Le 15 septembre 2017, le Conseil fédéral émettait un message relatif à la nécessité de réviser la Loi fédérale du 19 juin 1992 sur la protection des données (LPD). Trois ans plus tard, le Conseil des États et le Conseil National votent finalement le dernier projet de Loi fédérale sur la protection des données (nLPD), en date du 25 septembre 2020.

Pourquoi cette nouvelle loi ?

La loi actuelle a été rédigée il y a bientôt 30 ans, à l’ère où internet n’était qu’un projet technique, et elle est censée régir de nos jours les projets numériques, telle que très récemment, la mise en service de l’application de traçage des contacts SwissCovid. Autant dire que l’outil de référence en matière de protection des données qui plus est, à disposition du Préposé Fédéral à la Protection des Données et à la Transparence (PFPDT), était devenu obsolète.

Cela fait également plus de 2 ans que le fameux Règlement Européen sur la Protection des Données (RGPD ou règlement n°2016/679) est entré en vigueur (le 25 mai 2018) et la Commission européenne était en train de réévaluer si la Suisse offrait toujours un niveau de protection suffisant en termes de transfert de données hors UE. Le maintien de cette décision d’adéquation semblait compromis.

Concrètement, que doit-on mettre en place au niveau RH ?

A titre de rappel, « l’employeur ne peut traiter des données concernant le travailleur que dans la mesure où ces données portent sur les aptitudes du travailleur à remplir son emploi ou sont nécessaires à l’exécution du contrat de travail. En outre, les dispositions de la loi fédérale du 19 juin 1992 sur la protection des données sont applicables. » (article 328b du Code des obligations). La loi fédérale du 19 juin 1992 faisant l’objet de la révision que nous développons dans cet article.

Si votre organisation a déjà mis en place les exigences du RGPD pour l’ensemble des données personnelles qu’elle traite, la liste des actions à entreprendre n’est pas bien longue, étant donné qu’il s’agit principalement d’une remise à niveau par rapport au standard européen.

Toutefois, si tel n’est pas le cas, voici une sélection de 3 principales actions à entreprendre dans le cadre de la gestion des données personnelles au niveau RH.

1. Réaliser une analyse d’impact relative à la protection des données personnelles (AIPD) – Article 22 nLPD

« Lorsque le traitement est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée ». Le « risque élevé » n’est pas défini de manière exhaustive mais concernant les données du personnel, il ne fait pas de doute que ce soit le cas dû aux données sensibles que vous traitez certainement. Les données sensibles concernent notamment « les données sur des poursuites ou sanctions pénales et administratives » (article 3 LPD).

De manière très succinte, effectuer une AIPD revient d’abord à décrire de manière détaillée les traitements mis en œuvre. Par exemple, la manière dont vous collectez et vérifiez les données de vos collaborateurs.trices et candidat.e.s. Ensuite, il s’agira de s’assurer que les principes de base de finalité, nécessité et proportionnalité (notamment de durée de conservation) soient respectés. Finalement, il sera nécessaire d’effectuer une étude plus technique sur la sécurité des données ainsi que sur leurs impacts sur la vie privée, notamment en vous faisant aider par votre département de sécurité de l’information.

Si cette AIPD vous semble floue et que vous êtes un fournisseur de systèmes ou de logiciels de traitement des données personnelles, notamment de logiciels dans le domaine des ressources humaines, l’article 13 nLPD vous suggère de passer par une certification de vos systèmes ou de vos services.

2. Appliquer les principes de « protection des données dès la conception et par défaut » (Privacy by design & by default) – Article 7 nLPD

Ces principes et bonnes pratiques ont tout simplement été repris de l’article 25 du RGPD. Cela signifie que la protection des données doit être au centre des réflexions de tout projet dès sa conception en adoptant des mesures préventives et une fois le projet déployé, le niveau de protection défini doit être par défaut à son niveau le plus élevé.

Si vous envisagiez de ne plus demander à vos collaborateurs.trices ou candidat.e.s d’apporter eux-mêmes leurs documents tels qu’un extrait de l’office des poursuites ou de casier judiciaire, mais que vous souhaitiez externaliser l’obtention des documents à la source par une société de screening, la protection des données et de la vie privée des personnes concernées doit être prise en compte déjà lors de la phase de projet. Concrètement, la capacité du sous-traitant à garantir la sécurité des données personnelles (article 7 nLPD) et à recueillir un consentement préalable, libre et éclairé doivent être étudiées d’emblée. Une fois le contrat entamé, le respect de la loi mais aussi du service level agreement doit être régulièrement assuré.

3. Nommer un Conseiller à la protection des données – Article 10 nLPD

Plus communément aujourd’hui, nous parlons d’un DPO (Data Protection Officer au sens de l’article 37 § 7 RGPD). Il sera notamment l’interlocuteur principal des personnes concernées par le traitement. En l’occurrence, il s’agira de vos collaborateurs.trices et candidat.e.s pour les questions concernant directement le traitement de leurs données. En outre, en tant que spécialiste de la protection des données, il vous formera et conseillera sur vos pratiques en termes de traitement des données et sera également le garant du respect de la loi au sein de votre organisation.

Supposons qu’un.e candidat.e que vous avez refusé d’embaucher suite à une référence controversée de la part de son ancien employeur vous contacte pour exercer son droit d’accès. Pour cela, il ou elle vous demande de pouvoir consulter son dossier, comprenant les références prises par la société de screening que vous avez mandatée. Ainsi, votre DPO pourra vous conseiller dans la démarche à adopter dans ce genre de situation si vous n’êtes pas sûr.e de ce que vous êtes tenu.e de fournir comme informations. Votre sous-traitant étant lui-même soumis à cette nouvelle loi car il traite des données d’une personne domiciliée en Suisse, le DPO de ce dernier pourra également vous appuyer dans le cadre de cette demande.

De quel délai disposons-nous pour nous conformer à cette nouvelle loi ?

Le délai de 100 jours pour permettre un éventuel référendum facultatif échoie au 14 janvier 2021 (article 141 de la Constitution fédérale). Il appartiendra ensuite au Conseil fédéral de déterminer la date d’entrée en vigueur de la nouvelle loi, tout en sachant que l’ordonnance correspondante d’application, l’ordonnance relative à la loi fédérale sur la protection des données (OLPD), doit être adaptée. Partant, une entrée en vigueur avant le 1er janvier 2022 semble être compromise.

Que risque-t-on en cas de non-conformité ?

La nouvelle loi introduit de nouvelles sanctions pénales (article 64 nLPD) directement à l’encontre des responsables de l’acte punissable (articles 6 de la Loi fédérale sur le droit pénal administratif, DPA). Lorsque l’amende encourue ne dépasse pas CHF 50’000.-, la responsabilité pénale de l’entreprise peut être recherchée en lieu et place de celle des personnes physiques.

Première publication : 26.10.2020
Mis à jour le : 20.11.2020

Auteur :  Mahandry Rambinintsoa, DPO – Aequivalent