[Le droit suisse de la protection des données, c’est aussi du droit du travail !

En effet, outre le renvoi de l’art. 328 b CO, le droit de la protection des données s’applique à des degrés divers dans toutes les étapes de la gestion des ressources humaines, de l’engagement au contentieux en passant par la tenue du dossier personnel.

Or le droit suisse de la protection des données va connaître un bouleversement considérable au 2e semestre 2022 avec l’entrée en vigueur de la loi révisée sur la protection des données et de son ordonnance.

Contrairement à ce que l’on peut lire ici ou là, le nouveau droit de la protection des données va entraîner des adaptations substantielles des pratiques et des manières de procéder, particulièrement pour les employeurs qui ne se sont pas adaptés au RGPD car ils n’avaient pas à le faire.

Je vais donc présenter sur ce blog quelques-unes des nouveautés à venir pendant le 2e semestre 2021.]

Selon l’art. 5 let. a de la nouvelle loi fédérale sur la protection des données, qui devrait entrer en vigueur dans le 2e semestre 2022 (FF 2020 7397), on entend par données personnelles toutes les informations concernant une personne physique identifiée ou identifiable.

La définition des données personnelles est modifiée par rapport au droit actuel dans la mesure où la nLPD ne s’applique plus aux personnes morales. Constituent ainsi des données personnelles toutes les informations qui se rapportent à une personne physique identifiée ou identifiable. Est réputée identifiable la personne physique qui peut être identifiée, directement ou indirectement, c’est-à-dire par corrélation d’informations tirées des circonstances ou du contexte (numéro d’identification, données de localisation, éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale). L’identification peut résulter d’un seul élément (numéro de téléphone, d’immeuble, numéro AVS, empreintes digitales) ou du recoupement de plusieurs informations (adresse, date de naissance et état civil). Une possibilité purement théorique qu’une personne soit identifiée n’est pas suffisante. Il convient de prendre en compte dans chaque cas d’espèce l’ensemble des moyens raisonnablement susceptibles d’être utilisés pour identifier la personne. Le caractère raisonnable des moyens en question doit être évalué au regard de l’ensemble des circonstances, telles que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de leur évolution. La loi ne s’applique pas aux données qui ont été anonymisées si une ré-identification par un tiers est impossible (les données ont été anonymisées complètement et définitivement) ou ne paraît possible qu’au prix d’efforts tels qu’aucun intéressé ne s’y attèlera. Cette dernière règle vaut aussi pour les données pseudonymisées.

La personne concernée (art. 5 let.b nLPD) est la personne physique dont les données personnelles font l’objet d’un traitement.

Les données personnelles sensibles (données sensibles – art. 5 let. c nLPD sont (i) les données sur les opinions ou les activités religieuses, philosophiques, politiques ou syndicales, (ii) les données sur la santé, la sphère intime ou l’origine raciale ou ethnique, (iii) les données génétiques, soit les informations relatives au patrimoine génétique d’une personne obtenues par une analyse génétique, y compris le profil d’ADN (art. 3 let. l, de la loi fédérale du 8 octobre 2014 sur l’analyse génétique humaine (LAGH ; RS 810.12)), (iv) les données biométriques identifiant une personne physique de manière univoque, soit les données personnelles résultant d’un traitement technique spécifique et relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique qui permettent ou confirment son identification unique (empreintes digitales,  images faciales, iris, voix etc.) ; ces données doivent impérativement résulter d’un traitement technique spécifique qui permet l’identification ou l’authentification unique d’un individu (contrairement à une simple photographie p.ex.), (v) les données sur des poursuites ou sanctions pénales et administratives, et (vi) les données sur des mesures d’aide sociale.

Est un traitement (art. 5 let. d nLPD) toute opération relative à des données personnelles, quels que soient les moyens et procédés utilisés, notamment la collecte, l’enregistrement, la conservation, l’utilisation, la modification, la communication, l’archivage, l’effacement ou la destruction de données; la liste des opérations entrant en ligne de compte n’est comme aujourd’hui pas exhaustive, les opérations de traitements pouvant prendre les formes les plus diverses (organisation, structuration, adaptation, extraction de données, etc.)

On relèvera que la nLPD renonce à la notion de « fichier » (art. 3 let. g de loi fédérale du 19 juin 1992 sur la protection des données (LPD ; RS 235.1) pour celle de « traitement ».  En effet, compte tenu des nouvelles technologies, les données peuvent aujourd’hui être exploitées comme un fichier, alors même qu’elles sont disséminées. Un exemple parlant est le profilage, pendant lequel on va chercher des données dans différentes sources, non constitutives de fichiers, afin d’évaluer certaines caractéristiques d’une personne. Selon l’aLPD, ces activités échappaient aux dispositions de la loi impliquant la présence d’un fichier, comme le droit d’accès (art. 8 LPD) ou le devoir d’information (art. 14 LPD), alors que ce sont justement les situations de ce type qui nécessitent une plus grande transparence.

