Travail, protection des données et IA

Le droit à la portabilité des données

Publié le 16 juillet 2021 par Me Philippe Ehrenström

[Le droit suisse de la protection des données, c’est aussi du droit du travail !

En effet, outre le renvoi de l’art. 328 b CO, le droit de la protection des données s’applique à des degrés divers dans toutes les étapes de la gestion des ressources humaines, de l’engagement au contentieux en passant par la tenue du dossier personnel.

Or le droit suisse de la protection des données va connaître un bouleversement considérable au 2e semestre 2022 avec l’entrée en vigueur de la loi révisée sur la protection des données et de son ordonnance.

Contrairement à ce que l’on peut lire ici ou là, le nouveau droit de la protection des données va entraîner des adaptations substantielles des pratiques et des manières de faire, particulièrement pour les employeurs qui ne se sont pas adaptés au RGPD car ils n’avaient pas à le faire.

Je vais donc présenter sur ce blog quelques-unes des nouveautés à venir pendant le 2e semestre 2021.]

Le droit à la portabilité des données, reconnu par l’art. 20 RGPD, est introduit en droit suisse par les art. 28 et 29 de la nouvelle loi fédérale du 25 septembre 2020 sur la protection des données, adoptée le 25 septembre 2020, et qui devrait renter en vigueur dans la 2e partie de 2022 (nLPD ; FF 2020 7397).

Relevons déjà que la portabilité apparaît être un corps étranger dans le droit de la protection des données, et relever plutôt de celui de la protection des consommateurs. En effet, le droit à la portabilité vise à garantir au consommateur le pouvoir de disposer des données qu’il a fournies à un prestataire de services afin qu’elles puissent être facilement utilisées ailleurs, avec un autre prestataire par exemple.

A teneur de l’art. 28 al. 1 nLPD (« Droit à la remise ou à la transmission des données personnelles »), la personne concernée peut demander au responsable du traitement qu’il lui remette sous un format électronique couramment utilisé les données personnelles la concernant qu’elle lui a communiquées lorsque les conditions suivantes sont réunies: a. le responsable du traitement traite les données personnelles de manière automatisée; b. les données personnelles sont traitées avec le consentement de la personne concernée ou en relation directe avec la conclusion ou l’exécution d’un contrat entre elle et le responsable du traitement.

Les conditions posées apparaissent curieuses, et résulter d’un copier/coller mal pensé du droit européen. En effet, le consentement ou la nécessité contractuelle sont des faits justificatifs au traitement selon l’art. 6 par. 1 let. a et b RGPD, alors que le consentement n’est, en droit suisse, requis que s’il y a atteinte à la personnalité. Le législateur a-t-il voulu exclure la portabilité quand le traitement n’est pas en lien avec un contrat mais respecte les principes de l’art. 6 nLPD (ce qui entraîne que le consentement n’est pas nécessaire), et l’admettre lorsque le traitement viole l’art. 6 nLPD et nécessite un consentement ? C’est peu cohérent [Sylvain Métille, Le traitement des données personnelles sous l’angle de la (nouvelle) loi fédérale sur la protection des données su 25 septembre 2020, SJ 2021 II 1 et ss, 32]. Le responsable de traitement aura ainsi probablement intérêt à interpréter l’art. 28 al. 1 nLPD plus largement que sa lettre.

Selon l’art. 28 al. 2 nLPD, la personne concernée peut en outre demander au responsable du traitement qu’il transmette les données personnelles la concernant à un autre responsable du traitement, pour autant que les conditions de l’al. 1 soient remplies et que cela n’exige pas des efforts disproportionnés.

Le responsable du traitement remet ou transmet gratuitement les données personnelles. Le Conseil fédéral peut prévoir des exceptions, notamment si la remise ou la transmission des données personnelles exige des efforts disproportionnés (art. 28 al. 3 nLPD). Cela pourra être le cas, par exemple, s’agissant de données de communication, lorsqu’un tri complexe entre les propres propos et ceux de tiers est nécessaire [Nouvelle loi fédérale sur la protection des données : le point de vue du PFPDT, Berne, 9 février 2021, p. 7]

Selon l’art. 29 al. 1 nLPD, le responsable du traitement peut refuser, restreindre ou différer la remise ou la transmission de données personnelles pour les mêmes motifs que ceux prévus pour le droit d’accès. L’art. 26 al. 1 nLPD prévoit à cet égard que le responsable du traitement peut refuser, restreindre ou différer la communication des renseignements dans les cas suivants: a. une loi au sens formel le prévoit, notamment pour protéger un secret professionnel; b. les intérêts prépondérants d’un tiers l’exigent; c. la demande d’accès est manifestement infondée notamment parce qu’elle poursuit un but contraire à la protection des données ou est manifestement procédurière. Selon l’art. 26 al. 2 nLPD, il est au surplus possible de refuser, de restreindre ou de différer la communication des renseignements lorsque le responsable du traitement est une personne privée et que les conditions suivantes sont remplies: 1. ses intérêts prépondérants l’exigent, 2. il ne communique pas les données à un tiers. Selon l’art. 29 al. 2 nLPD, le responsable du traitement indique le motif pour lequel il refuse, restreint ou diffère la remise ou la transmission des données personnelles

Concernant les modalités d’exercice du droit à la portabilité, certaines dispositions relatives au droit d’accès s’appliquent par analogie [Avant projet d’ordonnance relative à la loi fédérale sur la protection des données (OLPD), en consultation jusqu’au 14 octobre 2021, art. 20-24 [https://www.admin.ch/gov/fr/accueil/documentation/communiques.msg-id-84103.html] ; voir aussi Révision totale de l’ordonnance relative à la loi fédérale sur la protection des données Rapport explicatif relatif à la procédure de consultation, 23 juin 2021, p. 36]. La demande devra ainsi faite par écrit, mais pourra l’être oralement moyennant l’accord du responsable du traitement. Le responsable du traitement prendra les mesures adéquates pour assurer l’identification de la personne concernée et pour protéger les données de celle-ci de tout accès de tiers non autorisé lors de la communication des renseignements. La personne concernée est tenue de collaborer à son identification. Le responsable du traitement documentera le motif pour lequel il refuse, restreint ou diffère la communication des informations. La documentation sera conservée pendant au moins trois ans.

Lorsqu’il existe plusieurs responsables pour le traitement des données personnelles, la personne concernée pourra demander la portabilité auprès de chacun d’eux. Si l’un des responsables du traitement n’est pas compétent pour traiter la demande, il la transmettra au responsable du traitement compétent. Si la demande de renseignement porte sur des données traitées par un sous-traitant, le responsable du traitement transmettra la demande au sous-traitant s’il n’est pas en mesure de fournir les renseignements lui-même.

Le responsable de traitement devra s’exécuter dans les 30 jours, ou répondre dans le même délai s’il entend refuser, restreindre ou différer la portabilité. Le délai peut être prolongé après information du responsable de traitement et indication du nouveau délai.

La gratuité reste le principe, mais une participation aux frais d’un montant de CHF 300.—maximum peut être demandée en cas d’efforts disproportionnés. La personne concernée est préalablement informée du montant et peut retirer sa requête dans les dix jours.

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans nouvelle LPD, Protection de la personnalité, Protection des données, RGPD | Tagué 20 RGPD, nouvelle LPD, portabilité, protection de la personnalité, protection des données, RGPD | Laisser un commentaire

L’analyse d’impact relative à la protection des données

Publié le 14 juillet 2021 par Me Philippe Ehrenström

[Le droit suisse de la protection des données, c’est aussi du droit du travail !

Je vais donc présenter sur ce blog quelques-unes des nouveautés à venir pendant le 2e semestre 2021.]

L’art. 22 de la nouvelle loi fédérale du 25 septembre 2020 sur la protection des données, adoptée le 25 septembre 2020, et qui devrait renter en vigueur dans la 2e partie de 2022 (nLPD ; FF 2020 7397), introduit dans notre droit l’analyse d’impact relative à la protection des données personnelles [ci-après AIPD] (en droit européen : art. 35 RGPD).

L’AIPD, sous la forme d’une auto-évaluation, est un instrument préventif, un outil de compliance pour valider et justifier les traitements de données plus sensibles du point de vue du respect de la protection des données.

A teneur de l’art. 22 al. 1 nLPD, lorsque le traitement de données envisagé est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, le responsable du traitement procède au préalable à une analyse d’impact relative à la protection des données personnelles. S’il envisage d’effectuer plusieurs opérations de traitement semblables, il peut établir une analyse d’impact commune.

L’existence d’un risque élevé, en particulier lors du recours à de nouvelles technologies, dépend de la nature, de l’étendue, des circonstances et de la finalité du traitement. Un tel risque existe notamment dans les cas suivants: a. traitement de données sensibles à grande échelle; b. surveillance systématique de grandes parties du domaine public.

La notion de risque élevé est à la fois complexe et floue. Le risque est la combinaison de sa probabilité d’occurrence et de la gravité du dommage en résultant. Ainsi, si la première est probable ou très probable, et la seconde importante à grande, alors il y aura vraisemblablement un « risque élevé » pour la personnalité et les droits fondamentaux de la personne concernée. [Sylvain Métille, Le traitement de données personnelles sous l’angle de la (nouvelle) loi fédérale sur la protection des données du 25 septembre 2020, SJ 2021 II 1 et ss, 23 ; David Rosenthal, La nouvelle loi sur la protection des données, in : Jusletter 16 novembre 2020 N 153 ; Livio di tria, L’analyse d’impact relative à la protection des données (AIPD) en droit européen et suisse, sic ! 3/2020, pp. 119 et ss., 123-124].

L’analyse d’impact contient une description du traitement envisagé, une évaluation des risques pour la personnalité ou les droits fondamentaux de la personne concernée, ainsi que les mesures prévues pour protéger sa personnalité et ses droits fondamentaux (art. 22 al. 3 nLFD). La loi ne contient pas méthodologie particulière. Il conviendra de s’inspirer de ce qui est conseillé par les autorités de contrôle européennes [voir les critères contenus dans ARTICLE 29 DATA PROTECTION WORKING PARTY, Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679, 4 octobre 2017 ; file:///C:/Users/phe48/Downloads/20171013_wp248_rev_01_en_D7D5A266-FAE9-3CA1-65B7371E82EE1891_47711.pdf; de la même manière, selon l’art. 35 al. 4 RGPD, les autorités de contrôle sont tenues d’établir et de publier des listes « positives » de types d’opération pour lesquels une AIPD est requise].

Le responsable du traitement privé est délié de son obligation d’établir une analyse d’impact s’il est tenu d’effectuer le traitement en vertu d’une obligation légale.

Le responsable du traitement privé peut renoncer à établir une analyse d’impact lorsqu’il recourt à un système, un produit ou un service certifié conformément à l’art. 13 nLPD pour l’utilisation prévue ou qu’il respecte un code de conduite au sens de l’art. 11 nLPD remplissant les conditions suivantes: a. il repose sur une analyse d’impact relative à la protection des données personnelles; b. il prévoit des mesures pour protéger la personnalité et les droits fondamentaux de la personne concernée; c. il a été soumis au Préposé fédéral à la protection des données et à la transparence (PFPDT).

L’art. 23 nLPD règle les cas où le responsable de traitement doit consulter au préalable le PFPDT.

Le responsable du traitement consulte ainsi le PFPDT préalablement au traitement lorsque l’analyse d’impact relative à la protection des données révèle que, malgré les mesures prévues par le responsable du traitement, le traitement envisagé présente encore un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée (art. 23 al. 1 nLPD).

Le PFPDT communique au responsable du traitement ses objections concernant le traitement envisagé dans un délai de deux mois, délai qui peut encore être prolongé mois lorsqu’il s’agit d’un traitement de données complexe (art. 23 al. 2 nLPD). Si le PFPDT a des objections concernant le traitement envisagé, il propose au responsable du traitement des mesures appropriées (art. 23 al. 3 nLPD).

Le responsable du traitement privé peut renoncer à consulter le PFPDT s’il a consulté son conseiller à la protection des données (art. 23 al. 4 nLPD).

Concernant la forme et la conservation de l’AIPD, l’art. 18 de l’avant projet d’Ordonnance relative à la loi fédérale sur la protection des données, mis en consultation jusqu’au 14 octobre 2021 (nOLPD) [https://www.admin.ch/gov/fr/accueil/documentation/communiques.msg-id-84103.html] prévoit que le responsable du traitement consigne par écrit l’analyse d’impact relative à la protection des données personnelles ; l’AIPD est conservée pendant deux ans après la fin du traitement des données.

Le rapport explicatif au nouveau projet d’ordonnance précise que la forme écrite comprend à la fois les documents papiers et ceux sous forme électronique. Elle est particulièrement importante pour prouver qu’une analyse d’impact a bien été faite. Par ailleurs, si l’analyse d’impact relative à la protection des données doit être conservée après que le traitement des données ait eu lieu, c’est parce qu’elle constitue un instrument central de la législation sur la protection des données. Elle peut notamment se révéler importante lorsqu’il faut faire la lumière sur une violation de la sécurité des données ou évaluer la punissabilité d’un comportement. Elle fournit donc des informations sur la façon dont on a évalué les risques pour la personnalité et les droits fondamentaux, et les mesures qui ont été prises. [Révision totale de l’ordonnance relative à la loi fédérale sur la protection des données, Rapport explicatif relatif à la procédure de consultation, 23 juin 2021, pp. 30-31]

Si le responsable de traitement décide de ne pas procéder à une AIPD, il devra documenter et expliquer les circonstances et les motifs qui l’ont mené à prendre cette décision.

La violation de l’obligation de procéder à une AIPD n’est enfin pas sanctionnée pénalement, mais le PFPDT peut ordonner à la personne privée ou à l’organe fédéral de procéder à une AIPD (art. 51 al. 3 let. d nLPD), cas échant sous la menace de la peine prévue à l’art. 63 nLPD.

