02/02/2021

Protection des données internationales: Vidéoconférence et plateformes de collaboration

La crise du coronavirus tient l’économie en haleine. Les études et cabinets d’avocats ne sont pas non plus épargnés et en ressentent les effets. De nombreux avocats et autres collaborateurs travaillent désormais à domicile. Le terme de «télétravail», en marge de celui de coronavirus, sera probablement le mot de l’année. Aussi, c’est donc bel et bien dans le domaine de la jurisprudence que se pose la question de savoir quels seront les effets du travail à domicile sur le secret professionnel auquel les avocats sont astreints.

De: Carmen de la Cruz  ImprimerPartager 

Carmen de la Cruz

Carmen de la Cruz, avocate licenciée en droit, notaire, informaticienne de gestion avec brevet fédéral, spécialisée en droit informatique et partenaire au sein de l’étude de la cruz beranek Rechtsanwälte AG.

Protection des données internationales

Protection des données internationales

Protection des données internationales: Situation de départ

Jadis, les appels téléphoniques s’effectuaient par le biais d’une ligne fixe. De nos jours, les options en matière de communications sont plus étoffées et l’on a le choix entre différents procédés, comme le VoIP, les vidéoconférences, les outils de planification et autres. Le but est d’échanger avec son interlocuteur de manière plus personnalisée ainsi que d’assurer une collaboration efficace. Il convient alors d’évaluer et de mettre en place les nouvelles solutions proposées en marge des outils logiciels déjà à disposition.

Cela signifie, pour les entreprises, de mettre en place des solutions répondant à certaines exigences réglementaires de l’UE tel le Règlement général sur la protection des données (RGPD) ou encore, au niveau suisse, la Loi fédérale sur la protection des données.

Outre les aspects susmentionnés que cela englobe du point de vue de la protection des données, les professions soumises au secret professionnels, comme les médecins et les avocats, doivent soumettre les informations et données personnelles à une protection spéciale.

Le secret des avocats les astreint à traiter de manière confidentielle les informations qui leur sont confiées et dont ils prennent connaissance en exerçant leur profession. Cela commence déjà, en l’occurrence, par le biais de la simple existence d’une relation avocat/client.

Ci-après, nous vous exposerons les exigences légales requises lorsque l’on souhaite mettre en place des plateformes de collaboration répondant à ces normes dans le cadre d’une relation avocat/client.

Exigences posées par la LPD et le RGPD

Outre les exigences spécifiques au secret des avocats, il convient également, à chaque fois que l’on traite des données personnelles, de respecter les prescriptions de la loi fédérale sur la protection des données (LPD). Etant donné qu’en Suisse les personnes morales sont toujours et encore comprises dans le champ d’application, tous les mandats confiés à des avocats contiennent des données personnelles et c’est pour cette raison que les principes fixés par l’art. 4 ss LPD doivent être respectés.

En cas d’utilisation de logiciels, il n’est pas rare que l’on transfère certaines données au fournisseur sous différentes formes. En cas de transfert de données à l’étranger, transfert équivalant à une communication de données, il convient d’assurer un niveau de protection adéquat conformément à l’art. 6, al. 2 LPD. Les mesures de protection idoines sont d’ailleurs spécifiées au même alinéa de l’article en question.

En raison de la propagation de plus en plus étendue de l’hameçonnage et des attaques de pirates informatiques, l’art. 7 LPD traitant de la sécurité des données est d’une importance cruciale. L’art. 7, al. 1 LPD oblige en effet l’utilisateur à protéger les données personnelles contre tout traitement non autorisé par des mesures techniques et organisationnelles (MTO) appropriées. L’ordonnance fédérale relative à la loi fédérale sur la protection des données (OLPD) expose, à l’art. 8 ss OLPD, différents cas de figure dans lesquels il convient de protéger les données personnelles, quoiqu’elle ne mentionne aucune mesure concrète susceptible d’indiquer comment atteindre cet objectif. Il est donc utilement précisé, à l’art. 8, al. 2 OLPD, que la gestion des MTO doit dépendre de la nature et de l’évaluation des risques liés au traitement des données ainsi que de tenir compte du niveau technique actuel.

Il est de fait indispensable de vérifier, dans le cadre des solutions envisagées ou déjà implémentées, si les exigences légales en matière de protection des données sont respectées et si les mesures techniques et organisationnelles ont bel et bien été mises en place. Pour obtenir ce renseignement, on peut se référer aux différentes déclarations de confidentialité, annexes, conventions de traitement des données de commande ainsi qu’aux CGV du fournisseur de service auquel l’on s’adresse.

