La communication à l'étranger de données du personnel

La communication de données du personnel à l'étranger vers des fichiers centralisés devient de plus en plus courante, surtout auprès des grands groupes d'entreprises, essentiellement dans le but de rationaliser la gestion des salaires et le recrutement du personnel.

Quatre variantes permettent de communiquer des informations via une infrastructure informatique globale. Elles se différencient essentiellement par la localisation géographique des données et par les règlements en matière de protection des données. La première de ces variantes se caractérise par une conservation complètement centralisée des données. L'accès et le traitement des données des filiales sont réservés aux filiales autorisées et ont lieu dans le serveur central. Il n'existe dans les filiales pas de copie électronique des données centrales. Les filiales autorisées définissent les exigences dans les déclarations de traitement de données, conformément à la réglementation nationale en matière de protection des données. Cette solution est en général appliquée aux systèmes de gestion du personnel.
La deuxième variante est proche de la première. Elle s'en différencie par le fait que les données sont en principe gérées au niveau local et qu'une partie seulement d'entre elles est, selon les besoins, transférée dans le fichier central, devenant ainsi accessibles à des tiers. Le transfert de données peut avoir lieu sur demande ou de manière automatique. Par exemple, des données statistiques sur les salaires qui sont générées localement peuvent être disponibles de manière centrale afin d'être utilisées dans tout le groupe d'entreprises. Un autre exemple fréquent d'application de cette variante est la mise à disposition centralisée de données personnelles ou de profils de la personnalité des collaborateurs à des fins de recherche de personnel au sein du groupe d'entreprises même.

La troisième variante se caractérise par une stricte séparation de l'application et des données. Les données sont uniquement traitées au niveau local. Le système central d'application ne revêt qu'une fonction de liaison entre une société livrant les données (exportatrice des données) et une société recevant les données (importatrice des données). Ce système gère les déclarations de protection des données des participants et sait ainsi entre quelles sociétés l'échange de données peut avoir lieu sans problème. Les données sont ensuite directement transférées de la société exportatrice à l'importatrice après un feu vert donné par le système central d'application à la communication des données. Le système central d'application gère les adresses des systèmes participant au traitement des données et les communique à ceux-ci en cas de nécessité.

La quatrième est la variante peer-to-peer (d'égal à égal). Chacun des partenaires détermine lui-même les données qu'il communique ainsi que leur destinataire. Il n'existe pas ici d'instance intermédiaire. La société exportatrice des données doit décider sur la base de ses directives locales de protection des données si elle est habilitée à communiquer des données personnelles. Il n'y a pas de service central gérant les déclarations de protection des données. La manière dont les données sont communiquées est basée sur des conventions bilatérales et peuvent donc avoir lieu aussi bien sur demande que directement par procédure d'appel.

Dans chacune de ces variantes, la société importatrice des données à l'étranger devient maître du fichier de données communiquées lorsqu'elle décide du but et du contenu du fichier centralisé. A ce titre, elle est responsable de la protection et de la sécurité des données. En cas de fichier centralisé, les sociétés livrant les données sont considérées comme ayant accès aux données avec une responsabilité particulière. Elles doivent poser des conditions à la société recevant les données, pour ce qui est de la protection des données (réglementation en matière de protection des données). En 1992 déjà, le Conseil de l'Europe a établi un modèle de clause de protection des données en adoptant le contrat-type visant à assurer une protection équivalente des données dans le cadre des flux transfrontières de données.

Pour ce qui est de la communication de données de l'entreprise importatrice des données à des entreprises tierces, la Commission des Communautés européennes a, dans sa décision du 15 juin 2001, établi des conditions claires quant aux clauses des contrats-types prévoyant la communication de données relatives à des personnes dans des pays tiers.

Le but de la communication des données à l'étranger doit reposer sur un motif justificatif conformément à l'art. 13 LPD. La rationalisation de la gestion des salaires et du recrutement du personnel est considérée comme motif justificatif. Néanmoins, seules les données personnelles nécessaires à l'accomplissement du but peuvent être transmises.

Lorsqu'une société importatrice de données communique des données à des entreprises dans des Etats tiers, elle doit se renseigner tout d'abord pour savoir si ces Etats disposent d'une protection des données équivalente à celle pratiquée en Suisse. Si tel n'est pas le cas, la protection des données avec ces entreprises doit être garantie par contrat. Cette obligation est particulièrement importante lors de la création de pools de données destinés à pourvoir à un poste à l'intérieur du groupe d'entreprises. S'il confie le traitement des données à un tiers, le mandant doit veiller à ce que ne soient pas effectués des traitements autres que ceux qu'il est lui-même en droit d'effectuer et qu'aucune obligation légale ou contractuelle de garder le secret ne l'interdit.

Les données personnelles transmises doivent être protégées contre tout traitement non autorisé par des mesures techniques et organisationnelles adéquates. Il est donc recommandé de prendre des mesures de protection spécifiques selon la classification des catégories de données. L'impossibilité d'accéder sans autorisation à l'infrastructure de communication et aux supports de données doit être en permanence garantie. De même, le cryptage des données doit permettre d'en interdire l'accès aux personnes non autorisées. Il doit répondre aux dernières connaissances techniques en la matière. Cela vaut à la fois pour les données et pour les déclarations de protection des données. L'identification des personnes autorisées à recevoir les données conformément aux déclarations doit être clairement garantie. Elle doit répondre aux dernières connaissances techniques en la matière et faire l'objet d'une journalisation pour que l'on puisse en tout temps retracer le traitement des données.

[juillet 2002]

https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/rapports-d-activites/anciens-rapports/9e-rapport-d-activites-2001-2002/la-communication-a-l-etranger-de-donnees-du-personnel.html