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans nouvelle LPD, Protection de la personnalité, Protection des données, RGPD | Tagué 35 RGPD, analyse d'impact, art. 22 nLPD, droit suisse, LPD, nLPD, protection des données | Laisser un commentaire

Le contrat de travail du Data Protection Officer (DPO)

Publié le 13 juillet 2021 par Me Philippe Ehrenström

Photo de Federico Orlandi sur Pexels.com

Introduction

Le Data Protection Officer (DPO ou conseiller à la protection des données) n’est pas une nouveauté en droit suisse. Le droit actuel de la protection des données, comme le droit futur, octroie de (modestes) avantages légaux à l’entreprise qui s’adjoindrait une telle fonction. La réforme du droit de la protection des données, qui entrera en vigueur dans le deuxième semestre 2022, entraînera toutefois des adaptations et des modifications conséquentes des pratiques et mode de faire des entreprises en Suisse. Et c’est bien ce changement qui va pousser beaucoup d’entre elles à devoir sauter le pas, d’abord pour s’adapter aux nouvelles contraintes légales, et ensuite pour exercer concrètement les nouveaux droits et responsabilités de la protection des données nouvelle manière.

Concrètement, comment les entreprises pourront-elles s’adjoindre un Data Protection Officer ? Un certain nombre auront recours à des prestataires externes. D’autres recourront à du personnel déjà existant. Mais les contraintes et exigences spécifiques de la fonction de DPO rendront ce panachage de fonctions parfois délicat. D’autres enfin engageront spécifiquement un DPO par le biais d’un contrat de travail adapté, à des termes et conditions que nous allons essayer d’esquisser, et qui présente certains avantages par rapport aux deux autres possibilités sus évoquées.

Terminologie

A titre liminaire, une question de terminologie. Le droit suisse utilise les termes de conseiller à la protection des données, que ce soit dans le cadre de la LPD actuelle ou dans sa version révisée [(art. 11a al. 5 let. e de la loi fédérale du 19 juin 1992 sur la protection des données (LPD ; RS 235.1) ; art. 10 de la nouvelle loi fédérale du 25 septembre 2020 sur la protection des données, adoptée le 25 septembre 2020, et qui devrait renter en vigueur dans la 2e partie de 2022 (nLPD ; FF 2020 7397)]. Le droit européen utilise les termes de délégué à la protection des données, soit, dans la version anglaise du Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données (RGPD)), le Data Protection Officer (art. 37 et ss RGPD). C’est cette dernière dénomination qui tend à s’imposer dans la pratique, même si on peut constater l’existence d’autres titres et termes, comme ceux de « Privacy Officer » par exemple. Nous utiliserons ici les termes de DPO ou de conseiller à la protection des données.

La LPD actuelle

Le conseiller à la protection des données ne fait l’objet que d’une mention, presque en passant, dans la LPD actuelle. Le maître du fichier privé est en effet dispensé de déclarer son fichier s’il a désigné un conseiller à la protection des données indépendant chargé d’assurer l’application internes des dispositions relatives à la protection des données et de tenir un inventaire des fichiers (art. 11a al. 5 let. e LPD). Il ne s’agit donc que d’une incitation, la désignation du conseiller n’étant pas obligatoire (contrairement aux organes fédéraux).

La désignation du conseiller à la protection des données, son statut et ses tâches sont régis par les art. 12a et 12b de l’ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des données (OLPD ; RS 235.11OLPD. Selon l’art. 12a al. 1 OLPD, lorsque le maître du fichier entend être délié de son devoir de déclaration des fichiers en vertu de l’art. 11a al. 5 let. e LPD, il est tenu: de désigner un conseiller à la protection des données qui remplit les conditions de l’art. 12a al. 2 et de l’art. 12b, et d’en informer le préposé. Le maître du fichier peut donc désigner un collaborateur ou un tiers en qualité de conseiller à la protection des données ; celui-ci ne doit toutefois pas exercer d’activités incompatibles avec ses tâches de conseiller à la protection des données et doit avoir les connaissances professionnelles nécessaires (art. 12a al. 2 OLPD).

Le conseiller à la protection des données devra par ailleurs exercer sa fonction de manière indépendante et sans recevoir d’instructions de la part du maître du fichier, il disposera des ressources nécessaires à l’accomplissement de sa tâche et aura accès aux fichiers, aux traitements et aux informations nécessaires à l’accomplissement de ses devoirs (art. 12b al. 2 OLPD).

L’indépendance du conseiller à la protection des données devra être formelle, mais aussi matérielle. Le conseiller ne saurait en effet être le responsable de l’administration des systèmes d’information de l’entreprise, le responsable clientèle ou le responsable des ressources humaines. Il ne doit pas pouvoir déterminer les buts et les moyens d’un traitement de données. Son indépendance doit aussi être matérielle, et non seulement organisationnelle ou formelle. Le conseiller doit en effet exercer sa fonction sans recevoir d’instructions de la part du maître du fichier pour ce qui concerne l’exercice de ses tâches, avoir les moyens de remplir sa fonction et les accès nécessaires à cette fin. Pour ce qui est des connaissances, le conseiller doit indubitablement avoir des connaissances en droit, mais aussi si possible des connaissances techniques ainsi qu’une bonne maîtrise des activités du maître du fichier et des traitements que celui-ci effectue. [Philippe MEYER, Protection des données, Berne, Stämpfli, 2011, N 1453-1455]

Les missions du conseiller à la protection des données sont sommairement décrites à l’art. 12b al. 1 OLPD. Il aura ainsi notamment pour tâches de de contrôler les traitements de données personnelles et de proposer des mesures s’il apparaît que des prescriptions sur la protection des données ont été violées, de dresser l’inventaire des fichiers gérés par le maître du fichier et de le tenir à la disposition du préposé ou des personnes concernées qui en font la demande. Le contrôle visé par l’art. 12b al. 1 OLPD suppose toutefois de fait l’accomplissement de nombreuses autres tâches en amont : conseiller et former le personnel, donner son avis sur des projets internes, réalisation ou accompagnement d’audits, information, etc. [MEYER, op. cit., N 1460]

Le conseiller n’assume par contre pas la responsabilité des traitements effectués par le maître du fichier, même si celui-ci a suivi les recommandations du conseiller, et il ne peut saisir le PFPDT s’il estime que ses recommandations ne sont pas suivies [MEYER, op. cit., N 1457, 1461]. Il assume par contre une responsabilité contractuelle envers le maître du fichier, selon les termes du contrat de travail ou du contrat de mandat le liant à celui-ci, et peut aussi être soumis à une responsabilité délictuelle s’il cause des préjudices à autrui.

La nouvelle LPD

A teneur de l’art. 10 al. 1 et al. 2 nLPD, les responsables du traitement privés peuvent nommer un conseiller à la protection des données qui sera l’interlocuteur des personnes concernées et des autorités chargées de la protection des données en Suisse. Il aura notamment pour tâches de former et conseiller le responsable du traitement privé dans le domaine de la protection des données et de concourir à l’application des prescriptions relatives à la protection des données.

Le conseiller à la protection des données exercera sa fonction de manière indépendante par rapport au responsable du traitement et sans recevoir d’instruction de celui-ci. Par ailleurs le conseiller ne devra pas exercer de tâches incompatibles avec ses tâches de conseiller à la protection des données. Il devra disposer des connaissances professionnelles nécessaires. Le responsable du traitement publiera les coordonnées du conseiller à la protection des données et les communiquera au PFPDT.

Comme dans la LPD actuelle, le « bénéfice » légal de la nomination d’un DPO, pour le responsable de traitement, apparaît plutôt modeste. En effet, le responsable de traitement doit consulter le Préposé fédéral à la protection des données (PFPDT) préalablement au traitement lorsque l’analyse d’impact relative à la protection des données révèle que, malgré les mesures prévues par le responsable du traitement, le traitement envisagé présente encore un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. Il peut toutefois y renoncer s’il a consulté son conseiller à la protection des données (art. 10 al. 3 et 23 al. 4 nLPD).

C’est toutefois ignorer que, malgré la modestie de l’avantage conféré par l’art. 23 al. 4 nLPD, le nouveau droit de la protection des données va mettre à charge des responsables de traitement de considérables nouvelles obligations (information, registre des traitements, annonce des violations de sécurité, étude d’impact, etc.), et ce sans compter encore sur un nouveau régime de sanctions pénales ou sur les nouveaux pouvoirs conférés au PFPDT. La nomination d’un conseiller à la protection des données est donc une question que les entreprises vont devoir se poser, et rapidement eu égard au calendrier.

Le contrat de travail du DPO

Eu égard à ce qui précède, et en première analyse, on peut s’attendre à ce que les entreprises « bombardent » certains salariés d’un nouveau titre et leur demandent d’assumer ces nouvelles fonctions. Des salariés déjà existants coûtent ainsi moins chers que des prestataires externes ou de nouvelles recrues.

C’est oublier toutefois que le DPO ne doit pas participer au but et aux moyens d’un traitement de données, ce qui limite déjà fortement les départements dont pourraient être issues ces « volontaires ». Par ailleurs, le DPO ne doit pas subir de « dommage » découlant de l’exercice de ses fonctions. En d’autres termes, et par exemple, on ne doit pas pouvoir le sanctionner s’il conseille, par exemple, d’annoncer une violation de sécurité qui pourrait avoir des conséquences dramatiques sur les résultats de l’entreprise. Or cette indépendance est beaucoup plus difficile à assurer si le DPO, au sein de l’entreprise, assume une double ou une triple fonction : comment s’assurer, par exemple, qu’il serait sanctionné pour une faute commise en rapport avec ses autres fonctions et non en représailles à l’exercice de ses responsabilités de DPO ?

La rémunération du DPO peut aussi s’avérer délicate, particulièrement les rémunérations variables et les gratifications. L’indépendance du DPO s’accommoderait ainsi mal d’une gratification destinée à « récompenser » ses prestations, alors qu’il peut être un porteur de très mauvaises nouvelles pour le sort de l’entreprise et ses résultats. De la même manière, une rémunération variable indexée sur les résultats de l’entreprise enverrait un mauvais signal, alors que le DPO doit pouvoir conseiller des actions pouvant un avoir un impact négatif parfois significatif sur les résultats, le cours de l’action, etc.

La question du taux d’activité peut se résoudre plus facilement. Il est en effet à prévoir que l’activité des DPO sera intense dans un premier temps, en raison des adaptations nécessaires au nouveau droit. Il est donc tout à fait possible de prévoir un taux d’activité qui baissera, par exemple dès 2024. Plus difficile est le problème de la répartition de l’activité sur l’année. Imaginons en effet un incident de sécurité : le DPO, au sein d’un Incident Response Team, devra déployer des heures importantes sur une courte période, alors que l’activité sera moins intense par la suite. La difficulté peut ici être résolue par le biais d’un horaire de travail flexible (gleitende Arbeitszeit) à temps partiel. Les parties peuvent en effet convenir que le travailleur, dans un cadre prédéfini, détermine librement la durée de son temps de travail journalier, pourvu qu’à l’issue d’une période de référence, il ait accompli le nombre d’heures contractuellement dues. Généralement, des heures de présence obligatoire (plages « bloquées ») doivent être respectées, le travailleur pouvant s’organiser librement le reste du temps. En contrepartie de cette autonomie, le travailleur a la responsabilité de récupérer à temps le solde de travail excédentaire qu’il a librement accumulé.

La question de la formation et des compétences est cruciale dans l’activité du DPO. Un contrat de travail, même à temps partiel et horaire flexible, devrait insister sur la formation continue et garantir qu’un certain budget puisse être alloué chaque année au DPO à cette fin.

L’employeur serait peu inspiré d’utiliser des clauses de non concurrence dans des contrats de travail avec des DPO. C’est d’abord parce que les connaissances techniques spécifiques à ces fonctions ne courent pas les rues, d’une part. Mais c’est aussi, d’autre part, parce que ces connaissances techniques particulières sont indissociables de la personne du DPO. Une clause de non concurrence aurait ainsi de bonnes chances de ne pas être valable.

Conclusion

On voit ainsi qu’entre le recours à des prestataires externes onéreux et la désignation interne de responsables, il peut y avoir de la place pour des contrats de travail à temps partiel, avec horaire flexible, si et pour autant certaines clauses du contrat de travail sont adaptées.

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans nouvelle LPD, Protection de la personnalité, Protection des données, RGPD | Tagué 37 ss RGPD, clauses, Conseiller à la protection des données, contrat de travail, Data Protection Officer, LPD, nLPD, protection des données, RGPD | Laisser un commentaire

Le Data Protection Officer (DPO) en droit suisse

Publié le 11 juillet 2021 par Me Philippe Ehrenström

[Le droit suisse de la protection des données, c’est aussi du droit du travail !

Je vais donc présenter sur ce blog quelques-unes des nouveautés à venir pendant le 2e semestre 2021.]

Terminologie

La LPD actuelle

La situation est toutefois différente pour les organes fédéraux, lesquels doivent désigner un conseiller à la protection des données, qui sera chargé de conseiller les organes responsables et les utilisateurs, de promouvoir l’information et la formation des collaborateurs et de concourir à l’application des prescriptions relatives à la protection des données (art. 23 al. 1 de l’ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des données (OLPD ; RS 235.11).

La désignation du conseiller à la protection des données, son statut et ses tâches sont régis par les art. 12a et 12b OLPD. Selon l’art. 12a al. 1 OLPD, lorsque le maître du fichier entend être délié de son devoir de déclaration des fichiers en vertu de l’art. 11a al. 5 let. e LPD, il est tenu: de désigner un conseiller à la protection des données qui remplit les conditions de l’art. 12a al. 2 et de l’art. 12b, et d’en informer le préposé. Le maître du fichier peut donc désigner un collaborateur ou un tiers en qualité de conseiller à la protection des données ; celui-ci ne doit toutefois pas exercer d’activités incompatibles avec ses tâches de conseiller à la protection des données et doit avoir les connaissances professionnelles nécessaires (art. 12a al. 2 OLPD).

Le conseiller à la protection des données devra exercer sa fonction de manière indépendante et sans recevoir d’instructions de la part du maître du fichier, il disposera des ressources nécessaires à l’accomplissement de sa tâche et aura accès aux fichiers, aux traitements et aux informations nécessaires à l’accomplissement de ses devoirs (art. 12b al. 2 OLPD).