RGPD

Les éléments susmentionnés valent naturellement aussi dans le cadre du RGPD: l’entreprise qui implémente une solution doit être en mesure de garantir que les prescriptions du RGPD sont respectées. Il convient alors en premier lieu de choisir un fournisseur de services conforme au RGPD, c’est-à-dire traitant des données personnelles dans le cadre de l’UE respectivement dans un pays disposant d’une protection des données suffisante ou alors d’une certification «Privacy-Shield» (bien que l’on ait déjà été en droit d’émettre quelques réserves à ce sujet auprès de certains fournisseurs). D’autre part, il convient de conclure une convention de traitement des données de commande avec le fournisseur de services dans laquelle il est indiqué quelles données personnelles seront traitées et utilisées. Si certaines d’entre elles sont transmises à des tiers (par exemple via Facebook), ceci doit aussi être explicitement indiqué dans la convention en question. Ces indications doivent à leur tour être portées à la connaissance (par le biais d’un contrat, d’une déclaration de confidentialité, etc.) des utilisateurs (collaborateurs, clients, etc.). La transmission de données à des tiers non impliqués en relation avec des plateformes de collaboration ou des vidéoconférences doit être approuvée par l’utilisateur, sans quoi elle est illicite.

Respect de la vie privée dès la conception (Privacy by Design)

La solution envisagée doit être conçue de sorte qu’elle comprenne des fonctionnalités respectueuses de la vie privée et adaptables: le contenu des «chats» (clavardages, en français), les documents souvent téléchargés ou les présentations ne doivent pas être automatiquement sauvegardées ou utilisées par le fournisseur de services. Les communications doivent être cryptées afin qu’aucun tiers ne puisse avoir accès à de tels contenus. Les plateformes étant devenues une cible de plus en plus privilégiée par les hackers, il est dès lors important de procéder aux vérifications qui s’imposent en la matière.

Les instances hébergeant de telles solutions doivent être clairement identifiables et géographiquement localisables par l’utilisateur (e.g. en Chine ou aux Etats-Unis). Selon la situation de départ, cela signifie en effet qu’il convient, le cas échéant, d’exiger des informations supplémentaires ou d’obtenir le consentement des personnes intéressées afin de se conformer aux exigences légales. Les outils mis à disposition, en particulier les outils gratuits, ne sont pas tous conformes aux normes de protection des données en vigueur, raison pour laquelle il convient d’accorder une attention toute particulière à ce dernier point.

Ceci est un article gratuit. Vous souhaitez en découvrir plus ? Commandez la Newsletter Droit du travail et profitez de précieuses informations pratiques 10 fois par an.

Secret des avocats et secret médical

Les principes juridiques présidant à l’existence du secret des avocats sont principalement consacrés par (i) l’art. 13 de la Loi fédérale sur la libre circulation des avocats (LLCA), ceux concernant avocats et médecins par (ii) l’art. 321 CP (violation du secret professionnel) ainsi que par (iii) l’art. 35 LPD. Les droits de refus de collaboration et à la sauvegarde du secret qui en résultent sont répartis dans leur domaine juridique respectif (en particulier dans le cadre des règlements de procédure).

Loi fédérale sur la libre circulation des avocats

L’art. 13 de la Loi fédérale sur la libre circulation des avocats (LLCA) prévoit que l’avocat est soumis au secret professionnel pour toutes les affaires qui lui sont confiées par ses clients dans l’exercice de sa profession; cette obligation n’est pas limitée dans le temps et est applicable à l’égard des tiers. Les auxiliaires mis à contribution cités à l’art. 101 CO sont également soumis au secret professionnel selon la LLCA. Les avocats doivent également s’assurer que chaque critère en vue d’assurer le secret professionnel est respecté lorsqu’ils recourent aux services de prestataires informatiques, de fiduciaires, etc.

Droit pénal

Il convient encore de prêter attention à l’art. 321 CP, punissant d’une peine privative de liberté ou de l’amende les avocats, médecins et les auxiliaires qui auront révélé un secret à eux confié en vertu de leur profession ou dont ils avaient eu connaissance dans l’exercice de celle-ci. Les personnes réputées auxiliaires sont définies à l’art. 101 CO et comprennent les prestataires informatiques des cabinets d’avocats.

Reste à savoir si l’on enfreint déjà le secret des avocats ou le secret médical lorsque des prestataires tiers sont impliqués: la doctrine dominante et le Tribunal fédéral (cf. TF 6B_1403/2017, consid. 1.2.2) réfutent cela. Il faut que la violation soit effective – c’est-à-dire que les informations révélées soient soumises au secret professionnel en vertu de la profession que l’on exerce – pour que l’on puisse parler de violation du secret professionnel. Certains avis minoritaires (ainsi que la Cour Suprême du canton de Zurich/Jugement UE190028 du 27 décembre 2019) partent du principe qu’avoir recours à des prestataires tiers sans le consentement des personnes intéressées constitue déjà une violation du secret professionnel en soi.

