Les conseillers à la protection des données en entreprise

La révision de la loi sur la protection des données, en vigueur depuis 2008, permet aux entreprises de pratiquer l'autorégulation. Ainsi, l'entreprise qui nomme un responsable de la protection des données et qui en informe le préposé fédéral est dispensée de l'obligation de nous déclarer ses fichiers. Le rôle et le choix de la personne responsable de la protection des données doivent toutefois répondre à des critères déterminés.

Le conseiller à la protection des données dans la loi

De nouvelles dispositions introduites par la loi révisée sur la protection des données du 1er janvier 2008 (LPD RS 235.1) permettent aux entreprises de s'autoréguler. Conformément à l'art. 11a, al. 5, let. e le maître du fichier n'est pas tenu de déclarer son fichier s'il a désigné un conseiller à la protection des données indépendant chargé d'assurer l'application interne des dispositions relatives à la protection des données et de tenir un inventaire des fichiers. Le préposé fédéral à la protection des données et à la transparence (ci-après: préposé) doit en être informé. 

Dans sa version allemande, la LPD utilise le terme de «Datenschutzverantwortlicher», ce qui signifie «responsable de la protection des données», alors que la version française parle de «conseiller à la protection des données». Etant donné que le législateur n'avait pas l'intention de décharger le maître du fichier de sa responsabilité et de la faire endosser par le conseiller à la protection des données, la LPD doit être interprétée selon la version française. C'est donc avant tout au maître du fichier (ou, plus précisément, à l'entreprise qui traite les données) d'assumer la responsabilité. Le conseiller à la protection des données n'est responsable que dans les limites prévues par l'art. 55 de la loi fédérale complétant le Code civil suisse (Livre Cinquième: Droit des obligations CO, RS 220).

Les tâches et le statut du conseiller à la protection des données en entreprise (ci-après: conseiller à la protection des données) sont régis par les articles 12a et 12b de l'ordonnance relative à la loi fédérale sur la protection des données (OLPD, RS 235.11).

Statut du conseiller à la protection des données en entreprise

Pour être à même d'exercer sa fonction de surveillance, le conseiller à la protection des données doit pouvoir assurer en toute indépendance l'application interne des dispositions relatives à la protection des données (art. 11a, al. 5, let. e, LPD). Afin que l'autorégulation puisse fonctionner efficacement, l'indépendance du conseiller à la protection des données doit être garantie tant du point de vue organisationnel et matériel que du point de vue de l'activité qu'il exerce dans l'entreprise.

Indépendance au plan organisationnel

Afin de pouvoir accomplir ses tâches dans l'entreprise, le conseiller à la protection des données ne doit pas exercer des activités incompatibles avec celles-ci. Son statut à lui seul doit déjà permettre d'éviter tout conflit d'intérêts. Dans la pratique, on constate que les entreprises confient généralement ces tâches à un état-major ou créent un poste à cet effet au service juridique. Il arrive aussi que le conseiller à la protection des données soit rattaché au service informatique ou au comité directeur.

Si l'on veut écarter tout risque de conflit d'intérêts, il faut veiller à ce que le poste de conseiller à la protection des données ne soit pas intégré dans la hiérarchie directe. A cet égard, les entreprises disposent de différentes possibilités allant de la création d'un état-major à la désignation d'un conseiller à la protection des données externe.

Indépendance au plan matériel

Pour être à même d'assumer ses tâches correctement et en toute indépendance, le conseiller à la protection des données doit en outre disposer des compétences requises. Le droit se borne à indiquer qu'il doit avoir les connaissances professionnelles nécessaires (art. 12a, al. 2, et 12b, al. 2, let. a, OLPD) sans pour autant préciser lesquelles. 

On exige de lui à la fois des connaissances dans le domaine de la protection de données et des connaissances spécifiques propres à l'entreprise. Il devrait notamment connaître et savoir appliquer les grands principes de la loi sur la protection des données. S'il n'a pas déjà des connaissances juridiques, il faudrait le former de manière à ce qu'il soit au moins en mesure de juger si, quand et dans quelle mesure un traitement de données personnelles est susceptible de porter atteinte à la personnalité d'un individu. 