L’indépendance du conseiller à la protection des données devra être formelle, mais aussi matérielle. Le conseiller ne saurait en effet être le responsable de l’administration des systèmes d’information de l’entreprise, le responsable clientèle ou le responsable des ressources humaines. Il ne doit pas pouvoir déterminer les buts et les moyens d’un traitement de données. Il peut par contre être rattaché au responsable juridique, au service de l’audit interne ou au chargé de la sécurité informatique. Mais son indépendance doit aussi être matérielle, et non seulement organisationnelle ou formelle. Le conseiller doit en effet exercer sa fonction sans recevoir d’instructions de la part du maître du fichier pour ce qui concerne l’exercice de ses tâches, avoir les moyens de remplir sa fonction et les accès nécessaires à cette fin. Pour ce qui est des connaissances, le conseiller doit indubitablement avoir des connaissances en droit, mais aussi si possible des connaissances techniques ainsi qu’une bonne maîtrise des activités du maître du fichier et des traitements que celui-ci effectue. [Philippe MEYER, Protection des données, Berne, Stämpfli, 2011, N 1453-1455]

La nouvelle LPD

A teneur de l’art. 10 al. 1 et al. 2 de la nouvelle loi fédérale du 25 septembre 2020 sur la protection des données (nLPD ; FF 2020 7397 – entrée en vigueur 2^e semestre 2022), les responsables du traitement privés peuvent nommer un conseiller à la protection des données qui sera l’interlocuteur des personnes concernées et des autorités chargées de la protection des données en Suisse. Il aura notamment pour tâches de former et conseiller le responsable du traitement privé dans le domaine de la protection des données et de concourir à l’application des prescriptions relatives à la protection des données.

A teneur de l’art. 10 al. 3 nLPD, le responsable de traitement ne pourra se prévaloir de l’exception prévue à l’art. 23 al. 4 [voir ci-dessous] que si le conseiller à la protection des données exerce sa fonction de manière indépendante par rapport au responsable du traitement et sans recevoir d’instruction de celui-ci. Par ailleurs le conseiller ne devra pas exercer de tâches incompatibles avec ses tâches de conseiller à la protection des données. Il devra disposer des connaissances professionnelles nécessaires. Le responsable du traitement publiera les coordonnées du conseiller à la protection des données et les communiquera au PFPDT.

Comme dans la LPD actuelle, le « bénéfice » d’une telle nomination, pour le responsable de traitement, apparaît plutôt modeste. En effet, le responsable de traitement doit consulter le PFPDT préalablement au traitement lorsque l’analyse d’impact relative à la protection des données révèle que, malgré les mesures prévues par le responsable du traitement, le traitement envisagé présente encore un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. Il peut toutefois y renoncer s’il a consulté son conseiller à la protection des données (art. 10 al. 3 et 23 al. 4 nLPD).

L’avant-projet d’ordonnance précise et détaille les dispositions de la nLPD.

A teneur de l’art. 25 de l’avant projet d’Ordonnance relative à la loi fédérale sur la protection des onnées, mis en consultation jusqu’au 14 octobre 2021 (nOLPD), le conseiller à la protection des données personnelles d’un responsable du traitement privé doit accomplir les tâches suivantes: a. contrôler le traitement de données personnelles ainsi que ses exigences et proposer des mesures s’il constate que des prescriptions de protection des données ont été violées; b. concourir à l’établissement de l’analyse d’impact relative à la protection des données, et la vérifier, dans tous les cas lorsque le responsable du traitement privé entend renoncer à consulter le PFPDT au sens de l’art. 23 al. 4 LPD. Le responsable du traitement privé mettra à disposition du conseiller à la protection des données personnelles les ressources nécessaires. Il donnera au conseiller à la protection des données accès à tous les renseignements, documents, registres des activités de traitement et données personnelles dont il a besoin pour l’accomplissement de ses tâches.

Dans son rapport explicatif [Révision totale de l’ordonnance relative à la loi fédérale sur la protection des données Rapport explicatif du 23 juin 2021 relatif à la procédure de consultation, pp. 36-38], le Conseil fédéral souligne que l’art. 10 al. 2 nLPD prévoit, de façon non exhaustive, deux tâches que conseiller à la protection des données d’un responsable de traitement privé devra accomplir : former et conseiller le responsable du traitement dans le domaine de la protection des données (let. a) et concourir à l’application des prescriptions relatives à la protection des données (let. b). Ces tâches sont décrites plus en détail dans l’art. 25 nOLPD, qui reprend les dispositions de l’OLPD actuelle, avec quelques adaptations.

Le conseiller à la protection des données doit ainsi contrôler le traitement des données personnelles ainsi que ses exigences et proposer des mesures s’il constate que des prescriptions de protection des données ont été violées. Il surveille le respect de la législation sur la protection des données et des éventuelles prescriptions internes relatives à la protection des données édictées par le responsable du traitement. Le conseiller doit aussi vérifier si les prescriptions internes de protection des données sont compatibles avec la législation. Le responsable du traitement ne peut en aucun cas infliger des sanctions à l’encontre du conseiller à la protection des données dans l’exercice de ses fonctions.

Dans ce contexte, il est opportun de préciser que le conseiller à la protection des données a, comme son nom l’indique, une fonction de conseil et de soutien. Puisqu’il a une compétence décisionnelle, le responsable du traitement est bien la seule personne responsable du respect de la protection des données, en particulier vis-à-vis des personnes concernées. La tâche visée à la let. a [former et conseiller] n’engage en principe pas la responsabilité du conseiller à la protection des données si le responsable du traitement contrevient à la législation.

L’art. 25 al. 1 let. b concrétise le rôle du conseiller à la protection des données dans la réalisation des analyses d’impact relatives à la protection des données. En vertu de l’art. 23 al. 4 nLPD, le responsable du traitement privé peut renoncer à consulter le PFPDT à la suite d’une analyse d’impact relative à la protection des données s’il a nommé un conseiller au sens de l’art. 10 nLPD et qu’il l’a consulté au sujet de ladite analyse. Il ne suffit pas de lui soumettre les résultats de l’analyse une fois celle-ci effectuée. Le conseiller doit en effet véritablement concourir à la réalisation de l’analyse. Il vérifie tout particulièrement l’évaluation des risques et les mesures proposées par le responsable du traitement. Idéalement, le responsable du traitement devrait toujours prévoir de recourir au conseiller, mais ce n’est une obligation que dans le cas où il doit renoncer à consulter le PFPDT en application de l’art. 23 al. 4 nLPD.

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans Non classé | Laisser un commentaire

Protection des données dès la conception et par défaut

Publié le 6 juillet 2021 par Me Philippe Ehrenström

Photo de Connor Danylenko sur Pexels.com

[Le droit suisse de la protection des données, c’est aussi du droit du travail !

Je vais donc présenter sur ce blog quelques-unes des nouveautés à venir pendant le 2e semestre 2021.]

La protection des données dès la conception [Privacy by design] repose sur l’idée que la technologie est au service de la protection des données et que la majorité des violations de la sphère privée ne sont pas détectées. Il faut donc plutôt éviter qu’elles se produisent a priori dans la mesure du possible, par opposition à une simple sanction a posteriori. Elle matérialise ainsi le principe de proportionnalité et l’approche fondée sur le risque en droit suisse de la protection des données. Certains auteurs considèrent que le principe découlait déjà de l’art. 7 LPD actuelle, et qu’il a été séparé dans la nLPD des considérations relatives à la sécurité des données [David Rosenthal, Samira Studer/Alexandre Lombard (pour la traduction), La nouvelle loi sur la protection des données, in : Jusletter 16 novembre 2020, N 43].

A teneur de l’art. 7 al. 1 de la nouvelle loi fédérale du 25 septembre 2020 sur la protection des données (nLPD ; FF 2020 7397), qui devrait entrer en vigueur au second semestre 2022, le responsable du traitement est donc tenu de mettre en place des mesures techniques et organisationnelles afin que le traitement respecte les prescriptions de protection des données, en particulier les principes fixés à l’art. 6 nLPD. Il le fait dès la conception du traitement. [Privacy by design]

Rappelons que l’art. 6 nLPD prévoit que tout traitement de données personnelles doit être licite et conforme aux principes de la bonne foi et de la proportionnalité (al. 1 et 2). Les données personnelles ne peuvent être collectées que pour des finalités déterminées et reconnaissables pour la personne concernée et doivent être traitées ultérieurement de manière compatible avec ces finalités (al. 3). Les données sont détruites ou anonymisées dès qu’elles ne sont plus nécessaires au regard des finalités du traitement (art. 4) Celui qui traite des données personnelles doit s’assurer qu’elles sont exactes. Il prend toute mesure appropriée permettant de rectifier, d’effacer ou de détruire les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées ; le caractère approprié de la mesure dépend notamment du type de traitement et de son étendue, ainsi que du risque que le traitement des données en question présente pour la personnalité ou les droits fondamentaux des personnes concernées (al. 5). Lorsque le consentement de la personne concernée est requis, celle-ci ne consent valablement que si elle exprime librement sa volonté concernant un ou plusieurs traitements déterminés et après avoir été dûment informée (al. 6). Le consentement doit être exprès dans les cas suivants: traitement de données sensibles; profilage à risque élevé effectué par une personne privée; profilage effectué par un organe fédéral (al. 7).

Les mesures techniques et organisationnelles requises par l’art. 7 al. 1 nLPD doivent être appropriées au regard notamment de l’état de la technique, du type de traitement et de son étendue, ainsi que du risque que le traitement des données présente pour la personnalité ou les droits fondamentaux des personnes concernées (art. 7 al. 2 nLPD). Il est à noter que les mesures ne sont pas seulement techniques /informatiques, mais couvrent bien tout ce qui est lié au traitement de données personnelles : processus, gouvernance, responsabilités, allocation des ressources, etc.

La protection des données par défaut matérialise quant à elle essentiellement le principe de proportionnalité. La personne concernée, sans action spécifique de sa part, bénéficie ainsi du régime le plus respectueux possible de sa personnalité. Elle ne devrait pas, par exemple, être obligée de créer un compte client pour faire une commande en ligne. Le responsable du traitement est donc tenu de garantir, par le biais de préréglages appropriés, que le traitement des données personnelles soit limité au minimum requis par la finalité poursuivie, pour autant que la personne concernée n’en dispose pas autrement [Privacy by default : art. 7 al. 3 nLPD].

Il est à noter que tant la Privacy by design que la Privacy by default ne sont pas des principes dont la violation constituerait une atteinte illicite à la personnalité au sens de l’art. 30 al. 2 let. a nLPD.

En droit européen, le consid. 78 RGPD souligne que l’obligation de Privacy by Design/by Default s’applique certes au responsable de traitement, mais pas que. Lors de l’élaboration, de la conception, de la sélection et de l’utilisation d’applications, de services et de produits qui reposent sur le traitement de données à caractère personnel ou traitent des données à caractère personnel pour remplir leurs fonctions, il convient en effet d’inciter les fabricants de produits, les prestataires de services et les producteurs d’applications à prendre en compte le droit à la protection des données lors de l’élaboration et de la conception de tels produits, services et applications et, compte dûment tenu de l’état des connaissances, à s’assurer que les responsables du traitement et les sous-traitants sont en mesure de s’acquitter des obligations qui leur incombent en matière de protection des données. Les principes de protection des données dès la conception et de protection des données par défaut devraient également être pris en considération dans le cadre des marchés publics. [Voir aussi edpb, Lignes directrices 4/2019 relatives à l’article 25. Protection des données dès la conception et protection des données par défaut, version 2.0 adoptée le 20 octobre 2020, N 1].

L’art. 25 § 1 RGPD prévoit que compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données [art. 5 RGPD], par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée [Privacy by Design].

Le consid. 39 RGPD considère, à propos des principes relatifs à la protection des données de l’art. 5 RGPD que tout traitement de données à caractère personnel doit être licite et loyal. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l’égard des personnes physiques concernées. Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. Ce principe vaut, notamment, pour les informations communiquées aux personnes concernées sur l’identité du responsable du traitement et sur les finalités du traitement ainsi que pour les autres informations visant à assurer un traitement loyal et transparent à l’égard des personnes physiques concernées et leur droit d’obtenir la confirmation et la communication des données à caractère personnel les concernant qui font l’objet d’un traitement. Les personnes physiques devraient être informées des risques, règles, garanties et droits liés au traitement des données à caractère personnel et des modalités d’exercice de leurs droits en ce qui concerne ce traitement. En particulier, les finalités spécifiques du traitement des données à caractère personnel devraient être explicites et légitimes, et déterminées lors de la collecte des données à caractère personnel. Les données à caractère personnel devraient être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées. Cela exige, notamment, de garantir que la durée de conservation des données soit limitée au strict minimum. Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens. Afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement pour leur effacement ou pour un examen périodique. Il y a lieu de prendre toutes les mesures raisonnables afin de garantir que les données à caractère personnel qui sont inexactes sont rectifiées ou supprimées. Les données à caractère personnel devraient être traitées de manière à garantir une sécurité et une confidentialité appropriées, y compris pour prévenir l’accès non autorisé à ces données et à l’équipement utilisé pour leur traitement ainsi que l’utilisation non autorisée de ces données et de cet équipement.

Les mesures techniques et organisationnelles appropriées au sens de l’art. 25 § 1 et les garanties nécessaires peuvent s’entendre au sens large comme toute méthode ou tout moyen qu’un responsable du traitement peut employer dans le cadre du traitement. Approprié signifie que les mesures et les garanties nécessaires doivent être adaptées pour atteindre le but visé, c’est-à-dire qu’elles doivent mettre en œuvre les principes de protection des données de façon effective. On entend par «mesure technique ou organisationnelle et garantie» diverses mesures pouvant aller de l’utilisation de solutions techniques avancées à la formation de base du personnel. Parmi les exemples de mesures et de garanties adéquates, on peut citer, selon le contexte et les risques associés au traitement concerné, la pseudonymisation des données à caractère personnel, la conservation des données à caractère personnel disponibles dans un format structuré, couramment utilisé et lisible par machine, la possibilité pour les personnes concernées d’intervenir dans le traitement, la fourniture d’informations sur la conservation des données à caractère personnel, la mise en place de systèmes de détection des logiciels malveillants, la formation des salariés aux principes de base de la «cyberhygiène», la mise en place de systèmes de gestion de la protection de la vie privée et de la sécurité des informations, l’obligation contractuelle pour les sous-traitants de mettre en œuvre des pratiques spécifiques de minimisation des données, etc.

