[Le droit suisse de la protection des données, c’est aussi du droit du travail !

En effet, outre le renvoi de l’art. 328 b CO, le droit de la protection des données s’applique à des degrés divers dans toutes les étapes de la gestion des ressources humaines, de l’engagement au contentieux en passant par la tenue du dossier personnel.

Or le droit suisse de la protection des données va connaître un bouleversement considérable au 2e semestre 2022 avec l’entrée en vigueur de la loi révisée sur la protection des données et de son ordonnance.

Contrairement à ce que l’on peut lire ici ou là, le nouveau droit de la protection des données va entraîner des adaptations substantielles des pratiques et des manières de faire, particulièrement pour les employeurs qui ne se sont pas adaptés au RGPD car ils n’avaient pas à le faire.

Je vais donc présenter sur ce blog quelques-unes des nouveautés à venir pendant le 2e semestre 2021.]

Le droit de la protection des données est constitué de très nombreuses normes de droit international, national ou cantonal.

La loi fédérale du 19 juin 1992 sur la protection des données (LPD ; RS 235.1) et sa nouvelle version applicable dès le 1er semestre 2022 constituent certes le cœur de la matière, mais il existe aussi quantité de dispositions spéciales dans à peu près tous les domaines du droit (banque, travail, assurances, etc.)

Il faut bien, cependant, faire des choix, ne serait-ce que pour respecter le cadre et le format de la présente publication. La LPD est le « navire amiral » de la protection des données en Suisse, elle en constitue sa grammaire, son vocabulaire, sa structure intellectuelle et logique, et rien ne serait compréhensible sans elle. Il est donc légitime de s’attarder sur ses buts, son champ d’application et sa mise en œuvre (nouveau droit), avec des contre-points du droit cantonal et du droit européen.

Concernant son but, la LPD vise à protéger la personnalité et les droits fondamentaux des personnes qui font l’objet d’un traitement de données (art. 1 LPD). L’art. 1 de la nouvelle loi fédérale du 25 septembre 2020 sur la protection des données, adoptée le 25 septembre 2020, et qui devrait renter en vigueur dans la 2e partie de 2022 (nLPD ; FF 2020 7397), parle de protéger la personnalité et les droits fondamentaux des personnes physiques dont les données personnelles font l’objet d’un traitement. On constate donc que le nouveau droit exclut les données des personnes morales de la protection, leur inclusion dans le droit de la protection des données actuel étant une particularité suisse qui posait certains problèmes pratiques en cas de transfert de données à l’étranger. Les personnes morales bénéficieront toutefois de la protection générale de leur personnalité garantie par les art. 28 ss CC.

Concernant le champ d’application personnel et matériel, la LPD régit le traitement de données concernant des personnes physiques et morales effectué par des personnes privées et des organes fédéraux (art. 2 al. 1 LPD). La notion de données personnelles est large (art. 4 nLPD) et inclut toutes les informations relatives à une personne identifiée ou identifiable, étant rappelé que les données personnelles des personnes morales seront exclues de la protection par la nLPD. Le « traitement » s’interprète également largement et recouvre toute opération relative à des données personnelles, indépendamment des moyens et procédés utilisés (art. 5 let. d nLPD).

La LPD ne s’applique pas aux données qu’une personne physique traite pour un usage exclusivement personnel et qu’elle ne communique pas à des tiers (art. 2 al. 2 let. a LPD ; art. 2 al. 2 let. a nLPD). Sont notamment considérés comme telles le contenu d’un agenda, les conversations au sein du cercle familial ou des amis, la correspondance privée et les notes que tout un chacun est amené à prendre dans l’exercice de sa profession à titre de pense-bête, du moment qu’il n’en fait qu’un usage personnel. La disposition d’exception de l’art. 2 al. 2 let. a LPD doit cependant être interprétée de manière très prudente et restrictive, le droit d’accès ne devant être limité que si cela est vraiment indispensable, et la personne qui traite les données ne doit en aucun cas y faire appel dans le but unique de contourner les prescriptions de la loi. [Arrêt du Tribunal fédéral 5C.15/2001 du 16 août 2001]. La LPD ne s’applique pas non plus aux délibérations des Chambres fédérales et des commissions parlementaires, aux procédures pendantes civiles, pénales, d’entraide judiciaire internationale ainsi que de droit public et de droit administratif, à l’exception des procédures administratives de première instance, aux registres publics relatifs aux rapports juridiques de droit privé et aux données personnelles traitées par le Comité international de la Croix-Rouge (art. 2 al. 2 LPD).

