swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

Le devoir de formation et de surveillance de l’employeur sous l’angle de la nLPD

Kevin Guillet et Nina Aguiar, le 23 février 2023
De façon géné­rale, tout employeur traite de nombreuses données person­nelles dans le cadre de ses acti­vi­tés opéra­tion­nelles. Avec l’entrée en vigueur le 1er septembre 2023 de la nouvelle Loi fédé­rale sur la protec­tion des données, les obli­ga­tions de l’employeur en la matière vont s’accroître. Il incom­bera notam­ment aux employeurs d’assurer la forma­tion des employés sur ces aspects.

En vertu de l’art. 8 al. 1 de la nouvelle Loi fédé­rale du 25 septembre 2020 sur la protec­tion des données (nLPD), les respon­sables du trai­te­ment et les sous-trai­tants doivent assu­rer, par des mesures orga­ni­sa­tion­nelles et tech­niques appro­priées, une sécu­rité adéquate des données person­nelles par rapport au risque encouru, dont les exigences mini­males seront préci­sées dans l’ordonnance d’application (art. 8 al. 3 nLPD).

Sans défi­nir concrè­te­ment les exigences mini­males de sécu­rité, l’approche choi­sie consiste dans l’analyse fondée sur le risque, de sorte que les mesures de sécu­rité mini­males doivent être adéquates au risque encouru, au regard de l’ensemble des circonstances.

Si ni la nLPD, ni son ordon­nance ne reprennent expres­sé­ment les exigences mini­males appli­cables en vertu du RGPD, l’un des buts pour­sui­vis par la révi­sion de la loi a consisté dans l’harmonisation du droit suisse aux fins d’assurer une libre et sécure trans­mis­sion des données entre les entre­prises suisses et euro­péennes (FF 2017 6565). Par suite, les mini­mas pres­crits par la règle­men­ta­tion euro­péenne et par les déci­sions pronon­cées en son appli­ca­tion peuvent servir de guide quant aux mini­mas à respec­ter par les entre­prises, employeurs et sous-trai­tants suisses.

Dans une déci­sion du 18 octobre 2021, l’Information Commissioner’s Office (ICO) anglais a sanc­tionné l’association HIV Scotland pour ne pas avoir pris les mesures de sécu­rité adéquates et ainsi violé le prin­cipe de sécu­rité des données (art. 32 par. 1 et 2 RGPD et 5 par. 1 let. f RGPD ; cf. www​.swiss​pri​vacy​.law/​104). Les mesures de sécu­rité inadé­quates avaient résulté en la divul­ga­tion d’adresses élec­tro­niques de personnes iden­ti­fiables et suscep­tibles d’être séro­po­si­tives ou à risque de contrac­ter le virus. La viola­tion avait consisté dans l’envoi, par un employé, d’un e‑mail groupé à 105 personnes par copie carbone (cc) et non par copie cachée (cci), rendant ainsi toutes les adresses visibles à tous les destinataires.

L’intérêt de cette déci­sion au regard de la nLPD ne consiste pas dans la sanc­tion pronon­cée par l’autorité, mais plutôt dans les mesures qui, selon elle, auraient dû être adop­tées par l’association condam­née afin de proté­ger adéqua­te­ment les données des personnes concernées.

Selon l’ICO, une orga­ni­sa­tion telle que HIV Scotland – laquelle est amenée à trai­ter des données sensibles – aurait notam­ment dû mettre en place des forma­tions spéci­fiques à desti­na­tion de son person­nel, portant sur le manie­ment des données, l’utilisation des outils infor­ma­tiques dans ce contexte et sur la confi­den­tia­lité. L’autorité ajoute que le simple renvoi à la poli­tique de confi­den­tia­lité n’était pas suffi­sant et que de réelles forma­tions spéci­fiques auraient dû être mises en place, ceci avant le trai­te­ment effec­tif par les employés de données person­nelles, voire, au plus tard, un mois après leur entrée en fonction.

À suppo­ser que ces exigences doivent être trans­po­sées au nouveau droit suisse de la protec­tion des données – ce qui, à teneur du Message du Conseil fédé­ral, semble être le cas – cela implique que l’art. 8 nLPD et l’ordonnance d’application imposent notam­ment au respon­sable de trai­te­ment, soit en parti­cu­lier à l’employeur, qu’il forme effec­ti­ve­ment son person­nel au manie­ment de données person­nelles et à la confi­den­tia­lité, dans une mesure à déter­mi­ner selon le risque concret encouru et à la sensi­bi­lité des données traitées.

