[Le droit suisse de la protection des données, c’est aussi du droit du travail !
En effet, outre le renvoi de l’art. 328 b CO, le droit de la protection des données s’applique à des degrés divers dans toutes les étapes de la gestion des ressources humaines, de l’engagement au contentieux en passant par la tenue du dossier personnel.
Or le droit suisse de la protection des données va connaître un bouleversement considérable au 2e semestre 2022 avec l’entrée en vigueur de la loi révisée sur la protection des données et de son ordonnance.
Contrairement à ce que l’on peut lire ici ou là, le nouveau droit de la protection des données va entraîner des adaptations substantielles des pratiques et des manières de faire, particulièrement pour les employeurs qui ne se sont pas adaptés au RGPD car ils n’avaient pas à le faire.
Je vais donc présenter sur ce blog quelques-unes des nouveautés à venir pendant le 2e semestre 2021.]
Le droit suisse de la protection des données obéit à de grands principes généraux figurant essentiellement aux art. 4 à 7, 14 et 18a de la loi fédérale sur la protection des données (LPD ; RS 235.1) et 6 de la nouvelle loi fédérale sur la protection des données, qui devrait entrer en vigueur dans le 2e semestre 2022 (FF 2020 7397). Le cœur de la matière en est l’art. 4 LPD, qui s’applique tant au traitement de données effectué par des personnes privées que par des organes fédéraux.
Exprimés en termes très généraux, les principes ont d’abord une valeur didactique. Leur inscription spécifique dans la LPD pouvait en effet faire débat, dans la mesure où certains (licéité, bonne foi, proportionnalité) sont de toute façon applicables de manière générale dans tous les domaines du droit. Ils vont néanmoins servir à concrétiser la protection constitutionnelle de la personnalité dans le domaine spécifique de la protection des données (art. 13 al. 2 Cst). Ils guideront (enfin espérons-le) le législateur lorsqu’il édictera des prescriptions et serviront d’aide à l’interprétation. Les principes s’appliqueront dans chaque traitement individuel de données, mais aussi à toute politique globale de traitement mise en œuvre, et, en fait, à toutes les étapes du traitement de données. La violation des principes amènera enfin à retenir généralement une atteinte illicite à la personnalité de la personne concernée (art. 12 al. 2 let. a et 13 LPD ; 30 et 31 nLPD), sous réserve d’éventuels motifs justificatifs.
Le premier principe est de celui de licéité : tout traitement de données doit être licite (art. 4 al. 1 LPD ; 6 al. 1 nLPD). Un traitement de données est illicite uniquement si des données sont traitées dans une finalité contraire à une disposition impérative visant la protection de la personnalité des personnes concernées [cf. arrêt du TAF A-3548/2018 du 19 mars 2019 « Helsana » concernant une violation des dispositions sur l’assurance maladie]. Dit autrement, sont illicites les traitements de données qui contreviennent à une norme impérative hors du cadre de la LPD et qui protège directement ou indirectement la personnalité. On pensera par exemple aux dispositions pénales protégeant la personnalité ou les systèmes d’information, aux art. 28 et ss CO, aux violations de secrets protégés (art. 320 et 321 CP, art. 47 LB), etc. Pour les organes fédéraux, il convient de rappeler l’exigence de la base légale à tout traitement de données, base légale qui doit être formelle s’il s’agit de données sensibles, de profilage ou de risque d’atteinte grave aux droits fondamentaux de la personne concernée (art. 34 al. 2 et 3 nLPD ; comparer avec l’art. 17 LPD).
