Retour
Juridique - Partenariats | publié par Loyco | 20.08.2023

Nouvelle loi sur protection des données en droit du travail

Dès le 1er septembre 2023, les entreprises devront se conformer à la nouvelle loi sur la protection des données (nLPD) adoptée par le Parlement afin d’améliorer le traitement des données personnelles et d’accorder de nouveaux droits aux citoyen·ne·s suisses. Notre partenaire, CJE, Avocats, Conseillers d’entreprises passe le sujet à la loupe et détaille pour vous toutes les modalités à connaître sur l’entrée en vigueur de cette nouvelle loi.

La nouvelle loi sur la protection des données (nLPD), qui entrera en vigueur le 1er septembre 2023, vise à protéger la personnalité et les droits fondamentaux des personnes physiques établies en Suisse, dont les données font l’objet d’un traitement. Les données des personnes morales ne seront plus protégées. La volonté est d’offrir une transparence accrue et de renforcer les droits des personnes concernées sur leurs propres données (« autodétermination informationnelle »). La nLPD instaure de nouveaux devoirs pour les entreprises, notamment en cas de collecte, de perte et d’utilisation abusive de données personnelles.

 

Tout savoir sur les modalités à connaître en 15 questions

1. À quelle entreprise la nLPD est-elle applicable?

La nLPD est applicable à toutes les entreprises qui possèdent des données sur leurs client·e·s, partenaires, fournisseurs et collaborateur·rice·s.

En résumé, toutes les entreprises sont donc concernées par la nLPD.

2. Les entreprises ont-elles un délai pour se mettre en conformité?

La nLPD ne prévoit pas de délai de transition pour se mettre en conformité, elle est donc intégralement applicable dès le 1er septembre 2023

3. Où la nLPD est-elle applicable?

La nLPD s’applique sur le territoire Suisse, mais elle a également une portée extraterritoriale puisqu’elle s’applique aux états de fait qui se produisent à l’étranger et qui déploient des effets en Suisse. Cela signifie que si le processus de traitement de données personnelles a lieu hors de la Suisse, mais qu’il concerne des personnes physiques établies en Suisse et produit des effets en Suisse, le responsable du traitement des données est tenu de respecter la nLPD. Il doit en outre nommer, à certaines conditions, un·e représentant·e légal·e en Suisse

4. Quelles sont les données personnelles au sens de la nLPD?

Il y a deux catégories de données:

  1. les données personnelles, soit une information concernant une personne physique identifiée ou identifiable (prénom, nom, date de naissance, État civil, sexe, nationalité, langue, etc.);
  2. les données dites sensibles, soit notamment l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les informations concernant la santé, celles sur des poursuites ou des sanctions pénales et administratives, ainsi que sur des mesures d’aide sociale; les données sensibles incluent également les données génétiques et biométriques.

5. Quelles données l’employeur peut-il traiter concernant ses travailleur·se·s?

Selon l’art 328b CO, l’employeur ne peut traiter des données concernant ses collaborateur·rice·s que dans la mesure où elles portent sur les aptitudes du·de la travailleur·se à remplir son emploi ou si elles sont nécessaires à l’exécution du contrat.

 

Qu’est-ce que l’aptitude à remplir l’emploi?
Ce sont les informations qui permettent de déterminer si la personne possède les capacités ainsi que les qualités personnelles et professionnelles requises à remplir l’emploi: diplôme, certificat de travail, etc. Ces informations peuvent être traitées avant la conclusion du contrat de travail.

 

Que sont les données nécessaires à l’exécution du contrat?
Ce sont toutes les informations permettant à l’employeur de remplir ses obligations légales, contractuelles et conventionnelles, par exemple à l’égard des assurances sociales, du fisc, des partenaires sociaux, etc. (date de naissance, état civil, situation familiale, etc.).

 

Le·la collaborateur·rice peut-il·elle donner son consentement au traitement de données sans rapport avec ses aptitudes professionnelles? Oui, si cela est fait dans l’intérêt du collaborateur ou de la collaboratrice, respectivement du·de la candidat·e. C’est, par exemple, le cas s’il communique des informations concernant ses engagements (bénévolat, etc.), sa situation familiale, etc.

6. Qu’est-ce que le·la responsable du traitement?

Le·la responsable de traitement est une personne physique ou morale qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données personnelles. Le·la responsable du traitement, selon la nLPD, correspond au maître de fichier selon la LPD et au responsable de traitement selon le RGPD.

7. Quels principes respecter en matière de protection des données?

La nLPD impose de respecter plusieurs principes:

  • Tout traitement de données personnelles doit être licite.
  • Le traitement de données personnelles doit être conforme aux principes de la bonne foi et de la proportionnalité.
  • Les données personnelles ne peuvent être collectées que pour des finalités déterminées et reconnaissables pour la personne concernée.
  • Les données personnelles ne peuvent être traitées que de manière compatible avec les finalités déterminées et reconnaissables pour la personne concernée.
  • Les données personnelles doivent être détruites ou anonymisées dès qu’elles ne sont plus nécessaires au regard des finalités.
  • Celui qui traite des donnés personnels doit s’assurer qu’elles sont exactes.

