I. Introduction

Les règles en matière de protec­tion des données revêtent une grande impor­tance pour les entre­prises. En effet, tant les obli­ga­tions légales et régle­men­taires que le risque répu­ta­tion­nel en cas de manque­ments poussent les acteurs écono­miques à mettre l’accent sur leurs pratiques en matière de protec­tion des données.

De nombreuses juri­dic­tions, dont en parti­cu­lier l’Union euro­péenne et la Suisse, ont révisé leur régle­men­ta­tion en matière de protec­tion des données, afin notam­ment de l’adapter aux nouvelles tech­no­lo­gies et de renfor­cer la protec­tion de la sphère privée des individus.

Malgré l’importante média­ti­sa­tion des théma­tiques ayant trait à la protec­tion des données et des consé­quences en cas de viola­tions des dispo­si­tions appli­cables, un flou subsiste. En effet, nombreux sont les acteurs qui, malgré leurs bonnes inten­tions, ne savent quelles démarches mettre en œuvre afin de respec­ter le droit applicable.

Le présent article vise à lever une partie du voile en passant en revue les diffé­rents docu­ments, poli­tiques et direc­tives exigées ou souhai­tables sous la version révi­sée de la Loi fédé­rale sur la protec­tion des données (nLPD) et le Règlement géné­ral sur la protec­tion des données de l’UE (RGPD).

D’emblée, il convient de rele­ver que la nLPD, que le Parlement fédé­ral a adop­tée le 25 septembre 2020, n’appartient pas encore formel­le­ment au droit posi­tif. Son entrée en vigueur devrait surve­nir en deuxième moitié d’année 2022, de sorte qu’il appa­raît d’ores et déjà oppor­tun de trai­ter dans cet article de la version révi­sée et non de la version actuelle de la LPD, toute réfé­rence à la LPD se voulant une réfé­rence à sa version révi­sée. Le RGPD est déjà en vigueur et plei­ne­ment effec­tif depuis le 25 mai 2018. Par rapport à cet instru­ment, il est souvent néces­saire, même pour des entre­prises basées en Suisse, actives prin­ci­pa­le­ment en Suisse et sans filiales ou succur­sales à l’étranger, de tenir compte du RGPD lorsqu’elles cherchent à implé­men­ter la légis­la­tion perti­nente en matière de protec­tion des données, ce au vu notam­ment du champ d’application étendu du RGPD.

II. Catégories de documents

Nous propo­sons de distin­guer la docu­men­ta­tion interne à l’entreprise de la docu­men­ta­tion que l’entreprise partage avec des acteurs externes, tels que les clients concer­nés ou les auto­ri­tés. Cette distinc­tion n’est cepen­dant pas néces­sai­re­ment reflé­tée dans les actes norma­tifs. Ainsi, une entre­prise pour­rait par exemple choi­sir de publier sur son site inter­net égale­ment (certaines de) ses direc­tives internes, par souci de trans­pa­rence ou à des fins de marketing.

En revanche, nous ne distin­gue­rons pas stric­te­ment entre la docu­men­ta­tion exigée selon la LPD révi­sée et celle requise par le RGPD. En effet, le champ d’application du RGPD étant large, il n’est pas recom­man­dable selon nous d’entreprendre un exer­cice d’implémentation de la LPD révi­sée qui ne tien­drait pas compte des exigences du RGPD. De plus, certains docu­ments ne sont pas stric­te­ment exigés par la nLPD et par le RGPD, mais servent à mettre en œuvre les exigences souvent formu­lées en termes géné­raux de ces actes norma­tifs. Enfin, certains docu­ments sont mention­nés tant par la nLPD que par le RGPD mais avec des attri­buts légè­re­ment diffé­rents (par exemple le registre des acti­vi­tés de traitement).