La nLPD étend l’exclusion aux traitements de données personnelles effectués par les bénéficiaires institutionnels au sens de l’art. 2 al. 1 de la loi du 22 juin 2007 sur l’Etat hôte (RS 192.12) qui jouissent de l’immunité de juridiction (art. 2 let. 2 let. c nLPD) – mais cela pouvait déjà se déduire des principes de droit international public applicables au droit des immunités. Le principe selon lequel le droit de procédure applicable devant les autorités et les tribunaux prime la LPD demeure (art. 2 al. 3 nLPD), et s’applique à toutes les lois de procédure fédérales, à l’exception des procédures administratives de première instance (i.e. celles qui aboutissement à une décision susceptible ensuite de recours).

Concernant le champ d’application géographique, l’art. 3 al. 1 nLPD prévoit que la loi s’applique aux états de fait qui déploient des effets en Suisse, même s’ils se sont produits à l’étranger. Le nouveau droit concrétise la jurisprudence actuelle : la LPD s’applique ainsi par exemple à des images prises en Suisse puis publiées sur un site à l’étranger où elles sont travaillées et d’où elles sont mises à disposition (ATF 138 II 346 Google Street View).

Comme exposé ci-dessus, la LPD s’applique au traitement de données effectué par des personnes privées ou des organes fédéraux (art. 2 al. 1 LPD ; 2 al. 1 nLPD). Elle ne s’applique dès lors pas aux traitements de données effectués par des administrations cantonales, régis par des lois cantonales spécifiques (sauf Jura et Neuchâtel où s’applique une convention intercantonale). Les différentes lois cantonales sont proches, pour ce qui est de leur contenu, de la LPD, avec quelques différences portant sur le champ d’application (administration, délégation de tâches publiques, etc.) et sur l’inclusion ou non de dispositions sur la transparence (information au public).

Il faut souligner que le droit européen de la protection des données peut aussi trouver application en Suisse. En effet, l’art. 3 du Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, dit règlement général sur la protection des données (RGPD) permet une application extraterritoriale de celui-ci. Cette disposition vise en effet deux hypothèses. Dans la 1ère (application territoriale), le responsable du traitement est dans l’UE (art. 3 (1) RGPD). Le traitement de données est effectué dans le cadre des activités d’un établissement sur le territoire de l’Union, que le traitement ait lieu ou non dans l’UE, et que les données concernent des résidents de l’UE ou d’ailleurs. La notion d’établissement s’interprète largement et ne dépend pas de la forme juridique choisie. Une activité réelle et effective même minime, au moyen d’un établissement stable suffit. La présence d’un seul représentant peut être considérée comme suffisante, ou la fourniture d’un soutien publicitaire lié à l’activité principale par exemple. Dans la 2e (application extraterritoriale), on applique le principe du lieu du marché (Marktort-Prinzip) : i. les données personnelles d’un résident de l’UE sont traitées en lien avec des biens et/ou des services qui lui sont proposés (offre de biens ou de services); ou ii. les comportements d’individus au sein de l’UE sont « suivis » (suivi de comportements). Pour ce qui est de l’offre de biens ou de services, l’accessibilité à un site web ne suffit pas, par exemple, il faut avoir la volonté de cibler effectivement des clients dans l’UE. Peuvent être des indices l’utilisation d’une langue ou d’une monnaie de l’UE, le fait de passer des commandes dans cette langue, le fait de faire référence à des clients et des utilisateurs dans l’UE et de leur destiner des offres spéciales, etc. Un service de commerce en ligne devrait ainsi être clairement orienté vers des destinataires et consommateurs dans l’UE pour relever de l’art. 3 (2) RGPD. Pour ce qui est du suivi d’un comportement qui a lieu au sein de l’UE, il faut procéder spécifiquement à un suivi de personnes afin de créer des profils. Il n’est par contre pas besoin de viser explicitement le marché de l’UE, contrairement à l’hypothèse de l’offre de biens ou de services dans l’UE. Le simple fait d’avoir un site informatique accessible depuis l’UE ne suffit donc pas.

On remarquera pour finir que la nLPD ne prévoit pas de « période de grâce » pour sa mise en œuvre ; elle sera donc pleinement applicable dès son entrée en vigueur, contrairement au mécanisme du RGPD qui prévoyait une période de deux ans entre sa mise en vigueur et son applicabilité (art. 99 RGPD). Cette absence apparaît regrettable eu égard à l’ampleur des adaptations et des mesures qui devront être mises en œuvre pour un nombre très important de responsables de traitement en Suisse (aurait-elle un lien avec la lenteur d’escargot du législateur pour débattre et adopter le nouveau droit ?) Par ailleurs, la nLPD n’aura pas d’effet rétroactif, ce qui entraîne par exemple qu’une information au sens de l’art. 19 nLPD ne sera pas exigible si les données ont été collectées avant l’entrée en vigueur de la nLPD et les buts et finalités du traitement demeurent inchangés.

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)