Vos contacts
La nouvelle loi fédérale sur la protection des données (LPD) est entrée en vigueur le 1er septembre 2023. La révision de la LPD introduit diverses nouvelles obligations pour les entreprises en matière de traitement des données ainsi que des sanctions plus sévères. Nous exposons ci-dessous brièvement (sans prétendre être exhaustifs), dans quelle mesure la révision de la LPD impacte également le traitement de données de travailleurs et de postulants.
Pour des informations générales sur la révision de la LPD, vous pouvez consulter les autres articles publiés par MLL Legal, soit en particulier les articles suivants “Révision LPD: FAQ Partie 1” et “Révision LPD: FAQ Partie 2” (en allemand).
1. Quelles sont les impacts de la modification de la loi sur la protection des données sur le droit du travail?
Depuis le 1er septembre 2023, un devoir d’informer est introduit pour tout traitement de données. Les entreprises doivent désormais informer de manière adéquate les personnes concernées de la collecte et du traitement de données personnelles (art. 19 LPD). Ce devoir d’informer comprend l’obligation de communiquer l’identité et les coordonnées du responsable du traitement (c’est-à-dire l’employeur), la finalité du traitement et, le cas échéant, les destinataires ou catégories de destinataires auxquels les données personnelles sont transmises. En outre, la nouvelle LPD précise la portée de cette obligation lorsque des données personnelles sont communiquées à l’étranger, respectivement lorsque des données personnelles ne sont pas collectées auprès de la personne concernée.
De plus, à compter du 1er septembre 2023, les entreprises sont tenues de tenir un registre des activités de traitement (art. 12 LPD). Ce registre doit consigner toutes les activités de traitement de données effectuées par l’entreprise, y compris des informations précises sur la finalité du traitement, les catégories de personnes concernées, les catégories de données personnelles traitées ainsi que le délai de conservation des données personnelles. Les entreprises sont déliées de leur obligation de tenir un tel registre (i) si elles emploient moins de 250 collaborateurs au 1er janvier de l’année en question et (ii) à condition que le traitement “ne porte pas sur des données sensibles à grande échelle” et “ne constitue pas un profilage à risque élevé” (art. 24 de l’Ordonnance sur la protection des données, OPDo). La question de savoir si les conditions d’exemption de l’obligation de tenir un registre des activités de traitement sont remplies doit être examinée au cas par cas, sur la base d’un examen approfondi des circonstances concrètes du cas d’espèce.
L’introduction d’un devoir d’informer ainsi que de l’obligation de tenir un registre des activités de traitement signifie que les employeurs doivent dans un premier temps déterminer quels types de données personnelles sont traitées dans le cadre des recrutements et des rapports de travail, afin de pouvoir ensuite respecter leur devoir d’informer les personnes concernées dans la mesure où la loi le prévoit.
2. Comment ces nouvelles obligations en matière de protection des données peuvent-elles être mises en œuvre dans la pratique du point de vue des ressources humaines?
Afin qu’une entreprise puisse respecter son devoir d’informer les (anciens) employés et les candidats à l’emploi sur le traitement de données les concernant, elle doit en premier lieu identifier quelles sont les données personnelles traitées et déterminer l’étendue dudit traitement. En effet, une entreprise ne peut fournir des informations sur la collecte et le traitement des données personnelles conformément à ses obligations légales que si elle sait quels types de données sont traités. Pour ce faire, il lui faudra établir un registre des activités de traitement. Ainsi, il est conseillé d’établir un tel registre même si l’entreprise ne serait – par hypothèse – pas tenue de le faire au sens de la LPD. Dans un tel cas, le contenu du registre pourrait être limité aux seules informations devant être communiquées aux personnes concernées selon le devoir d’informer (art. 19 LPD).
Si une entreprise a déjà commencé à créer un registre des activités de traitement, il est conseillé d’impliquer les RH dans le processus. Les RH devraient vérifier dans quelle mesure des données personnelles font l’objet d’un traitement dans le cadre du recrutement et des rapports de travail existants et antérieurs. Par la suite, les traitements de données idoines doivent être enregistrés dans le registre des activités de traitement conformément aux exigences légales.
Sur la base du registre des activités de traitement, les RH sont tenues, en deuxième lieu, d’élaborer une politique de confidentialité applicable aux employés, afin que l’entreprise puisse ainsi s’acquitter de son devoir d’informer. Par sa politique de confidentialité, l’entreprise informe les employés (ainsi que les candidats, le cas échéant) notamment sur les points suivants: (i) quelles données personnelles sont traitées et dans quel but, (ii) à qui les données personnelles sont communiquées et (iii) dans quelle mesure les données personnelles sont communiquées à l’étranger. Lors de l’établissement de la politique de confidentialité applicable aux employés, il convient de déterminer s’il existe une exception ou restriction au devoir d’informer au sens de l’art. 20 LPD (par exemple, si le traitement des données est requis par la loi). Toutefois, conformément à la volonté du législateur, les exceptions ne doivent être admises que de manière restrictive, de sorte qu’en cas de doute, il conviendrait de respecter le devoir d’informer.
En ce qui concerne la phase de recrutement, il pourrait être opportun de mettre en œuvre le devoir d’informer dans le cadre de la politique de confidentialité générale de l’entreprise. Ainsi, l’entreprise ne serait pas tenue de partager déjà sa politique de confidentialité applicable aux employés avec les candidats, dès lors que les informations nécessaires seraient d’ores et déjà disponibles dans sa politique générale (publiée sur le site internet de la société par exemple).
3. Quelle forme doit prendre la politique de confidentialité applicable aux employés et à quoi les RH doivent-elles prêter attention?
Pour des raisons de preuve, la politique de confidentialité applicable aux employés doit être établie par écrit et rendue accessible aux employés avant tout traitement de données. Le fait de la rendre accessible signifie que l’entreprise doit veiller à ce que les personnes concernées aient la possibilité d’en prendre connaissance. Il n’est toutefois pas nécessaire que les personnes concernées par le traitement de données en prennent effectivement connaissance.
Étant donné que la portée individuelle du devoir d’information de l’entreprise est susceptible d’évoluer, il est conseillé de publier la politique de confidentialité dans un document distinct et donc indépendant des contrats de travail. De cette manière, l’entreprise conserve une certaine flexibilité s’agissant du contenu de la politique de confidentialité et dispose de la possibilité la modifier unilatéralement à tout moment si nécessaire. Bien entendu, cela implique également que les RH doivent rester attentives et examiner de manière régulière dans quelle mesure le traitement des données relatives aux employés (et aux candidats, le cas échéant) évolue au sein de l’entreprise, afin que la politique de confidentialité continue de refléter la réalité.
4. A quoi faut-il prêter attention s’agissant des contrats de travail et autres règlements internes déjà existants au sein de l’entreprise au regard de la révision de LPD?
Les entreprises devraient vérifier si les dispositions relatives à la protection des données figurant dans leurs modèles de contrat de travail, règlements internes ou autres documents adressés aux employés sont conformes avec la nouvelle LPD, respectivement s’il s’avère nécessaire de les modifier.