Ce que la nouvelle loi sur la protection des données signifie pour les RH
Le 1er septembre 2023, la loi sur la protection des données (nLPD) totalement révisée entrera en vigueur, y compris l'ordonnance sur la protection des données (OPDo) et l'ordonnance sur les certifications en matière de protection des données (OCPD) qui l'accompagnent. Il est important de savoir qu'il n'y aura pas de période de transition et que les entreprises devront avoir mis en œuvre les nouvelles exigences dès leur entrée en vigueur. Si vous n'avez pas encore abordé ce sujet, il est grand temps de le faire ! Dans ce blog, notre expert juridique, Aniq Iselin, donne une brève introduction à la nLPD, met en lumière trois exemples pratiques et donne des recommandations d'action concrètes pour les responsables RH.
Pour l'essentiel, la loi s'aligne sur la General Data Protection Regulation (GDPR), terme anglais désignant le règlement général sur la protection des données de l'Union européenne (RGPD). Comme de nombreuses entreprises se sont déjà adaptées au GDPR, la nécessité d'agir pourrait désormais être un peu moins grande pour elles. Néanmoins, certaines spécificités suisses ne doivent pas être négligées. Une particularité suisse est le régime pénal de la protection des données, qui prévoit des amendes allant jusqu'à CHF 250'000 pour les personnes individuelles (et non les entreprises).
Qu'entend-on par données personnelles ou données à caractère personnel?
Les données personnelles sont des informations qui rendent une personne directement ou indirectement identifiable, comme le nom, le numéro de collaborateur·ices/d'AVS/de patient, les données de localisation, les adresses IP, les contributions aux médias sociaux ou la mention de plusieurs caractéristiques particulières (physiques, physiologiques, génétiques, psychiques, économiques, culturelles, sociales). Une catégorie spéciale de données personnelles, les "données personnelles sensibles", par exemple les données relatives aux opinions ou aux activités religieuses, philosophiques, politiques ou syndicales, sont soumises à des exigences légales accrues. Leur traitement doit par exemple faire l'objet d'un consentement explicite. Contre toute attente, les données salariales n'entrent pas dans cette catégorie.
La nLPD concerne-t-elle aussi les entreprises en dehors de la Suisse?
Oui, en raison du champ d'application transfrontalier de la nLPD, les faits qui se déroulent en dehors de la Suisse sont également concernés, pour autant qu'ils entraînent des répercussions en Suisse. Par exemple:
Éléments clés de la nLPD
Les éléments clés suivants de la nLPD régissent les principes qui doivent être pris en compte lors de tout traitement de données personnelles. Pour éviter toute redondance, il est recommandé de consulter la loi. Nous nous concentrerons ici sur les principes de traitement et sur le privacy-by-design et le privacy-by-default.
Principes de traitement
Tout traitement de données à caractère personnel requiert la légitimité, qui peut être obtenue de plusieurs manières. La base juridique la plus courante est l'exécution d'un contrat et le consentement de la personne dont les données sont traitées (sujet des données). Le consentement n'est valable que si le sujet des données a été informé de la finalité et que le consentement a été donné librement. Selon le type de données personnelles, le consentement doit être explicite. Un consentement tacite ne serait par exemple pas légal dans le cas de données personnelles sensibles. En outre, tout traitement de données personnelles doit toujours avoir un but clairement défini. Par exemple, une adresse indiquée à des fins de facturation ne peut pas être utilisée à des fins totalement différentes. Les données personnelles ne sont en principe conservées qu'aussi longtemps que le but du traitement l'exige. Ensuite, elles doivent être détruites ou rendues anonymes.
Privacy-by-Design et Privacy-by-Default
Ces deux principes sont apparentés. Privacy-by-Design prescrit que la protection des données est déjà mise en œuvre au niveau du développement d'un produit, par exemple lors de la programmation d'un logiciel. Privacy-by-Default, en revanche, exige que des paramètres par défaut favorables à la protection des données soient mis en place. Dans ce contexte, l'option la moins invasive doit toujours être choisie. Les paramètres des cookies lors de la visite de sites web en sont un exemple concret. Selon le principe "Privacy-by-Default", seuls les cookies techniquement nécessaires peuvent être sélectionnés par défaut. Pour les cookies supplémentaires, le consentement actif (opt-in) du visiteur du site web est nécessaire.
Nous décrivons, ci-après, trois situations pratiques que les ressources humaines peuvent rencontrer et qui servent de guide pour des clarifications supplémentaires.
Quelles données personnelles peuvent être collectées lors d’une manifestation (physique ou en ligne) ?
