Déclaration de confidentialité destinée aux collaborateurs: Qu'est-ce qui change avec la LPD révisée?
Aides de travail appropriées
Les collaborateurs doivent être informés en matière de traitement des données
Avec l'entrée en vigueur de la LPD révisée le 1er septembre 2023, le droit de la protection des données en Suisse sera modernisé. Elle introduit, entre autres obligations, un devoir d'information. Dans le cadre de cette obligation, les entreprises responsables sont tenues d'informer de manière appropriée toutes les personnes concernées par la collecte de données à caractère personnel. Les données personnelles sont toutes les informations qui se rapportent à une personne physique identifiée ou identifiable. Dans le cadre des rapports de travail, de nombreuses données personnelles sont collectées et plusieurs traitements de données sont effectués depuis l'embauche jusqu'à la fin des rapports de travail. Il faut dès lors en être informé depuis l'entrée en vigueur de la LPD révisée.
Il s'agit par exemple des noms ou des données de contact des collaborateurs présentes dans les dossiers personnels ou les systèmes RH, ainsi que d'autres données qui permettent indirectement d'identifier les collaborateurs (par ex. le numéro de collaborateur). Les données sont traitées de toutes les manières possibles, que ce soit consciemment et volontairement ou inconsciemment et accessoirement, par exemple en collectant, en enregistrant, en effaçant ou en accédant à des données personnelles. En d'autres termes, les règles de la législation sur la protection des données ne s'appliquent pas seulement aux relations avec les clients ou les visiteurs des sites web, mais aussi aux postulants et aux collaborateurs au sein de l’entreprise.
Exemples de traitements de données dans le cadre des rapports de travail:
- Recrutement
- Administration du personnel
- Gestion des dossiers personnels
- Comptabilité salariale
- Gestions des formations
- Plans de carrière
- Evaluation des prestations de travail
- Surveillance des collaborateurs
- etc.
Remplir son devoir d’information au moyen d’une déclaration de confidentialité destinée aux collaborateurs
Pour satisfaire à l'obligation d'information de la LPD révisée, les entreprises doivent informer leurs collaborateurs de tous les traitements de données effectués dans le cadre du processus de candidature et pendant la relation de travail. Les collaborateurs doivent recevoir, avant le traitement de leurs données personnelles, les informations nécessaires à l'exercice de leurs droits en tant que personnes concernées (par ex. les droits d'accès, de rectification ou de suppression). En outre, les informations doivent garantir un traitement transparent des données personnelles. Les informations communiquées doivent également être précises, compréhensibles et facilement accessibles. Alors, comment mettre en œuvre ce devoir d'information de manière pragmatique et appropriée? Dans la pratique, il est possible d'en informer les collaborateurs par le biais d'une déclaration de confidentialité. Celle-ci peut par exemple être publiée sur Internet, de manière à ce que les collaborateurs aient la possibilité de la consulter à tout moment et selon leurs besoins. Pour les nouveaux collaborateurs, il est recommandé de joindre la déclaration de confidentialité à la documentation que l'on reçoit lors de son entrée en fonction, de mentionner ladite déclaration dans le règlement du personnel ou alors dans le contrat de travail lui-même.
Recommandations de produits
La déclaration de confidentialité doit contenir un nombre minimal d’informations prédéterminées
Pour satisfaire à l'obligation d'information, la loi révisée sur la protection des données prescrit un certain contenu minimal d'informations. Il s'agit de l'identité et des coordonnées de l'employeur, des finalités du traitement des données ainsi que des informations sur les destinataires ou les catégories de destinataires concernés (y compris l'État et la garantie en matière de protection des données en cas de transfert de données à l'étranger; p. ex. en cas de RH centralisées auprès d'une société du groupe à l'étranger). Si certaines données personnelles ne sont pas recueillies directement auprès du collaborateur concerné (p. ex. des références collectées auprès d'anciens employeurs), il convient alors de fournir certaines informations supplémentaires sur les catégories de données personnelles traitées.
Informations minimales devant être contenues dans la déclaration de confidentialité destinée aux collaborateurs:
- Identité et coordonnées de l'employeur
- Finalités du traitement (par ex. gestion du dossier personnel)
- Si disponible: destinataire des données personnelles, y compris l'État et la garantie de protection des données en cas de transfert de données à l'étranger (p. ex. RH centralisées à l'étranger).
- Si certaines données sont collectées auprès de tiers (p. ex. pour des renseignements concernant certaines références professionnelles): catégories de données personnelles traitées
Exceptions au devoir d’information
L'obligation d'informer prévue par la LPD révisée n'est pas absolue. Différentes exceptions y sont prévues, pour lesquelles l'obligation d'informer les personnes concernées est quelquefois supprimée. S'agissant du devoir d'informer les collaborateurs, l'exception suivante est particulièrement pertinente: le devoir d'information est levé si le traitement envisagé est prévu par la loi. Cela concerne par exemple le traitement de données portant sur l'acquittement des cotisations d'assurance sociale ou le paiement du salaire. Toutefois, tous les traitements effectués pendant la relation de travail ne sont pas concernés par cette exception. On peut penser par exemple à l'évaluation des données concernant les performances professionnelles, la surveillance des collaborateurs ou la transmission de données au sein d'un groupe. Par conséquent, une déclaration de confidentialité doit de toute façon être rédigée à l'attention des collaborateurs. C'est pourquoi il est courant d'inclure tous les traitements de données dans la déclaration, même s'ils sont susceptibles d'être couverts par une éventuelle exception.
Amendes salées en cas de violation du devoir d’information
La nouvelle loi sur la protection des données prévoit une amende pouvant aller jusqu'à CHF 250'000.- pour la personne responsable d'une violation intentionnelle du devoir d'information. En d'autres termes, l'amende n'est pas infligée à l'entreprise, mais à la personne au sein de l'entreprise effectivement responsable de la violation du devoir d'information (p. ex. les dirigeants ou les décideurs). En raison de la menace d'amende élevée, il est dès lors chaudement recommandé de ne pas omettre la déclaration de confidentialité, d'en rédiger une en béton puis de la mettre à la disposition de vos collaborateurs. Vous avez jusqu'au 1er septembre 2023 pour le faire et ainsi vous mettre à l'abri de toute déconvenue.
Procédure en vue de la rédaction d’une déclaration de confidentialité destinée aux collaborateurs:
- Collecte des informations sur les différents traitements de données (p. ex. à partir du registre des activités de traitement)
- Rédaction de la déclaration de confidentialité sur la base des informations recueillies
- Publication de la déclaration de confidentialité (p. ex. sur l'Intranet et, pour les nouveaux arrivants, dans les documents remis lors de l'entrée en fonction)
- Vérifier périodiquement la déclaration de confidentialité et la compléter au besoin