La protection des données dans l’entreprise – Un mode d’emploi pour sa mise en œuvre

Chaque entreprise travaille avec des données personnelles – que ces dernières concernent des collaborateurs, des clients, des fournisseurs ou d’autres partenaires d’affaires. En règle ­générale, l’entreprise veillera en premier lieu à ce que ces données puissent être utilisées de manière optimale – les données devront donc être disponibles en permanence et il devra être possible de les analyser et de les lier entre elles. Le plus souvent, les entreprises sont parfaitement conscientes qu’il faut également respecter des prescriptions relatives à la protection des données mais elles ne savent pas ce que la loi exige exactement et surtout, comment il faut s’organiser de manière à respecter les prescriptions légales.

L’article traite des éléments dont il faut tenir compte pour une application coordonnée et bien planifiée des prescriptions légales dans l’entreprise. Comme les possibilités de traitement des données sont pratiquement illimitées avec les moyens techniques ­disponibles aujourd’hui, le présent ­article se concentre sur les thèmes d’appli­cation fondamentaux et ne doit pas être ­considéré comme une marche à suivre exhaustive.

Pour être en mesure de planifier l’usage de données personnelles, l’entreprise doit tout d’abord se procurer un aperçu des bases légales à ­respecter.

Il faut tenir compte du fait qu’en plus de la loi fédérale sur la protection des données (LPD), il existe d’autres bases légales relatives au traitement de données. Ainsi, l’art. 328b CO est déterminant pour le traitement de données rela­tives aux collaborateurs. Cet article précise que l’employeur ne peut traiter des données rela­tives à ses collaborateurs que dans la mesure où ces données portent sur les aptitudes du travailleur à remplir son emploi ou sont nécessaires à l’exécution du contrat de travail.

De plus, de nombreuses branches se distinguent par des prescriptions légales spéciales pour le traitement de données personnelles qu’il convient de respecter en plus de celles de la loi sur la protection des données. On peut mentionner, en guise d’exemples, le secteur de la santé, les banques ou encore la branche des assurances. Le secret médical, le secret bancaire ou encore l’obligation de confidentialité imposée par le droit des assurances sociales sont autant de prescriptions spéciales qui définissent de manière déterminante les limites et les possi­bilités du traitement de données par les entreprises de ces branches d’activité.

Lorsque le traitement des données se fait par-dessus les frontières dans plusieurs pays différents, il convient en outre de définir quelle loi nationale sur la protection des données est ­applicable.

Il se peut que pour l’entreprise, les prescriptions légales déterminantes pour le traitement de données personnelles soient multiples – en fonction de sa branche et de sa structure d’organisation. Ce n’est qu’après avoir déterminé clairement quelles sont les bases légales applicables que l’entreprise pourra mettre en place les mesures concrètes nécessaires à leur application. L’application pratique des exigences légales générales dans le quotidien est cependant difficile étant donné que la marge d’interprétation est souvent très large. Ci-après, nous expliquerons brièvement les notions et principes les plus importants de la loi fédérale sur la protection des données.

Le droit à la protection des données personnelles est ancré dans la Constitution fédérale. La protection des données ne vise pas à assurer la protection des données mais bien la personnalité et les droits fondamentaux des personnes dont les données font l’objet d’un traitement. Il peut s’agir aussi bien de personnes physiques que de personnes morales. L’on entend par ­traitement de données tout usage de données personnelles – de la saisie jusqu’à leur archivage et leur destruction.

Pour que des prescriptions légales relatives à la protection des données doivent être respectées, il faut être en présence d’un traitement de données personnelles – ceci est le cas lorsque les informations se réfèrent à une personne déterminée ou du moins identifiable. Il n’est pas rare que cette disposition apparemment simple mène dans la pratique à des difficultés d’interprétation. Ainsi, des numéros d’immatriculation de voitures ou des adresses de courriel font en principe partie des données personnelles, même si la personne qu’elles concernent n’est pas immédiatement identifiable. Il suffit qu’il soit possible, sans trop d’efforts, d’attribuer ces données à une personne déterminée. Si les données sont rendues anonymes, il n’est par contre plus nécessaire de respecter les prescriptions légales mentionnées.