La liste qui suit ne se veut pas exhaus­tive, tant il est possible d’avoir un nombre quasi illi­mité de poli­tiques et de direc­tives internes. En effet, les entre­prises sont libres d’avoir des poli­tiques et des direc­tives pour tout sujet qui leur paraît impor­tant après avoir effec­tué une analyse de confor­mité de leur modèle d’affaires et de leurs acti­vi­tés de trai­te­ment avec la légis­la­tion perti­nente. Dans ce contexte, la taille de l’entreprise concer­née ainsi que son secteur d’activité nous paraissent jouer un rôle primor­dial. Ainsi, une grande entre­prise pour­rait choi­sir d’avoir une direc­tive interne très précise en matière d’accès à divers types de données (person­nelles) indi­quant dans les moindres détails quelles personnes sont auto­ri­sées à accé­der à certaines données, tandis qu’une petite entre­prise pour­rait éven­tuel­le­ment se conten­ter d’une direc­tive interne moins détaillée. D’autre part, une entre­prise spécia­li­sée dans la four­ni­ture de services en cloud aura besoin de régir clai­re­ment ses acti­vi­tés de trai­te­ment de données person­nelles, tandis qu’une entre­prise active dans le secteur de la construc­tion pourra se passer d’une régle­men­ta­tion interne détaillée, ce qui ne veut pas pour autant dire qu’elle n’est pas soumise aux obli­ga­tions légales en matière de protec­tion des données.

A) Documents externes

1. Politique de confi­den­tia­lité : Il s’agit proba­ble­ment du docu­ment le plus « célèbre » en matière de protec­tion des données, soit la partie émer­gée de l’iceberg. Rares sont les entre­prises respon­sables du trai­te­ment qui n’ont (toujours) pas de poli­tique de confi­den­tia­lité. Nombreuses, en revanche, sont celles qui disposent d’une poli­tique de confi­den­tia­lité ne corres­pon­dant pas à leurs pratiques réelles en matière de trai­te­ment des données.

La poli­tique de confi­den­tia­lité doit expli­quer de façon claire et trans­pa­rente notam­ment l’identité et les coor­don­nées de l’entreprise respon­sable du trai­te­ment, les acti­vi­tés de trai­te­ment auxquelles l’entreprise respon­sable du trai­te­ment se livre, les desti­na­taires ou les caté­go­ries de desti­na­taires auxquels les données person­nelles sont trans­mises, une éven­tuelle commu­ni­ca­tion des données person­nelles à l’étranger et les droits des sujets. En réalité, le contenu des poli­tiques de confi­den­tia­lité est, de par la loi, rela­ti­ve­ment étoffé, de sorte qu’il n’est pas toujours aisé de four­nir des rensei­gne­ments clairs et compré­hen­sibles, ce qui peut expo­ser le respon­sable du trai­te­ment à des reproches de manque de transparence…

2. Registre des acti­vi­tés de trai­te­ment : Les respon­sables du trai­te­ment et les sous-trai­tants doivent en géné­ral dispo­ser d’un registre des acti­vi­tés de trai­te­ment. Il s’agit, contrai­re­ment à la caté­go­ri­sa­tion ici propo­sée, d’un docu­ment interne à l’entreprise. Toutefois, les auto­ri­tés disposent (en parti­cu­lier sous le RGPD) de la faculté d’accéder à ce registre, de sorte qu’il sert non seule­ment un but de fonc­tion­ne­ment interne, mais égale­ment une fina­lité admi­nis­tra­tive et donc externe.

Ce registre doit en parti­cu­lier détailler le but du trai­te­ment (pour le respon­sable du trai­te­ment), les caté­go­ries de données person­nelles trai­tées, ainsi que four­nir des infor­ma­tions sur les trans­ferts inter­na­tio­naux, les durées de conser­va­tion des données (pour le respon­sable du trai­te­ment) et un descrip­tif des mesures tech­niques et orga­ni­sa­tion­nelles en place pour assu­rer la sécu­rité des données.

