Code de conduite

L’article 11 de la loi sur la protection des données (LPD) offre la possibilité aux associations professionnelles, sectorielles et économiques ainsi qu’aux organes fédéraux, de rédiger leur propre code de conduite et de le soumettre au PFPDT afin qu’il prenne position. Ces prises de position sont publiées. Elles peuvent contenir des objections ou suggérer des modifications ou des précisions. Un avis positif du PFPDT justifiera la présomption légale que le comportement défini dans le code est conforme à la protection des données. Il permet également, à certaines conditions, au responsable de traitement privé de renoncer à établir une analyse d’impact ou servir de garantie pour assurer un niveau de protection approprié et permettre de communiquer des données à l’étranger.

Qu’est-ce qu’un code de conduite ?

Instrument d’auto-régulation, un code de conduite permet aux acteurs d’un secteur donné de se conformer à la LPD en facilitant sa transposition et sa mise en œuvre par l’élaboration de règles spécifiques communes aboutissant ainsi à une standardisation des pratiques. Il confère une dimension opérationnelle aux principes posés par la loi et contribue à sa bonne application en tenant compte de la spécificité des différents secteurs de traitement et de leurs besoins. 

Ces codes permettront de préciser certaines notions, comme le risque élevé (art. 22 LPD), les modalités de certains devoirs, tels que le devoir d’information (art. 19 à 21 LPD) ou celui d’effectuer une analyse d’impact relative à la protection des données (art. 22 LPD) et prévoir des mesures pour assurer la protection de la personnalité et les droits fondamentaux de la personne concernée. L’idée est également de faire émerger des solutions plus précises s’agissant de certains thèmes spécifiques, qui suscitent aujourd’hui de nombreuses questions, comme la vidéosurveillance, le cloud-computing ou les réseaux sociaux. 

Qui peut élaborer un code de conduite et à qui s’adresse-t-il?

Dans le secteur privé, le code de conduite émane des associations professionnelles, sectorielles et économiques, lorsqu’elles sont autorisées de par leurs statuts à défendre les intérêts économiques de leurs membres, ainsi que dans le secteur public, des organes fédéraux. Un responsable de traitement seul ou un sous-traitant seul ne peut rédiger et adopter un code de conduite. 

Les milieux concernés ont ainsi l’opportunité d’être eux-mêmes actifs en participant à la régulation d’un secteur et favoriser l’émergence de solutions de branches, concertées et largement acceptées. Les acteurs de ce secteur sont libres d’y adhérer ou non. Le code de conduite n’a pas d’effet automatique obligatoire pour tous les membres de l’association ou de l’organisme qui l’a élaboré. 

Est-il obligatoire ?

Non. Les personnes visées à l’art. 11 LPD peuvent soumettre leur code de conduite au PFPDT mais n’y sont pas obligées. 

Quels sont les effets d’un tel code ?

Un code de conduite permet de renforcer la confiance des personnes concernées par le traitement des données et de minimiser le risque de futures violations de la loi sur la protection des données. Sur le plan juridique, le code de conduite crée une présomption légale que le comportement défini dans le code est conforme à la protection des données. De plus, s’ils sont soumis à un code de conduite, les responsables du traitement pourront non seulement être dispensés de l’élaboration d’aides et de directives propres pour l’application de la nouvelle LPD mais peuvent également, à certaines conditions, renoncer à effectuer une analyse d’impact relative à la protection des données pour le responsable du traitement privé (art. 22 al. 5 LPD).

Lorsque certaines conditions sont remplies, le code de conduite est également reconnu comme garantie valable pour le transfert des données depuis la Suisse vers des pays tiers lorsqu’il assure un niveau de protection approprié, est préalablement soumis à l’approbation du PFPDT et est assorti d’un engagement contraignant et exécutoire par lequel le responsable de traitement ou le sous-traitant dans l’État tiers garantit qu’il applique les mesures contenues dans cet instrument (art. 16 al. 3 LPD et art. 12 OPDo). 