Parmi les critères de l’art. 25 § 1, l’« état des connaissances » impose aux responsables du traitement, lors de la définition des mesures techniques et organisationnelles appropriées, de prendre en considération le progrès technologique actuel présent sur le marché. Cette disposition impose l’obligation pour les responsables du traitement d’avoir connaissance et de se tenir informés des progrès technologiques, de la manière dont la technologie peut présenter des risques ou des opportunités, en matière de protection des données, pour l’opération de traitement, et de la manière de mettre en œuvre et de tenir à jour les mesures et garanties qui assurent une mise en œuvre effective des principes et des droits des personnes concernées dans un contexte technologique en constante évolution. L’«état des connaissances» est une notion dynamique qui ne peut se définir de manière statique à un moment précis, mais qui doit être évaluée en continu au regard des progrès technologiques. Compte tenu des avancées technologiques, un responsable du traitement pourrait estimer qu’une mesure a fourni à un moment donné un niveau de protection adéquat, mais que ce n’est plus le cas. Le critère de l’«état des connaissances» ne s’applique pas uniquement aux mesures technologiques, mais aussi aux mesures organisationnelles. Parmi les exemples de mesures organisationnelles, on peut citer l’adoption de politiques internes, la réalisation de formations actualisées sur la technologie, la sécurité et la protection des données, ou encore l’élaboration de politiques de gouvernance et de gestion de la sécurité informatique.

Autre critère de l’art. 25 § 1, l’élément « coût » n’oblige pas le responsable du traitement à dépenser une quantité disproportionnée de ressources lorsqu’il existe d’autres mesures moins exigeantes en ressources, mais tout aussi efficaces.

On tiendra compte également du risque. Lorsqu’il effectue l’analyse de risque en conformité avec l’article 25, le responsable du traitement doit identifier les risques que présente une violation des principes pour les droits des personnes concernées, et doit déterminer la probabilité et la gravité de ces risques dans le but de mettre en œuvre des mesures atténuant de façon effective les risques recensés.

D’autres critères appellent moins de développements. La notion de nature peut s’entendre comme les caractéristiques intrinsèques du traitement. La portée fait référence à l’ampleur et à l’étendue du traitement. Le contexte a trait aux circonstances du traitement susceptibles d’influencer les attentes de la personne concernée, tandis que les finalités concernent les objectifs du traitement.

Selon l’art. 25 § 2 RGPD, le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée [Privacy by Default].

Le terme «par défaut», dans le cadre du traitement de données à caractère personnel, désigne le fait de faire des choix concernant les valeurs de configuration ou les options de traitement définies ou prescrites dans un système de traitement, tel qu’une application logicielle, un service ou un dispositif, ou une procédure de traitement manuel, qui affectent la quantité de données à caractère personnel collectées, l’étendue de leur traitement, la durée de leur conservation ainsi que leur accessibilité. Seul le traitement qui est strictement nécessaire pour atteindre la finalité licite prévue doit être effectué par défaut. Il s’ensuit que, par défaut, le responsable du traitement ne doit ni collecter plus de données que nécessaire, ni traiter les données collectées plus qu’il n’est nécessaire pour atteindre ses finalités, ni conserver les données plus longtemps que nécessaire. Si le responsable du traitement utilise un logiciel tiers ou un logiciel du commerce, il doit procéder à une évaluation des risques du produit et s’assurer que les fonctions qui n’ont pas de base juridique ou qui ne sont pas compatibles avec les finalités prévues du traitement sont désactivées. Les mêmes considérations valent aussi pour les mesures organisationnelles à l’appui du traitement. Elles doivent être conçues pour ne traiter, dès le début, que la quantité minimale de données à caractère personnel nécessaires aux opérations spécifiques. Ce point devrait tout particulièrement être pris en considération lors de l’attribution de l’accès aux données aux membres du personnel ayant des rôles différents et des besoins d’accès différents. Les «mesures techniques et organisationnelles» appropriées dans le contexte de la protection des données par défaut recouvrent donc la même notion que celle qui a été exposée ci-dessus, mais appliquée spécifiquement à la mise en œuvre du principe de minimisation des données.

Concernant la quantité de données collectées, si certaines catégories de données à caractère personnel ne sont pas nécessaires ou si des données détaillées ne sont pas requises car des données d’une granularité moins fine sont suffisantes, toute donnée à caractère personnel excédentaire ne doit pas être collectée. Pour ce qui est de l’étendue de leur traitement, les opérations de traitement doivent se limiter à ce qui est nécessaire. Pour ce qui est de la durée de conservation, les données ne sont pas conservées si elles ne sont pas nécessaires à la finalité du traitement et s’il n’en existe pas d’autre ou de fondement juridique. Le responsable du traitement limite la période de conservation à la durée nécessaire à la finalité. Si les données à caractère personnel ne sont plus nécessaires aux fins du traitement, elles devront, par défaut, être supprimées ou anonymisées. La durée de conservation dépendra donc de la finalité du traitement en question. Concernant l’accessibilité, Le responsable du traitement devrait limiter le nombre de personnes ayant accès et les types d’accès aux données à caractère personnel en fonction d’une évaluation de la nécessité, et devrait également veiller à ce que les données à caractère personnel soient effectivement accessibles aux personnes qui en ont besoin lorsque cela est nécessaire, par exemple dans des situations critiques. L’article 25, paragraphe 2, précise en outre que les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée. Le responsable du traitement doit, par défaut, limiter l’accès et donner à la personne concernée la possibilité d’intervenir avant de publier ou de mettre à la disposition d’un nombre indéterminé de personnes physiques des données à caractère personnel la concernant.

* * *

Les responsables du traitement mettent en œuvre la protection des données dès la conception et la protection des données par défaut avant le traitement, et de manière continue pendant celui-ci, en examinant régulièrement l’effectivité des mesures et des garanties choisies. La protection des données dès la conception et la protection des données par défaut s’appliquent également aux systèmes existants qui traitent des données à caractère personnel, et aux traitements effectués par l’intermédiaire de sous-traitants.

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans nouvelle LPD, Protection de la personnalité, Protection des données, RGPD | Tagué 25 RGPD, 39 RGPD, 78 RGPD, LPD, nLPD, Privacy by Default, Privacy by Design, RGPD | Laisser un commentaire

Protection des données et sécurité des données: régime actuel, régime futur

Publié le 4 juillet 2021 par Me Philippe Ehrenström

[Le droit suisse de la protection des données, c’est aussi du droit du travail !

Je vais donc présenter sur ce blog quelques-unes des nouveautés à venir pendant le 2e semestre 2021.]

Il existe une interaction entre la protection des données et leur sécurité, mais ces deux aspects doivent être traités séparément. La protection des données relève de la protection de la personnalité de l’individu. Quant à la sécurité des données, elle vise généralement les données présentes chez un responsable du traitement ou chez un sous-traitant et englobe le cadre organisationnel et technique général du traitement des données.

Par conséquent, la protection de l’individu n’est possible que si des mesures techniques générales ont été prises pour la sécurité des données le concernant au préalable. (Message du 15 septembre 2017 concernant la loi fédérale sur la révision totale de la loi fédérale sur la protection des données et sur la modification d’autres lois fédérales, FF 2017 6565, 6650-6651)

Les notes qui suivent présentent succinctement le régime actuel et le possible régime futur de la sécurité des données sous l’angle de la protection des données suisse.

Régime actuel

A teneur de l’art. 7 al. 1 de la loi fédérale du 19 juin 1992 sur la protection des données (RS 235.1 ; LPD) les données personnelles doivent être protégées contre tout traitement non autorisé par des mesures organisationnelles et techniques appropriées. C’est le principe de sécurité, dont la violation entraîne la présomption d’une atteinte illicite à la personnalité des personnes concernées selon l’art. 12 al. 2 let. a LPD. L’art. 7 al. 2 LPD prévoit que le Conseil fédéral édicte des dispositions plus détaillées sur les exigences minimales en matière de sécurité des données.

Le Conseil fédéral a donc développé la matière plus avant aux art. 8 à 11 de l’ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des données (RS 235.11 ; OLPD).

Les art. 8 et 9 OLPD distinguent des mesures générales et des mesures particulières.

Au titre des premières, la personne privée qui traite des données personnelles ou qui met à disposition un réseau télématique assure la confidentialité, la disponibilité et l’intégrité des données afin de garantir de manière appropriée la protection des données (art. 8 al. 1 OLPD). Elle protège les systèmes notamment contre les risques de: a. destruction accidentelle ou non autorisée; b. perte accidentelle; c. erreurs techniques; d. falsification, vol ou utilisation illicite; e. modification, copie, accès ou autre traitement non autorisés. Les mesures techniques et organisationnelles prises à cette fin devront être appropriées (art. 8 al. 2 OLPD). Elles tiendront compte en particulier des critères suivants: a. but du traitement de données; b. nature et étendue du traitement de données; c. évaluation des risques potentiels pour les personnes concernées; d. développement technique. Les mesures devront faire l’objet d’un réexamen périodique (art. 8 al. 3 OLPD).

Pour ce qui est des secondes, le maître du fichier prend, en particulier lors de traitements automatisés de données personnelles, des mesures techniques et organisationnelles propres à réaliser notamment les objectifs suivants: a. contrôle des installations à l’entrée: les personnes non autorisées n’ont pas accès aux locaux et aux installations utilisées pour le traitement de données personnelles; b. contrôle des supports de données personnelles: les personnes non autorisées ne peuvent pas lire, copier, modifier ou éloigner des supports de données; c. contrôle du transport: les personnes non autorisées ne peuvent pas lire, copier, modifier ou effacer des données personnelles lors de leur communication ou lors du transport de supports de données; d. contrôle de communication: les destinataires auxquels des données personnelles sont communiquées à l’aide d’installations de transmission peuvent être identifiés; e. contrôle de mémoire: les personnes non autorisées ne peuvent ni introduire de données personnelles dans la mémoire ni prendre connaissance des données mémorisées, les modifier ou les effacer; f. contrôle d’utilisation: les personnes non autorisées ne peuvent pas utiliser les systèmes de traitement automatisé de données personnelles au moyen d’installations de transmission; g. contrôle d’accès: les personnes autorisées ont accès uniquement aux données personnelles dont elles ont besoin pour accomplir leurs tâches; h. contrôle de l’introduction: l’identité des personnes introduisant des données personnelles dans le système, ainsi que les données introduites et le moment de leur introduction peuvent être vérifiés a posteriori.

L’art. 9 al. 2 OLPD ajoute que les fichiers doivent être organisés de manière à permettre à la personne concernée d’exercer ses droits d’accès et de rectification, ce qui est une condition de l’exercice de ces droits, et non une mesure de sécurité au sens strict.

L’art. 10 OLPD traite de la journalisation. L’objectif de la journalisation est de pouvoir vérifier le traitement des données personnelles a posteriori, afin de déterminer si des données ont été perdues, effacées, détruites, modifiées ou si elles ont été divulguées. La journalisation peut aussi fournir des renseignements permettant de savoir si les données personnelles ont été traitées conformément aux finalités. Elle sert en outre à déceler et à faire la lumière sur les violations de la sécurité des données. Elle n’est en revanche pas destinée à surveiller la façon dont les utilisateurs traitent les données personnelles.

Le maître du fichier journalise ainsi les traitements automatisés de données sensibles ou de profils de la personnalité lorsque les mesures préventives ne suffisent pas à garantir la protection des données. Une journalisation est notamment nécessaire, lorsque, sans cette mesure, il ne serait pas possible de vérifier a posteriori que les données ont été traitées conformément aux finalités pour lesquelles elles ont été collectées ou communiquées. Le PFPDT peut recommander la journalisation pour d’autres traitements. Les procès-verbaux de journalisation sont conservés durant une année et sous une forme répondant aux exigences de la révision. Ils sont accessibles aux seuls organes ou personnes chargés de vérifier l’application des dispositions de protection des données personnelles, et ils ne sont utilisés qu’à cette fin.

Selon l’art. 11 al. 1 OLPD, le maître d’un fichier automatisé soumis à déclaration, parce qu’il traite régulièrement des données sensibles ou des profils de la personnalité (art. 11a al. 3 LPD) et qu’il n’est pas exempté de cette obligation au sens de l’art. 11a al. 5 let. b.-d (traitement non susceptible de menacer les droits de la personne concernée selon l’art. 4 OLPD, fichier utilisé exclusivement pour la publication dans la partie rédactionnelle d’un média à caractère périodique, instrument de travail d’un journaliste), doit élaborer un règlement de traitement décrivant en particulier l’organisation interne et les procédures de traitement et de contrôle des données, et comprenant les documents relatifs à la planification, à l’élaboration et à la gestion du fichier et des moyens informatiques. Le maître du fichier mettra régulièrement à jour le règlement de traitement. Il sera mis à disposition, sur demande, au PFPDT et/ou au conseiller à la protection des données (le DPO de l’art. 11a al. 5 let. e LPD).

Régime futur (2^e semestre 2022)

La nouvelle loi fédérale du 25 septembre 2020 sur la protection des données (nLPD ; FF 2020 7397), qui devrait entrer en vigueur au second semestre 2022, prévoit en son art. 8, que les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru. Il s’agit d’une approche fondée sur le risque : plus le risque d’une atteinte à la sécurité des données est élevé, plus les exigences auxquelles doivent répondre les mesures à prendre seront élevées. Les mesures doivent permettre d’éviter toute violation de la sécurité des données (art. 8 al. 2), soit toute violation de la sécurité entraînant la perte de données personnelles, leur modification, leur effacement ou leur destruction, leur divulgation ou un accès non autorisé à celles-ci, et ce indépendamment de savoir si la violation est intentionnelle ou non, licite ou illicite. Les mesures peuvent viser par exemple à pseudonymiser des données, à assurer la confidentialité et la disponibilité du système ou de ses services, ou encore à élaborer des procédures visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures prises. Selon le même mécanisme que pour la LPD actuelle, le Conseil fédéral édicte par ailleurs des dispositions sur les exigences minimales en matière de sécurité des données.

