Nouvelle loi sur la protection des données: à quoi faut-il faire attention?
Source Centre Patronal Paudex, Pierre-Gabriel Bieri, responsable politique
La loi révisée sur la protection des données entrera en vigueur le 1er septembre 2023. Elle implique de nouvelles notions, de nouveaux rôles et de nouvelles tâches – et il sera essentiel de documenter chaque étape de sa mise en œuvre. Il s’agira aussi de désigner explicitement, dans chaque entreprise, qui traite quelles données et dans quel but.
Le temps presse
Le processus législatif a été différent de celui de l'UE et on ne peut donc pas parler d’une reprise du droit européen ; il n’empêche que 80% environ des dispositions de la nouvelle loi sur la protection des données (nLPD) sont comparables, quant à leur contenu, à celles du Règlement général européen sur la protection des données (RGPD). Si le processus législatif a duré longtemps, c’est qu’il a été difficile de trouver un compromis réunissant les exigences politiques de la gauche et de la droite.
Le Conseil fédéral a décidé que le délai transitoire d'un an courait dès l’adoption de l’ordonnance sur la protection des données (OPDo) du 31 août 2022 ; il se termine le 31 août 2023. Ce délai donne aux entreprises le temps nécessaire pour s'adapter aux nouvelles règles. La nouvelle loi sur la protection des données entre donc en vigueur le 1er septembre 2023.
Les entreprises doivent se préoccuper le plus rapidement possible des nouvelles tâches et obligations qui leur incombent, et désigner une personne responsable de la protection des données. Les principes de la protection des données restent inchangés: licéité de la collecte de données, traitement conforme aux principes de la bonne foi et de la proportionnalité, caractère reconnaissable de la collecte de données et de sa finalité (transparence), conformité au but indiqué, exactitude et sécurité des données. Dans le contexte du droit du travail en particulier, il faut tenir compte du fait que, conformément à l'art. 328b du Code des obligations, l’employeur ne peut traiter des données concernant les candidats ou les collaborateurs que si ces données sont nécessaires pour juger de leurs aptitudes ou pour l’exécution des rapports de travail (par exemple le décompte pour la caisse de compensation).
Nouveaux rôles, nouvelles sanctions
La nLPD fait la distinction entre le rôle du responsable du traitement des données, celui du sous-traitant et celui du conseiller à la protection des données. Il faut toutefois chercher ces trois rôles dans la loi, car les deux premiers sont mentionnés à l’art. 5, dans le chapitre «Définitions», tandis que le dernier est mentionné à l'art. 10 et est conçu comme un service interne facultatif. Il est permis de confier le traitement des données à une instance externe – par exemple la comptabilité salariale à une entreprise de paie ou le recrutement à un centre d'évaluation. Le mandataire ne peut toutefois traiter les données que dans la mesure où le mandant lui-même y est autorisé. Si le mandant ne vérifie pas que le mandataire garantit la sécurité de ses données, il se rend coupable d'une infraction.
Les articles 60 et suivants nLPD prévoient désormais des amendes pouvant atteindre 250'000 CHF. Contrairement au RGPD européen, ce n'est pas l'entreprise qui est sanctionnée, mais la personne responsable de l'infraction au sein de l'entreprise – la sanction de l'entreprise elle-même étant conçue comme un cas d'exception. Même si l'entreprise paie l'amende, la personne sanctionnée supporte le risque d'une inscription au casier judiciaire. Une amende n'est toutefois infligée que sur plainte – il ne s'agit pas d'un délit poursuivi d'office – et en cas de violation intentionnelle des dispositions légales.
«Les entreprises doivent documenter les démarches de mise en œuvre de la nouvelle loi.»
Nouvelles tâches et obligations
Parmi les nouvelles obligations figure notamment l'établissement d'un registre des activités de traitement, aussi appelé inventaire des données. Il consiste à déterminer, au sein de l'entreprise ou de l'organisation, qui traite quelles données et dans quel but. Les structures de moins de 250 collaborateurs sont dispensées de ce processus fastidieux si elles ne traitent pas de données personnelles sensibles à grande échelle, ou si elles ne pratiquent pas de profilage à risque. En outre, une analyse d'impact relative à la protection des données (AIPD) est requise en cas de traitement de données sensibles, c'est-à-dire de données présentant un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. Si l’on constate qu’aucune donnée de ce type n'est traitée, il n'est pas nécessaire de procéder à une AIPD – mais ce constat devrait être documenté.
Le responsable du traitement des données doit annoncer le plus rapidement possible au Préposé fédéral à la protection des données et à la transparence (PFPDT) toute violation de la sécurité susceptible d'engendrer un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées ; par exemple si un smartphone non protégé par un mot de passe est oublié dans un train, ou si un dossier de recrutement contenant des évaluations est envoyé par erreur à un faux destinataire extérieur à l’organisation, ou encore si un compte de messagerie est piraté. La loi prévoit le contenu minimal d'une telle notification. L’obligation d'informer et de renseigner n’est pas nouvelle, mais elle fait désormais l'objet d'exigences accrues. Une entreprise qui traite des données personnelles devrait ainsi l’annoncer explicitement sur son site internet, en indiquant éventuellement une déclaration de protection des données ou l'adresse électronique du conseiller à la protection des données (par exemple protection-des-donnees@xy.ch). L’obligation d’informer implique aussi de déterminer, au sein de l’entreprise, qui est responsable de répondre aux demandes.
A partir de l'automne 2023, seules les données des personnes physiques seront protégées; les associations et les fondations seront aussi tenues d’assurer une telle protection. Bien que la plupart des associations ne traitent guère de données à haut risque concernant leurs membres, il convient de mener une analyse afin de documenter cette absence de risque et de conclure explicitement que ni un inventaire des données ni une analyse d’impact (AIPD) ne sont nécessaires
REDACTEUR RESPONSABLE
Pierre-Gabriel Bieri, responsable politique