Le préposé recommande donc qu'un conseiller à la protection des données (qui ne bénéficierait pas d'une formation juridique antérieure) ait travaillé au moins six mois dans le domaine de la protection des données ou qu'il reçoive une formation de cette durée.

Le conseiller à la protection des données doit par ailleurs connaître l'entreprise. Il doit notamment pouvoir évaluer, sur la base de ses connaissances spécialisées, les normes techniques appliquées, l'organisation du maître du fichier et les divers traitements de données personnelles du point de vue de la législation sur la protection des données. Selon l'entreprise, cela revient à exiger de lui des compétences techniques très pointues. Ainsi, dans une entreprise du secteur des technologies de l'information et de la communication, il devrait à tout le moins disposer d'une expérience technique suffisante (p. ex. en qualité de programmeur) pour être à même de superviser les traitements de données tant du point de vue technique que sous l'angle de la protection des données.

Indépendance du conseiller par rapport à ses activités

Le conseiller à la protection des données doit, dans l'exercice de ses fonctions, être suffisamment indépendant pour pouvoir assumer ses tâches sans recevoir d'instructions et sans risquer de se faire sanctionner par l'entreprise à cause de son activité. En outre, il doit disposer des ressources nécessaires (le plus souvent sous forme de temps de travail) à l'accomplissement de ses tâches propres à l'entreprise (art. 12b, al. 2, let. b, OLPD). Les exigences varient certes en fonction de la taille de l'entreprise; le préposé exige cependant que le poste de conseiller à la protection des données soit doté de suffisamment de ressources pour que la fonction soit plus qu'un simple alibi.

Enfin, le conseiller à la protection des données doit avoir accès à tous les fichiers, aux traitements et aux informations nécessaires à l'accomplissement de sa tâche (art. 12b, al. 2, let. c, OLPD), ce qui implique qu'il y ait non seulement accès sur demande, mais qu'il ait aussi connaissance de tous les traitements de données au sein de l'entreprise.

Tâches du conseiller à la protection des données

L‘OLPD prévoit essentiellement deux catégories de tâches pour le conseiller à la protection des données : 

  • contrôler les traitements de données personnelles et proposer des mesures s'il apparaît que des prescriptions sur la protection des données ont été violées (art. 12b, al. 1, let. a, OLPD).
  • dresser l'inventaire des fichiers gérés par le maître du fichier mentionné à l'art. 11a, al. 3, LPD (art. 12b, al. 1, let. b, OLPD).

Fonction de surveillance du conseiller à la protection des données

Pour être en mesure d'exercer toutes les tâches qu'implique cette fonction, le conseiller à la protection des données doit connaître tous les fichiers et les traitements de données qui existent dans l'entreprise. Il doit donc avoir, au sein de l'entreprise, le droit de consulter tous les documents requis, de se faire présenter l'ensemble des systèmes de traitement des données et d'obtenir tous les renseignements nécessaires de la part de toutes les personnes responsables du traitement des données. Ceci implique que le conseiller ait le droit de donner des instructions, et il incombe à l'entreprise de faire en sorte que ces instructions soient respectées.

Le préposé recommande par conséquent d'instaurer un devoir de déclarer tous les fichiers et traitements de données au conseiller à la protection des données.