Ces dispositions figurent aux art. 1 à 5 de l’Avant-projet d’Ordonnance relative à la loi fédérale sur la protection des données (nOLPD), dont la procédure de consultation prendra fin le 14 octobre 2021 [cf. OFJ, Révision totale de l’ordonnance relative à la loi fédérale sur la protection des données, Rapport explicatif relatif à la procédure de consultation, 23 juin 2021, pp. 14-22].

Selon le Rapport, il a été renoncé à inscrire des exigences minimales strictes dans la nOLPD car la loi suit une approche fondée sur le risque et qu’il est impossible de fixer des exigences minimales générales applicables à chaque branche. L’approche suivie repose plutôt sur le fait qu’il incombe en premier lieu au responsable du traitement de déterminer les mesures nécessaires dans un cas précis, et de les prendre. Ces mesures ne peuvent être prises qu’au cas par cas, et leur portée dépend du risque encouru. En toute logique, les exigences sont ainsi plus élevées pour un hôpital qui traite régulièrement des données sensibles que pour une boulangerie ou une boucherie qui traite les données de ses clients ou de ses fournisseurs. La nOLPD contient donc surtout des lignes directrices permettant de déterminer les mesures à prendre. Cela permet de garantir la flexibilité nécessaire pour couvrir le large éventail de cas et éviter un excès de réglementation, en particulier pour les entreprises pour lesquelles les traitements de données sont rares et présentent peu de risques. Les mesures spécifiques pour la garantie de la sécurité des données prévues dans le droit en vigueur sont par ailleurs conservées (journalisation, règlements de traitement).

Le Conseil fédéral continue de suivre une approche fondée sur le risque : plus les droits de la personnalité et les droits fondamentaux de l’individu sont menacés, plus les exigences sont élevées.

Selon l’art. 1 nOLPD, pour savoir si les mesures techniques ou organisationnelles visant à garantir la sécurité des données sont adaptées au risque, les critères suivants sont pris en considération: a. la finalité, la nature, l’étendue et les circonstances du traitement des données; b. la probabilité d’une violation de la sécurité des données et son impact potentiel sur les personnes concernées, les deux critères s’apprécient ensemble; c. l’état de la technique – il suffit ici d’utiliser des mesures déjà disponibles et qui ont prouvé leur efficacité, on ne saurait exiger le recours à des techniques ultramodernes, non testées, ou qui sont encore en cours de développement; d. les coûts de mise en œuvre ; ce critère signifie que lorsqu’il existe plusieurs mesures permettant de garantir un niveau de protection des données adéquat en toutes circonstances, on peut privilégier la variante la plus économique. Les mesures doivent par ailleurs être réexaminées à des intervalles appropriés pendant toute la durée du traitement ou après un incident de sécurité des données.

A teneur de l’art. 2 nOLPD, dans la mesure du possible, les mesures de sécurité des données doivent permettre d’atteindre les objectifs de protection suivants: a. contrôle de l’accès aux données: l’accès des personnes autorisées est limité aux données personnelles dont elles ont besoin pour accomplir leurs tâches; b. contrôle de l’accès aux locaux et installations: l’accès aux locaux et aux installations utilisés pour le traitement de données personnelles est refusé aux personnes non autorisées; c. contrôle des supports de données: les personnes non autorisées ne peuvent pas lire, copier, modifier, déplacer ou supprimer des supports de données; d. contrôle de mémoire: les personnes non autorisées ne peuvent ni introduire de données personnelles dans la mémoire ni consulter, modifier ou effacer des données personnelles enregistrées; e. contrôle d’utilisation: les personnes non autorisées ne peuvent pas utiliser les systèmes de traitement automatisé de données personnelles au moyen d’installations de transmission; f. contrôle du transport: les personnes non autorisées ne peuvent pas lire, copier, modifier ou effacer des données personnelles lors de leur communication ou lors du transport de supports de données; g. contrôle de la saisie: l’identité des personnes saisissant ou modifiant des données personnelles dans le système automatisé, ainsi que les données saisies ou modifiées et le moment de leur saisie ou modification peuvent être vérifiés; h. contrôle de la communication: il doit être possible de vérifier à qui sont communiquées des données personnelles à l’aide d’installations de transmission; i. restauration: la disponibilité des données personnelles et l’accès aux données personnelles peuvent être rapidement rétablis en cas d’incident physique ou technique; j. toutes les fonctions du système doivent être disponibles (disponibilité), les dysfonctionnements éventuels doivent être signalés (fiabilité) et les données personnelles stockées ne doivent pas pouvoir être endommagées par des dysfonctionnements du système (intégrité des données); k. détection: les violations de la sécurité des données doivent pouvoir être rapidement détectées et des mesures doivent pouvoir être prises pour réduire ou éliminer les conséquences.

Concernant la journalisation, l’art. 3 prévoit que lorsque l’analyse d’impact sur la protection des données de l’art. 22 nLPD révèle que, malgré les mesures prévues par le responsable du traitement, le traitement envisagé présente encore un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées, le responsable du traitement privé et son sous-traitant journalisent au moins les opérations suivantes: enregistrement, modification, lecture, communication, effacement ou destruction. La journalisation doit fournir des informations sur la nature du traitement, l’identité de la personne qui a effectué le traitement, l’identité du destinataire et le moment auquel le traitement a eu lieu. Les procès-verbaux de journalisation sont conservés durant deux ans [et plus une année seulement], séparément du système dans lequel les données personnelles sont traitées. Ils sont accessibles aux seuls organes ou personnes chargés de vérifier l’application des dispositions de protection des données personnelles ou de rétablir la confidentialité, l’intégrité, la disponibilité et la traçabilité des données, et ils ne sont utilisés qu’à cette fin.

[Rappelons que selon l’art. 22 nLPD, lorsque le traitement envisagé est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, le responsable du traitement procède au préalable à une analyse d’impact relative à la protection des données personnelles ; il y a notamment « risque élevé » en cas de traitement de données sensibles à grande échelle ou de surveillance systématique de grandes parties du domaine public.]

L’art. 4 nOLPD reprend et détaille le règlement de traitement des personnes privées. Le responsable du traitement et son sous-traitant établissent ainsi un règlement pour les traitements automatisés en cas: a. de traitement de données sensibles à grande échelle, ou b. de profilage à risque élevé. Le règlement de traitement contient au moins des indications sur: a. la finalité du traitement; b. les catégories de personnes concernées et les catégories de données personnelles traitées; c. la durée de conservation des données personnelles ou les critères utilisés pour déterminer cette durée; d. l’organisation interne; e. l’origine des données personnelles et leur mode de collecte; f. les mesures techniques et organisationnelles visant à garantir la sécurité des données; g. les autorisations d’accès, ainsi que sur la nature et l’étendue de cet accès; h. les mesures prises pour la minimisation des données; i. les procédures de traitement des données, notamment les procédures, d’enregistrement, de rectification, de communication, de conservation, d’archivage, de pseudonymisation, d’anonymisation et d’effacement ou de destruction des données; j. la procédure d’exercice du droit d’accès et du droit à la remise ou à la transmission des données personnelles. Le règlement est régulièrement actualisé et est mis à la disposition du PFPDT sous une forme intelligible. [L’art. 5 nOLPD traite du règlement de traitement des organes fédéraux].

Enfin, seront, sur plainte, punies d’une amende de CHF 250’000.—au plus les personnes privées qui, intentionnellement, ne respecteront pas les exigences minimales en matière de sécurité des données édictées par le Conseil fédéral (art. 61 let. c nLPD). Il convient toutefois de relever que toute violation de la sécurité des données au sens de l’art. 5, let. h, nLPD ne constitue pas une violation des exigences minimales au sens de l’art. 8 nLPD et donc une violation des devoirs de dilligence au sens de l’art. 61 let. c nLPD. On ne peut ni ne doit exiger une sécurité absolue. Il est en effet concevable que le responsable du traitement ait pris toutes les mesures adéquates, mais que la sécurité des données soit malgré tout violée en raison du risque résiduel ; cela ne saurait être imputé au responsable. Dans le cadre des exigences minimales, il importe surtout de vérifier si le responsable du traitement et le sous-traitant ont pris des mesures adéquates dans le cas concret, qu’il y ait eu une violation de la sécurité des données ou non.

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans nouvelle LPD, Protection de la personnalité, Protection des données | Tagué LPD, OLPD, protection des données, sécurités des données | Laisser un commentaire

Obligation d’annoncer les violations de la sécurité des données (data breach)

Publié le 27 juin 2021 par Me Philippe Ehrenström

[Le droit suisse de la protection des données, c’est aussi du droit du travail !

Je vais donc présenter sur ce blog quelques-unes des nouveautés à venir pendant le 2e semestre 2021.]

L’obligation d’annoncer les violations de la sécurité des données (data breach)au Préposé fédéral à la protection des données et à la transparence (PFPDT) est une nouveauté introduite par l’art. 24 de la nouvelle loi fédérale du 25 septembre 2020 sur la protection des données (nLPD ; FF 2020 7397), laquelle devrait entrer en vigueur au deuxième semestre 2022. Jusqu’alors, dans le cadre de la loi actuelle sur la protection des données, le PFPDT pouvait, en cas de soupçon de violation de la sécurité, tout au plus mener une enquête et émettre des recommandations. L’art. 29 de la loi du 22 juin 2007sur l’Autorité fédérale de surveillance des marchés financiers (Loi sur la surveillance des marchés financiers, LFINMA ; RS 956.1) permettait également d’obliger les établissements soumis à la surveillance de la FINMA à signaler les cyberattaques. Mais il n’y avait pas d’obligation d’annonce générale en cas de « data breach ». C’est ce qui va changer avec l’art. 24 nLPD.

Le responsable de traitement et le sous-traitant, pour effectuer un traitement de données licite, doivent respecter les principes fondamentaux de la protection des données, dont le principe de sécurité de l’art. 8 nLPD. Selon l’art. 8 al. 1 nLPD, les responsables du traitement et les sous-traitants doivent ainsi assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru. Les mesures techniques consistent, par exemple, en l’authentification par un mot de passe approprié, le chiffrement, des sauvegardes régulières, etc. Les mesures organisationnelles peuvent recouper la formation, la documentation, les instructions, les audits, l’optimisation contractuelle, etc.

L’art. 32 § 1 du Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, dit règlement général sur la protection des données (RGPD), prévoit quant à lui que le responsable de traitement et le sous-traitant mettront en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, comprenant notamment le chiffrement et la pseudonymisation des données à caractère personnel ; des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constante des systèmes et des services de traitement ; des moyens permettant de rétablir la disponibilité des données et l’accès à celle-ci dans des délais et appropriées ; et une procédure visant à tester, analyser et évaluer régulièrement l’efficacité des mesures techniques et opérationnelles pour assurer la sécurité du traitement. Rappelons que le RGPD peut s’appliquer de manière extraterritoriale aux traitements de données relatives à des personnes concernées qui se trouvent sur le territoire de l’UE par un responsable de traitement ou un sous-traitant qui n’est pas établi dans l’UE lorsque les activités de traitement sont liées (i) à l’offre de biens ou de services à ces personnes dans l’UE, qu’un paiement soit exigé de celles-ci ou non ou (ii) au suivi de comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union (art. 3 § 2 RGPD).

Les mesures organisationnelles et techniques appropriées doivent permettre d’éviter toute violation de la sécurité des données (art. 8 al. 2 nLPD), soit toute violation de la sécurité entraînant de manière accidentelle ou illicite la perte de données personnelles, leur modification, leur effacement ou leur destruction, leur divulgation ou un accès non autorisés à ces données (art. 5 let. h nLPD). Elles constituent un préalable à la protection de la personnalité de la personne concernée. Le RGPD considère que les mesures doivent permettre de garantir un niveau de sécurité adapté au risque (art. 32 § 1 RGPD).

Il est important de souligner les mesures requises doivent être prises a priori, soit avant toute violation de la sécurité des données, mais aussi a posteriori pour éviter qu’une violation se reproduise (retour d’expérience, limitation des risques, mesures correctives, etc.) L’obligation d’annonce, qui est une de ces mesures, doit aussi être systématiquement envisagée dans le cadre d’un plan de réponse standardisé en cas de violation de la sécurité des données (data breach response plan): monitoring /surveillance des données et de leurs flux en temps normal, détection et analyse d’une violation, contre-mesures, estimation du risque pour les personnes concernées et annonce obligatoire à l’autorité et éventuellement aux personnes concernées si les conditions sont remplies, documentation. Il existe des modèles pour établir de tels plans de réponse, dont celui du National Institute of Standards and Technology (NIST) [https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf]).

A teneur de l’art. 24 al. 1 nLPD, le responsable du traitement doit ainsi annoncer dans les meilleurs délais au PFPDT les cas de violation de la sécurité des données entraînant vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. Il est à noter que la solution, en droit européen, est différente. L’art. 33 § 1 RGPD prévoit ainsi la notification à l’autorité de contrôle dans tous les cas, sauf si la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés de la personne concernée. Le responsable de traitement devra aussi communiquer dans les meilleurs délais à la personne concernée une violation de données dans les meilleurs délais si celle-ci est susceptible d’engendrer un risque élevé pour ses droits et libertés (art. 34 § 1 RGPD). L’art. 24 al. 4 nLPD prévoit quant à lui que le responsable du traitement informe la personne concernée lorsque cela est nécessaire à sa protection ou lorsque le PFPDT l’exige.

Le responsable de traitement devra documenter toute violation de données à caractère personnel, y compris celles qui n’ont pas donné lieu à une notification au sens de ce qui précède (art. 33 § 5 RGPD). Le but est ici de permettre à l’autorité de contrôle de pouvoir évaluer le respect de l’art. 33 RGPD. L’art. 24 nLPD ne reprend pas cette disposition, mais le responsable de traitement serait probablement bien inspiré d’adopter cette pratique également en mettant en œuvre les dispositions de la nLPD.