REMARQUE IMPORTANTE: Les intéressés doivent obtenir des informations au sujet de l’utilisation faite des informations protégées par les prestataires de services tiers et au sujet de l’accès que ces derniers peuvent y avoir. Il particulièrement important pour les avocats et les médecins que les personnes concernées donnent leur assentiment en la matière afin d’éviter toute violation potentielle du secret professionnel.

Zone opérationnelle des plateformes de collaboration

Téléphone/Vidéoconférences

En raison des capacités limitées des transports publics, les prestataires comme les avocats ou les fiduciaires ne sont pas en mesure d’assister en personne à tous leurs rendez-vous et doivent les traiter de façon numérique. Le fait de devoir discuter avec leurs clients en mode «son» (téléphone, VoIP) ou encore en mode «son et image» (vidéoconférence) importe peu en soi. Ces deux types de solutions sont courants et le flux de données engendré et transitant entre le client ou le tiers et le fournisseur de services est établi par un tiers. C’est également le cas lorsque l’on passe un simple appel, bien que l’opérateur de télécommunications ne traitent les données concernées que de façon très limitée et à des fins propres. Le traitement des données est bien évidemment une condition impérative de l’accomplissement de la prestation qu’il propose et la raison pour laquelle on fait appel à ses services.

Echange/Traitement des données

Outre la possibilité de mener des entretiens, le transfert d’un certain nombre de données nécessaires au collaborateur est requis dans le cadre d’un télétravail efficace. Si les données en question sont, le cas échéant, sauvegardées sur un petit serveur de données sur le lieu de travail habituel, leur accès sera un peu plus compliqué de l’extérieur. Il faudra alors veiller à accorder les autorisations d’accès à distance aux collaborateurs concernés, à respecter les normes de sécurités requises et à garantir que la connexion Internet assure un débit de données optimal.

Si l’on est parvenu à contourner l’obstacle, se pose ensuite la question de savoir comment travailler ensemble sur les documents avec son équipe ou ses clients. Dans ce cas, on recourt la plupart du temps à différents services Cloud et la question de savoir quelles sont les données auxquelles le fournisseur peut avoir accès se pose en sus.

C’est précisément la raison pour laquelle il convient de se poser les questions relatives aux points susmentionnés lorsque l’on souhaite utiliser une plateforme de collaboration: où les données sont-elles conservées et qui a accès à celles-ci? La communication est-elle cryptée, son accès est-il individualisé et vérifiable? Les contenus sont-ils effacés ou alors communiqués à des tiers?

Il faudra en tous les cas tâcher de répondre à ces questions avant d’opter pour une solution contractuelle.

Protection des données internationales: Résumé

L’évaluation et l’utilisation d’une plateforme de collaboration par «voix sur IP», vidéoconférence, séminaire en ligne et autres nécessite un examen attentif en matière de protection des données. On peut en effet rencontrer divers inconvénients (consentement des intéressés ou des membres, etc.) selon le type de l’activité exercée (étude d’avocats, hôpital) lorsque l’on souhaite procéder de la sorte. Par conséquent, il peut s’avérer payant d’évaluer différents fournisseurs de services selon les finalités de ce que l’on envisage de mettre en place.

Il ne faut pas non plus omettre le droit des intéressés à être informés: les clients, collaborateurs et tiers doivent être informés du fait que l’on rassemble, traite, communique à des tiers (pour autant que cela soit admissible) ou détruise des données les concernant.

Même en ces périodes tourmentées, il convient d’examiner ces points et de les garder à l’esprit avant d’opter pour une solution. Il n’est jamais trop tard pour bien faire.

Recommandation séminaire

Séminaire pratique, 1 jour, Hôtel Alpha Palmiers, Lausanne

La protection des données au travail et le dossier du personnel

Le point sur la RGPD, la LPD et les dossiers RH électroniques

Prochaine date: 07. septembre 2021

plus d'infos

Recommandations produits

  • Ressources Humaines pratique PRO

    Ressources Humaines pratique PRO

    Plus de 500 aides de travail en ligne. Avec guide pratique à 472 pages!

    à partir de CHF 198.00

  • Newsletter Ressources Humaines

    Newsletter Ressources Humaines

    Actualité pratique et stratégie des Ressources Humaines

    Plus d’infos

  • Le droit du travail suisse de A à Z

    Le droit du travail suisse de A à Z

    L’essentiel par mots-clés

    Plus d’infos

Recommandation séminaire

Workshop pratique, 1 jour, Hôtel Alpha Palmiers, Lausanne

Workshop Contrat de travail et règlement du personnel

Rédaction et maîtrise des risques

Prochaine date: 06. mai 2021

plus d'infos

Nous utilisons des cookies pour améliorer continuellement notre site web. En utilisant ce site web, vous acceptez l’utilisation de cookies. Plus d’infos