Le risque de violation des droits propres à la personnalité n’est pas le même pour tous les types de données personnelles. Le législateur a ainsi établi dans l’art. 3 lit. c LPD une liste exhaustive de données personnelles particulièrement dignes de protection. Il s’agit par exemple des données relatives à la santé, à l’appartenance à une race, à la religion, aux opinions politiques ou à d’éventuelles sanctions pénales. Contrairement à ce que l’on croit souvent, les informations relatives au revenu et à la fortune ne font pas partie des données particulièrement sensibles.

Il faut traiter avec le même soin ce que l’on appelle les profils de la personnalité. L’on entend par là les assemblages de données qui permettent d’apprécier les caractéristiques essentielles de la personnalité d’une personne physique. Dans la pratique, il est souvent difficile de déterminer à quel moment ces conditions sont remplies. L’on a par exemple affaire à un profil de personnalité lorsque des informations les plus diverses sont récoltées au sujet d’un interlocuteur auprès du client dans le cadre de ce que l’on appelle des «Customer Relationship Management Systems» (CRM) afin de l’encadrer de manière optimale d’un point de vue marketing. Il n’est pas rare que des informations relatives à la position professionnelle, l’appartenance à un parti politique, aux hobbies, au nombre d’enfants, à la formation, etc. de la personne concernée soient récoltées. Si l’on dispose de toutes ces informations, il est possible de tirer des conclusions sur la sphère privée, la position sociale ou encore la situation ­financière et l’on peut présumer être en présence d’un profil de la personnalité. Selon la doctrine, les dossiers du personnel sont également des profils de la personnalité.

Lors du traitement de données personnelles particulièrement dignes de protection et de profils de la personnalité, l’entreprise doit procéder avec un soin tout particulier tout en respectant des obligations particulières imposées par la loi dont il sera question plus loin dans le présent article.

Lorsqu’une entreprise dispose de fichiers, certaines obligations en découlent. Ainsi, le propriétaire d’un fichier doit garantir le droit au ­renseignement selon l’art. 8 LPD et respecter certaines obligations d’information tout en pouvant être soumis à déclaration dans certaines circonstances. L’on est en présence d’un fichier lorsqu’une certaine quantité de données personnelles peut être attribuée à certaines personnes. Les dossiers du personnel constituent un bon exemple de fichiers, tout comme les ­fichiers comportant des données relatives aux clients.

L’entreprise ne peut procéder qu’à un traitement de données personnelles conforme aux prescriptions légales et nécessite, selon la doctrine actuelle, un motif justificatif. De tels motifs justifiant le traitement de données sont par exemple le consentement de la personne concernée, l’existence d’une base légale ou ­encore le traitement de données en relation avec la conclusion d’un contrat.

Avec la révision partielle de la loi fédérale sur laprotection des données qui est entrée en ­vigueur le 1.01.2008, une attention toute particulière a été vouée à la transparence de la ­récolte de données. La récolte de données doit être reconnaissable par la personne concernée de manière à empêcher la récolte cachée d’informations. Une récolte de ­données qui de­mande une collaboration de la personne concernée ne pose pas de problèmes. S’il faut par exemple que des données soient saisies sur un site Internet par la personne concernée ­elle-même, cette récolte d’informations est pour elle transparente. Les installations vidéo par contre, auxquelles la personne concernée n’a pas été rendue attentive par des panneaux, doivent toute­fois être considérées différemment. L’enregistrement secret du comportement de navigation sur le web d’un collaborateur n’est pas transparent non plus.

Des exigences plus strictes existent pour la récolte de données personnelles et de profils de la personnalité particulièrement sensibles. Dans ce cas, la loi demande que les personnes concernées soient informées activement de l’objectif du traitement des données, du propriétaire du fichier et des catégories de destinataires (si les données sont transmises à des tiers). Selon l’art. 14 LPD, le maître du fichier est délié de son devoir d’informer si cette information exige des efforts non proportionnels à l’intérêt de protection ou si l’entreprise est tenue par la loi de récolter ces données. C’est ainsi que les maisons de jeux, en raison de leur obligation légale d’empêcher les effets nuisibles du jeu de leurs clients, doivent par exemple récolter des données qui touchent aux profils de la personnalité ou aux données personnelles sensibles ou encore que les sociétés d’assurance doivent récolter, dans le secteur des assurances sociales, entre autres, des données relatives à l’état de santé. Dans ces cas, le devoir d’informer prévu par la loi tombe mais de nombreuses entreprises le garantissent néanmoins volon­tairement.