Dans la plupart des cas, une personne doit s'inscrire à un événement et des données personnelles sont demandées à cette occasion. Il est important que seules les données personnelles nécessaires à l'organisation de la manifestation soient demandées. Faut-il par exemple indiquer une adresse de domicile ou une adresse électronique des participants est-elle suffisante? De même, une déclaration de protection des données doit être disponible sur la même page de l'inscription ou du site web et doit fournir des réponses aux questions suivantes : Que fait-on avec les données personnelles? Pourquoi ont-elles été collectées (cf. thème de l'adresse de domicile ci-dessus)? Combien de temps sont-elles conservées et quand sont-elles effacées? Quels sont les droits du sujet en matière de protection des données? Pour conclure, il convient de souligner que les traitements de données mentionnés dans la déclaration de protection des données doivent effectivement être mis en œuvre et ne peuvent pas se limiter à de simples déclarations.
Une personne commence un nouveau travail. L'entreprise lui demande si sa photo peut être publiée sur l'Intranet en plus de l'information sur son nouvel emploi. L'accord de la personne est-il juridiquement valable?
Comme nous l'avons déjà mentionné, la condition essentielle d'un consentement valable est le volontariat. Dans la relation employé·e - employeur, on peut se demander dans quelle mesure le consentement de l'employé·e peut être libre. En effet, une asymétrie de pouvoir est toujours présente dans la relation entre l'employeur et l'employé·e, ce qui ressort déjà du droit de donner des instructions. Dans cette situation, il est facile d'imaginer que la nouvelle personne ne donne son accord que par politesse, même si elle ne se sent pas à l'aise. Pour cette raison, le consentement pose des problèmes. En même temps, il est nécessaire pour le déroulement normal du travail que les collaborateur·ices se connaissent aussi visuellement entre eux. Une solution pragmatique pourrait consister à donner à la personne la possibilité de choisir elle-même sa photo.
Un·e collaborateur·ice décide de quitter l'entreprise ou part à la retraite. Quelles données peuvent et doivent continuer à être utilisées?
La particularité de cette situation est la disparition d'une relation contractuelle (de travail) après le départ du/de la collaborateur·ice. La relation qui existait auparavant entre l'employeur et l'employé·e s'en trouve fondamentalement modifiée. Si l'entreprise a justifié l'utilisation des données personnelles par le contrat de travail en cours, une nouvelle base juridique doit exister après la fin du contrat de travail.
Après le départ d'un·e collaborateur·ice, les intérêts de l'employeur changent. Celui-ci peut toutefois avoir un intérêt tout à fait fondé à conserver les données personnelles de son ancien·ne collaborateur·ice au-delà de la fin du contrat. D'un point de vue juridique, des risques pourraient apparaître, par exemple sous la forme d'éventuelles revendications salariales de l'ancien·ne employé·e. Un grand nombre de données personnelles pourraient ainsi devenir pertinentes : temps de travail, données bancaires, données de sécurité sociale, etc. Cette justification prend fin au plus tard à l'expiration du délai de prescription des créances salariales ultérieures, c'est-à-dire cinq ans après la fin des rapports de travail.
Mais d'autres traitements de données personnelles sont également envisageables. Les entreprises continuent souvent à entretenir des contacts avec leurs ancien·ne·s employé·e·s, par exemple sous la forme d'événements organisés pour les anciens ou les retraités. C'est pourquoi il est recommandé de prendre des mesures dès le départ pour que les futurs traitements de données personnelles se fassent dans le respect de la loi. En cas d'adhésion à une organisation d'anciens élèves ou à d'autres associations, il est judicieux d'inclure une section sur la protection des données ou d'établir une convention de protection des données. Cela permet de définir à l'avance tous les traitements de données futurs et les ancien·ne·s collaborateur·ices ne seront pas surpris de recevoir des informations.
De nombreuses entreprises sont dépassés par la mise en œuvre des exigences de la nLPD et ne savent pas par où commencer. C'est compréhensible, car beaucoup de choses ne sont pas clairement formulées.
Comme première étape, je recommande l'établissement d'un registre de traitement. Celui-ci n'est pas seulement expressément prescrit par la loi, il s'agit également d'une nécessité pratique. Un registre de traitement donne une vue d'ensemble claire de toutes les données traitées dans les RH. Il vous permet de réagir aux demandes des personnes et de formuler une déclaration de protection des données conforme à la loi. Le registre des traitements est donc une pierre angulaire importante pour le respect de la nouvelle et pour une pratique efficace de la protection des données dans votre entreprise.