3. Analyses d’impact rela­tives à la protec­tion des données person­nelles : Lorsque le respon­sable du trai­te­ment consi­dère qu’une acti­vité de trai­te­ment envi­sa­gée est suscep­tible d’entraîner un risque élevé pour la person­na­lité ou les droits fonda­men­taux des personnes concer­nées, il doit en amont procé­der à une analyse d’impact s’agissant du trai­te­ment en ques­tion. À l’instar du registre des acti­vi­tés de trai­te­ment, les analyses d’impact ne sont en prin­cipe pas parta­gées avec des tiers et il s’agit donc d’un docu­ment interne à l’entreprise. Toutefois, il peut être néces­saire de parta­ger une ou plusieurs analyses d’impact (ou leurs résul­tats) avec l’autorité de protec­tion des données compé­tente, notam­ment dans le cadre d’une consul­ta­tion, laquelle n’est pas une procé­dure d’approbation toutefois.

4. Formulaires de consen­te­ment : Dans certains cas, les respon­sables du trai­te­ment néces­sitent, comme fonde­ment à leurs acti­vi­tés, d’obtenir le consen­te­ment des personnes concer­nées. Or ledit consen­te­ment doit être libre et éclairé, voire soumis à des condi­tions complé­men­taires lorsqu’il s’agit de données sensibles, par exemple médi­cales. Un formu­laire de consen­te­ment prééta­bli, détaillant notam­ment les droits des personnes concer­nées, permet à l’entreprise de mieux gérer ses proces­sus tant internes (par exemple l’enregistrement du consen­te­ment dans un registre interne) qu’externes (par exemple sa rela­tion avec ses clients).

B) Documents internes

1. Politique de protec­tion des données : Il est néces­saire pour le respon­sable du trai­te­ment de s’assurer que ses acti­vi­tés de trai­te­ment sont conformes aux exigences légales. Cela implique en parti­cu­lier d’avoir en place des mesures tech­niques et orga­ni­sa­tion­nelles, dont un des buts est notam­ment d’assurer la sécu­rité des données. Le respon­sable du trai­te­ment doit dès lors établir une poli­tique interne de protec­tion des données. Son contenu dépend toute­fois forte­ment de l’analyse que l’entreprise effec­tuera au préa­lable portant sur son modèle d’affaires et ses acti­vi­tés de trai­te­ment, de sorte que le contenu de la poli­tique ne saurait être résumé de façon abstraite.

2. Directive en matière d’accès aux données : De nombreuses entre­prises cherchent à proté­ger non seule­ment les données elles-mêmes, par exemple par le biais de tech­no­lo­gies de chif­fre­ment, mais égale­ment à restreindre le person­nel qui peut avoir accès à ces données. Cela suit typi­que­ment un raison­ne­ment de type « need-to-know » et peut souvent résul­ter en une liste de personnes ou de postes/​rôles spécifiques.

3. Directive pour la mise en œuvre de pratiques de protec­tion des données dès la concep­tion (privacy by design) et par défaut (privacy by default) : Des mesures, y compris des direc­tives, doivent être instau­rées, afin d’assurer que la protec­tion des données est prise en compte dès la genèse d’un nouveau projet impli­quant un trai­te­ment de données person­nelles, par exemple en assu­rant que seule la quan­tité mini­male des données soit trai­tée. En outre, la protec­tion des données doit avoir lieu par défaut de sorte que les para­mètres de base du trai­te­ment ne doivent pas impli­quer de trai­ter plus de données person­nelles que nécessaire.

4. Directive détaillant les marches à suivre en cas de demandes d’accès (ou de correc­tion ou suppres­sion des données person­nelles) : Il est de plus en plus fréquent que des personnes demandent l’accès à leurs données person­nelles. Les entre­prises se doivent de pouvoir analy­ser la situa­tion rapi­de­ment et y réagir de manière appro­priée, sous peine d’encourir des amendes ainsi qu’un risque répu­ta­tion­nel. Des direc­tives présen­tant des marches à suivre claires faci­litent ainsi gran­de­ment la tâche des entre­prises qui reçoivent une demande d’accès. Il en va de même en présence de demandes visant la correc­tion ou la suppres­sion de données personnelles.