En droit du travail, l’art. 328 CO impose à l’employeur une double obli­ga­tion : celle de ne pas porter atteinte à la person­na­lité de ses employés et celle de la proté­ger. L’art. 328b CO dispose que l’employeur ne peut trai­ter des données concer­nant le travailleur que dans la mesure où ces données portent sur les apti­tudes du travailleur à remplir son emploi ou sont néces­saires à l’exécution du contrat de travail, la Loi fédé­rale sur la protec­tion des données étant appli­cable pour le surplus.

L’art. 328b CO instaure ainsi une présomp­tion de licéité du trai­te­ment, mais n’exempte pas l’employeur de se confor­mer aux dispo­si­tions de la LPD (TF 4A_​518/​2020 du 25 août 2021).

Bien que le devoir de protec­tion de l’employeur soit anté­rieur à l’entrée en vigueur de la nLPD, les nouvelles pres­crip­tions mini­males de sécu­rité impli­que­ront, à notre sens, un devoir plus étendu de forma­tion de la part de l’employeur, ceci à comp­ter de l’entrée en vigueur de la nLPD. À défaut, l’employeur risque d’engager sa respon­sa­bi­lité tant vis-à-vis des personnes lésées par le trai­te­ment des données non conforme, que vis-à-vis de ses propres employés.

Pour satis­faire à ses obli­ga­tions décou­lant de l’art. 8 nLPD, l’employeur doit s’assurer de la forma­tion effec­tive et adéquate de ses auxi­liaires s’agissant du manie­ment de données person­nelles et de confi­den­tia­lité. À cet effet et comme pour les risques liés à la santé des employés, l’employeur doit notamment :

  • iden­ti­fier les risques ;
  • infor­mer ses employés de ces risques ;
  • donner des instruc­tions adéquates au sujet des mesures de sécu­rité à prendre pour les éviter ; et
  • veiller au respect strict de ces instruc­tions (WYLER R./HEIZER B., Droit du travail, p. 406).

En cas de viola­tion de ce qui précède, l’employeur risque de se rendre coupable, par négli­gence, ou inten­tion­nel­le­ment, d’une viola­tion de l’art. 8 nLPD, suscep­tible d’aboutir au paie­ment d’une amende pouvant aller jusqu’à CHF 250’000.- (art. 61 let. c nLPD), et/​ou au paie­ment d’une indem­nité pour tort moral en faveur d’un employé lésé (TF 4A_​518/​2020 du 25 août 2021).

De surcroît, un licen­cie­ment prononcé en raison de la viola­tion par l’employé de la poli­tique de sécu­rité interne ou de la nLPD, pour­rait être consi­déré, en l’absence de forma­tion, d’instructions et de suivi adéquats, comme un licen­cie­ment abusif, prononcé par un employeur qui exploi­te­rait sa propre viola­tion de ses obligations.

Il ressort de ce qui précède que l’adoption d’une règle­men­ta­tion –  parfois four­nie et peu claire pour les personnes amenées à la suivre – n’est aujourd’hui plus suffi­sante pour l’entreprise.

En conclu­sion, le droit de la protec­tion des données se précise, prend de l’importance et consti­tue un élément indis­cu­table de la person­na­lité, suivant l’évolution logique initiée il y a quelques années en matière de sécu­rité et de santé au travail, puis en matière de lutte contre le harcè­le­ment psycho­lo­gique et sexuel.

À la lumière de la règle­men­ta­tion à venir, on ne saurait trop recom­man­der à tout employeur la mise en œuvre, à tout le moins, d’une forma­tion consa­crée au manie­ment de données person­nelles et à la confi­den­tia­lité, accom­pa­gnée de l’établissement de proces­sus internes clairs.

Ce commen­taire est repris de celui des mêmes auteurs publié sous www​.sigma​le​gal​.ch. Une version anglaise est égale­ment disponible.

 



Proposition de citation : Kevin Guillet / Nina Aguiar, Le devoir de formation et de surveillance de l’employeur sous l’angle de la nLPD, 23 février 2023 in www.swissprivacy.law/203


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Documentation externe et interne aux entreprises en matière de protection de données
  • Une DPO peut-elle être licenciée pour une raison autre que celle liée à ses qualités professionnelles ?
  • Jeu, set et match : tour d’horizon des récentes avancées législatives
  • Reconnaissance des SCC par la Suisse : tour d’horizon pour les entreprises helvétiques
Derniers articles
  • Contenu de l’information sur le licenciement d’un employé à l’interne
  • L’administration publique responsable dans l’utilisation de services en nuage
  • Une DPO peut-elle être licenciée pour une raison autre que celle liée à ses qualités professionnelles ?
  • La mise en place de mesures de sécurité techniques et organisationnelles : not just a checklist !
Abonnement à notre newsletter
swissprivacy.law