Le sous-traitant est placé dans une situation particulière : il devra annoncer toute violation de sécurité au responsable du traitement, sans considération pour le degré de gravité du risque pour les personnes concernées (art. 24 al. 3 nLPD). En droit européen, on retrouve cette obligation de notifier toute violation de données à caractère personnel au responsable de traitement (art. 33 § 2 RGPD).

Une violation de la sécurité des données peut prendre différentes formes selon qu’elle porte atteinte à la disponibilité des données, à leur intégrité ou à la confidentialité. Elle peut avoir diverses causes (humaines, techniques), résulter de l’intention ou de la négligence. Les données peuvent avoir été subséquemment exploitées ou non, et l’ampleur et les conséquences de la violation peuvent être plus ou moins importantes. Peu importe pour ce qui est de la violation de la sécurité, il suffit qu’elle remplisse les conditions de l’art. 5 let. h nLPD. Ces notions seront par contre importantes dans un deuxième temps pour déterminer le risque pour les personnes concernées et définir les mesures à prendre, dont la communication.

La violation peut en effet être plus ou moins grave, et entraîner des risques plus ou moins élevés pour la personnalité et les droits fondamentaux des personnes concernées. Un examen au cas par cas s’impose toujours, étant précisé qu’il n’y a pas de règle de minimis : une violation grave constituant un risque élevé peut très bien ne concerner qu’une seule personne. Pour évaluer le risque, on tiendra compte de la probabilité que la violation ait une conséquence négative pour les personnes concernées, et de la gravité des conséquences pour celles-ci. Si un site de vente en ligne est paralysé par une cyberattaque pendant laquelle les données sont momentanément non disponible, par exemple, le risque est faible ou insignifiant. Si, par contre, les données clients, y compris celles concernant les moyens de paiement, sont copiées, ce qui permettrait des usurpations d’identités ou des atteintes au patrimoine, alors là le risque serait considéré comme élevé. En matière de ressources humaines, on pourra ainsi considérer que la perte d’une clé USB non cryptée contenant les données privées et les salaires des employés ou l’accès libre aux données sensibles des employés, que ce soit de manière externe ou même interne, constituent des risques élevés.

L’annonce doit être faite auprès du PFPDT et, dans certains cas, aussi auprès des personnes concernées lorsque cela est nécessaire à leur protection ou si le PFPDT l’exige (art. 24 al. 4 nLPD). Cette dernière hypothèse est particulièrement pertinente si les personnes concernées doivent pouvoir prendre rapidement des mesures de protection (changer des mots de passe par exemple, vérifier des relevés, modifier des données d’accès, saisir le juge de mesures provisionnelles, informer des proches, etc. ; cf. aussi RGPD, consid. 86 : la communication doit permettre à la personne concernée de prendre les précautions qui s’imposent). L’obligation d’annoncer aux tiers est toutefois soumise aux exceptions de l’art. 24 al. 5 nLPD. L’annonce peut ainsi être restreinte, différée ou abandonnée en cas de devoir de garder le secret, en présence d’intérêts publics ou privés prépondérants, si la communication est susceptible de compromettre une enquête ou une procédure judiciaire, si l’information est impossible à fournir ou exige des efforts disproportionnés ou si l’information de la personne concernée peut être garantie de manière équivalente par une communication publique.

L’annonce doit être faite « dans les meilleurs délais » (art. 24 al. 1 nLPD). Même si le législateur n’a pas repris le seuil rigide de l’art. 33 § 1 RGPD (72 heures au plus tard après avoir pris connaissance de la violation), elle devrait en tout cas être faite au plus vite, même sous une forme échelonnée si tous les éléments ne sont pas immédiatement connus du responsable de traitement (cf. art. 33 §4 RGPD). L’art. 24 al. 2 nLPD précise que l’annonce doit indiquer au moins la nature de la violation de la sécurité des données, ses conséquences et les mesures prises ou envisagées. L’art. 19 de la nouvelle ordonnance relative à la loi fédérale sur la protection des données (nOLPD), mise en consultation jusqu’au 14 octobre 2021, et qui devrait entrer en vigueur dans le deuxième semestre 2022, précise qu’en cas de violation de la sécurité des données, le responsable de traitement annoncera au PFPDT : a. la nature de la violation; b. dans la mesure du possible, le moment et la durée; c. dans la mesure du possible, les catégories et le nombre approximatif de données personnelles concernées; d. dans la mesure du possible, les catégories et le nombre approximatif de personnes concernées; e. les conséquences, y compris les risques éventuels, pour les personnes concernées; f. les mesures prises ou envisagées pour remédier à cette défaillance ou en atténuer les conséquences; g. le nom et les coordonnées d’une personne de contact. Une communication échelonnée est possible : si, lors de la détection de la violation de la sécurité des données, le responsable du traitement n’est pas en mesure de fournir au PFPDT toutes les informations susmentionnées dans le même temps, il peut les lui mettre à disposition progressivement sans retard excessif. Pour ce qui est des personnes concernées, le responsable de traitement communiquera, dans un langage simple et compréhensible, la nature de la violation, les conséquences, y compris les risques éventuels, les mesures prises ou envisagées pour remédier à cette défaillance ou en atténuer les conséquences et le nom et les coordonnées d’une personne de contact. Le responsable du traitement devra documenter les violations. La documentation contient tous les faits relatifs aux incidents, à leurs effets et aux mesures prises. Elle est conservée pendant au moins trois ans à compter de la date d’annonce.

Le fait de ne pas annoncer une violation de la sécurité des données n’est pas directement sanctionné pénalement en droit suisse. Le PFPDT peut toutefois, sur la base de l’art. 51 al. 3 let. f nLPD ordonner au responsable de traitement de respecter son obligation d’annonce auprès des personnes concernées ou du PFPDT sous la menace des peines de droit (art. 63 nLPD ; insoumission à une décision). Le système est ici très différent de celui du RGPD, qui permet le prononcé d’amendes administratives conséquentes en cas de violation du devoir d’annonce (art. 82 § 4 let. a RGPD) et/ou le prononcé de mesures correctives au sens de l’art. 58 § 2 RGPD. Le responsable de traitement engage aussi également sa responsabilité privée, ce qui peut être particulièrement dissuasif.

Une annonce fondée l’art. 24 al. 1 nLPD ne peut enfin être utilisée dans le cadre d’une procédure pénale contre la personne tenue d’annoncer qu’avec son consentement (droit de ne pas s’auto-incriminer : nemo tenetur se ipsum accusare). Cette règle ne trouve pas d’équivalent en droit européen, qui semble permettre l’utilisation de l’annonce de violation dans le cadre de sanctions prises contre le responsable de traitement.

(Bibliographie : Article 29 Data Protection Working Party, Guidelines on Personnal data breach under Regulation 2016/679, 06.02.20218 ; Communication FINMA sur la surveillance 05/2020 ; edpb, Guidelines 01/2021 on Examples regarding Data Breach Notification; C. Hirsch, Condamnation de Marriott pour une fuite de données, 9 avril 2021 in http://www.swissprivacy.law/68; J. Levis, Auto-incrimination et notification de violation des données, 17 avril 2021 in http://www.swissprivacy.law/70; S.Métille/P. Meyer, Annonce des violations de la sécurité des données : une nouvelle obligation de la nLPD, RSDA 2021 pp. 23-33 ; Projet de nouvelle ordonnance relative à la loi fédérale sur la protection des données : https://www.admin.ch/gov/fr/accueil/documentation/communiques.msg-id-84103.html)

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans nouvelle LPD, Protection des données, RGPD | Tagué 32 RGPD, 33 rgpd, 34 RGPD, data breach, nLPD, nouvelle LPD, obligation d'annoncer, PFPDT, RGPD, sécurité des données, violation de sécurité | Laisser un commentaire

Congé représailles, motifs économiques

Publié le 24 juin 2021 par Me Philippe Ehrenström

L’appelant ( = l’employé) reproche ensuite aux premiers juges d’avoir retenu que le motif économique invoqué par l’employeur à l’appui du licenciement était plus vraisemblable que le motif abusif qu’il avait invoqué. Il estime que dans la mesure où il ne percevait plus de salaire en raison de son incapacité de travail, il ne coûtait plus rien à l’entreprise et, partant, le licenciement ne pouvait être justifié pour des motifs économiques. Le congé qui lui avait été notifié ne visait en réalité qu’à le priver de ses prétentions en paiement de salaire, de sorte qu’il était abusif.

Selon l’art. 335 al. 1 CO, le contrat de travail conclu pour une durée indéterminée peut être résilié par chacune des parties. En droit suisse du travail, la liberté de la résiliation prévaut, de sorte que, pour être valable, un congé n’a en principe pas besoin de reposer sur un motif particulier. Le droit de chaque cocontractant de mettre unilatéralement fin au contrat est toutefois limité par les dispositions sur le congé abusif.

Des motifs économiques peuvent être invoqués par l’employeur lorsqu’ils ne constituent pas un prétexte. Ainsi, la résiliation n’est pas abusive lorsque le poste du travailleur est effectivement supprimé ou que celui-ci n’a pas été (même indirectement) remplacé par un employé nouvellement engagé.

En vertu de l’art. 336 al. 1 let. d CO, qui vise le congé de représailles (ou congé-vengeance), le licenciement est abusif s’il est donné par une partie parce que l’autre partie fait valoir de bonne foi des prétentions résultant du contrat de travail. Cette disposition tend en particulier à empêcher que le licenciement soit utilisé pour punir le travailleur d’avoir fait valoir des prétentions auprès de son employeur en supposant de bonne foi que les droits dont il soutenait être le titulaire lui étaient acquis.

Pour dire si un congé est abusif, il faut se fonder sur son motif réel

L’employé doit être de bonne foi, laquelle est présumée (art. 3 al. 1 CC). Il importe peu qu’en réalité, sa prétention n’existe pas. Il suffit qu’il soit légitimé, de bonne foi, à penser que sa prétention est fondée. La réclamation ne doit toutefois être ni chicanière ni téméraire, car elle empêcherait alors une résiliation en elle-même admissible.

Les prétentions émises par l’employé doivent avoir joué un rôle causal dans la décision de l’employeur de le licencier. Ainsi, le fait que l’employé émette de bonne foi une prétention résultant de son contrat de travail n’a pas nécessairement pour conséquence de rendre abusif le congé donné ultérieurement par l’employeur. Encore faut-il que la formulation de la prétention en soit à l’origine et qu’elle soit à tout le moins le motif déterminant du licenciement.

En application de l’art. 8 CC, c’est en principe à la partie qui a reçu son congé de démontrer que celui-ci est abusif. En ce domaine, la jurisprudence a tenu compte des difficultés qu’il pouvait y avoir à apporter la preuve d’un élément subjectif, à savoir le motif réel de celui qui a donné le congé. Selon le Tribunal fédéral, le juge peut présumer en fait l’existence d’un congé abusif lorsque l’employé parvient à présenter des indices suffisants pour faire apparaître comme non réel le motif avancé par l’employeur. Si elle facilite la preuve, cette présomption de fait n’a pas pour résultat d’en renverser le fardeau. Elle constitue, en définitive, une forme de preuve par indices. De son côté, l’employeur ne peut rester inactif; il n’a pas d’autre issue que de fournir des preuves à l’appui de ses propres allégations quant au motif du congé.

Le juge établit sa conviction par une libre appréciation des preuves administrées (art. 157 CPC). L’appréciation du caractère abusif du licenciement suppose l’examen de toutes les circonstances du cas d’espèce.

Selon l’art. 336c al. 1 let. b CO, après le temps d’essai, l’employeur ne peut pas résilier le contrat pendant une incapacité de travail totale ou partielle résultant d’une maladie ou d’un accident non imputables à la faute du travailleur durant 90 jours de la deuxième à la cinquième année de service.

En l’espèce, il convient pour juger si le licenciement est abusif de déterminer son motif réel.

L’intimée ( = l’employeur) a, de manière constante, indiqué avoir licencié l’appelant pour des motifs économiques. Elle se trouvait dans une situation financière délicate qui l’obligeait à se séparer d’une partie de son personnel.

Les allégations de l’intimée s’agissant des difficultés économiques rencontrées ont été corroborées par les déclarations des témoins. […]

L’appelant conteste que des motifs économiques soient à l’origine de son licenciement et fait valoir que des témoins ont confirmé qu’après son départ, la société avait engagé du personnel d’exploitation, mais également administratif, supplémentaire. Toutefois, s’il ressort en effet des enquêtes que du personnel d’exploitation a été engagé afin de développer l’activité de l’intimée, seul le témoin E______ a indiqué qu’une secrétaire avait été engagée suite au départ de l’appelant. Il est en revanche établi que le poste de ce dernier n’a pas été repourvu. Contrairement à ce que soutient l’appelant, le fait que le témoin P______ ait indiqué que le poste de l’appelant ait été repris par F______ et elle-même et qu’une téléphoniste avait été engagée ne signifie pas que son poste a été repourvu, le cahier des charges d’une téléphoniste n’étant pas le même que celui d’un responsable de bureau technique. Le témoin P______ a de plus précisé que les finances de l’entreprise ne permettaient pas d’engager du personnel supplémentaire. En tout état, la quasi-totalité des témoins ont confirmé la diminution de l’effectif de l’entreprise.

En outre, des anciens employés de l’intimée ont confirmé au Tribunal avoir été licencié pour des motifs économiques avec effet au 31 décembre 2018.

Enfin, les témoins F______ et O______, lesquels avaient déclaré avoir pris part à la discussion concernant le licenciement de l’appelant, ont tous deux confirmé que les prétentions en paiement de salaire de A______ n’étaient pas à l’origine de son licenciement et que celui-ci avait bien été licencié pour des raisons économiques.

Il s’ensuit que la réalité du motif de congé invoquée par l’intimée, à savoir l’existence de difficultés économiques, a été établie.