Est une communication (art. 5 let. e nLPD)  le fait de transmettre des données personnelles ou de les rendre accessibles.

Le profilage (art. 5 let. f nLPD)  est toute forme de traitement automatisé de données personnelles consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique. La notion remplace celle de «profil de la personnalité» telle qu’elle est définie à l’art. 3 let. d LPD. Le profil de la personnalité est le résultat d’un traitement et traduit ainsi quelque chose de statique. A l’inverse, le profilage désigne une forme particulière de traitement, et constitue donc un processus dynamique. Ce dernier est par ailleurs toujours orienté vers une finalité particulière. Il est défini comme l’évaluation de certaines caractéristiques d’une personne sur la base de données personnelles traitées de manière automatisée, afin notamment d’analyser ou de prédire son rendement au travail, sa situation économique, sa localisation, sa santé, son comportement, ses préférences ou ses déplacements. L’analyse de ces caractéristiques peut par exemple avoir pour but de déterminer si une personne est indiquée pour une certaine activité. Autrement dit, le profilage se caractérise par le fait qu’on procède à une évaluation automatisée de données personnelles afin de pouvoir évaluer, d’une manière également automatisée, les caractéristiques de la personne. Les données issues d’un profilage sont en principe des données personnelles, qui, selon les circonstances, peuvent aussi constituer des données sensibles.

Le profilage à risque élevé (art. 5 let. g nLPD) est  tout profilage entraînant un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, parce qu’il  conduit à un appariement de données qui permet d’apprécier les caractéristiques essentielles de la personnalité d’une personne physique.

Est une violation de la sécurité des données (art. 5 let. h nLPD) toute violation de la sécurité entraînant de manière accidentelle ou illicite la perte de données personnelles, leur modification, leur effacement ou leur destruction, leur divulgation ou un accès non autorisés à ces données, et ce indépendamment de la question de savoir si la violation est intentionnelle ou non licite ou illicite. Par ailleurs les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données. Ce qui compte, c’est que l’événement en question ait eu lieu. Peu importe que la divulgation ou un accès non autorisés se soient effectivement produits ou aient simplement été rendus possibles. En effet, lorsqu’un support de données a été perdu, il est souvent difficile de prouver que les données qu’il contenait ont été vues ou utilisées par des personnes non autorisées. C’est pourquoi la perte de cet objet constitue en elle-même une violation de la sécurité des données. Ce sont plutôt l’ampleur et la signification d’une telle violation qui sont déterminantes pour les mesures à prendre, en particulier pour l’estimation du risque.

Est un organe fédéral (art. 5 let. i nLPD) l’autorité fédérale, le service fédéral ou la personne chargée d’une tâche publique de la Confédération.

Le responsable du traitement (art. 5 let. j nLPD) est la personne privée ou l’organe fédéral qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données personnelles. Cette notion remplace celle de « maître du fichier » de l’art. 3 let. i LPD. Dit autrement, c’est la personne qui détermine les paramètres essentiels du traitement des donnes et sa finalité, et qui en assume donc la responsabilité. Il peut s’agir de responsables conjoints (cas de figure que le RGPD mentionne explicitement à l’art. 4 ch. 7).

Le sous-traitant (art. 5 let. k nLPD)  est la personne privée ou l’organe fédéral qui traite des données personnelles pour le compte du responsable du traitement. Le traitement est donc effectué conformément à des instructions données définissant les paramètres essentiels du traitement. Le contrat liant le responsable du traitement et le sous-traitant peut être de nature diverse. Il peut s’agir d’un mandat (art. 394 ss CO), d’un contrat d’entreprise (art. 363 ss CO) voire d’un contrat mixte selon les obligations du sous-traitant. Le sous-traitant cesse d’être un tiers à compter du moment où il débute ses activités contractuelles pour le compte du responsable du traitement. La délimitation entre responsable de traitement et sous-traitant peut s’avérer problématique. On s’inspirera notamment sur ce point de : European Data Protection Board (EDPB), Guidelines 07/2020 on the concepts of controller and processor in the GDPR, version 1.0, 2 septembre 2020. L’art. 9 nLPD définit plus précisément les conditions et obligations du rapport de sous-traitance, dont la violation peut entraîner une sanction pénale (amende jusqu’à CHF 250’000.—cf. 61 let. b nLPD).

Le consentement ne fait pas partie des définitions de l’art. 5 nLPD, l’art 6 al. 6 et al. 7 se contentant d’énoncer que la personne concernée ne consent valablement que si elle exprime librement sa volonté concernant un ou plusieurs traitements déterminés et après avoir été dûment informée, certaines hypothèses requérant par ailleurs un consentement « exprès ». Le législateur n’a ainsi pas voulu donner de définition du consentement spécifique au droit de la protection des données.

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)