Sur la base des informations qu'il aura obtenues dans le cadre de sa fonction de surveillance, le conseiller à la protection des données devra évaluer si et dans quelle mesure des prescriptions internes et légales concernant la protection des données ont été violées (ou sont susceptibles de l'être). Cette tâche impliquera aussi une analyse des risques (p. ex. risque de transmission, d'effacement ou de traitement non intentionnel ou illicite des données, risque de perte de données ou risque d'une erreur technique, etc.). S'il constate, dans le cadre de ses investigations, que des prescriptions ont été violées, il doit pouvoir recommander des mesures. L'organisation interne de l'entreprise déterminera si ces recommandations doivent être adressées à la direction ou aux collaborateurs compétents. Quel que soit le cas de figure, l'entreprise devra faire en sorte que les recommandations soient mises en œuvre. Si elle ne le fait pas, il y aura lieu de considérer que les prescriptions en matière de protection des données ont été violées intentionnellement. Au cas où l'affaire devrait être rendue publique, l'image de l'entreprise concernée risquerait d'être sérieusement écornée. 

Exception à l'obligation de déclarer les fichiers

Conformément à l'art. 11a, al. 5, let. e, LPD, l'entreprise n'est pas tenue de déclarer ses fichiers si elle a désigné un conseiller à la protection des données indépendant chargé d'assurer l'application interne des dispositions relatives à la protection des données. Elle doit toutefois être organisée de manière à pouvoir renseigner, sur demande, des personnes privées et le préposé sur les fichiers contenant des données sensibles ou des profils de la personnalité qui sont régulièrement traités ou sur la base desquels des données personnelles sont régulièrement communiquées à des tiers.

Ce sont là les exigences minimales prévues par la LPD pour que le maître du fichier soit délié de l'obligation de déclarer. Dans l'intérêt de l'entreprise, le préposé recommande cependant que le conseiller à la protection des données examine tous les fichiers dont dispose l'entreprise.  

Mesures et recommandations

Les mesures prescrites par la loi et régissant l'organisation interne de l'entreprise dans le domaine de la protection des données sont exposées ci-après. Le préposé formule par ailleurs des propositions organisationnelles devant être respectées par toute entreprise soucieuse de répondre aux exigences de la protection des données.

Prescriptions légales

En vertu des prescriptions légales, le conseiller à la protection des données doit remplir les conditions suivantes: 

  • Il n'est pas soumis aux instructions du maître du fichier.
  • Il doit disposer des qualifications professionnelles nécessaires. 
  • Il doit contrôler les traitements de données personnelles au sein de l'entreprise.
  • Il doit pouvoir proposer des mesures s'il apparaît que des prescriptions sur la protection des données ont été violées.
  • Il doit avoir accès à tous les fichiers et à tous les traitements de données.
  • Il doit dresser l'inventaire des fichiers selon l'art. 11a, al. 5, let. e LPD et le tenir à la disposition du préposé ou des personnes concernées qui en font la demande.
  • Il ne doit pas exercer d'activités incompatibles avec ses tâches de conseiller à la protection des données.

Afin que l'entreprise puisse être déliée de l'obligation de déclarer, elle doit répondre aux exigences précitées et informer le préposé qu'elle a désigné un conseiller à la protection des données.

Propositions organisationnelles du préposé

Une entreprise a, dans tous les cas, intérêt à accorder à la protection des données une importance supérieure à celle que prévoit la loi. Vu la sensibilité de la population, toute violation de la loi sur la protection des données est susceptible - si elle est rendue publique - d'avoir un grand retentissement médiatique et donc de nuire considérablement à l'entreprise. Le préposé tient par conséquent à souligner qu'il est dans l'intérêt même de l'entreprise de  mettre en place une surveillance interne efficace en matière de protection des données.

Organisation hiérarchique de la protection des données au sein de l'entreprise

L'entreprise devrait non seulement désigner un conseiller à la protection des données indépendant mais aussi mettre en place des responsables de la protection des données aux niveaux hiérarchiques inférieurs (ci-après appelés les coordinateurs de la protection des données), qui consacreront une partie de leur temps de travail à la protection des données dans leur service ou leur secteur. Ils seront chargés d'assurer la communication entre le conseiller à la protection des données et les différents services ou secteurs afin que d'éventuels problèmes dans les services soient identifiés et signalés à un stade précoce et que les informations et instructions puissent être adressées directement aux services concernés.