Or, si l’appelant a démontré avoir, avant son licenciement, réclamé le paiement de son salaire durant son incapacité de travail, il ne prouve en revanche pas que ses revendications seraient à l’origine du congé, respectivement qu’elles auraient joué un rôle déterminant dans celui-ci. Le simple fait d’émettre de bonne foi et de manière répétée des prétentions résultant du contrat de travail avant le licenciement ne suffit en effet pas pour conclure à l’existence d’un congé-représailles. En tout état, si le licenciement a été signifié à l’appelant après que celui-ci ait mis par écrit les prétentions qu’il avait réclamées dès avril 2018, dans son courrier du 19 mai 2018, il l’a surtout été à l’échéance du délai de nonante jours de protection dont l’appelant bénéficiait en raison de son incapacité de travail. L’appelant ne saurait par ailleurs être suivi lorsqu’il soutient que dans la mesure où son employeur ne lui versait plus de salaire en raison de son incapacité de travail de longue durée, il ne représentait aucun coût pour l’intimée et qu’il ne se justifiait dès lors pas de le licencier pour des motifs économiques. L’on ne saurait en effet exiger d’un employeur qui fait face à des difficultés financières que celui-ci attende le retour d’un employé incapable de travailler pour lui signifier son licenciement, et ce, peu importe, s’il était considéré comme un bon élément. Par ailleurs, les motifs économiques attachés à un licenciement ne sont pas en lien avec le seul coût direct du salarié licencié mais plus largement en lien avec la situation économique de l’entreprise, laquelle, en l’espèce, n’était pas bonne, comme en ont attesté les témoins, l’intimée ayant été contrainte de restreindre de près de la moitié son personnel.

Au vu de ce qui précède, c’est à juste titre que le Tribunal a considéré que le congé litigieux n’était pas abusif et rejeté les prétentions de l’appelant en paiement d’une indemnité pour licenciement abusif.

(Arrêt de la Chambre des Prud’hommes de la Cour de justice du canton de Genève CAPH/111/2021 du 07.06.2021 consid. 4)

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans Licenciement abusif | Tagué congé représailles, licenciement abusif, motifs économiques | Laisser un commentaire

Inscription au barreau d’avocats de l’UE

Publié le 22 juin 2021 par Me Philippe Ehrenström

La loi fédérale sur la libre circulation des avocats du 23 juin 2000 (LLCA – RS 935.61) garantit la libre circulation des avocats et fixe les principes applicables à l’exercice de la profession d’avocat en Suisse (art. 1). Elle détermine notamment les modalités selon lesquelles les avocats ressortissants des États membres de l’UE peuvent pratiquer la représentation en justice (art. 2 al. 2). Les art. 27 à 29 LLCA règlent l’exercice permanent de la profession d’avocat, sous le titre d’origine, par les avocats ressortissants des États membres de l’UE.

L’avocat ressortissant d’un État membre de l’UE ou de l’AELE habilité à exercer dans son État de provenance sous un titre figurant en annexe – au Portugal, le titre « advogado » par exemple – peut pratiquer la représentation en justice en Suisse à titre permanent, sous son titre professionnel d’origine, après s’être inscrit au tableau (art. 27 al. 1 LLCA et annexe LLCA).

L’autorité de surveillance tient un tableau public des avocats des États membres de l’UE ou de l’AELE autorisés à pratiquer la représentation en justice en Suisse de manière permanente sous leur titre d’origine (art. 28 al. 1 LLCA). L’avocat s’inscrit auprès de l’autorité de surveillance du canton sur le territoire duquel il a une adresse professionnelle. Il établit sa qualité d’avocat en produisant une attestation de son inscription auprès de l’autorité compétente de son État de provenance ; cette attestation ne doit pas dater de plus de trois mois (art. 28 al. 2 LLCA).

A Genève, l’avocat désireux de figurer sur le tableau des avocats UE/AELE doit adresser une demande écrite, accompagnée de l’attestation requise, à la commission (art. 22 al. 1 LPAv). La commission peut déléguer l’examen des conditions d’inscription et l’inscription au tableau des avocats UE/AELE à son secrétariat (art. 22 al. 2 et 21 al. 2 p. a. LPAv).

La conclusion de l’accord du 21 juin 1999 entre la Confédération suisse, d’une part, et la Communauté européenne et ses États membres, d’autre part, sur la libre circulation des personnes (ALCP – RS 0.142.112.681) a impliqué pour la Suisse de régler dans la LLCA les modalités d’accès aux activités d’avocat en Suisse pour les avocats ressortissants des États membres de l’UE, en transposant en droit suisse la réglementation communautaire pertinente, soit notamment la directive 98/5/CE du parlement européen et du Conseil de l’UE du 16 février 1998 visant à faciliter l’exercice permanent de la profession d’avocat dans un État membre autre que celui où la qualification a été acquise (ci-après : la directive 98/5/CE ; art. 9 ALCP ; art. 1 annexe III ALCP ; point 3 section A annexe III ALCP). Cette directive autorise l’avocat d’un État membre à exercer dans tout autre État membre sous son titre professionnel d’origine les mêmes activités professionnelles que celles de l’avocat exerçant sous le titre professionnel de l’État membre d’accueil. Cette activité sous le titre d’origine est soumise à la condition que l’avocat migrant s’inscrive auprès de l’autorité compétente de l’État d’accueil.

Les art. 27 à 29 LLCA règlent ainsi l’exercice permanent de la profession d’avocat, sous le titre d’origine, par les avocats ressortissants des États membres de l’UE conformément à la directive 98/5/CE (FF 1999 5331 p. 5378). L’avocat qui entend exercer sous son titre d’origine s’annonce auprès de l’autorité de surveillance du canton dans lequel il dispose d’une adresse professionnelle. Sur la base d’une attestation d’inscription auprès de l’autorité compétente de l’État de provenance, l’autorité de surveillance l’inscrit sur un tableau qui ne comprend que les avocats des États membres de l’UE exerçant sous leur titre d’origine.

La directive 98/5/CE a pour objet de faciliter l’exercice permanent de la profession d’avocat à titre indépendant ou salarié dans un État membre autre que celui dans lequel a été acquise la qualification professionnelle (art. 1 al. 1 directive 98/5/CE).

On entend par « avocat » toute personne, ressortissant d’un État membre, habilitée à exercer ses activités professionnelles sous l’un des titres professionnels mentionnés – parmi lesquels, pour le Portugal, celui d’« advogado » – (let. a), par « État membre d’origine » l’État membre dans lequel l’avocat a acquis le droit de porter l’un des titres professionnels visés à la let. a, avant d’exercer la profession d’avocat dans un autre État membre (let. b) et par « titre professionnel d’origine » le titre professionnel de l’État membre dans lequel l’avocat a acquis le droit de porter ce titre avant d’exercer la profession d’avocat dans l’État membre d’accueil (let. d ; art. 1 al. 2 directive 98/5/CE).

Tout avocat a le droit d’exercer à titre permanent, dans tout autre État membre, sous son titre professionnel d’origine, les activités d’avocat telles que précisées à l’art. 5 directive 98/5/CE (art. 2 directive 98/5/CE).

L’avocat voulant exercer dans un État membre autre que celui où il a acquis sa qualification professionnelle est tenu de s’inscrire auprès de l’autorité compétente de cet État membre (art. 3 al. 1 directive 98/5/CE). L’autorité compétente de l’État membre d’accueil procède à l’inscription de l’avocat au vu de l’attestation de son inscription auprès de l’autorité compétente de l’État membre d’origine. Elle peut exiger que cette attestation délivrée par l’autorité compétente de l’État membre d’origine n’ait pas, lors de sa production, plus de trois mois de date. Elle informe l’autorité compétente de l’État membre d’origine de cette inscription (art. 3 al. 2 directive 98/5/CE).

Selon la jurisprudence de la Cour de justice de l’UE (ci-après : CJUE), la présentation à l’autorité compétente de l’État membre d’accueil d’une attestation d’inscription auprès de l’autorité compétente de l’État membre d’origine apparaît comme l’unique condition à laquelle doit être subordonnée l’inscription de l’intéressé dans l’État membre d’accueil lui permettant d’exercer dans ce dernier État membre sous son titre professionnel d’origine (arrêts de la CJUE Monachos Eirinaios, C-431/17, du 7 mai 2019, § 27 ; Torresi, C-58/13 et C-59/13, du 17 juillet 2014, § 39). Dès lors, il y a lieu de considérer que les avocats qui ont acquis le droit de porter ce titre professionnel dans un État membre et qui présentent à l’autorité compétente de l’État membre d’accueil l’attestation de leur inscription auprès de l’autorité compétente de ce premier État membre, doivent être considérés comme remplissant toutes les conditions nécessaires à leur inscription auprès de l’autorité compétente de l’État membre d’accueil, sous leur titre professionnel obtenu dans l’État membre d’origine (arrêts de la CJUE Monachos Eirinaios précité, § 28).

Selon la jurisprudence du Tribunal fédéral, l’art. 28 al. 2 LLCA exige uniquement, comme condition préalable à l’inscription au tableau de avocats UE/UALE, que l’avocat apporte la preuve de son aptitude à exercer la profession d’avocat au moyen d’une attestation d’inscription auprès de l’autorité compétente de l’État d’origine (arrêt du Tribunal fédéral A.536/2003 du 9 août 2004 consid. 4.1). C’est sur la base de cette attestation que l’autorité compétente de l’État d’accueil procède à l’inscription de l’avocat étranger (arrêt du Tribunal fédéral 2C_874/2016 du 23 décembre 2016 consid. 7.2).

La chambre administrative a eu l’occasion d’examiner l’affaire d’un avocat, ressortissant de France et inscrit au barreau roumain, qui demandait son inscription au tableau des avocats UE/AELE en se fondant sur son inscription au barreau de Malte. L’intéressé faisait valoir une attestation selon laquelle il était autorisé à la pratique de la profession juridique sous le titre de son pays d’origine, lequel ne pouvait, en toute logique, être Malte et une seconde attestation qui ne correspondait pas à un titre d’origine. La chambre administrative a dès lors conclu que le recourant n’avait pas établi à satisfaction que le titre maltais dont il se prévalait correspondait à son titre professionnel d’origine visé par la LLCA (ATA/584/2009 du 10 novembre 2009 consid. 11).

Une décision ou un arrêté viole le principe de l’égalité de traitement garanti par l’art. 8 de la Constitution fédérale de la Confédération suisse du 18 avril 1999 (Cst. – RS 101) lorsqu’il établit des distinctions juridiques qui ne se justifient par aucun motif raisonnable au regard de la situation de fait à réglementer ou lorsqu’il omet de faire des distinctions qui s’imposent au vu des circonstances, c’est-à-dire lorsque ce qui est semblable n’est pas traité de manière identique et lorsque ce qui est dissemblable ne l’est pas de manière différente. Cela suppose que le traitement différent ou semblable injustifié se rapporte à une situation de fait importante. La question de savoir si une distinction juridique repose sur un motif raisonnable peut recevoir une réponse différente selon les époques et suivant les conceptions, idéologies et situations du moment.

La notion de pratique administrative désigne la répétition constante et régulière dans l’application d’une norme par les autorités administratives. De cette répétition peuvent apparaître, comme en ce qui concerne la jurisprudence, des règles sur la manière d’interpréter la loi ou de faire usage d’une liberté d’appréciation. Elle vise notamment à résoudre de manière uniforme des questions de fait, d’opportunité ou d’efficacité. Cette pratique ne peut être source de droit et ne lie donc pas le juge, mais peut néanmoins avoir indirectement un effet juridique par le biais du principe de l’égalité de traitement.

Un changement de pratique administrative doit reposer sur des motifs sérieux et objectifs, c’est-à-dire rétablir une pratique conforme au droit, mieux tenir compte des divers intérêts en présence ou d’une connaissance plus approfondie des intentions du législateur, d’un changement de circonstances extérieures, de l’évolution des conceptions juridiques ou des moeurs. Les motifs doivent être d’autant plus sérieux que la pratique suivie jusqu’ici est ancienne. À défaut, elle doit être maintenue.

En l’espèce, l’intimée [la Commission du barreau du canton de Genève]a refusé l’inscription du recourant, ressortissant européen ayant le titre d’« advogado » au Portugal, au tableau des avocats UE/AELE, car il avait obtenu sa qualification professionnelle hors de l’UE/AELE et été reconnu comme avocat au Portugal uniquement en application du principe de la réciprocité liant le Brésil et le Portugal.

Cependant, d’une part, contrairement à ce qui prévalait dans l’ATA/584/2009 précité, le recourant n’est pas uniquement autorisé à exercer au Portugal sous son titre brésilien, mais s’est vu attribuer le titre portugais lui-même, de sorte que ce précédent n’est pas applicable dans le cas d’espèce, contrairement à ce qu’a retenu l’intimée.

D’autre part, il ressort de la LLCA, son annexe et ses travaux préparatoires, de la directive 98/5/CE et de la jurisprudence, tant européenne que du Tribunal fédéral, que la seule condition d’inscription au tableau des avocats UE/AELE correspond à l’exigence que le ressortissant UE/AELE soit inscrit dans un État membre de l’UE ou de l’AELE sous l’un des titres mentionnés dans l’annexe à la LLCA. Ce dernier constitue son titre professionnel d’origine. Il s’agit de l’unique fait concernant ses qualifications professionnelles dont il doit apporter la preuve par une attestation au sens de l’art. 28 al. 2 LLCA datant de moins de trois mois.

Or, le recourant, ressortissant notamment d’Allemagne, a démontré, par une attestation datant de moins de trois mois au moment du dépôt de la demande auprès de l’intimée, être inscrit en tant qu’avocat au barreau portugais.

Ce qui précède suffit à l’inscription du recourant au tableau des avocats UE/AELE et aurait donc dû conduire l’intimée à admettre le recourant à exercer en Suisse de manière permanente sous son titre d’origine, soit le titre d’« advogado » portugais.

L’intimée admet d’ailleurs avoir par le passé donné suite à la demande d’inscription au tableau des avocats UE/AELE de quatre avocats inscrits au barreau portugais ayant initialement obtenu leur titre professionnel au Brésil, ne contestant pas le fait que ces quatre cas sont similaires à celui du recourant, comme le confirment du reste leurs dossiers versés à la procédure.

La commission affirme néanmoins qu’elle exigerait désormais que le titre professionnel d’origine ait été acquis dans un État membre de l’UE/AELE, car son attention avait été attirée sur le fait que certains avocats ayant pu être inscrits au registre cantonal des avocats par le biais de l’art. 30 al. 1 let. b LLCA ne maîtrisaient aucune des langues nationales de manière suffisante ou avaient une connaissance insuffisante du droit suisse, rendant problématique l’exercice de la profession devant les instances helvétiques.

