Déclaration de protection des données: La signature des collaborateurs est-elle vraiment nécessaire?
Marco S. Meier
Marco S. Meier, avocat, MLaw, CIPP/E, informaticien CFC, est partenaire chez Binder Rechtsanwälte KLG. Il conseille et représente des clients nationaux et internationaux dans tous les domaines du droit de l'informatique, de la technologie, de la protection des données, de la cybersécurité et de la propriété intellectuelle, ainsi que dans les questions de conformité d’ordre technologique, comme par exemple l'utilisation ou le développement de l'intelligence artificielle (IA). De plus, il est expert en questions de logiciels et de licences ainsi qu'en projets technologiques et d'externalisation dans divers secteurs. Le règlement des litiges dans le domaine des TIC ainsi que le conseil en matière d'activités de marketing digital et de transactions IT/IP M&A constituent d'autres points forts de son activité.
Anna Neukom Chaney
Anna Neukom Chaney, lic. iur., est avocate auprès de l’étude Binders Rechtsanwälte KLG. Elle conseille divers clients dans tous les domaines du droit du travail et est en outre spécialisée dans les procès nationaux et internationaux portés devant les tribunaux étatiques et les tribunaux d’arbitrage.
Aides de travail appropriées
Contexte
La Loi fédérale sur la protection des données (LPD), qui a fait l'objet d'une révision totale, est en vigueur en Suisse depuis le 1er septembre 2023. La LPD a introduit plusieurs nouvelles obligations pour les entreprises traitant des données personnelles. Bien que le traitement des données au sein du service du personnel présente certains risques accrus, il est parfois quelque peu négligé. En effet, outre les données personnelles "normales" (telles que le nom des collaborateurs, leur numéro personnel, leurs données financières, etc.), les RH traitent régulièrement des données sensibles (par ex. extraits de casier judiciaire, certificats médicaux, etc.). En ce qui concerne le traitement de leurs données personnelles, la LPD prévoit en effet que les personnes concernées doivent être informées du traitement en question. Cela vaut également pour tout traitement effectué dans le cadre du contrat de travail.
L'obligation d'informer est l'une des obligations de la LPD pouvant être directement sanctionnée en cas de violation intentionnelle. Si l’une ou l’autre information erronée ou incomplète est fournie intentionnellement aux collaborateurs, la personne responsable de sa propagation (et non l'entreprise) est susceptible d’être amendée jusqu'à hauteur de CHF 250'000.-.
Contenu minimal de l'information
La LPD prévoit le contenu minimal suivant pour les informations devant être mises à la disposition des collaborateurs :
- l'information doit indiquer clairement qui est responsable du traitement et comment la personne responsable peut être contactée (c'est-à-dire le nom et les coordonnées de l'employeur).
- Les différentes finalités de traitement des données doivent apparaître de manière transparente (p. ex. gestion du dossier personnel, planification de la formation et de la formation continue, planification du travail, facturation, conclusion d'assurances, etc.).
- Si des données sont transmises à des tiers, cela doit être mentionné (par exemple, outil d'administration du personnel basé sur le cloud, prestataire de services de paie externe, assurances, etc.)
- Si les données sont transférées à l'étranger, il faut en outre divulguer le nom de l'État vers lequel les données sont transférées ainsi que la garantie juridique de protection des données assurant un niveau de protection adéquat (par exemple les clauses contractuelles types de l'UE).
Dans la pratique, certaines informations encore plus détaillées sont régulièrement mises à disposition, comme par exemple les catégories de données personnelles traitées (coordonnées, données salariales, données financières, etc.).
Recommandations de produits
Modalités de l’information
La LPD elle-même ne fournit que des indications vagues sur les modalités du devoir d'information. Elle dit uniquement que les personnes concernées doivent être informées de manière appropriée sur la collecte de leurs données personnelles. L'Ordonnance sur la protection des données (OPDo) précise, en ce qui concerne les modalités de l'obligation d'informer, que l'information doit être précise, transparente, compréhensible et facilement accessible. En d'autres termes, l'information destinée aux collaborateurs doit être rédigée dans un langage simple et adaptée au destinataire.
Dans la pratique, ce processus est garanti par une déclaration de protection des données spécifiquement destinée aux collaborateurs. On entend parfois dire que la déclaration de protection des données à l'attention des collaborateurs n'est pas nécessaire. L'argument avancé est une exception à l'obligation d'information contenue dans la LPD. L'obligation d'informer ne s'applique pas, par exemple, lorsque le traitement envisagé est prévu de par la loi. Dans le cadre de la relation de travail, il existe effectivement divers traitements répondant à ce dernier critère (par exemple le décompte des cotisations d'assurance sociale, la conclusion de certaines assurances, etc.) Par conséquent, il n'est pas nécessaire de fournir des informations sur ces traitements. Ce raisonnement ne va toutefois pas assez loin, à notre avis. En effet, outre les traitements prévus sur le plan légal, il en existe assez souvent d'autres qui sont effectués par l'employeur et qui ne reposent pas nécessairement sur une base légale. Les collaborateurs devraient donc (au moins) être informés de ces traitements-là. Il est toutefois recommandé d'établir à ce sujet une information complète qui, le cas échéant, fasse également apparaître de manière transparente les traitements prévus par la loi. Le processus gagnera en transparence vis-à-vis des collaborateurs et donnera l'impression que la chose a été faite dans les règles de l'art. Cela les aidera également à comprendre, d'une manière plus globale, comment les RH traitent leurs données personnelles.
Une petite signature? Pas nécessairement
La LPD et l'OPDo ne se prononcent pas concrètement sur la manière dont la déclaration de protection des données doit être mise à la disposition des collaborateurs. Il est toutefois essentiel que cette dernière déclaration soit facilement accessible. Elle peut donc être mise en ligne sur l'Intranet, envoyée par courriel, incluse dans le paquet de bienvenue ou affichée dans le local de pause.
Contrairement au contrat de travail ou au règlement du personnel, la déclaration de protection des données est une information unilatérale et non un contrat ou un élément contractuel. On peut donc affirmer que la déclaration de protection des données ne requiert aucune signature. Ce mythe se voit ainsi réfuté.
Remarque:
Le plus important en bref:
- La LPD prévoit une obligation d'informer avec un contenu minimal.
- Une déclaration de protection des données décrivant les traitements effectués pendant la relation de travail doit être mise à la disposition des collaborateurs.
- La déclaration de protection des données est une information unilatérale et non un contrat.
- La déclaration de protection des données doit "seulement" être mise à la disposition des collaborateurs pour qu'ils en prennent connaissance. Qu'elle soit signée de la main des collaborateurs n'est pas prévu par la loi et n'est donc pas nécessaire.