Une telle structure peut être utile, à différents points de vue, au conseiller à la protection des données:  

  1. Instruction des collaborateurs par les coordinateurs de la protection des données (qui ont été formés préalablement par le conseiller);
  2. Rencontres entre les coordinateurs de la protection des données des différents services ou secteurs en vue d'un échange d'informations et de connaissances; 
  3. Discussion, avec un interlocuteur direct, de problèmes concernant un service ou un secteur dans le but de formuler des recommandations ou de donner des instructions;
  4. Déclaration de fichiers et de traitements de données au responsable de la protection des données pour transmission au conseiller à la protection des données, le coordinateur exerçant alors une fonction de standardisation et de centralisation;
  5. Relais permettant d'avoir connaissance, à un stade précoce, des traitements de données prévus, préparés ou effectués au sein de l'entreprise.

Afin que la communication entre le conseiller à la protection des données et les coordinateurs de la protection des données soit aussi efficace que possible, il est recommandé de ne créer aucun échelon hiérarchique intermédiaire. Si la charge de travail devient trop lourde pour le conseiller à la protection des données, du fait qu'il est sollicité par un trop grand nombre de coordinateurs de la protection des données, le préposé recommande de désigner un deuxième conseiller à la protection des données. Les coordinateurs de la protection des données peuvent alors être répartis entre les deux conseillers, aucun échelon intermédiaire ne devant être créé.

Procédures standardisées

Le préposé recommande aux entreprises de mettre en œuvre quelques procédures spécifiques standardisées que les collaborateurs devraient appliquer au quotidien:

  1. Déclaration et contrôle de fichiers: Le conseiller à la protection des données devrait si possible avoir connaissance de tous les fichiers dont dispose l'entreprise. Il convient donc de créer et de distribuer dans l'entreprise un formulaire standardisé recensant tous les fichiers et traitements de données existants ou prévus. Il y aura ainsi moyen de superviser l'ensemble des données, les mutations et l'effacement de fichiers, et le conseiller à la protection des données pourra savoir en tout temps quelles données sont traitées par quel service ou secteur.
  2. Evaluation des risques: Le conseiller à la protection des données devrait procéder à une analyse des risques sur la base des déclarations et des contrôles de fichiers et de traitements de données. Cette analyse devrait lui permettre d'évaluer le dommage potentiel le plus grave. Pour les fichiers sensibles (risque élevé pour l'image de l'entreprise, préjudice important pour les personnes concernées, dont l'entreprise pourrait être tenue responsable, etc.), le conseiller à la protection des données devrait prévoir non seulement des mesures de sécurité suffisantes mais aussi des scénarios-catastrophe pour parer à toute éventualité.
  3. Communication de violations de la législation sur la protection des données: Pour limiter au maximum les risques et faciliter la mise en œuvre des scénarios-catastrophe, il est extrêmement important, en cas de violation de la législation sur la protection des données, que les informations circulent rapidement entre le service concerné et le conseiller à la protection des données. C'est d'autant plus vrai lorsque ladite violation risque d'être dévoilée au grand jour au détriment de la crédibilité de l'entreprise. Les coordinateurs de la protection des données doivent donc pouvoir évaluer approximativement la portée d'une violation potentielle et l'urgence de la menace.
Site interne et formulaire standard

En outre, le préposé recommande de créer, sur l'intranet de l'entreprise, un site consacré à la protection des données, sur lequel seront mis à disposition tous les documents et formulaires pertinents. Les collaborateurs auront ainsi la possibilité de s'informer par eux-mêmes.   

Les entreprises devraient créer des formulaires standard pour la déclaration de tous les fichiers et traitements de données, lesquels permettront en outre aux conseillers à la protection des données d'avoir connaissance de tous les traitements de données auxquels procède l'entreprise.

https://www.edoeb.admin.ch/content/edoeb/fr/home/protection-des-donnees/handel-und-wirtschaft/entreprises/les-conseillers-a-la-protection-des-donnees-en-entreprise/les-conseillers-a-la-protection-des-donnees-en-entreprise.html