Le traitement de données personnelles n’est autorisé que pour le but indiqué lors de la récolte des données. Si les données devaient être utilisées dans un autre but, l’autorisation de la personne concernée est nécessaire. S’il est prévu de transmettre les données indiquées par un client sur le formulaire de commande lors de sa commande à une autre entreprise du même groupe afin que cette dernière puisse lui faire parvenir de la publicité pour ses propres biens et prestations de service, il convient d’obtenir préalablement l’autorisation de la personne concernée. Si l’entreprise désire conserver les documents relatifs à une offre d’emploi afin de les utiliser pour pourvoir un autre poste, elle doit obtenir pour cela l’autorisation de la personne concernée.

Le traitement des données doit se faire selon le principe de la proportionnalité de façon à ce qu’il occasionne l’intervention la plus réduite possible dans les droits de la personnalité de la personne concernée pour atteindre le but visé. L’interdiction de collecter des données en vrac ou encore une trop longue conservation des données sont autant d’exemples tirés de l’application pratique de ces principes.

Quiconque procède au traitement de données personnelles doit contrôler régulièrement si ces dernières sont exactes et les corriger, les compléter ou les détruire si ces dernières sont ­incorrectes ou incomplètes ou si elles ne sont plus nécessaires. Chaque entreprise a intérêt à respecter cette exigence légale vu que des données inexactes ou incomplètes provoquent dans tous les cas énormément de travail.

Dans le cadre de la sécurité des données, il faut en outre garantir l’intégrité, la confidentialité et la disponibilité des données. Les mesures à prendre à cet effet doivent être adéquates – plus le danger de la violation des droits de la personnalité est grand, plus l’entreprise doit procéder avec soin. Le domaine de la sécurité des ­données comprend aussi bien des mesures techniques que des mesures d’organisation. Outre l’installation de pare-feux ou de logiciels antivirus, il faut dès lors par exemple limiter ou contrôler les accès si nécessaire et il convient de former les collaborateurs à l’usage des données personnelles. Dans ce cas, il ne faudrait pas oublier que de très nombreuses données existent non seulement sous forme électronique mais également sur papier.

Pour que la personne concernée puisse faire valoir son droit à la rectification de données incorrectes et à la destruction de données traitées sans motif justificatif, elle doit pouvoir savoir quelles données le concernant ont été traitées. Chaque maître de fichier est dès lors tenu par la loi de garantir qu’il peut, sur demande, fournir des renseignements au sujet de toutes les données dont il dispose sur une personne. Les demandes de renseignement selon l’art. 8 LPD sont particulièrement fréquentes dans les branches qui traitent des données sensibles de leurs clients, par exemple les assurances maladie. Ce renseignement doit pouvoir être fourni ­gratuitement et dans les 30 jours. Afin de pouvoir garantir le respect de ce délai très court, l’entreprise devrait nommer des personnes chargées de cette tâche et définir le processus de mise à disposition des renseignements. Il convient de s’assurer que ces renseignements ne sont pas fournis à des personnes non autorisées. Il faut donc procéder à une vérification d’identité de la personne, par exemple une ­copie d’un document d’identité ou d’un passeport. Un renseignement ne devrait être fourni à un tiers que si celui-ci peut prouver qu’il dispose d’une procuration en bonne et due forme. La réponse à une demande de renseignement devrait être fournie par la personne ­compétente qui se charge ensuite de vérifier l’identité, coordonne le rassemblement des données, fournit finalement le renseignement tout en restant à disposition pour répondre à d’éventuelles questions supplémentaires. Dans de nombreuses entreprises, cette tâche est en général du ressort de la personne chargée de la protection des données. Souvent le patron s’en charge personnellement.

Toute personne qui traite régulièrement des données personnelles sensibles ou des profils de la personnalité ou qui transmet régulièrement des données personnelles à des tiers doit annoncer ces fichiers auprès du Préposé fédéral à la protection des données et à la transparence (PFPDT). Ce dernier tient un registre des fichiers accessible au public.