Etant donné que ni la loi ni l’ordonnance ne prévoient d’exigences quant à la forme et au contenu du code de conduite, par comparaison et en guise d’aide à l’élaboration de codes de conduite utilisé comme mécanisme de transfert vers des pays tiers, les lignes directrices adoptées par le Comité européen à la protection des données (CEPD) offrent des informations utiles quant au contenu devant y figurer (CEPD, Lignes directrices 04/2021 sur les codes de conduite en tant qu’outils pour les transferts). 

Quel est le contenu du code de conduite ?

La LPD ne pose pas d’exigences en matière de contenu d’un code de conduite. L’OPDo, quant à elle, prévoit certaines exigences dans le cadre de la communication de données à l’étranger. Destiné à contribuer à la bonne application de la LPD et compte tenu de la spécificité des différents secteurs de traitement et des besoins spécifiques, un code de conduite contient généralement une description du comportement que ses adhérents ont adopté et qui est également présenté comme de bonnes pratiques à mettre à œuvre dans le secteur concerné. Le contenu d’un code peut être détaillé, ou relativement souple et se limiter à certains aspects particuliers de la LPD en laissant ainsi une marge de manœuvre aux entreprises auxquelles il s’applique. Il peut cibler un type d’opération de traitement particulier ou être plus étendu. Il doit néanmoins contribuer à assurer le respect des dispositions légales par le secteur d’activités concerné et ne doit pas se contenter de répéter le contenu de la loi. 

Au vu de ces objectifs, Il doit plutôt viser à concrétiser la LPD et être axé sur les domaines et problèmes de la protection des données propres au secteur concerné en proposant des solutions concrètes, idéalement au travers d’exemples de meilleures pratiques à suivre. Il pourrait par exemple s'agir de concrétiser la notion de « risque élevé » (art. 22 LPD), ou les modalités de certains devoirs, tels que le devoir d’information (art. 19 à 21 LPD) ou celui d’effectuer une analyse d’impact relative à la protection des données (art. 22 LPD).  Il peut aussi préciser les modalités d'application de la LPD telles que sur la manière de pseudonymiser ou d'anonymiser suffisamment les données dans un secteur donné, définir des mesures de sécurité spécifiques ; prévoir des durées de conservation adaptées ; mettre en place des mécanismes pour permettre l’exercice des droits des personnes concernées ; définir les critères à mettre en place afin de garantir le respect du principe de la minimisation des données ; mettre en place des garanties à appliquer aux données collectées auprès de tiers ou à la communication de données personnelles vers un pays ne disposant pas d’une protection appropriée. 

Etant donné que ni la loi ni l’ordonnance ne prévoient d’exigences quant à la forme et au contenu du code de conduite, par comparaison et en guise d’aide à l’élaboration de codes de conduite, l’art. 40 du RGPD liste une série d’éléments qui peuvent s’y trouver, de même que les lignes directrices adoptées par le Comité européen à la protection des données (CEPD) offrent des informations utiles en la matière (CEPD, Lignes directrices 1/2019 relatives aux codes de conduite et aux organismes de suivi au titre du règlement (UE) 2016/679). 

Est-ce qu’un code de conduite doit être approuvé par le PFPDT ?

Selon la LPD, le code de conduite n’a pas à être approuvé. Il peut néanmoins être soumis au PFPDT qui prend alors position moyennant émoluments pour les personnes privées. Le délai dans lequel le PFPDT doit prendre position dépendra des circonstances du cas d’espèce.  Le PFPDT examine la compatibilité du code avec la LPD. Sa prise de position ne constitue pas une décision. Dès lors, les intéressés ne sauraient déduire de droits d’une prise de position positive ni de l’absence de prise de position. Néanmoins, si le PFPDT donne un avis favorable, les entreprises qui se conforment au code de conduite peuvent présumer que leur comportement ne fera pas l’objet de mesures administratives par la suite. Les prises de position, qu’elles soient favorables ou non au code de conduite examinés, sont publiées par le PFPDT. Le code de conduite pourra être à nouveau lui être soumis lors de chaque mise à jour. 

Lorsqu’un code de conduite est utilisé comme garantie à la communication de données personnelles à l’étranger, celui-ci devra être préalablement approuvé par le PFPDT au même titre que les clauses types de protection des données et les règles d’entreprises contraignantes qui assurent un niveau de protection approprié (art. 16 al 3 LPD et 12 OPDo).