Renforcement de la loi sur la protection des données – quels impacts pour les employeurs et les caisses de pension ?

Renforcement de la loi sur la protection des données – quels impacts pour les employeurs et les caisses de pension ?

La révision de la loi fédérale de protection des données (LPD) poursuit son cours. Le Conseil fédéral entend se rapprocher des exigences européennes, qui font partie de l’acquis de Schengen et donc des obligations bilatérales suisses. Il y a également un besoin grandissant de renforcer la protection des données en Suisse, car la LPD date de 1992 et une époque où l’Internet n’était qu’à ses débuts.

Historique des étapes de la révision :

 Avril 2016 - l’UE adopte la réforme de sa législation sur la protection des données

  Juin 2016 – Le Conseil de l’Europe présente son projet de réforme de la Convention internationale pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (STE 108)

  Décembre 2016 - le Conseil fédéral envoie l'avant-projet de révision totale de la LPD en consultation auprès des autorités et milieux concernés, jusqu’au 4.4.2017

  Mai 2018 – Entrée en vigueur officielle de la nouvelle législation de l’UE

  Août 2018 – Délai maximal pour l’entrée en vigueur de la nouvelle LPD en Suisse

Si l’avant-projet de révision du Conseil fédéral est accepté par le Parlement, quels seront les impacts pour les employeurs et caisses de pension, souvent confrontés à ce thème ?

Principes généraux inchangés

Les principes généraux en matière de protection de données resteront applicables sans beaucoup de changement. Il est important de rappeler que tout traitement de données personnelles doit être soit justifié par la loi, le consentement de la personne concernée ou par un intérêt privé ou public prépondérant, soit conforme à tout point aux principes généraux en matière de protection des données.

Ainsi, l'employeur ne peut traiter des données concernant le travailleur que dans la mesure où ces données portent sur les aptitudes du travailleur à remplir son emploi ou sont nécessaires à l'exécution du contrat de travail (art. 328b CO)[1].

De leur côté, les caisses de pension sont habilitées à traiter les données personnelles, y compris les données sensibles et les profils de la personnalité, qui leur sont nécessaires pour accomplir les tâches que leur assigne la LPP (ex. : pour calculer et percevoir les cotisations, pour établir le droit aux prestations et les coordonner avec celles d'autres assurances sociales). Il faut relever que la communication des données personnelles des assurés à l’employeur, notamment sous forme d’un certificat de prévoyance sous pli non fermé, a été jugée contraire à la loi par le tribunal administratif fédéral[2].

Nouveaux devoirs introduits par l’avant-projet

L’avant-projet introduit de nouveaux devoirs et étend certains devoirs existants. Ces nouveautés demanderont aux employeurs et caisses de pension de définir de manière plus fine qu’aujourd’hui les processus et règles qui leur permettront de garantir la protection des données de leurs collaborateurs et leurs assurés.

Devoir de notification

Le préposé fédéral à la protection des données et, le cas échéant, la personne concernée devront être informés spontanément en cas de violation de la protection des données (ex. : pertes et vols de données, hacking). Ainsi, plus que jamais, une violation en matière de protection des données pourra avoir des conséquences pour la réputation d’une entreprise.

Devoir de documentation

Les employeurs et les caisses de pension seront obligés de documenter tous leurs processus internes de traitements de données. Une ordonnance précisera les éléments qui devront figurer dans la documentation.

Devoir d’information lors de la collecte de données

Actuellement, les employeurs et les caisses de pension doivent informer les employés et les assurés lors de la collecte de données sensibles (celles qui se rapportent par exemple aux activités religieuses, politiques ou syndicales, la santé et la sphère intime, ainsi que les assemblages de données qui permettent de faire des profils de personnalité). L’avant-projet prévoit d’étendre ce devoir à toutes les données personnelles. Ceci touchera surtout les employeurs. En effet, ces derniers ne sont pratiquement pas autorisés à collecter des données sensibles et ont donc rarement eu à se préoccuper de ce devoir jusqu’à présent.

Devoir d’informer les tiers

Selon le droit en vigueur, l’employeur ou la caisse de pension doivent s’assurer de l’exactitude des données traitées, mais n’ont pas l’obligation de faire corriger les données lorsqu’ils les ont transmises à des tiers avec des erreurs. L’avant-projet prévoit de rectifier la situation.

Devoirs liés à l’informatique

Par ailleurs, l’employeur et la caisse de pension devront informer l’employé ou l’assuré s’ils font usage d’un traitement de données automatisé qui permet de prendre une décision ou de porter un jugement sur une personne, sans intervention humaine. Il s’agit par exemple d’outils informatiques qui établissent des profils des employés sur la base d’un sondage et analysent leur compatibilité avec les valeurs de l’entreprise. De plus, lorsque l’employeur ou la caisse de pension proposent l’utilisation de logiciels ou de sites internet, les paramètres par défaut devront garantir la plus haute protection des données des utilisateurs.

Augmentation du montant des amendes

La grande nouveauté de l’avant-projet est l’augmentation énorme du montant de l’amende en cas de violation des devoirs en matière de protection de données. Elle passe d’un montant presque symbolique de CHF 10'000 au maximum, à CHF 500'000 au maximum ! A titre de comparaison, les nouvelles règles européennes prévoient la possibilité d’infliger des amendes d’un montant de EUR 20'000’000 au maximum ou jusqu'à 4 % du chiffre d'affaires annuel de l'entreprise.

Les prochaines étapes de la révision seront l’élaboration du rapport sur la consultation et l’adoption du texte final et du message par le Conseil fédéral, qui auront lieu cet été. Chez Trianon nous suivons attentivement cette révision totale de la loi sur la protection des données, afin de vous garantir le respect des exigences légales dans le cadre de nos mandats.

Maria Bianchi-Pastori


[1] Pour plus d’information, nous recommandons la lecture du Guide pour le traitement des données personnelles dans le secteur du travail du Préposé fédéral à la protection des données.

[2] Arrêt du Tribunal administratif fédéral A-4467/2011 du 12 avril 2012