La loi sur la protection des données permet aux entreprises de pratiquer l'autorégulation. Ainsi, l’entreprise qui nomme un conseiller à la protection des données et qui communique cette nomination au PFPDT bénéficie de facilités en matière d'analyse d'impact relative à la protection des données. Le rôle et la personne du conseiller à la protection des données doivent toutefois répondre à certains critères. Le conseiller à la protection des données est chargé de surveiller le respect par l’entreprise des prescriptions en matière de protection des données et de la conseiller dans ce domaine.
Conseiller à la protection des données
L'article 10 LPD prévoit que les entreprises privées peuvent nommer un conseiller à la protection des données. Celui-ci peut être employé par l'entreprise, mais pas nécessairement. En tout cas, sa tâche de conseil en protection des données doit être séparée des autres tâches qu’il effectue pour le compte de cette entreprise.
Il est également recommandé de faire en sorte que les tâches de conseil en protection des données soient séparées des autres activités de conseil ou de représentation juridiques. Les conseillers à la protection des données doivent en outre pouvoir porter leur point de vue à la connaissance de la direction de l'entreprise en cas de divergences de vues.
Contrairement à ce que prévoit le RGPD de l’UE, la nomination d’un conseiller à la protection des données est facultative pour les entreprises privées : seuls les organes fédéraux y sont légalement tenus. Les entreprises privées doivent toutefois communiquer au PFPDT la nomination de leur conseiller si elles veulent bénéficier des facilités prévues en matière d’analyse d'impact relative à la protection des données (AIPD). Cette communication intervient au moyen du portail qui a été créé à cet effet.
Au-delà du rôle qu’il joue à l’interne, le conseiller à la protection des données est aussi le premier interlocuteur du PFPDT et des autres autorités qui en Suisse sont compétentes en matière de protection des données. Si le conseiller à la protection des données n'est pas employé par l’entreprise privée, il devra régulièrement présenter une procuration pour pouvoir la représenter.
Les tâches du conseiller à la protection des données comprennent le conseil d’ordre général et la formation de l'entreprise aux questions touchant la protection des données. Il participe également à l'adoption et à la mise en œuvre des conditions d'utilisation et des règles de protection des données. Si le conseiller à la protection des données conseille l’entreprise, il incombe cependant entièrement à celle-ci de veiller à ce que les données personnelles soient traitées conformément à la législation applicable.
Les entreprises mettent à la disposition des conseillers à la protection des données les ressources nécessaires et leur donnent accès à tous les renseignements, documents, registres des activités de traitement et autres données personnelles à caractère général dont ils ont besoin. Les conseillers doivent uniquement avoir accès aux documents dont ils ont effectivement besoin pour accomplir leurs tâches. Par exemple, si un conseiller à la protection des données vérifie les règles internes de protection des données ou les processus de traitement des données en général, il n'aura sans doute pas besoin de consulter des données personnelles. Enfin, l’entreprise doit accorder au conseiller à la protection des données le droit d'informer l'organe supérieur de direction ou d'administration lorsque l’affaire est d’importance.
Analyse d'impact révélant un risque élevé : dérogation à l’obligation de consulter le PFPDT
Lorsque l’analyse d'impact relative à la protection des données révèle que le traitement envisagé présente encore un risque élevé, l’entreprise peut renoncer à saisir le PFPDT et se borner à consulter son propre conseiller à la protection des données si celui-ci remplit les exigences prévues à l'article 10, alinéa 3, LPD :
- Le conseiller à la protection des données doit exercer sa fonction de manière indépendante par rapport à l’entreprise et sans recevoir d’instructions de celle-ci. Cette indépendance doit se refléter dans la position hiérarchique du conseiller à la protection des données dans l'entreprise. Il devrait ainsi en principe être directement subordonné à la direction, donc à l'organe qui porte la responsabilité du respect des prescriptions en matière de protection des données, du fait de son droit de l'informer lorsque l’affaire est d’importance.
- Au sein de l'entreprise, les conseillers à la protection des données ne peuvent exercer de tâches incompatibles avec leur fonction de conseiller. Une telle incompatibilité peut par exemple se présenter si le conseiller à la protection des données est membre de la direction, s'il exerce des fonctions dans les domaines de la gestion du personnel ou de la gestion des systèmes d'information ou encore s'il appartient à un service qui traite lui-même des données sensibles. En revanche, on peut imaginer qu’un conseiller à la protection des données soit également responsable de la sécurité de l'information.
- Le conseiller à la protection des données dispose des connaissances requises dans les domaines de la législation sur la protection des données et des normes techniques relatives à la sécurité des données.
- Enfin, les entreprises privées doivent publier les coordonnées de leur conseiller à la protection des données et les communiquer au PFPDT via le portail dédié.
Conseillers à la protection des données des organes fédéraux
Les organes fédéraux sont tenus de nommer un conseiller à la protection des données. Ils communiquent son identité au PFPDT.
Informations complémentaires sur la saisie des données concernant les conseillers à la protection des données dans le portail de notification du PFPDT
En principe, les responsables communiquent eux-mêmes les coordonnées de leurs conseillers à la protection des données via le portail afin d'avoir le contrôle sur les données fournies. Il est toutefois possible qu’une personne autorisée par le responsable se charge de la notification au PFPDT. Nous vous prions de tenir compte des points suivants :
- Pour déclarer et muter des données, vous devez disposer soit d'un CH-Login, soit d’un FED-Login (uniquement pour les collaborateurs de l'administration fédérale).
- Vous pouvez créer autant de CH-Logins que vous le souhaitez, mais chacun d'entre eux requiert une adresse électronique distincte.
- Un CH-Login ou un FED-Login permettent ensuite de créer un compte sur le portail du PFPDT. Chaque compte n’est valable que pour un seul responsable (entreprise) et ne peut être transféré qu’avec le login correspondant.
- Vous pouvez créer le CH-Login avec une adresse électronique privée (non transmissible) ou une adresse générique. L’avantage d’une adresse générique est qu’elle vous permet de la transmettre à une autre personne, afin que les données puissent être mutées ultérieurement (par exemple en cas de départ ou de changement de fonction).
- L’authentification à deux facteurs du CH-Login peut se faire via une application, un numéro de mobile (mTAN) ou une clef de sécurité (FIDO).
- Les données de la personne qui procède à la notification sont enregistrées dans le système et donc chez le responsable, à des fins de traçabilité et pour la procédure de connexion. Une fois l’enregistrement effectué, les données peuvent être modifiées de manière autonome sur le portail.
- S'il ne vous est pas possible d'utiliser le portail en respectant les consignes susmentionnées (par exemple parce que vous devez saisir les données pour plusieurs responsables, mais que vous ne disposez que d’une adresse électronique), veuillez envoyer les coordonnées des conseillers à la protection des données au PFPDT par courrier postal ou électronique.
Pas de migration à partir de l'ancien répertoire
Les indications et déclarations relatives aux conseillers à la protection des données visés à l'art. 11a, al. 5, let. e, aLPD qui figurent dans l'ancien répertoire ne seront pas migrées vers le nouveau portail en raison des nouvelles exigences légales concernant cette fonction.
Dernière modification 07.09.2023