Le devoir de formation et de surveillance de l’employeur sous l’angle de la nLPD

et , le 23 février 2023
De façon géné­rale, tout employeur traite de nombreuses données person­nelles dans le cadre de ses acti­vi­tés opéra­tion­nelles. Avec l’entrée en vigueur le 1er septembre 2023 de la nouvelle Loi fédé­rale sur la protec­tion des données, les obli­ga­tions de l’employeur en la matière vont s’accroître. Il incom­bera notam­ment aux employeurs d’assurer la forma­tion des employés sur ces aspects.

En vertu de l’art. 8 al. 1 de la nouvelle Loi fédé­rale du 25 septembre 2020 sur la protec­tion des données (nLPD), les respon­sables du trai­te­ment et les sous-trai­tants doivent assu­rer, par des mesures orga­ni­sa­tion­nelles et tech­niques appro­priées, une sécu­rité adéquate des données person­nelles par rapport au risque encouru, dont les exigences mini­males seront préci­sées dans l’ordonnance d’application (art. 8 al. 3 nLPD).

Sans défi­nir concrè­te­ment les exigences mini­males de sécu­rité, l’approche choi­sie consiste dans l’analyse fondée sur le risque, de sorte que les mesures de sécu­rité mini­males doivent être adéquates au risque encouru, au regard de l’ensemble des circonstances.

Si ni la nLPD, ni son ordon­nance ne reprennent expres­sé­ment les exigences mini­males appli­cables en vertu du RGPD, l’un des buts pour­sui­vis par la révi­sion de la loi a consisté dans l’harmonisation du droit suisse aux fins d’assurer une libre et sécure trans­mis­sion des données entre les entre­prises suisses et euro­péennes (FF 2017 6565). Par suite, les mini­mas pres­crits par la règle­men­ta­tion euro­péenne et par les déci­sions pronon­cées en son appli­ca­tion peuvent servir de guide quant aux mini­mas à respec­ter par les entre­prises, employeurs et sous-trai­tants suisses.

Dans une déci­sion du 18 octobre 2021, l’Information Commissioner’s Office (ICO) anglais a sanc­tionné l’association HIV Scotland pour ne pas avoir pris les mesures de sécu­rité adéquates et ainsi violé le prin­cipe de sécu­rité des données (art. 32 par. 1 et 2 RGPD et 5 par. 1 let. f RGPD ; cf. www​.swiss​pri​vacy​.law/​104). Les mesures de sécu­rité inadé­quates avaient résulté en la divul­ga­tion d’adresses élec­tro­niques de personnes iden­ti­fiables et suscep­tibles d’être séro­po­si­tives ou à risque de contrac­ter le virus. La viola­tion avait consisté dans l’envoi, par un employé, d’un e‑mail groupé à 105 personnes par copie carbone (cc) et non par copie cachée (cci), rendant ainsi toutes les adresses visibles à tous les destinataires.

L’intérêt de cette déci­sion au regard de la nLPD ne consiste pas dans la sanc­tion pronon­cée par l’autorité, mais plutôt dans les mesures qui, selon elle, auraient dû être adop­tées par l’association condam­née afin de proté­ger adéqua­te­ment les données des personnes concernées.

Selon l’ICO, une orga­ni­sa­tion telle que HIV Scotland – laquelle est amenée à trai­ter des données sensibles – aurait notam­ment dû mettre en place des forma­tions spéci­fiques à desti­na­tion de son person­nel, portant sur le manie­ment des données, l’utilisation des outils infor­ma­tiques dans ce contexte et sur la confi­den­tia­lité. L’autorité ajoute que le simple renvoi à la poli­tique de confi­den­tia­lité n’était pas suffi­sant et que de réelles forma­tions spéci­fiques auraient dû être mises en place, ceci avant le trai­te­ment effec­tif par les employés de données person­nelles, voire, au plus tard, un mois après leur entrée en fonction.

À suppo­ser que ces exigences doivent être trans­po­sées au nouveau droit suisse de la protec­tion des données – ce qui, à teneur du Message du Conseil fédé­ral, semble être le cas – cela implique que l’art. 8 nLPD et l’ordonnance d’application imposent notam­ment au respon­sable de trai­te­ment, soit en parti­cu­lier à l’employeur, qu’il forme effec­ti­ve­ment son person­nel au manie­ment de données person­nelles et à la confi­den­tia­lité, dans une mesure à déter­mi­ner selon le risque concret encouru et à la sensi­bi­lité des données traitées.