Cependant, il y a de nombreuses exceptions à cette obligation de s’annoncer. Ainsi, des fichiers ne doivent pas être annoncés lorsque l’entreprise est tenue par la loi de traiter les données qu’ils contiennent. Le PFPDT a expressément dispensé de l’obligation d’annoncer les dossiers du personnel pour autant qu’ils ne contiennent pas plus de données que ne le ­permet la loi. D’autres exceptions concernent les fichiers de fournisseurs et de clients, la comptabilité ou des fichiers dits auxiliaires de la gestion du personnel. L’on entend par là les copies de travail de documents établis dans presque toutes les entreprises pour des raisons d’organisation. Ces dernières ne doivent pas être annoncées si elles ne contiennent qu’un extrait d’un fichier et pas d’autres nouvelles données.

Une dispense générale de l’obligation d’annoncer est possible si l’entreprise annonce un préposé à la protection des données auprès du PFPDT ou si elle acquiert un certificat conforme à l’ordonnance sur les certifications en matière de protection des données (OCPD) et l’annonce auprès du PFPDT. Dans tous ces cas, une liste des fichiers doit cependant être tenue à l’in­terne.

Avant de transmettre des données personnelles à l’étranger, l’entreprise doit s’assurer qu’une protection suffisante est garantie dans le pays destinataire (art. 6 LPD). Une telle communication transfrontalière n’exige pas obligatoirement une transmission active mais est également donnée lorsque le destinataire étranger peut accéder de manière électronique aux données. En cas de sous-traitance à l’étranger, les dispositions légales de l’art. 6 LPD doivent également être respectées!

Le PFPDT publie sur son site une liste d’Etats dont la législation relative à la protection des données garantit une sécurité adéquate. Si le transfert de données doit se faire vers un pays qui ne figure pas sur cette liste, il convient de prendre des mesures supplémentaires afin de garantir la protection des données. Si les parties utilisent des contrats-types ou des clauses contractuelles standard établis par le PFPDT ou reconnus par ce dernier et si le PFPDT en est avisé, les garanties légales exigées sont remplies. Cependant, les parties peuvent également établir de propres contrats mais doivent néanmoins les annoncer auprès du PFPDT. Si une protection adéquate n’est pas garantie dans le pays destinataire et si aucun contrat n’est conclu, la légalité du transfert peut également être assuré d’une autre façon, par exemple avec l’accord des personnes concernées. En pra­tique, cela risque toutefois d’être difficile s’il ne s’agit pas seulement des données d’une seule personne.

Afin de satisfaire à toutes les exigences légales mentionnées et afin de standardiser le traitement des données dans l’entreprise de ma­nière à rendre le contrôle de ce dernier plus aisé, il est recommandé de prendre quelques mesures minimales que nous expliquons brièvement ­ci-après.

Parmi les mesures minimales recommandées, mentionnons tout particulièrement les suivantes:

• recenser les bases légales
• nommer un préposé d’entreprise à la protection des données
• édicter des instructions
• recenser les fichiers, y compris l’évaluation de conformité
• garantir la sécurité des données et
• assurer une formation correspondante des collaborateurs.

Nous avons déjà abordé plus haut la question du recensement des bases légales. Ci-après, nous expliquons brièvement à quoi il convient de faire attention en ce qui concerne les autres mesures recommandées.

La liste ci-dessus, fortement abrégée, des principales exigences légales montre qu’au moins une personne devrait s’occuper dans l’entreprise de manière approfondie de la protection des données. Entre-temps, de nombreuses entreprises suisses l’ont bien compris, raison pour laquelle la fonction du préposé à la protection de données se rencontre d’ores et déjà assez fréquemment dans les entreprises.

Contrairement à d’autres Etats, la Suisse ne connaît pas d’obligation de principe de nommer un préposé à la protection des données. Il en va tout autrement cependant si l’entreprise ­désire se libérer d’une éventuelle obligation d’annoncer la constitution de fichiers. A cet ­effet, il lui faut annoncer un préposé à la protection des données auprès du Préposé fédéral à la protection des données et à la transpa­rence ou acquérir un certificat de protection de données conforme à l’ordonnance sur les certifications en matière de protection des données (OCPD) qui exige également la nomination d’un préposé à la protection des données.

