Former ses employés à la protection des données?

Publié le 24 novembre 2021 par Me Philippe Ehrenström
Photo de Sebastiaan Stam sur Pexels.com

L’art. 8 al. 1 nLPD de la nouvelle loi fédérale du 25 septembre 2020 sur la protection des données, adoptée le 25 septembre 2020, et qui devrait renter en vigueur fin 2022 (nLPD ; FF 2020 7397), prévoit que les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru. Selon l’al. 2, ces mesures doivent permettre d’éviter toute violation de la sécurité des données, i.e. selon l’art. 5 let. h nLPD toute violation de la sécurité intentionnelle ou non entraînant de manière accidentelle ou illicite la perte des données personnelles, leur modification, leur effacement ou leur destruction, leur divulgation ou un accès non autorisé à ces données. Enfin, l’al. 3 charge le Conseil fédéral de préciser les exigences minimales en matière de sécurité des données au niveau de l’ordonnance.

L’art. 8 al. 3 nLPD oblige donc le Conseil fédéral à définir des exigences minimales en matière de sécurité des données personnelles. Le projet de nouvelle ordonnance sur la protection des données (P-OLPD), rédigé sur cette base et soumis au processus de consultation jusqu’au 14 octobre 2021, est largement inspirée des art. 8 et ss LPD, tout en tenant aussi compte du RGPD, dans la mesure où la comptabilité entre ces deux ensembles de normes revêt une importance centrale pour le Conseil Fédéral. [Révision totale de l’ordonnance relative à la loi fédérale sur la protection des données, Rapport explicatif relatif à la procédure de consultation, Berne, 23 juin 2021, N 2.1]

La nLPD et le P-OLPD ne posent toutefois pas d’exigences minimales strictes en matière de sécurité des données qui s’appliqueraient uniformément à tous : une réglementation de cette sorte ne serait en effet guère pratique. Tout comme l’art. 8 al. 1 nLPD, qui évoque une sécurité adéquate des données personnelles par rapport au risque encouru, le P-OLPD suit lui aussi une approche fondée sur le risque. Il appartient en effet au responsable de traitement de déterminer les mesures à prendre en fonction du risque encouru concrètement. [Ibid.] En toute logique, les exigences de sécurité seraient ainsi plus élevées pour un hôpital qui traite régulièrement des données sensibles que pour une boulangerie ou une boucherie qui traite les données de ses clients ou de ses fournisseurs. [Révision totale de l’ordonnance relative à la loi fédérale sur la protection des données, Rapport explicatif relatif à la procédure de consultation, N 4.1.1]

Diverses mesures peuvent être prises pour assurer la sécurité des données, dont la formation des personnes chargées de la mise en œuvre des mesures. Le Conseil fédéral considère que cette mesure est importante car la mise en œuvre et l’efficacité de la sécurité des données dépend des personnes qui appliquent les mesures définies. Un manque de formation et une absence d’informations pourraient par exemple entraîner une violation de la sécurité des données si un collaborateur ouvrait un courriel contenant un logiciel malveillant. [Ibid.]

L’art. 61 let. c nLPD prévoit enfin que les personnes qui, intentionnellement, ne respectent pas les exigences minimales en matière de sécurité des données édictées par le Conseil fédéral sur la base de l’art. 8 al. 3 nLPD s’exposent à une amende pouvant aller jusqu’à CHF 250’000.— En cas de violation de sécurité commise par négligence, le Préposé fédéral à la protection des données et à la transparence (PFPDT) pourra ordonner des mesures administratives assorties de la menace d’une amende en cas d’insoumission pouvant aller jusqu’au même montant (art. 51 al. 1 et 3 let. b ; 63 nLPD).

Dans ce contexte, il est intéressant de consulter une décision de l’Information Commissioner’s Office (ICO) du 18 octobre 2021 qui fournit quelques indications sur le contenu des formations qui devraient être prodiguées et sur le moment où elles devraient l’être. [Information Commissioner’s Office, Monetary Penalty Notice du 18 octobre 2021 contre HIV Scotland, N 33 notamment, commenté plus largement par Pauline Meyer, Divulgation d’adresses électroniques : l’association HIV Scotland et la nécessité de sécuriser les courriels de masse, 17 novembre 2021 in www.swissprivacy.law/104]

La décision de l’ICO sanctionnait HIV Scotland en raison de l’envoi d’un mail à plusieurs personnes sans que les adresses emails des destinataires aient été masquées. Une adresse email concernant une personne identifiée ou indentifiable est une donnée personnelle au sens de l’art. 4 ch. 1 RGPD. Dans la mesure où, par ailleurs, le contenu de l’email mettait à jour la participation des destinataires à un groupe de soutien de personnes séropositives, des données sensibles pouvaient en être déduites, notamment concernant la santé (art. 4 ch. 15 RGPD). Même des adresses email ne contenant pas le nom ou le prénom du destinataire pouvaient être utilisées pour identifier les individus concernés, par exemple en les combinant avec d’autres éléments. [ICO Penalty Notice, N 34 et ss.]

On devait pouvoir attendre d’une organisation telle que HIV Scotland la mise en place de formations spécifiques à destination du personne sur le maniement et l’utilisation des données ainsi que sur la confidentialité, par opposition à un simple renvoi à une « Privacy Policiy » : « The Privacy Policy referenced by HIV Scotland provided no guidance to staff on the handling of personal data itself, for example, what they must do to ensure that it is kept secure. This is something which the Commissioner would expect from an organisation handling personal data, and would expect it to maintain policies regarding, amongst other things, confidentiality. » [ICO Penalty Notice, N 33 let. a]

De telles formations spécifiques sur le maniement et la confidentialité des données devaient être données aux employés avant qu’ils ne commencent à travailler sur les données, et au plus tard un mois après leur entrée en fonction : « The Commissioner considers it a weakness and a risk that the data protection course is expected to be completed when it should have been much sooner and certainly before an employee handled personal data. […] the Commissioner would expect an organisation to train employees handling personal data, and in particular data which is special category in nature or by inference before an individual is given access to such data. The Commissioner’s current guidance on this […] recommends that staff receive induction training prior to accessing personal data and within one month of their start date. » [ICO Penalty Notice, N 33 let. c]

Il est bien sûr difficile, bien que tentant, de transposer tels quels les considérants de l’ICO appliquant le RGPD. On devrait toutefois se souvenir que, pour le Conseil fédéral, les standards en matière de sécurité, qui comprennent les exigences de formation des employés, devraient être comparables en Suisse et dans l’Union européenne. On pourrait dès lors soutenir que, même si le régime des sanctions n’est évidemment pas le même, les exigences minimales en matière de formation posées par l’ICO pourraient constituer un outil dans l’interprétation et l’application de l’art. 8 nLPD dans un cas concret.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

A propos Me Philippe Ehrenström

Ce blog présente certains thèmes juridiques en Suisse ainsi que des questions d'actualité. Il est rédigé par Me Philippe Ehrenström, avocat indépendant, LL.M. (Tax), Genève et Yverdon.
Cet article, publié dans nouvelle LPD, Protection de la personnalité, Protection des données, RGPD, est tagué , , , . Ajoutez ce permalien à vos favoris.

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Gravatar
Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Annuler

Connexion à %s