En un coup d’oeil
- La révision de la loi sur la protection des données a imposé de nouvelles obligations aux organes fédéraux que sont les caisses de pension, les caisses de compensation, les caisses-maladie et les assureurs-accidents.
- Dans certains cas, une analyse d’impact relative à la protection des données personnelles est nécessaire.
- La distinction entre mandant et sous-traitant est essentielle.
Le premier téléphone portable de Nokia, avec son jeu du serpent « Snake » qui, au désespoir des enseignants, poussait les jeunes à regarder plus souvent sous leur pupitre que vers le tableau noir, a été lancé sur le marché en 1997, à peine cinq ans après les premiers téléphones portables produits en masse. La première loi fédérale sur la protection des données était entrée en vigueur la même année, en 1992.
Depuis lors, en matière de numérisation, beaucoup d’eau a coulé sous les ponts. Aujourd’hui, difficile de faire sans smartphone, Internet et toutes les possibilités qu’ils offrent. Les services en nuage (cloud) et les réseaux sociaux font partie intégrante de notre quotidien.
La loi fédérale sur la protection des données (LPD), révisée pour tenir compte des réalités techniques et sociales et en vigueur depuis septembre 2023, s’aligne fortement sur le Règlement général de l’UE sur la protection des données (RGPD).
Ce sont les personnes qui sont protégées, pas les données
La loi sur la protection des données s’applique à toute information concernant une personne physique identifiée ou identifiable. Ce ne sont donc pas les données en soi qui sont protégées, mais bien les personnes physiques que les données concernent. En l’occurrence, la loi opère une distinction entre personnes privées et organes fédéraux.
Par personnes privées, l’on entend à la fois les personnes physiques et les personnes morales. Les organes fédéraux, quant à eux, comprennent les institutions de prévoyance actives dans le régime obligatoire, les assurances obligatoires de soins, les assurances-accidents et les caisses de compensation professionnelles. Tous ces acteurs appliquent le droit public, c’est-à-dire les lois fédérales en vigueur dans le domaine des assurances sociales (LAMal, LAA, LPP et LAVS).
Pour le traitement des données, ce n’est pas la structure organisationnelle qui est déterminante, mais le fait que les personnes qui traitent les données soient chargées de tâches de droit public ou privé. Ainsi, toute personne chargée de tâches publiques de la Confédération est considérée comme un organe fédéral.
Les organes publics des communes et des cantons, comme les établissements cantonaux d’assurances sociales, les offices AI cantonaux et les caisses de pension publiques sont soumis aux lois cantonales respectives sur la protection des données. Nous nous limiterons donc ici aux organes fédéraux.
« Profilage » uniquement avec une base légale
Contrairement aux personnes privées, les organes fédéraux ne sont en droit de traiter des données personnelles que s’il existe une base légale, et ce en vertu du principe de la légalité. Pour le traitement de données personnelles sensibles et le profilage, c’est-à-dire l’évaluation automatisée des caractéristiques d’une personne physique, les organes fédéraux sont soumis à des prescriptions relativement strictes.
Si, par exemple, une compagnie d’assurance établit une liste de personnes susceptibles d’être intéressées par une offre spécifique, il s’agit d’un profilage. En principe, s’il n’existe aucune base légale, ce traitement de données n’est pas autorisé.
Autre exemple : alors que les entreprises privées sont libres de rechercher du personnel sur les réseaux sociaux et de procéder à des évaluations, les organes fédéraux ont besoin d’une base légale formelle pour le faire. Il est donc prévu d’introduire une base légale pour le profilage dans la loi sur le personnel de la Confédération.
Qui est responsable du traitement ?
Selon la LPD, le « responsable du traitement » est la personne physique ou morale qui détermine les finalités et les moyens du traitement de données personnelles. Il doit démontrer qu’il respecte les prescriptions de protection des données et qu’il met en place à cet effet des mesures techniques et organisationnelles appropriées. Il veille à ce que les droits des personnes concernées – les personnes physiques dont les données personnelles sont traitées – soient respectés, par ex. le droit d’accès, le droit de demander la rectification ou l’effacement de données, celui de restreindre leur utilisation, ou encore le droit à la portabilité des données.
Les responsables du traitement sont par exemple les employeurs (pour les données des collaborateurs), les recruteurs indépendants (certes mandatés par leurs clients, mais décidant eux-mêmes des finalités du traitement des données), les compagnies aériennes, les opérateurs de télécommunications ou les études d’avocats.