Le second principe est que le traitement de données doit être effectué conformément aux principes de la bonne foi (art. 4 al. 2 LPD ; 6 al. 2 nLPD). C’est un principe d’application générale dans l’ordre juridique suisse (art. 2 CC). On retiendra ainsi que le traitement doit répondre à un intérêt raisonnable, qu’il doit poursuivre un but déterminé et qu’il doit se faire conformément aux assurances données à cette fin. Dit autrement, aucune donnée ne devrait être traitée à l’insu de la personne concernée ou contre sa volonté. Une entreprise qui s’engagerait à détruire des dossiers de candidature, et qui ne le ferait pas en fin de processus, violerait ainsi le principe de la bonne foi, alors qu’en l’absence d’engagements explicite sur cette question la conservation des données après le terme du processus violerait alors le principe de proportionnalité. De la même manière une entreprise qui indiquerait que tous les champs d’un formulaire en ligne seraient obligatoires, alors que certaines ne sont pas nécessaires pour le traitement, violerait le principe de la bonne foi. Celui-ci peut aussi fonder un devoir positif d’information de tiers en cas de défaillances de sécurité ou de rectification de données [la nouvelle LPD prévoit d’ailleurs ici explicitement un devoir d’information en cas de data breach : art. 24 nLPD].
Le troisième principe est celui de la proportionnalité (art. 4 al. 2 LPD ; art. 6 al. 2 nLPD). Les sous-principes en rapport sont ceux de l’aptitude ou de l’adéquation (le moyen est apte à atteindre le but visé), de la nécessité (entre plusieurs moyens, on choisit celui qui porte l’atteinte la moins grave aux intérêts en cause) et de la proportionnalité au sens étroit (mise en balance des effets du moyen choisi sur la situation de la personne concernée avec le résultat escompté en fonction du but visé). Le maître du fichier ne peut donc traiter que les données qui sont objectivement nécessaires pour atteindre le but poursuivi, qui sont aptes à l’atteindre et pour autant que le traitement demeure dans un rapport raisonnable entre le but recherché et les moyens utilisés, tout en préservant le plus possible le droit des personnes concernées. En droit du travail, l’art. 328b CO, qui prévoit que l’employeur ne peut traiter des données que dans la mesure où elles portent sur les aptitudes du travailleur à remplir son emploi ou sont nécessaires à l’exécution du contrat de travail, est une expression du principe de proportionnalité « matérielle », laquelle s’applique notamment à l’étendue des données récoltées, traitées et/ou conservées.
Les principes de Datenvermeidung (évitement des données) et de Datensparsamkeit (minimisation ou économicité des données) découlent du principe de proportionnalité. Ils doivent être observés lors de la conception de tout système ou traitement : si le but peut être atteint sans collecte ou enregistrement de données nouvelles, alors il ne faut pas y procéder ; par ailleurs si la collecte, le traitement ou d’autres formes de traitement sont nécessaires, ils doivent porter sur le nombre et le type de données strictement nécessaires au but légitime poursuivi.
Dans un arrêt 1C_273/2020 du 05 janvier 2021, destiné à la publication, le Tribunal fédéral avait eu à connaître de l’installation de compteurs de consommation d’eau « intelligents » introduits dans une commune argovienne ensuite de la modification du règlement communal. Il avait ainsi retenu que ce compteur était peut-être justement un peu trop « intelligent ». Les données de consommation d’eau étaient bien des données personnelles au sens de l’art. 3 let. a LPD, et leur traitement à des fins de facturation était conforme au droit à l’autodétermination informationnelle (art. 13 al. 2 Cst.) Cela étant dit, leur collecte, leur conservation pendant 252 jours sur un compteur et leur émission par radio toutes les 30 ou 45 secondes sans but défini étaient contraires aux principes de l’évitement et de la minimisation de données et constituaient par conséquent une atteinte disproportionnée au droit constitutionnel précité. [commenté par Kastriot Lubishtani, Compteurs d’eau intelligents et principes de l’évitement et de la minimisation des données, 15 février 2021 in www.swissprivacy.law/56]
Le principe de proportionnalité s’applique à tous les étages et à toutes les opérations de traitement. Ainsi et par exemple, un employeur qui conserverait des données au-delà de ce qui est nécessaire au sens de l’art. 328b CO violerait ce principe. L’art. 6 al. 4 nLPD prévoit explicitement que les données sont détruites ou anonymisées dès qu’elles ne sont plus nécessaires au regard de la finalité du traitement, mais cela découlait de la simple application du principe de proportionnalité dans le droit actuel. Le responsable de traitement devra donc demain, comme aujourd’hui, fixer des délais de conservation.