En droit du travail, l’art. 328 CO impose à l’employeur une double obli­ga­tion : celle de ne pas porter atteinte à la person­na­lité de ses employés et celle de la proté­ger. L’art. 328b CO dispose que l’employeur ne peut trai­ter des données concer­nant le travailleur que dans la mesure où ces données portent sur les apti­tudes du travailleur à remplir son emploi ou sont néces­saires à l’exécution du contrat de travail, la Loi fédé­rale sur la protec­tion des données étant appli­cable pour le surplus.

L’art. 328b CO instaure ainsi une présomp­tion de licéité du trai­te­ment, mais n’exempte pas l’employeur de se confor­mer aux dispo­si­tions de la LPD (TF 4A_​518/​2020 du 25 août 2021).

Bien que le devoir de protec­tion de l’employeur soit anté­rieur à l’entrée en vigueur de la nLPD, les nouvelles pres­crip­tions mini­males de sécu­rité impli­que­ront, à notre sens, un devoir plus étendu de forma­tion de la part de l’employeur, ceci à comp­ter de l’entrée en vigueur de la nLPD. À défaut, l’employeur risque d’engager sa respon­sa­bi­lité tant vis-à-vis des personnes lésées par le trai­te­ment des données non conforme, que vis-à-vis de ses propres employés.

Pour satis­faire à ses obli­ga­tions décou­lant de l’art. 8 nLPD, l’employeur doit s’assurer de la forma­tion effec­tive et adéquate de ses auxi­liaires s’agissant du manie­ment de données person­nelles et de confi­den­tia­lité. À cet effet et comme pour les risques liés à la santé des employés, l’employeur doit notamment :

  • iden­ti­fier les risques ;
  • infor­mer ses employés de ces risques ;
  • donner des instruc­tions adéquates au sujet des mesures de sécu­rité à prendre pour les éviter ; et
  • veiller au respect strict de ces instruc­tions (WYLER R./HEIZER B., Droit du travail, p. 406).

En cas de viola­tion de ce qui précède, l’employeur risque de se rendre coupable, par négli­gence, ou inten­tion­nel­le­ment, d’une viola­tion de l’art. 8 nLPD, suscep­tible d’aboutir au paie­ment d’une amende pouvant aller jusqu’à CHF 250’000.- (art. 61 let. c nLPD), et/​ou au paie­ment d’une indem­nité pour tort moral en faveur d’un employé lésé (TF 4A_​518/​2020 du 25 août 2021).

De surcroît, un licen­cie­ment prononcé en raison de la viola­tion par l’employé de la poli­tique de sécu­rité interne ou de la nLPD, pour­rait être consi­déré, en l’absence de forma­tion, d’instructions et de suivi adéquats, comme un licen­cie­ment abusif, prononcé par un employeur qui exploi­te­rait sa propre viola­tion de ses obligations.

Il ressort de ce qui précède que l’adoption d’une règle­men­ta­tion –  parfois four­nie et peu claire pour les personnes amenées à la suivre – n’est aujourd’hui plus suffi­sante pour l’entreprise.

En conclu­sion, le droit de la protec­tion des données se précise, prend de l’importance et consti­tue un élément indis­cu­table de la person­na­lité, suivant l’évolution logique initiée il y a quelques années en matière de sécu­rité et de santé au travail, puis en matière de lutte contre le harcè­le­ment psycho­lo­gique et sexuel.

À la lumière de la règle­men­ta­tion à venir, on ne saurait trop recom­man­der à tout employeur la mise en œuvre, à tout le moins, d’une forma­tion consa­crée au manie­ment de données person­nelles et à la confi­den­tia­lité, accom­pa­gnée de l’établissement de proces­sus internes clairs.

Ce commen­taire est repris de celui des mêmes auteurs publié sous www​.sigma​le​gal​.ch. Une version anglaise est égale­ment disponible.

 



Proposition de citation : Kevin Guillet / Nina Aguiar, Le devoir de formation et de surveillance de l’employeur sous l’angle de la nLPD, 23 février 2023 in www.swissprivacy.law/203


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
swissprivacy.law