Une libération de l’obligation d’annoncer suppose toutefois que le préposé à la protection des données dispose des connaissances spécia­lisées nécessaires et qu’il puisse exercer son activité de manière indépendante. Souvent, la fonction de préposé à la protection des données est confiée à des collaborateurs issus du département informatique. Le PFPDT précise clairement dans ses publications que la fonction de préposé à la protection des données dans l’entreprise exige également que le titulaire dispose de connaissances approfondies du droit relatif à la protection des données. Il recommande dès lors que les préposés à la protection des données qui ne sont pas au bénéfice d’une formation juridique aient travaillé au moins six mois dans le secteur de la protection des données ou qu’ils aient suivi une formation de même ­durée. Comme il n’existe sur le marché de la formation que peu de cours qui répondent à cette exigence, l’expérience pratique revêt une très grande importance.

Le préposé à la protection des données a, entre autres, pour tâches de contrôler en toute indépendance les traitements de données effectués par l’entreprise, de recommander des mesures de correction et de tenir la liste des fichiers.

L’indépendance exigée est assurée s’il n’est pas lié, dans l’exercice de cette fonction, aux directives de ses supérieurs hiérarchiques et s’il ne peut pas être sanctionné pour ses décisions. Il ne doit en outre exercer aucune autre fonction au sein de l’entreprise qui pourrait entraîner un conflit d’intérêts. C’est la raison pour laquelle la fonction de préposé à la protection des données ne convient pas à des personnes qui assument simultanément une fonction dans le domaine de la gestion du personnel, une responsabilité pour la gestion de fichiers et encore une fonction de CEO.

Afin que le préposé à la protection des données puisse assumer ses tâches correctement, il doit disposer des ressources financières et en personnel nécessaires et avoir accès à tous les processus de traitement de données. Pour prévenir à temps d’éventuelles violations de la protection des données, il devrait en outre être impliqué dès le début dans tous les projets qui concernent le traitement de données personnelles. En fonction de la taille de l’entreprise, il est recommandé en outre de confier certaines tâches dans le domaine de la protection des données à des personnes supplémentaires dans toutes les unités d’organisation de l’entreprise qui ­collaborent avec le préposé – une telle mesure favorise la compréhension pour les exigences de protection des données auprès des collaborateurs et garantit que le préposé reçoive le cas échéant les informations dont il a besoin.

Quoi qu’il en soit, l’entreprise devra toujours ­assumer seule une violation de la protection des données, même si elle a nommé un préposé à la protection des données. Le PFPDT insiste dès lors clairement sur le fait que la dénomination de «responsable de la protection des données» inscrite dans la loi ne signifie pas que ce dernier assume seul la responsabilité de la protection des données mais qu’il assume bien plutôt une fonction de conseil et de contrôle.

Une des conditions de base pour une standardisation de l’usage qui est fait des données personnelles est d’édicter des prescriptions internes à l’entreprise. Il est toutefois peu judicieux de se contenter de copier les dispositions de la loi sur la protection des données comme c’est malheureusement trop souvent le cas dans la pratique. Une instruction relative à la protection des données devrait au contraire plutôt définir comment les exigences légales sont appliquées au sein de l’entreprise. Il convient de prendre en compte aussi bien le lien pratique avec les propres activités de l’entreprise et avec les processus concrets internes à l’entreprise que les bases légales spécifiques s’appliquant à l’entreprise. Pour simplifier, disons qu’une réglementation relative à la protection des données qui ne permet pas de déduire si l’entreprise est un hôpital ou une fiduciaire n’est pas très utile.

Les sujets qui devraient être abordés dans une réglementation relative à la protection des ­données sont par exemple les bases légales concrètes à respecter, le règlement de la responsabilité relative à l’usage de données personnelles à tous les niveaux, la manière de ­procéder en cas de demandes de renseignement selon l’art. 8 LPD, les mesures visant à assurer la sécurité des données ainsi que d’éventuelles sanctions en cas de violation. Une réglementation relative à la protection des ­données bien faite qui reflète le traitement des données dans l’entreprise et donc les risques qui y sont liés constitue un précieux instrument de gestion que les collaborateurs apprécient en règle générale beaucoup.

