Conseiller à la protection des données

La loi sur la protection des données permet aux entreprises de pratiquer l'autorégulation. Ainsi, l’entreprise qui nomme un conseiller à la protection des données et qui communique cette nomination au PFPDT bénéficie de facilités en matière d'analyse d'impact relative à la protection des données. Le rôle et la personne du conseiller à la protection des données doivent toutefois répondre à certains critères. Le conseiller à la protection des données est chargé de surveiller le respect par l’entreprise des prescriptions en matière de protection des données et de la conseiller dans ce domaine.

L'article 10 LPD prévoit que les entreprises privées peuvent nommer un conseiller à la protection des données. Celui-ci peut être employé par l'entreprise, mais pas nécessairement. En tout cas, sa tâche de conseil en protection des données doit être séparée des autres tâches qu’il effectue pour le compte de cette entreprise.

Il est également recommandé de faire en sorte que les tâches de conseil en protection des données soient séparées des autres activités de conseil ou de représentation juridiques. Les conseillers à la protection des données doivent en outre pouvoir porter leur point de vue à la connaissance de la direction de l'entreprise en cas de divergences de vues.

Contrairement à ce que prévoit le RGPD de l’UE, la nomination d’un conseiller à la protection des données est facultative pour les entreprises privées : seuls les organes fédéraux y sont légalement tenus. Les entreprises privées doivent toutefois communiquer au PFPDT la nomination de leur conseiller si elles veulent bénéficier des facilités prévues en matière d’analyse d'impact relative à la protection des données (AIPD). Cette communication intervient au moyen du portail qui a été créé à cet effet.

Portail de notification

Au-delà du rôle qu’il joue à l’interne, le conseiller à la protection des données est aussi le premier interlocuteur du PFPDT et des autres autorités qui en Suisse sont compétentes en matière de protection des données. Si le conseiller à la protection des données n'est pas employé par l’entreprise privée, il devra régulièrement présenter une procuration pour pouvoir la représenter.

Les tâches du conseiller à la protection des données comprennent le conseil d’ordre général et la formation de l'entreprise aux questions touchant la protection des données. Il participe également à l'adoption et à la mise en œuvre des conditions d'utilisation et des règles de protection des données. Si le conseiller à la protection des données conseille l’entreprise, il incombe cependant entièrement à celle-ci de veiller à ce que les données personnelles soient traitées conformément à la législation applicable.

Les entreprises mettent à la disposition des conseillers à la protection des données les ressources nécessaires et leur donnent accès à tous les renseignements, documents, registres des activités de traitement et autres données personnelles à caractère général dont ils ont besoin. Les conseillers doivent uniquement avoir accès aux documents dont ils ont effectivement besoin pour accomplir leurs tâches. Par exemple, si un conseiller à la protection des données vérifie les règles internes de protection des données ou les processus de traitement des données en général, il n'aura sans doute pas besoin de consulter des données personnelles. Enfin, l’entreprise doit accorder au conseiller à la protection des données le droit d'informer l'organe supérieur de direction ou d'administration lorsque l’affaire est d’importance.

Analyse d'impact révélant un risque élevé : dérogation à l’obligation de consulter le PFPDT

Lorsque l’analyse d'impact relative à la protection des données révèle que le traitement envisagé présente encore un risque élevé, l’entreprise peut renoncer à saisir le PFPDT et se borner à consulter son propre conseiller à la protection des données si celui-ci remplit les exigences prévues à l'article 10, alinéa 3, LPD :

• Le conseiller à la protection des données doit exercer sa fonction de manière indépendante par rapport à l’entreprise et sans recevoir d’instructions de celle-ci. Cette indépendance doit se refléter dans la position hiérarchique du conseiller à la protection des données dans l'entreprise. Il devrait ainsi en principe être directement subordonné à la direction, donc à l'organe qui porte la responsabilité du respect des prescriptions en matière de protection des données, du fait de son droit de l'informer lorsque l’affaire est d’importance.

• Au sein de l'entreprise, les conseillers à la protection des données ne peuvent exercer de tâches incompatibles avec leur fonction de conseiller. Une telle incompatibilité peut par exemple se présenter si le conseiller à la protection des données est membre de la direction, s'il exerce des fonctions dans les domaines de la gestion du personnel ou de la gestion des systèmes d'information ou encore s'il appartient à un service qui traite lui-même des données sensibles. En revanche, on peut imaginer qu’un conseiller à la protection des données soit également responsable de la sécurité de l'information.

• Le conseiller à la protection des données dispose des connaissances requises dans les domaines de la législation sur la protection des données et des normes techniques relatives à la sécurité des données.

• Enfin, les entreprises privées doivent publier les coordonnées de leur conseiller à la protection des données et les communiquer au PFPDT via le portail dédié.

Conseillers à la protection des données des organes fédéraux

Les organes fédéraux sont tenus de nommer un conseiller à la protection des données. Ils communiquent son identité au PFPDT par e-mail, comme par le passé.