Modifications par rapport à l’avant-projet
Dans son projet final, le Conseil fédéral a revu de nombreux articles pour tenir compte des avis donnés lors de la consultation externe. Nous vous décrivons ci-dessous les trois modifications qui ont le plus d’impact, à notre sens, pour les employeurs et les caisses de pensions.
Devoir de tenue d’un registre des traitements
Le devoir général de documenter tous les processus de traitement de données a été considéré trop flou par les participants à la consultation. Le Conseil fédéral l’a remplacé par un devoir de tenir un registre des traitements, comme dans le règlement européen[1]. De plus, il a élevé la tenue du registre au rang des principes généraux de protection des données, ce qui démontre l’importance qui doit y être accordée. Ce registre aura, en effet, pour but de permettre de prouver que les traitements sont conformes à la protection de données.
Actuellement, il n’y a pas d’obligation de tenir un registre de traitement.
Concrètement, un registre de traitements est la description précise de tous les traitements de données effectués dans une fondation ou dans une entreprise. Par traitement de données, il faut comprendre toute opération relative à des données personnelles, quels que soient les moyens et procédés utilisés, notamment :
- la collecte
- l’enregistrement
- la conservation
- l’utilisation
- la modification
- la communication
- l’archivage
- l’effacement
- la destruction de données
Le registre doit décrire spécialement la finalité du traitement, les catégories des personnes concernées et des données traitées, le délai de conservation des données, les mesures visant à garantir la sécurité des données, communication à l’étranger, etc. Pour avoir une idée de la forme que pourrait prendre un tel registre, nous recommandons de consulter le site internet de l’autorité française en matière de protection des données (CNIL).
Il faut cependant relever que pour les entreprises de moins de 50 employés, le Conseil fédéral pourra décider d’exceptions.
Reste à savoir, si des modèles de registre ou des guides seront mis à disposition par les autorités, comme cela s’est fait en Europe, ou par des associations faîtières. En effet, dès lors que les activités de traitement des caisses de pensions et les activités des entreprises concernant leurs employés sont restreintes à ce qui est prévu par la loi, cela devrait pouvoir être largement standardisé.
Devoir d’information lors de la collecte de données
L’avant-projet prévoyait une obligation d’informer les employés et les assurés lors de chaque collecte de données personnelles. Le projet a été largement assoupli à ce niveau puisqu’une exception est maintenant prévue pour les traitements des données personnelles prévus par la loi[2].
Cela signifie que comme les caisses de pensions[3] ne peuvent collecter des données que dans le cadre légal, elles n’auront pas d’obligation d’information.
En ce qui concerne les employeurs, leur devoir d’information sera limité aux données qui sont collectées alors qu’elles ne sont pas exigées par la loi. Parmi les traitements exigés par la loi, on peut citer, par exemple, celles qui comprennent les données salariales des employés (l’employeur est obligé de tenir une comptabilité selon l’art. 957 CO), celles concernant les avantages reçus par les collaborateurs (l’attestation fiscale selon l’art. 45 LHID demande qu’ils y figurent) ou encore celles qui sont communiquées à l’AVS ou à l’AI (selon les art. 50a LAVS ou les art. 66 et 66a LAI).
Amendes abaissées
Le projet final voit le montant maximal des amendes baissé à CHF 250'000.- francs, au lieu des CHF 500'000.- francs initialement prévus.
Il faut souligner que, contrairement au droit européen, les amendes de plus de CHF 50'000 seront toujours adressées aux personnes physiques qui contreviennent aux dispositions de la loi et non à l’entreprise ou à la fondation[4].
Prochaines étapes de la révision
La Commission des institutions politiques du Conseil national (CIP-N) a décidé de scinder le projet en deux. La première partie sera consacrée à la mise en œuvre du droit européen à l'égard du traitement des données dans le domaine du droit pénal[5], qui doit entrer en vigueur au plus tard en août 2018 selon les engagements internationaux de la Suisse (acquis Schengen).
La CIP-N n’a pas indiqué à quelle date elle compte reprendre les travaux pour la seconde partie. On peut s’attendre à ce que l’entrée en vigueur de la nouvelle LPD soit repoussée jusqu’en 2019.
Par ailleurs, le projet de loi prévoit un délai transitoire de 2 ans avant que les responsables de traitement doivent commencer à respecter leurs nouveaux devoirs.
Compatibilité avec le droit européen
Dans le cadre de la protection des données, la Suisse est considérée comme un Etat tiers par l’UE et dès l’année 2000, la Commission européenne a constaté que la Suisse dispose d’un niveau de protection adéquat des données[6].
Le projet de révision de la loi sur la protection des données a notamment pour but de s’assurer que la Suisse pourra continuer à figurer dans la liste des Etat tiers bénéficiant d’une décision d’adéquation de la Commission européenne[7].
Chez Trianon, nous suivons attentivement cette révision totale de la loi sur la protection des données, afin de vous garantir le respect des exigences légales dans le cadre de nos mandats.