8. Qu’est-ce que le droit d’accès?

Le droit d’accès est la condition même de l’exercice par le·la collaborateur·rice de ses droits de la personnalité dans les rapports de travail, notamment pour faire rectifier ou détruire des données, en constater l’inexactitude, les utiliser pour analyser sa situation juridique, etc. Le droit d’accès est le droit d’une personne de demander si des données personnelles la concernant sont traitées.

Le droit d’accès selon la nLPD ne vise que l’objectif, pour la personne concernée, à faire valoir ses droits en matière de protection des données et à garantir la transparence du traitement de ses données. Le Tribunal fédéral a jugé dans un arrêt (4A_277/2020 du 18 novembre 2020) qu’une demande de droit d’accès est abusive si elle vise à chercher des preuves en vue d’une procédure civile, sans chercher à vérifier si les données et le traitement effectués sont conformes à la protection des données.

Le collaborateur ou la collaboratrice ne peut pas renoncer par avance au droit d’accès qui peut être invoqué en tout temps: avant, pendant et après la fin des rapports de travail.

9. Quelle procédure pour demander l’accès à ses données?

La personne doit demander par écrit l’accès au maître de fichier et justifier son identité. La demande d’accès et la communication des renseignements peuvent être faites par voie électronique si le maître du fichier l’a expressément prévu, si les mesures pour s’assurer de l’identité de la personne concernée ont été prises et si les données transmises sont protégées lors de la communication. Les renseignements doivent être fournis dans les 30 jours qui suivent la réception de la demande.

10. Quels risques de ne pas répondre à une demande d’accès?

Le·la responsable du traitement qui ne répond pas, ou de manière incomplète ou insatisfaisante aux yeux du·de la collaborateur·rice, risque une exécution du droit d’accès devant les Tribunaux.

11. Quelles informations la personne concernée peut-elle demander?

Les informations suivantes peuvent être demandées:

  • L’identité et les coordonnées du·de la responsable du traitement.
  • Les données personnelles traitées en tant que telles.
  • La finalité du traitement.
  • La durée de conservation des données personnelles ou, si cela n’est pas possible, les critères pour fixer la durée de conservation.
  • Les informations disponibles sur l’origine des données personnelles dans la mesure où elles n’ont pas été collectées auprès de la personne concernée.
  • Cas échéant, l’existence d’une décision individuelle automatisée ainsi que la logique sur laquelle se base la décision.
  • Cas échéant, les destinataires ou les catégories de destinataires auxquels les données personnelles sont communiquées, ainsi que les informations prévues notamment les garanties en cas de transfert de données à l’étranger.

 

12. Quelle obligation d’informer le·la collaborateur·rice par l’employeur? »

La collecte de toutes les données sensibles, mais également des données personnelles, doit donner lieu à une information du candidat, respectivement du collaborateur ou de la collaboratrice.

13. Quelles sont les droits du·de la collaborateur·rice?

  • Droit à la rectification: c’est le droit pour la personne concernée de demander au·à la responsable du traitement qu’il·elle corrige des données personnelles inexactes ou qu’il·elle complète des données lacunaires.
  • Droit à l’effacement des données: consiste en la suppression des données personnelles inexactes, inadéquates, non pertinentes ou excessives, par le responsable de traitement à la demande de la personne concernée.

14. Les contrats doivent-ils être adaptés?

Il est vivement conseillé d’examiner les contrats conclus avec les collaborateur·rice·s, mais également les fournisseurs, les prestataires de services et les client·e·s, pour y inclure des clauses conformes à la nLPD cas échéant.

15. Quels risques en cas de violation de la nLPD?

Tout d’abord, les sanctions sont prononcées contre la personne physique en charge de la protection des données (p. ex: directeur·rice, etc.) et non pas contre l’entreprise.

Le·la contrevenant·e risque une amende allant jusqu’à CHF 250’000.- s’il·elle:

  • Fournis intentionnellement des renseignements inexacts ou incomplets;
  • Omets intentionnellement d’informer la personne concernée;
  • Ne respecte pas les exigences minimales en matière de sécurité des données;
  • Communique des données personnelles à l’étranger sans que les conditions requises soient remplies;
  • Sous-traite des données personnelles sans que cela ne réponde aux exigences légales
  • Viole le devoir de confidentialité.

Seul un comportement intentionnel, ou pouvant l’être, est sanctionné. Par ailleurs, il ne faut pas omettre que la réputation de l’entreprise peut être entachée.

Ce contenu a été rédigé par notre partenaire CJE, Avocats, Conseillers d’Entreprises