Secret professionnel: Mesures en cas de violation en entreprise
Jonas D. Gassmann
Jonas D. Gassmann avocat, LL.M., CIPP/E, travaille chez VISCHER à Zurich. Ses activités se concentrent sur les domaines suivants: IP/Tech/Data et droit pénal économique.
Aides de travail appropriées
L'e-mail envoyé au mauvais destinataire
Vous êtes le CEO d'une PME suisse et recevez un appel des responsables des ressources humaines bouleversés: un collaborateur du service du personnel a envoyé par erreur un e-mail contenant les données salariales sensibles (noms, adresses, salaire mensuel, coordonnées bancaires) de dix nouveaux collaborateurs à un tiers externe, au lieu du prestataire de services de paiement habituel.
La responsable RH, consciente que la nouvelle législation sur la protection des données sanctionne la divulgation de données personnelles, s'inquiète des conséquences pénales potentielles pour son collaborateur. Elle vous sollicite pour obtenir conseil.
Vous souhaitez d'abord examiner la situation en détail pour comprendre exactement ce qui s'est passé.
Le «petit» secret professionnel
L'article 62 de la loi fédérale sur la protection des données (LPD) introduit ce qu'on appelle le "petit secret professionnel" ou le "secret professionnel pour tout le monde". Cette disposition se distingue du "grand secret professionnel" de l'article 321 CP qui concerne spécifiquement les médecins, avocats, ecclésiastiques et autres professions similaires.
Le "petit secret professionnel" sanctionne la divulgation intentionnelle de données personnelles secrètes obtenues dans le cadre professionnel, avec une amende pouvant atteindre 250'000 CHF.
Cette nouvelle disposition élargit significativement la portée du secret professionnel. En effet, tout employé peut désormais être soumis à une obligation de confidentialité qui va au-delà de la simple protection des secrets d'affaires et de fabrication prévue par le contrat de travail (art. 321a al. 4 CO). Cette protection s'étend au-delà des intérêts de l'employeur pour couvrir toutes les données personnelles secrètes, indépendamment du statut professionnel spécifique de l'employé.
L'infraction selon l'article 62 LPD: conditions relatives aux données secrètes
Pour qu'une infraction soit constituée, les données personnelles en cause doivent être "secrètes". Les données personnelles sont définies comme toute information se rapportant à une personne physique identifiée ou identifiable (article 5, lettre a LPD). Les données salariales évoquées précédemment entrent dans cette catégorie.
Le caractère "secret" des données personnelles est établi selon trois critères: (i) elles ne sont pas généralement connues ou accessibles (ii) le maître du secret (ici, les nouveaux collaborateurs) a un intérêt légitime à ce qu'elles restent peu connues (iii) il manifeste la volonté de les garder secrètes
Les données salariales remplissent naturellement ces critères: elles ne sont pas publiquement accessibles, et les nouveaux collaborateurs ont un intérêt légitime ainsi que la volonté que ces informations ne soient communiquées qu'au service du personnel et au prestataire de services de paiement externe.
Par ailleurs, l'infraction requiert que le détenteur du secret (ici, le collaborateur du service du personnel) ait pris connaissance des données personnelles secrètes dans l'exercice de sa profession "qui requiert la connaissance de telles données". Cette condition est également satisfaite dans le cas présent: le collaborateur RH a eu accès aux données salariales dans le cadre de ses fonctions, et la gestion des salaires nécessite précisément la connaissance de ces données.
La révélation de données personnelles secrètes
Il y a révélation lorsque le détenteur du secret porte des données personnelles secrètes à la connaissance d'un tiers non autorisé ou permet à ce tiers d'en prendre connaissance. La manière dont cette révélation se produit n'est pas déterminante (par exemple: transmission directe de données personnelles secrètes ou conservation insuffisante des dossiers permettant au tiers d'en prendre connaissance).
Dans le cas présent, selon les faits rapportés par la responsable du personnel, le collaborateur du service du personnel a transmis les données salariales par e-mail à un tiers non autorisé, constituant ainsi une révélation.