Le quatrième principe est le principe de reconnaissabilité (aussi appelé principe de transparence) lequel prévoit que la collecte de données personnelles, et en particulier les finalités du traitement, doit être reconnaissable pour la personne concernée (reconnaissabilité – art. 4 al. 4 LPD ; 6 al. 3 nLPD). Ce sera le cas si l’on informe spécifiquement la personne concernée, si le traitement résulte de la loi ou lorsqu’il ressort clairement des circonstances. Un questionnaire directement lié à un tirage au sort rend la collecte des données et leur traitement reconnaissables, ce qui ne sera pas le cas si, dans un deuxième temps, les données sont utilisées à des fins de marketing. La portée du principe sera toutefois limitée dans le nouveau droit dans la mesure où l’art. 19 nLPD a introduit un devoir d’information systématique pour le responsable de traitement privé.
Le maître du fichier a par ailleurs l’obligation d’informer la personne concernée de toute collecte de données sensibles ou de profils de la personnalité la concernant, que la collecte soit effectuée directement auprès d’elle ou auprès d’un tiers (devoir d’information active – art 14 LPD). La personne concernée doit au moins recevoir les informations suivantes : identité du maître du fichier, finalité du traitement, catégories de destinataires des données si leur communication est envisagée. Si les données ne sont pas collectées auprès de la personne concernée, celle-ci doit être informée au plus tard lors de leur enregistrement ou, en l’absence d’enregistrement, lors de la 1ère communication à un tiers. Le maître du fichier est délié de son devoir d’information si la personne concernée a déjà été informée, ou si l’enregistrement ou la communication sont expressément prévus par la loi, ou encore si le devoir d’information est impossible à respecter ou nécessite des efforts disproportionnés. Il existe aussi un devoir d’informer pour les organes fédéraux (art. 18a LPD).
Le devoir d’information va être considérablement étendu par les art. 19 et ss nLPD dès le 2e semestre 2022 [sur cette question : https://droitdutravailensuisse.com/2021/07/22/protection-des-donnees-et-devoir-dinformation/]
Cinquième principe, le principe de finalité, selon lequel les données collectées ne doivent être traitées que dans le but qui est indiqué lors de leur collecte, qui est prévu par la loi ou qui ressort des circonstances (Zweckbindung : art. 4 al. 3 LPD ; 6 al. 3 nLPD). Il s’agit ici d’un principe spécifique au droit de la protection des données. Il existe en effet un risque important que des données récoltées dans un but déterminé reconnaissable ou ayant fait l’objet d’une information spécifique soient détournées et utilisées à d’autres fins, vendues, etc. On attend dès lors de celui qui traite les données de le faire dans un but préalablement défini, antérieurement au début de la récolte des données, et reconnaissable. Il est exclu de recueillir des données « au cas où » ou dans la perspective qu’elles puissent servir un jour. Le but initial ne doit pas non plus être modifié ou remplacé dans un deuxième temps, sauf motifs justificatifs (au premier rang desquels le consentement au changement de but ou une disposition légale particulière). Si l’on communique des données à des tiers, ceux-ci sont aussi liés par le principe de finalité. L’art. 6 al. 3 nLPD ajoute qu’un traitement ultérieur des données doit être « compatible » avec les finalités initiales, ce qui élargit un peu le cadre de l’art. 4 al. 3 LPD. Cela implique, par exemple, que si l’on veut traiter les données à d’autres fins, il faudra obtenir le consentement de la personne concernée.
Le principe d’exactitude est le sixième principe applicable. Celui qui traite des données personnelles doit s’assurer qu’elles sont correctes. Il prend toutes les mesures appropriées permettant d’effacer ou de rectifier les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées (art. 5 al. 1 LPD). Toute personne concernée peut requérir la rectification des données inexactes (art. 5 al. 2 LPD). La matière est réglée à l’art. 6 al. 5 nLPD dans le nouveau droit.