Outre la création d'un registre des traitements, les périodes de conservation et de suppression de toutes les données personnelles utilisées par les RH doivent être répertoriées dans un tableau. Concrètement, il faut définir pour chaque type de données personnelles la durée de conservation et le moment de leur suppression. Par exemple, il faut définir combien de temps les certificats médicaux doivent être conservés. Il est nécessaire de procéder à un examen approfondi des dispositions légales relatives à la protection des données ainsi que d'autres dispositions légales (par exemple les délais de prescription) afin de déterminer ces périodes. Il est en outre important de prendre en compte les scénarios futurs possibles (p. ex. quelles données personnelles doivent continuer à être traitées après le départ d'un,e collaborateur·ice?)
Chaque entreprise a la responsabilité de fournir les preuves d'un comportement conforme à la protection des données, ce qui signifie qu'en tant qu'entreprise, vous devez être en mesure de prouver à tout moment que vous respectez la nouvelle législation. C'est pourquoi une documentation et une obligation de preuve strictes pèsent sur votre entreprise et que vous devez protéger les données à caractère personnel par des mesures de sécurité appropriées. En tant qu'entreprise, vous avez la responsabilité de supprimer les données des candidats, des collaborateur·ices actuels et anciens et des clients dès que la finalité du traitement n'existe plus ou qu'il n'y a plus d'autre base juridique, par exemple en raison d'obligations légales de conservation. Il est donc essentiel de savoir exactement où et sous quelle forme les données à caractère personnel sont stockées. Cela peut concerner les systèmes suivants : Système ERP/RH, logiciel CRM, listes Excel ou dossiers de collaborateurs. En saisissant et en documentant soigneusement les données, vous pouvez vous assurer que vous respectez correctement les nouvelles dispositions en matière de protection des données et que vous garantissez la protection de la vie privée de vos parties prenantes.
Enfin, je recommande de former les nouveaux collaborateur·ices à la protection des données dès leur arrivée et d'attirer leur attention sur tous les documents pertinents, y compris les éventuelles directives de protection des données, les déclarations de protection des données et les dispositions relatives à la protection des données dans le contrat de travail. Si les nouveaux collaborateur·ices sont sensibilisés et formés aux directives de l'entreprise en matière de protection des données et s'ils les considèrent comme faisant partie intégrante de la culture d'entreprise, il est plus probable qu'ils soient davantage conscients et responsables de la protection des données.
Il faut maintenant se mettre en route. Une préparation sérieuse à la nouvelle législation est vivement recommandée. Ne pas prendre de mesures et ne pas agir est dans tous les cas pires que de se lancer. C'est ce qui ressort également de l'examen des sanctions en cas d'infraction. Non seulement en Suisse, mais aussi à l'étranger, il a été largement débattu que des personnes privées pourraient à l'avenir être poursuivies pénalement si elles enfreignaient la nLPD. Le fait que les personnes privées puissent être frappées d'une amende pouvant aller jusqu'à un quart de million de francs suisses reste une particularité suisse largement critiquée (cf. art. 60 ss. nLPD). Cette nouvelle réglementation pourrait être comprise dans le sens d'une prévention générale, c'est-à-dire comme une dissuasion contre les infractions à la nLPD.
Il ne fait aucun doute qu'il y aura toujours quelque chose à faire en ce qui concerne la mise en conformité en matière de protection des données. La garantie d'un niveau de protection adéquat est un processus continu. En vous efforçant activement d'optimiser en permanence vos mesures de protection des données, vous vous assurez de répondre aux exigences de protéger la sphère privée de vos parties prenantes. Un engagement continu vous permet également d'instaurer la confiance et de minimiser les risques pour votre réputation. Restez vigilant, tirez les leçons de vos expériences et adaptez toujours votre stratégie de protection des données à l'évolution des conditions cadres. Vous serez ainsi bien équipé pour relever avec succès les défis de la protection des données et pour garantir la protection des données et la conformité à long terme. Et n'oubliez pas, le chemin est le but.
Master of Law, Legal Counsel et Data Protection Officer (DPO-HSG). Aniq est bilingue allemand & anglais et il a suivi une formation juridique aux universités de Zurich et de Lucerne ainsi qu'à l'université d'Oxford (Oriel College). Il, a enseigné dans des universités en Suisse et à l'étranger et a exercé des activités juridiques dans des cabinets d'avocats et de diverses sociétés de conseil. Aniq a trouvé sa passion dans le lien entre le droit et l'informatique, c'est-à-dire le droit de l'informatique et plus particulièrement le droit de la protection des données. Chez HR Campus, il a mis en place une organisation de protection des données.
Publié : 23. août 2023