5. Directives détaillant la marche à suivre en cas de viola­tion de la sécu­rité des données person­nelles (data breach) : Les sous-trai­tants doivent annon­cer les viola­tions de la sécu­rité de données aux respon­sables du trai­te­ment, c’est-à-dire à leurs parte­naires contrac­tuels, par exemple les clients de four­nis­seurs de services de stockage infor­ma­tiques. Le respon­sable du trai­te­ment doit à certaines condi­tions annon­cer ces viola­tions à l’autorité compé­tente et, éven­tuel­le­ment aux personnes concer­nées elles-mêmes. En raison des brefs temps de réac­tion accor­dés par les actes norma­tifs appli­cables, il est souhai­table que les acteurs concer­nés disposent au préa­lable d’une direc­tive qui détaille les respon­sa­bi­li­tés et les procé­dures à suivre pour procé­der aux éven­tuelles annonces à temps et de façon claire et complète.

6. Politique de protec­tion des données envers les employés et direc­tive réglant le trai­te­ment des données par les employés : La rela­tion de travail implique néces­sai­re­ment le trai­te­ment de données person­nelles. Les employeurs, respon­sables du trai­te­ment, se doivent d’informer clai­re­ment leurs employés et égale­ment d’attirer leur atten­tion sur les éven­tuelles consé­quences d’activités sortant du cadre des rapports de travail. Ainsi, en plus d’une poli­tique de protec­tion des données réglant le trai­te­ment par l’entreprise des données person­nelles concer­nant ses employés dans le cadre du rapport de travail, il est forte­ment recom­mandé de mettre en place une direc­tive sur l’usage des outils infor­ma­tiques au bureau par les employés, régle­men­tant entre autres les éven­tuels e‑mails privés, l’utilisation d’internet, etc.

7. Politique de périodes de réten­tion : Les données person­nelles ne peuvent être gardées indé­fi­ni­ment. Cependant, elles doivent souvent être gardées pendant une certaine période. Il en va ainsi des pièces comp­tables qui doivent être gardées pendant dix ans, tandis que des données rela­tives à une postu­la­tion d’emploi non rete­nue doivent, sauf excep­tion, être effa­cées promp­te­ment après la déci­sion de ne pas donner suite à la candi­da­ture. Une docu­men­ta­tion interne énumé­rant les diffé­rentes périodes de réten­tion des données concer­nées et perti­nentes pour l’entreprise permet d’assurer une confor­mité aux exigences légales sur la durée.

8. Vérification de la mise en œuvre effec­tive des mesures de protec­tion des données : Un constat pratique récur­rent est qu’il y a un déca­lage entre les diffé­rentes poli­tiques et direc­tives en matière de protec­tion des données et la pratique réelle de l’entreprise concer­née. Outre des acti­vi­tés d’audit et de contrôle interne, une docu­men­ta­tion permet­tant à l’entreprise de suivre la mise en œuvre de ses mesures d’implémentation des règles en matière de protec­tion des données peut s’avérer utile.

III. Conclusion

Les listes qui précèdent ne sont nulle­ment exhaus­tives. Ces docu­ments permet­tront à l’entreprise concer­née de réduire certains risques de non-confor­mité avec le RGPD et la nLPD. Elles permettent égale­ment d’avoir un certain confort dans les affaires au quotidien.

Il convient de préci­ser que, même si les règles appli­cables peuvent paraître de prime abord rela­ti­ve­ment rigides, l’implémentation du droit de la protec­tion des données laisse une grande liberté et néces­site une analyse au cas par cas. Ainsi, les acti­vi­tés de trai­te­ment des données person­nelles effec­tuées par l’entreprise auront un grand impact sur la docu­men­ta­tion à adopter.

Cela dit, force est de consta­ter que s’agissant des diffé­rents types de docu­ments à adop­ter et leur contenu, certaines pratiques et stan­dards ont été élabo­rés. Pour limi­ter le temps, l’effort, ainsi que les coûts, nous recom­man­dons aux entre­prises de ne pas « réin­ven­ter la roue » et de se baser sur les pratiques et stan­dards déjà établis et ayant fait leurs preuves.