Le principe d’exactitude est respecté lorsque les données reflètent de manière correcte, actuelle et objective les faits et circonstances relatifs à la personne concernée. Une donnée juste à un moment X peut ne plus l’être par la suite. De la même manière, il s’agira de faits, et non de jugements de valeur ou d’appréciation.
Le maître du fichier devra mettre les données jour et les compléter dans la mesure où les circonstances le requièrent, et ce au regard des finalités du traitement et du type des données traitées ou collectées. Un employeur, par exemple, devra régulièrement s’assurer que les données du dossier personnel sont à jour, qu’elles puissent être actualisée et obliger les employés à communiquer toute information pertinente (changement d’adresse, d’état civil, etc.)
Une donnée inexacte ne devra par contre pas être systématiquement corrigée. Le responsable de traitement devra certes tenir compte des modifications dont il a connaissance, mais il n’a pas un devoir de contrôle permanent, sauf obligations légales particulières (pensons aux contraintes de l’employeur en matière d’impôt à la source ou d’assurances sociales par exemple.) La donnée devra par contre être corrigée si elle porte atteinte à la personnalité ou si la personne concernée le demande, et on peut attendre du responsable de traitement qu’il procède au moins par sondage pour s’assurer de l’exactitude des données qu’il traite (cf. arrêt du Tribunal administratif fédéral A-4232/2015 du 18 avril 2017 consid. 7.3.2 concernant une agence de rating).
Septième principe, le principe de sécurité (Datensicherheit) : les données personnelles doivent être protégées contre tout traitement non autorisé par des mesures organisationnelles et techniques appropriées (art. 7 al. 1 LPD ; 8 et ss. et 20 et ss OLPD). On renverra ici aux développements ci-après qui traite la matière de façon plus exhaustive : https://droitdutravailensuisse.com/2021/07/04/protection-des-donnees-et-securite-des-donnees-regime-actuel-regime-futur/).
Le consentement, que le législateur a fait figurer dans l’art. 4 al. 5 LPD, est moins un principe qu’un fait justificatif en cas de traitement illicite. Il sera renvoyé à ces notions.
La nLPD introduit deux principes complémentaires – la protection des données dès la conception et par défaut. Selon le premier, le responsable du traitement doit prendre, dès la conception du traitement, des mesures techniques et organisationnelles appropriées afin que le traitement respecte les principes relatifs à la protection des données et offre les garanties nécessaires afin de protéger les droits de la personne concernée (art. 25 RGPD, 7 nLPD). L’obligation doit être proportionnée. Les mesures prises devront être aptes et efficaces. L’approche sera basée sur la gestion du risque : on prendra en compte l’effort requis par les mesures, les moyens disponibles et les risques posés par le traitement pour les personnes concernées. Les mesures devront aussi être mises à jour. Le second, oblige le responsable du traitement à régler les paramètres par défaut sur le mode le plus protecteur de la sphère privée, l’utilisateur étant libre de les modifier. Dit autrement, le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données personnelles qu sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées [pour de plus amples développements : https://droitdutravailensuisse.com/2021/07/06/protection-des-donnees-des-la-conception-et-par-defaut/].
On peut aussi considérer que les deux principes posés à l’art. 30 al. 2 let. b et c constituent aussi des principes de traitement, quand bien même ils constituent et explicitent des atteintes à la personnalité. Le premier est que les données sensibles ne peuvent être communiquées à des tiers (art. 30 al. 2 let, c nLPD). Le tiers désigne ici des responsables indépendants de traitement, i.e. des personnes qui ne sont pas des sous-traitants ou des responsables conjoints du traitement dans le cadre d’un traitement commun de données. Le second est que des données personnelles ne peuvent être traitées contre la manifestation expresse de volonté de la personne concernée (opt-out : art. 30 al. 2 let. b nLPD).
Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)
Le droit du travail et de la protection des données en Suisse 