Le « sous-traitant », en revanche, est la personne physique ou morale qui traite des données personnelles pour le compte du responsable du traitement. Il peut s’agir de fournisseurs de services en nuage, d’hébergeurs Internet, de centres d’appels ou d’entreprises de support informatique.
Le sous-traitant peut traiter des données personnelles conformément aux instructions documentées du responsable du traitement et ne peut lui-même sous-traiter un traitement à un tiers qu’avec l’autorisation écrite du responsable. Une fois le traitement terminé, les sous-traitants doivent soit effacer les données personnelles, soit les restituer.
On peut donc dire que si des données personnelles sont traitées, il y a au moins un responsable du traitement. Mais il n’est pas impératif que ce dernier ait accès aux données personnelles.
Les décisions relatives aux finalités du traitement des données sont toujours prises par le responsable du traitement. Par contre, la distinction entre responsable du traitement et sous-traitant est moins claire lorsqu’il s’agit de déterminer comment les données doivent être traitées et quels matériel ou logiciel doivent être utilisés pour leur analyse (voir encadré).
Qui est responsable ?
Les questions ci-dessous sont utiles pour déterminer si une personne est « responsable du traitement » ou « sous-traitant » :
- Pourquoi les données sont-elles traitées ?
- Qui tire profit du traitement des données ?
- Ces données seraient-elles traitées sans le responsable du traitement ?
- Quand et à quelle fréquence les données sont-elles saisies ?
- Comment les données sont-elles analysées et présentées ?
- Comment et combien de temps les données sont-elles sauvegardées ?
Qui répond des dommages ?
La distinction entre responsable du traitement et sous-traitant est surtout importante pour définir la responsabilité pour dommages des personnes privées, c’est-à-dire des personnes qui traitent des données personnelles sur la base d’une relation juridique de droit privé. Le responsable du traitement répond également des infractions commises par les sous-traitants. De leur côté, les sous-traitants sont responsables s’ils ne respectent pas les instructions du responsable du traitement. En Suisse, les infractions peuvent être sanctionnées par des amendes personnelles pouvant aller jusqu’à 250 000 francs ; actuellement, plusieurs plaintes sont pendantes dans notre pays.
Selon le droit pénal, ces sanctions ne s’appliquent pas aux organes fédéraux. Cependant, les collaborateurs des organes fédéraux peuvent être amenés à devoir rendre des comptes par des mesures disciplinaires. En outre, les organes fédéraux sont soumis à la surveillance du préposé fédéral à la protection des données et à la transparence (PFPDT), qui peut émettre des recommandations et, en cas d’infraction, porter l’affaire devant les autorités ou les tribunaux compétents. Le PFPDT peut également ouvrir des enquêtes, demander l’accès aux locaux ou ordonner l’audition de témoins.
L’analyse d’impact relative à la protection des données personnelles, un véritable casse-tête
Lorsque le traitement envisagé est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes concernées, les organes fédéraux doivent au préalable procéder à une analyse d’impact relative à la protection des données personnelles. Il s’agit d’évaluer les risques pour les droits fondamentaux de la personne concernée, d’identifier les mesures de protection de ces droits et d’analyser l’impact des mesures prévues.
Jusqu’à présent, les organes fédéraux n’ont que rarement procédé à une analyse d’impact sur la protection des données personnelles, car elle requiert des connaissances spécifiques et des ressources considérables. Dans la plupart des organes fédéraux, l’on constate à cet égard un besoin important de formation et de sensibilisation. L’évaluation des risques et l’identification des mesures visant à les réduire constituent les principaux défis. Pour les projets informatiques en particulier, il est difficile de chiffrer précisément les risques. Il va de soi qu’ils ne sont jamais nuls.
Actuellement, de nombreux organes fédéraux s’efforcent d’intégrer l’analyse d’impact relative à la protection des données dans les processus et systèmes existants. Cela inclut le développement et la mise en œuvre de procédures standard et de logiciels pour rendre cette analyse d’impact plus efficace et plus cohérente.
Dans le 1er pilier, l’Office fédéral des assurances sociales a développé un modèle qui permet aux organes d’exécution de mener une analyse d’impact relative à la protection des données personnelles s’ils estiment que c’est nécessaire. Ce modèle peut également servir à d’autres organes fédéraux.