Le maître des secrets et le secret professionnel
Le maître du secret est celui qui a confié son secret à la personne professionnelle/au porteur du secret professionnel pour l'exercice de sa profession. La protection vise la confiance du maître du secret dans la confidentialité de la communication à la personne exerçant une activité professionnelle. Seule la rupture de cette confiance est punissable (et non pas toute violation de la protection des données). L'obligation du secret professionnel ne découle donc pas, comme pour le médecin ou l'avocat, de la relation de traitement ou de mandat, mais de la confiance accordée à un professionnel de garder en tant que tel le secret professionnel qui lui a été confié dans le cadre de l'exercice de sa profession - même en l'absence de relation contractuelle.
Deux conditions sont nécessaires pour le secret professionnel: (i) le détenteur du secret doit avoir une attente légitime que sa volonté de garder le secret professionnel soit respectée, soit en raison de la fonction ou de la position du détenteur du secret, soit en raison d'un comportement imputable au détenteur du secret chez le détenteur du secret (ii) le secret doit avoir été communiqué au détenteur du secret professionnel ou à son organisation dans ce cadre.
Dans le cas présent, les nouveaux collaborateurs ont confié leurs données salariales sous le sceau du secret professionnel au service du personnel (y compris au collaborateur ayant envoyé le courriel) à des fins de comptabilité salariale, avec l'attente légitime que leur volonté de garder le secret soit respectée.
Recommandations de produits
L'intention
D'un point de vue subjectif, la responsabilité pénale du détenteur du secret professionnel présuppose l'intention, c'est-à-dire qu'il doit avoir connaissance de l'obligation du secret professionnel, du caractère secret des données personnelles et de la révélation. Il suffit que le détenteur du secret professionnel pense qu'il est possible que des tiers aient connaissance des données personnelles, mais qu'il agisse malgré tout parce qu'il s'en accommode (dol éventuel).
Pour savoir si le collaborateur du service du personnel a agi intentionnellement en violation du secret professionnel, des informations plus précises sur les circonstances concrètes de la révélation sont nécessaires: si le collaborateur a fait une erreur de frappe lors de la saisie de l'adresse électronique, l'intention et donc la punissabilité selon l'art. 62 LPD ne seront pas applicables. Mais si le collaborateur a sciemment envoyé les données salariales à un tiers (p. ex. à un collègue d'une concurrente à des fins de benchmarking), on peut supposer qu'il a agi intentionnellement, d'autant plus qu'on peut supposer qu'en tant que collaborateur du service du personnel, il connaît également l'obligation du secret professionnel et le caractère secret des données personnelles concernées.
Illégalité et culpabilité dans le cadre du secret professionnel
La punissabilité du détenteur du secret professionnel présuppose qu'il n'existe ni un motif justificatif (comme l'accord du maître du secret professionnel ou l'obligation procédurale de coopérer) ni un motif d'exclusion de la culpabilité (comme une erreur sur l'interdiction, c'est-à-dire lorsque le détenteur du secret professionnel ne pouvait pas savoir qu'il agissait de manière illicite et qu'il pense donc n'avoir rien fait de mal).
En l'espèce, les premières descriptions des responsables du personnel ne permettent pas de conclure à l'existence de tels motifs (excluant la responsabilité pénale du collaborateur du service du personnel) dans le cas présent.
Procédure pénale?
S'il existe un soupçon fondé que le collaborateur du service du personnel s'est rendu coupable d'une violation du secret professionnel au sens de l'article 62 LPD, il risque de faire l'objet d'une procédure pénale. L'infraction de l'art. 62 LPD est - comme toutes les autres infractions pénales de la LPD - un délit dit de plainte, c'est-à-dire qu'il n'est poursuivi que sur plainte pénale d'une personne lésée.
Les personnes potentiellement lésées, et donc habilitées à déposer une plainte pénale, seraient en l'occurrence les collaborateurs nouvellement entrés dans l'entreprise.
Mesures relatives au droit du travail?
Si le soupçon d'un comportement fautif en violation du secret professionnel de la part du collaborateur du service du personnel se confirme, vous devriez vérifier si des mesures relevant du droit du travail (comme un avertissement ou même un licenciement) sont indiquées à son égard.
