Dès le 1er septembre 2023, les entreprises devront se conformer à la nouvelle loi sur la protection des données (nLPD) adoptée par le Parlement afin d’améliorer le traitement des données personnelles et d’accorder de nouveaux droits aux citoyen·ne·s suisses. Notre partenaire, CJE, Avocats, Conseillers d’entreprises passe le sujet à la loupe et détaille pour vous toutes les modalités à connaître sur l’entrée en vigueur de cette nouvelle loi.
La nouvelle loi sur la protection des données (nLPD), qui entrera en vigueur le 1er septembre 2023, vise à protéger la personnalité et les droits fondamentaux des personnes physiques établies en Suisse, dont les données font l’objet d’un traitement. Les données des personnes morales ne seront plus protégées. La volonté est d’offrir une transparence accrue et de renforcer les droits des personnes concernées sur leurs propres données (« autodétermination informationnelle »). La nLPD instaure de nouveaux devoirs pour les entreprises, notamment en cas de collecte, de perte et d’utilisation abusive de données personnelles.
Tout savoir sur les modalités à connaître en 15 questions
1. À quelle entreprise la nLPD est-elle applicable?
En résumé, toutes les entreprises sont donc concernées par la nLPD.
2. Les entreprises ont-elles un délai pour se mettre en conformité?
3. Où la nLPD est-elle applicable?
4. Quelles sont les données personnelles au sens de la nLPD?
- les données personnelles, soit une information concernant une personne physique identifiée ou identifiable (prénom, nom, date de naissance, État civil, sexe, nationalité, langue, etc.);
- les données dites sensibles, soit notamment l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les informations concernant la santé, celles sur des poursuites ou des sanctions pénales et administratives, ainsi que sur des mesures d’aide sociale; les données sensibles incluent également les données génétiques et biométriques.
5. Quelles données l’employeur peut-il traiter concernant ses travailleur·se·s?
Qu’est-ce que l’aptitude à remplir l’emploi? Ce sont les informations qui permettent de déterminer si la personne possède les capacités ainsi que les qualités personnelles et professionnelles requises à remplir l’emploi: diplôme, certificat de travail, etc. Ces informations peuvent être traitées avant la conclusion du contrat de travail.
Que sont les données nécessaires à l’exécution du contrat? Ce sont toutes les informations permettant à l’employeur de remplir ses obligations légales, contractuelles et conventionnelles, par exemple à l’égard des assurances sociales, du fisc, des partenaires sociaux, etc. (date de naissance, état civil, situation familiale, etc.).
Le·la collaborateur·rice peut-il·elle donner son consentement au traitement de données sans rapport avec ses aptitudes professionnelles? Oui, si cela est fait dans l’intérêt du collaborateur ou de la collaboratrice, respectivement du·de la candidat·e. C’est, par exemple, le cas s’il communique des informations concernant ses engagements (bénévolat, etc.), sa situation familiale, etc.
6. Qu’est-ce que le·la responsable du traitement?
7. Quels principes respecter en matière de protection des données?
- Tout traitement de données personnelles doit être licite.
- Le traitement de données personnelles doit être conforme aux principes de la bonne foi et de la proportionnalité.
- Les données personnelles ne peuvent être collectées que pour des finalités déterminées et reconnaissables pour la personne concernée.
- Les données personnelles ne peuvent être traitées que de manière compatible avec les finalités déterminées et reconnaissables pour la personne concernée.
- Les données personnelles doivent être détruites ou anonymisées dès qu’elles ne sont plus nécessaires au regard des finalités.
- Celui qui traite des donnés personnels doit s’assurer qu’elles sont exactes.
8. Qu’est-ce que le droit d’accès?
Le droit d’accès selon la nLPD ne vise que l’objectif, pour la personne concernée, à faire valoir ses droits en matière de protection des données et à garantir la transparence du traitement de ses données. Le Tribunal fédéral a jugé dans un arrêt (4A_277/2020 du 18 novembre 2020) qu’une demande de droit d’accès est abusive si elle vise à chercher des preuves en vue d’une procédure civile, sans chercher à vérifier si les données et le traitement effectués sont conformes à la protection des données.
Le collaborateur ou la collaboratrice ne peut pas renoncer par avance au droit d’accès qui peut être invoqué en tout temps: avant, pendant et après la fin des rapports de travail.
9. Quelle procédure pour demander l’accès à ses données?
10. Quels risques de ne pas répondre à une demande d’accès?
11. Quelles informations la personne concernée peut-elle demander?
- L’identité et les coordonnées du·de la responsable du traitement.
- Les données personnelles traitées en tant que telles.
- La finalité du traitement.
- La durée de conservation des données personnelles ou, si cela n’est pas possible, les critères pour fixer la durée de conservation.
- Les informations disponibles sur l’origine des données personnelles dans la mesure où elles n’ont pas été collectées auprès de la personne concernée.
- Cas échéant, l’existence d’une décision individuelle automatisée ainsi que la logique sur laquelle se base la décision.
- Cas échéant, les destinataires ou les catégories de destinataires auxquels les données personnelles sont communiquées, ainsi que les informations prévues notamment les garanties en cas de transfert de données à l’étranger.
12. Quelle obligation d’informer le·la collaborateur·rice par l’employeur?
13. Quelles sont les droits du·de la collaborateur·rice?
- Droit à la rectification: c’est le droit pour la personne concernée de demander au·à la responsable du traitement qu’il·elle corrige des données personnelles inexactes ou qu’il·elle complète des données lacunaires.
- Droit à l’effacement des données: consiste en la suppression des données personnelles inexactes, inadéquates, non pertinentes ou excessives, par le responsable de traitement à la demande de la personne concernée.
14. Les contrats doivent-ils être adaptés?
15. Quels risques en cas de violation de la nLPD?
Le·la contrevenant·e risque une amende allant jusqu’à CHF 250’000.- s’il·elle:
- Fournis intentionnellement des renseignements inexacts ou incomplets;
- Omets intentionnellement d’informer la personne concernée;
- Ne respecte pas les exigences minimales en matière de sécurité des données;
- Communique des données personnelles à l’étranger sans que les conditions requises soient remplies;
- Sous-traite des données personnelles sans que cela ne réponde aux exigences légales
- Viole le devoir de confidentialité.
Seul un comportement intentionnel, ou pouvant l’être, est sanctionné. Par ailleurs, il ne faut pas omettre que la réputation de l’entreprise peut être entachée.
Ce contenu a été rédigé par notre partenaire CJE, Avocats, Conseillers d’Entreprises.