L’usage fait des moyens informatiques, en particulier en relation avec Internet et les courriels, est souvent régi par un règlement d’utilisation séparé. Dans le cadre de son droit de pouvoir imposer des directives, l’employeur a le droit de définir de quelle manière les moyens informatiques mis à disposition peuvent être utilisés. Il est recommandé d’émettre expressément une directive relative à l’admissibilité d’un usage ­privé des moyens informatiques afin que ce point soit bien clair. Si l’employeur désire contrôler si le règlement d’utilisation est bien respecté, il doit clairement communiquer le fait qu’une surveillance est exercée et les conditions ainsi que les conditions-cadres de cette dernière. En effet, à défaut d’une telle information expresse des collaborateurs, la surveillance est interdite.

Un usage contrôlé de données personnelles dans l’entreprise exige obligatoirement que l’entreprise ait un aperçu de tous ses fichiers. Si un préposé à la protection des données a été nommé, c’est lui qui assumera en règle générale cette tâche. Sans le soutien des divers collaborateurs, il est toutefois impossible de réaliser un recensement exhaustif des fichiers étant donné qu’il ne sait en règle générale pas où de tels ­fichiers ont été constitués. La décision de procéder à un recensement des fichiers et l’encouragement des employés à collaborer devraient donc être expressément communiqués par la direction aux collaborateurs.

Après le recensement, il faudrait évaluer pour chaque fichier si les exigences légales sont remplies lors du traitement des données. Cette ­étape demande effectivement pas mal de travail mais débouche aussi très souvent sur une ­destruction ou une actualisation de nombreux fichiers qui ne sont plus à jour. De plus, cette évaluation dite de conformité constitue une condition indispensable à une analyse des ­risques. Une fois que les risques liés à la protection des données ont été identifiés, il est possible de les évaluer et de prendre d’éventuelles mesures préventives pour les réduire.

Dans le cadre de l’application des exigences de la sécurité des données, il convient d’opter pour une solution globale. Il faut dès lors prendre en compte à la fois la sécurité IT et la sécurité physique et les documents enregistrés tant sous ­forme électronique que sous forme physique. Les objectifs visés dans le cadre de la garantie de la confidentialité et de la disponibilité des données sont précisés dans l’art. 9 de l’ordonnance relative à la loi fédérale sur la protection des données (OLPD). Il est en outre important que l’entreprise s’assure que ces derniers soient également garantis lorsque le traitement des données est confié à un sous-traitant. Selon l’art. 10a LPD, l’entreprise reste responsable d’un traitement des données personnelles conforme aux exigences de la protection des données. Par conséquent, il faut garantir dans le cadre d’une sous-traitance que le partenaire contractuel n’utilise les données que de la manière dont l’entreprise elle-même le devrait. Une utilisation de telles données pour son propre usage ou un transfert de ces dernières à des tiers devraient donc être expressément exclus. Comme l’entreprise est ­tenue de s’assurer que le sous-traitant garantit la sécurité des données, un droit d’information et de contrôle devrait être prévu dans le contrat.

Les mesures d’application décrites dans le ­présent article ne peuvent pas empêcher de manière absolue des violations du droit de la protection des données de se produire. Si les responsabilités et les processus font l’objet d’une réglementation spécifique, de telles violations pourront en règle générale être iden­tifiées suffisamment tôt et les compétences et les processus seront également clairs pour les collaborateurs. Cela permet également de baisser le risque qu’un tel incident ne cause des dommages importants à l’image de l’entreprise. Les mesures décrites font partie d’un système de gestion de la protection des données qui doit être mis en place selon l’ordonnance sur les certifications en matière de protection des données (OCPD) dans le cadre d’une certification relative à la protection des données. Toutefois, l’obtention d’un certificat en matière de pro­tection des données pose encore d’autres exigences qui concernent pour la plupart la documentation des processus dans le cadre de la protection des données.

La pratique démontre qu’un usage contrôlé et systématisé de données personnelles ainsi qu’une réglementation claire des responsabilités correspondantes permettent d’accroître la qualité du traitement de données et facilite le contrôle des processus correspondants. L’effort initial vaut donc toujours la peine d’être entrepris.