Si les soucis invoqués par l’intimée apparaissent compréhensibles et légitimes, la loi est claire et la nouvelle pratique dont elle se prévaut se heurte à celle-là, en ajoutant une condition qui n’y est pas prévue. En outre, cette pratique n’est pas de nature à répondre aux préoccupations exprimées par l’autorité intimée. Dite pratique est ainsi contraire au principe de la légalité, l’ajout d’une condition supplémentaire n’incombant pas à l’autorité d’application mais au législateur.

Il sera au surplus relevé que le souci de la commission ne s’inscrit pas dans le cadre de l’inscription au tableau des avocats UE/AELE, mais se rapporte à l’inscription au registre des avocats pour laquelle l’art. 30 LLCA requiert un examen différent de celui prévu par les art. 27 et 28 LLCA, en particulier en exigeant une activité effective et régulière en droit suisse.

Au vu de ce qui précède, l’intimée a traité différemment le recourant, dont la situation est pourtant identique à celle de quatre avocats inscrits au barreau portugais ayant initialement obtenu leur qualification professionnelle au Brésil, ceci en opérant un changement de pratique contraire à la loi. Ce faisant, elle a violé les principes de la légalité et de l’égalité de traitement.

Dans ces circonstances, le recours sera admis. La décision entreprise sera annulée et le dossier sera renvoyé à l’intimée pour inscription du recourant au tableau des avocats UE/AELE.

(Arrêt de la Chambre administrative de la Cour de justice du canton de Genève ATA/550/2021 du 25 mai 2021)

Me Philippe Ehrenström, LL.M, avocat, Genève et Onnens (VD)

Publié dans Avocats (règles professionnelles) | Tagué avocat, avocats de l'UE, Genève, inscription au barreau, Suisse | Laisser un commentaire

Accès indu au dossier RH, révocation avec effet immédiat

Publié le 21 juin 2021 par Me Philippe Ehrenström

Dans une note de mai 2017, A.________ s’est vu reprocher de s’être rendu à plusieurs reprises et sans prise de contact préalable dans les locaux de l’administration E.________ (ci-après: l’administration E.________) au motif de vouloir rendre service à F.________, cheffe de groupe coordinatrice et adjointe au service du contentieux de l’administration E.________, en congé maladie. Il lui a été demandé de ne plus se rendre dans les locaux précités et ses supérieurs l’ont reçu en entretien.

Le 13 décembre 2018, les directeurs des ressources humaines (ci-après: RH) du DT et du département des finances et des RH (ci-après: DF) ont adressé un courriel à A.________ et F.________ au sujet de leur présence commune répétée dans les toilettes des hommes ou des femmes du DF. Ce message a été versé dans leur dossier respectif, ce à quoi les intéressés se sont opposés par courriel commun.

Le 19 février 2019, le directeur des RH du DF a été informé qu’un nettoyeur avait noté la présence de A.________ dans les locaux de la direction des RH du DF le soir du 18 février 2019. Le même jour, il a entendu l’équipe de nettoyage. Selon les déclarations recueillies, le 18 février 2019, A.________ avait emprunté un badge à un nettoyeur, pénétré dans les bureaux de la direction des RH du DF, en était ressorti avec des documents et en avait fait des photocopies. A l’issue de l’audition, le responsable de secteur RH du DF a constaté que les échanges de courriels de décembre 2018 versés dans le dossier personnel de F.________ avaient disparu. Le 20 février 2019, le « log » de la photocopieuse de l’office D.________ et le journal d’utilisation du badge du nettoyeur ont été vérifiés. Les données coïncidaient avec les faits relatés par l’équipe de nettoyage.

Le Conseil d’Etat a ordonné l’ouverture d’une enquête administrative à l’encontre de A.________. Il a confié l’enquête à un magistrat de la Cour de justice. Il a par ailleurs ratifié la libération provisoire de l’obligation de travailler et a suspendu l’employé de ses fonctions.

Le 5 juin 2019, l’enquêteur a rendu son rapport et conclu qu’une faute disciplinaire était établie. L’intrusion indue et subreptice de A.________ dans les archives des RH du DF le 18 février 2019 devait être qualifiée de faute grave. Elle avait été précédée d’une déambulation préoccupante dans les locaux des ressources humaines du DF le 17 décembre 2018, pouvant être comprise comme une tentative ou des repérages avant l’occasion favorable.

Le Conseil d’Etat a révoqué A.________ de ses fonctions avec effet immédiat, ce qui a été confirmé par la Chambre administrative de la Cour de justice du canton de Genève.

Le litige porte sur le point de savoir si c’est à bon droit que la cour cantonale a confirmé la révocation du recourant avec effet immédiat.

Selon l’art. 16 al. 1 de la loi générale du canton de Genève du 4 décembre 1997 relative au personnel de l’administration cantonale, du pouvoir judiciaire et des établissements publics médicaux (LPAC; RS/GE B 5 05), les fonctionnaires et les employés qui enfreignent leurs devoirs de service, soit intentionnellement soit par négligence, peuvent faire l’objet, selon la gravité de la violation, des sanctions suivantes:

a) prononcé par le supérieur hiérarchique, en accord avec sa hiérarchie:

1° le blâme;

b) prononcées, au sein de l’administration cantonale, par le chef du département ou le chancelier d’Etat, d’entente avec l’office du personnel de l’Etat; au sein des services centraux et des greffes du pouvoir judiciaire, par le secrétaire général du pouvoir judiciaire; au sein de l’établissement, par le directeur général:

2° la suspension d’augmentation du traitement pendant une durée déterminée,

3° la réduction de traitement à l’intérieur de la classe;

c) prononcées, à l’encontre d’un fonctionnaire, au sein de l’administration cantonale, par le Conseil d’Etat; au sein des services centraux et des greffes du pouvoir judiciaire, par la commission de gestion du pouvoir judiciaire; au sein de l’établissement par le conseil d’administration:

4° le retour au statut d’employé en période probatoire pour une durée maximale de 3 ans,

5° la révocation.

Selon la jurisprudence de la Cour de justice (cf. ATA/56/2019 consid. 11), il faut distinguer deux types de licenciement s’agissant de la résiliation des rapports de service d’un membre du personnel: la résiliation pour des motifs objectifs liés au bon fonctionnement de l’administration, ou licenciement pour motif fondé (art. 22 LPAC), qui est une mesure administrative, et le licenciement pour violation des devoirs de service ou révocation, lequel est une sanction disciplinaire (art. 16 al. 1 let. c ch. 5 LPAC). Le recours contre une sanction disciplinaire est traité à l’art. 30 LPAC, tandis que celui contre une décision de résiliation des rapports de service l’est à l’art. 31 LPAC.

C’est sans arbitraire que la cour cantonale s’est fondée sur le rapport de l’enquêteur du 5 juin 2019 et a tenu pour établi que le recourant s’était introduit dans les bureaux des archives des RH du DF sans autorisation. A l’instar de l’autorité intimée, les juges cantonaux ont considéré que cette intrusion s’était faite par le biais de l’emprunt du badge d’un nettoyeur et constituait une violation grave des devoirs de service du recourant. Aussi, elle justifiait une rupture du lien de confiance entre l’autorité intimée et son employé qui devait être sanctionnée par une révocation avec effet immédiat.

A titre subsidiaire, le recourant se plaint d’une violation du principe de proportionnalité (art. 5 al. 2 Cst.) en lien avec l’art. 16 LPAC. La cour cantonale n’aurait pas procédé à un examen sous l’angle de la proportionnalité et les actes reprochés au recourant ne léseraient pas d’intérêt public suffisant pour justifier la fin des rapports de service après dix ans de services loyaux et compétents. Une mesure moins sévère, comme l’éloignement du recourant de F.________ et du DF combiné avec une sanction, aurait suffi à éviter toute récidive et permis la continuation des rapports de travail.

Une mesure viole le principe de la proportionnalité notamment si elle excède le but visé et qu’elle ne se trouve pas dans un rapport raisonnable avec celui-ci et les intérêts, en l’espèce publics, compromis. Le principe de la proportionnalité, bien que de rang constitutionnel, ne constitue pas un droit constitutionnel avec une portée propre. Aussi, lorsque, comme en l’espèce, ce principe est invoqué en relation avec l’application du droit cantonal (en dehors du domaine de protection d’un droit fondamental spécial), le Tribunal fédéral n’intervient-il, en cas de violation du principe de la proportionnalité, que si la mesure de droit cantonal est manifestement disproportionnée et qu’elle viole simultanément l’interdiction de l’arbitraire; autrement dit le grief se confond avec celui de l’arbitraire.

Le choix du type et de la gravité de la sanction doit répondre au principe de la proportionnalité. Il doit être approprié au genre et à la gravité de la violation des devoirs professionnels et ne pas aller au-delà de ce qui est nécessaire pour assurer les buts d’intérêt public recherchés.

Dans le domaine des mesures disciplinaires, la révocation est la sanction la plus lourde. Elle implique une violation grave ou continue des devoirs de service. Il peut s’agir soit d’une violation unique spécialement grave, soit d’un ensemble de transgressions dont la gravité résulte de leur répétition. L’importance du manquement doit être appréciée à la lumière des exigences particulières qui sont liées à la fonction occupée. Toute violation des devoirs de service ne saurait cependant être sanctionnée par la voie de la révocation disciplinaire. Cette mesure revêt en effet l’aspect d’une peine et présente un caractère plus ou moins infamant. Elle s’impose surtout dans les cas où le comportement de l’agent démontre qu’il n’est plus digne de rester en fonction.

Lorsque l’autorité choisit la sanction disciplinaire qu’elle considère appropriée, elle dispose d’un large pouvoir d’appréciation, lequel est toutefois subordonné au respect du principe de la proportionnalité. Son choix ne dépend pas seulement des circonstances subjectives de la violation incriminée ou de la prévention générale, mais aussi de l’intérêt objectif à la restauration, vis-à-vis du public, du rapport de confiance qui a été compromis par la violation du devoir de fonction.

En l’espèce, sans remettre en cause ses compétences professionnelles et l’absence d’antécédents disciplinaires, les juges cantonaux ont considéré que le comportement du recourant lors des faits qui lui étaient reprochés ne relevaient pas de l’exécution fidèle et diligente des tâches professionnelles, mais de son lien de confiance avec l’employeur. En raison d’incidents passés, le recourant avait déjà été avisé du fait qu’il n’avait pas à pénétrer dans les locaux de l’autre département occupant le même bâtiment que le sien lorsqu’il n’y était pas invité ou convoqué. Il s’était aussi engagé à ne pas se rendre dans un endroit où il n’était pas autorisé à être. En dépit de cela, il avait procédé à des repérages quelques mois auparavant, demandé au nettoyeur s’ils étaient seuls, pris la précaution de se renseigner sur comment il pourrait sortir du bâtiment au-delà des heures d’ouverture sans utiliser son badge. Il avait en outre créé l’apparence d’avoir quitté le lieu de travail à 18h56, avait accédé aux bureaux non seulement en dehors des heures de travail, mais encore avec un badge emprunté à un nettoyeur, et avait ainsi voulu tromper son employeur. A l’issue de l’enquête administrative ouverte à son encontre, le recourant n’avait pas montré qu’il avait compris la gravité de son comportement et entendait s’amender. Au contraire, il avait dénigré les témoins et minimisé les faits qui lui étaient reprochés. Son intrusion non autorisée dans les archives du personnel des RH du DF comportant des informations sensibles des collaborateurs avait par ailleurs eu des conséquences sur le bon fonctionnement du département. La révocation du recourant avec effet immédiat permettait ainsi d’éviter toute éventuelle réitération du comportement répréhensible et était dès lors conforme au droit.

Ce raisonnement résiste à l’examen sous l’angle du principe de la proportionnalité: la révocation avec effet immédiat n’apparaît pas manifestement disproportionnée et ne viole pas l’interdiction de l’arbitraire. En effet, pour les motifs soigneusement exposés par la cour cantonale, la violation par le recourant de ses devoirs de service est particulièrement grave. Aussi, compte tenu des faits constatés par la cour cantonale, il n’apparaît pas arbitraire de considérer que le lien de confiance entre l’autorité intimée et son employé est rompu. Enfin, le recourant échoue également à démontrer le caractère arbitraire de l’appréciation de la cour cantonale en alléguant qu’il aurait suffi, à titre de sanction disciplinaire, de l’éloigner de F.________. Par cette argumentation, il semble méconnaître que ce ne sont pas les faits rapportés dans les courriels du 13 décembre 2018 versés aux dossiers personnels du recourant et de F.________ qui ont fondé sa révocation avec effet immédiat, mais son intrusion planifiée le soir du 18 février 2019 dans les bureaux des archives des RH du DF, auxquels il avait été interdit d’accès et qui comportaient des informations sensibles sur les collaborateurs. Aussi bien, la cour cantonale n’a-t-elle pas abusé de son large pouvoir d’appréciation en considérant que la révocation avec effet immédiat était conforme au droit.

(Arrêt du Tribunal fédéral 8C_530/2020 du 1er juin 2021)

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

Publié dans Fonction publique, Licenciement immédiat, Protection de la personnalité, Protection des données | Tagué accès indu, dossier RH, révocation immédiate | Laisser un commentaire

Travail, protection des données et IA

Le droit à la portabilité des données

L’analyse d’impact relative à la protection des données

Le contrat de travail du Data Protection Officer (DPO)

Le Data Protection Officer (DPO) en droit suisse

Protection des données dès la conception et par défaut

Protection des données et sécurité des données: régime actuel, régime futur

Obligation d’annoncer les violations de la sécurité des données (data breach)

Congé représailles, motifs économiques

Inscription au barreau d’avocats de l’UE

Accès indu au dossier RH, révocation avec effet immédiat

Articles récents

Catégories

Méta

S'abonner au blog via courriel

Partager:

Partager:

Partager:

Partager:

Partager:

Partager:

Partager:

Partager:

Partager:

Partager:

Articles récents

Catégories

Méta

S'abonner au blog via courriel