessible. Lorsque l’information se fait en combinaison de pictogrammes, ceux-ci doivent êtres lisibles par machine s’ils sont présentés par voie électronique. Concernant les organes fédéraux, si la personne concernée n’est pas tenue de fournir des renseignements, l’organe fédéral qui collecte systématiquement des données personnelles notamment au moyen d’un questionnaire doit l’informer du caractère facultatif de sa réponse (art. 14 P-OLPD). Par ailleurs, le responsable du traitement et le sous-traitant indiquent au destinataire l’actualité, la fiabilité et l’exhaustivité des données personnelles qu’ils communiquent, dans la mesure où ces informations ne ressortent pas des données elles-mêmes ou des circonstances (art. 15 P-OLPD). Le responsable du traitement informera par ailleurs sans délai les destinataires auxquels il a communiqué des données personnelles de la rectification, de l’effacement ou de la destruction, ainsi que de la limitation du traitement des données personnelles, sauf si la notification est impossible ou implique des efforts disproportionnés (art. 16 P – OLPD).

La violation de l’obligation d’information est passible des sanctions de l’art. 60 al. 1 nLPD (amende de CHF 250’000.—au plus).

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

A propos Me Philippe Ehrenström

Ce blog présente certains thèmes juridiques en Suisse ainsi que des questions d'actualité. Il est rédigé par Me Philippe Ehrenström, avocat indépendant, LL.M. (Tax), Genève et Yverdon.
Cet article, publié dans nouvelle LPD, Protection des données, est tagué , , , , , . Ajoutez ce permalien à vos favoris.

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s