L’impact de la révision de la loi fédérale sur la protection des données sur le droit du travail – Principales questions et réponses


Vos contacts

La nouvelle loi fédérale sur la protection des données (LPD) est entrée en vigueur le 1er septembre 2023. La révision de la LPD introduit diverses nouvelles obligations pour les entreprises en matière de traitement des données ainsi que des sanctions plus sévères. Nous exposons ci-dessous brièvement (sans prétendre être exhaustifs), dans quelle mesure la révision de la LPD impacte également le traitement de données de travailleurs et de postulants.

Pour des informations générales sur la révision de la LPD, vous pouvez consulter les autres articles publiés par MLL Legal, soit en particulier les articles suivants “Révision LPD: FAQ Partie 1” et “Révision LPD: FAQ Partie 2” (en allemand).

 

1. Quelles sont les impacts de la modification de la loi sur la protection des données sur le droit du travail?

Depuis le 1er septembre 2023, un devoir d’informer est introduit pour tout traitement de données. Les entreprises doivent désormais informer de manière adéquate les personnes concernées de la collecte et du traitement de données personnelles (art. 19 LPD). Ce devoir d’informer comprend l’obligation de communiquer l’identité et les coordonnées du responsable du traitement (c’est-à-dire l’employeur), la finalité du traitement et, le cas échéant, les destinataires ou catégories de destinataires auxquels les données personnelles sont transmises. En outre, la nouvelle LPD précise la portée de cette obligation lorsque des données personnelles sont communiquées à l’étranger, respectivement lorsque des données personnelles ne sont pas collectées auprès de la personne concernée.

De plus, à compter du 1er septembre 2023, les entreprises sont tenues de tenir un registre des activités de traitement (art. 12 LPD). Ce registre doit consigner toutes les activités de traitement de données effectuées par l’entreprise, y compris des informations précises sur la finalité du traitement, les catégories de personnes concernées, les catégories de données personnelles traitées ainsi que le délai de conservation des données personnelles. Les entreprises sont déliées de leur obligation de tenir un tel registre (i) si elles emploient moins de 250 collaborateurs au 1er janvier de l’année en question et (ii) à condition que le traitement “ne porte pas sur des données sensibles à grande échelle” et “ne constitue pas un profilage à risque élevé” (art. 24 de l’Ordonnance sur la protection des données, OPDo). La question de savoir si les conditions d’exemption de l’obligation de tenir un registre des activités de traitement sont remplies doit être examinée au cas par cas, sur la base d’un examen approfondi des circonstances concrètes du cas d’espèce.

L’introduction d’un devoir d’informer ainsi que de l’obligation de tenir un registre des activités de traitement signifie que les employeurs doivent dans un premier temps déterminer quels types de données personnelles sont traitées dans le cadre des recrutements et des rapports de travail, afin de pouvoir ensuite respecter leur devoir d’informer les personnes concernées dans la mesure où la loi le prévoit.

2. Comment ces nouvelles obligations en matière de protection des données peuvent-elles être mises en œuvre dans la pratique du point de vue des ressources humaines?

Afin qu’une entreprise puisse respecter son devoir d’informer les (anciens) employés et les candidats à l’emploi sur le traitement de données les concernant, elle doit en premier lieu identifier quelles sont les données personnelles traitées et déterminer l’étendue dudit traitement. En effet, une entreprise ne peut fournir des informations sur la collecte et le traitement des données personnelles conformément à ses obligations légales que si elle sait quels types de données sont traités. Pour ce faire, il lui faudra établir un registre des activités de traitement. Ainsi, il est conseillé d’établir un tel registre même si l’entreprise ne serait – par hypothèse – pas tenue de le faire au sens de la LPD. Dans un tel cas, le contenu du registre pourrait être limité aux seules informations devant être communiquées aux personnes concernées selon le devoir d’informer (art. 19 LPD).

Si une entreprise a déjà commencé à créer un registre des activités de traitement, il est conseillé d’impliquer les RH dans le processus. Les RH devraient vérifier dans quelle mesure des données personnelles font l’objet d’un traitement dans le cadre du recrutement et des rapports de travail existants et antérieurs. Par la suite, les traitements de données idoines doivent être enregistrés dans le registre des activités de traitement conformément aux exigences légales.

Sur la base du registre des activités de traitement, les RH sont tenues, en deuxième lieu, d’élaborer une politique de confidentialité applicable aux employés, afin que l’entreprise puisse ainsi s’acquitter de son devoir d’informer. Par sa politique de confidentialité, l’entreprise informe les employés (ainsi que les candidats, le cas échéant) notamment sur les points suivants: (i) quelles données personnelles sont traitées et dans quel but, (ii) à qui les données personnelles sont communiquées et (iii) dans quelle mesure les données personnelles sont communiquées à l’étranger. Lors de l’établissement de la politique de confidentialité applicable aux employés, il convient de déterminer s’il existe une exception ou restriction au devoir d’informer au sens de l’art. 20 LPD (par exemple, si le traitement des données est requis par la loi). Toutefois, conformément à la volonté du législateur, les exceptions ne doivent être admises que de manière restrictive, de sorte qu’en cas de doute, il conviendrait de respecter le devoir d’informer.

En ce qui concerne la phase de recrutement, il pourrait être opportun de mettre en œuvre le devoir d’informer dans le cadre de la politique de confidentialité générale de l’entreprise. Ainsi, l’entreprise ne serait pas tenue de partager déjà sa politique de confidentialité applicable aux employés avec les candidats, dès lors que les informations nécessaires seraient d’ores et déjà disponibles dans sa politique générale (publiée sur le site internet de la société par exemple).

3. Quelle forme doit prendre la politique de confidentialité applicable aux employés et à quoi les RH doivent-elles prêter attention?

Pour des raisons de preuve, la politique de confidentialité applicable aux employés doit être établie par écrit et rendue accessible aux employés avant tout traitement de données. Le fait de la rendre accessible signifie que l’entreprise doit veiller à ce que les personnes concernées aient la possibilité d’en prendre connaissance. Il n’est toutefois pas nécessaire que les personnes concernées par le traitement de données en prennent effectivement connaissance.

Étant donné que la portée individuelle du devoir d’information de l’entreprise est susceptible d’évoluer, il est conseillé de publier la politique de confidentialité dans un document distinct et donc indépendant des contrats de travail. De cette manière, l’entreprise conserve une certaine flexibilité s’agissant du contenu de la politique de confidentialité et dispose de la possibilité la modifier unilatéralement à tout moment si nécessaire. Bien entendu, cela implique également que les RH doivent rester attentives et examiner de manière régulière dans quelle mesure le traitement des données relatives aux employés (et aux candidats, le cas échéant) évolue au sein de l’entreprise, afin que la politique de confidentialité continue de refléter la réalité.

4. A quoi faut-il prêter attention s’agissant des contrats de travail et autres règlements internes déjà existants au sein de l’entreprise au regard de la révision de LPD?

Les entreprises devraient vérifier si les dispositions relatives à la protection des données figurant dans leurs modèles de contrat de travail, règlements internes ou autres documents adressés aux employés sont conformes avec la nouvelle LPD, respectivement s’il s’avère nécessaire de les modifier.


Partager l’article



les plus lus


Highlights

MLL Legal

MLL Legal est l’une des principales études d’avocats en Suisse, avec des bureaux à Zurich, Genève, Zoug, Lausanne, Londres et Madrid. Nous conseillons nos clients dans tous les domaines du droit des affaires. Nous nous distinguons en particulier par notre expertise sectorielle de premier ordre dans les domaines spécialisés techniques et innovants, mais aussi dans les industries réglementées.

MLL Meyerlustenberger Lachenal Froriep

Newsletter

MLL Real Estate Legal Update 01/24. Notre dernière MLL Legal Update Real Estate est désormais en ligne. Vous y trouverez plusieurs articles rédigés par nos spécialistes en droit immobilier, couvrant diverses thématiques d’actualité. Nous vous en souhaitons une bonne lecture.

Accéder à la Newsletter 01/24

S’inscrire

Notre histoire

MLL Legal est une étude d’avocats suisse de premier plan dont l’histoire remonte à 1885. L’étude s’est développée à la fois de manière organique et par le biais de fusions stratégiques, dont la dernière a eu lieu le 1er juillet 2021 entre Meyerlustenberger Lachenal et FRORIEP.

Cette fusion fait de MLL Legal, une nouvelle entité combinée, l’un des plus grands cabinets d’avocats d’affaire de Suisse, avec 150 avocats répartis dans quatres bureaux en Suisse et deux bureaux à l’étranger, à Londres et à Madrid, au service de clients recherchant des conseils en droit suisse.

Notre étude a un profil international fort et réunit un leadership et une expertise reconnus dans tous les domaines du droit qui touchent le monde des affaires aujourd’hui, avec un accent sur les secteurs de la haute technologie, l’innovation et la réglementation.

A propos de nous
 

Publications

Cliquez ici pour accéder à nos dernières publications.

COVID-19

Lisez toutes nos mises à jour juridiques sur l’impact de COVID-19 pour les entreprises.

COVID-19 Information

Postes vacants

Vous cherchez un nouveau défi ?

Nos équipes talentueuses et ambitieuses sont motivées par une vision commune pour réussir. Nous apprécions la communication ouverte et directe à tous les niveaux de l’organisation dans un environnement de travail favorable.

Postes vacants

Nouvelles de l’étude

Cliquez ici pour les dernières nouvelles de l’étude.

Notre équipe

L’environnement réglementaire et technologique exige continuellement des entreprises qu’elles s’adaptent et évoluent.
MLLL compte plus de 150 avocats, qui innovent en permanence et cherchent constamment à améliorer leur pratique. Nous adoptons de nouvelles idées et technologies, en associant notre riche expertise à une pensée créative et réactive. Grâce à notre approche pratique, nous mettons en œuvre des solutions viables pour répondre aux défis juridiques les plus complexes.

A propos de nous notre équipe.

Droit de l’immobilier et de la construction

Découvrez nos articles au sujet du droit de l’immobilier et de la construction.
Droit de la construction

MLL Legal sur les médias sociaux

Suivez-nous sur LinkedIn.