Obligations d'annonce en cas de violation du secret professionnel
Outre les aspects pénaux et de droit du travail liés au comportement du collaborateur, il convient d'examiner si la divulgation des données personnelles déclenche une obligation de déclaration. Selon les circonstances, une double déclaration peut être nécessaire: au Préposé fédéral à la protection des données et à la transparence (PFPDT) selon l'art. 24, al. 1, LPD et/ou aux nouveaux collaborateurs concernés selon l'art. 24, al. 4, LPD.
1. Obligation d'annonce au PFPDT
Votre entreprise (en tant que responsable) doit annoncer la divulgation au PFPDT si celle-ci "est susceptible d'engendrer un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée" (art. 24 al. 1 LPD). Dans le cas présent, il s'agit de données salariales particulièrement explosives. Les collaborateurs nouvellement arrivés sont déçus dans leur attente d'un traitement confidentiel de ces données.
L'obligation d'annonce dépendra des circonstances:
- Si l'e-mail a été envoyé par erreur à un destinataire connu et digne de confiance (par exemple un autre collaborateur ou un partenaire contractuel établi), et que vous pouvez raisonnablement partir du principe que celui-ci n'utilisera pas les données consultées et les effacera sur indication ou invitation correspondante, une annonce au PFPDT sera superflue
- En revanche, si le collaborateur a sciemment envoyé les données à un tiers dont l'utilisation abusive des données est évidente ou ne peut du moins pas être exclue, une annonce s'impose
2. Information aux personnes concernées
Votre entreprise doit informer les nouveaux collaborateurs "si cela est nécessaire pour leur protection ou si le PFPDT l'exige" (art. 24, al. 4, LPD). Le critère déterminant est de savoir si l'information permet de réduire les risques pour leur personnalité ou leurs droits fondamentaux. Si, comme dans le cas présent, les conséquences négatives se sont déjà concrétisées ou si les personnes concernées ne peuvent (plus) faire quelque chose de pertinent pour les éviter, une information "visant à protéger les personnes concernées" n'est pas nécessaire. Une information aux nouveaux collaborateurs devrait donc être superflue dans le cas présent - mais une information sur une base volontaire reste bien entendu possible.
Gestion du petit secret professionnel / traitement d'un incident dans la pratique
Vous seriez bien avisé d'attirer l'attention de vos collaborateurs sur la nouvelle punissabilité selon l'art. 62 LPD et de régler au préalable de manière reconnaissable pour tous quelles données personnelles doivent être considérées comme "secrètes" au sens mentionné et lesquelles ne le sont pas.
Vous devriez également donner à vos collaborateurs des lignes directrices sur le lieu et la manière dont les informations confidentielles peuvent être communiquées (y compris au sein de l'entreprise). Dans ce cadre, il est recommandé d'inclure dans la déclaration de protection des données des indications détaillées sur les communications critiques de données personnelles à des tiers (notamment l'indication des catégories de tiers avec lesquels vous partagez ces données). Dans vos conditions générales, vous pouvez renvoyer à la déclaration de protection des données pour la communication de données personnelles et préciser qu'il n'y a pas d'obligation de secret à cet égard. Si, avant la divulgation/transmission de données personnelles secrètes, vous avez attiré l'attention du maître du secret (p. ex. le client ou vos propres collaborateurs) de manière suffisamment claire sur cette transmission, le maître du secret ne pourra généralement plus partir du principe d'une obligation de garder le secret et une punissabilité selon l'art. 62 LPD est exclue d'emblée.
Si, malgré toutes les mesures de précaution prises, on soupçonne une violation du secret professionnel, vous (ou votre entreprise en tant que responsable) devriez établir les faits de la manière la plus complète possible, afin de prendre sur cette base les mesures indiquées (comme par exemple des mesures relevant du droit du travail; une communication au PFPDT et/ou aux personnes concernées; une augmentation de la sensibilisation à ce sujet au sein de l'entreprise.
Liste de questions pour le traitement d'une violation présumée du secret professionnel dans la pratique:
- Quelles données personnelles de quelles personnes sont concernées?
- S'agit-il de données personnelles “secrètes”? (Si non: la punissabilité selon l'art. 62 LPD est exclue)
- Qui est le maître du secret et qui est le porteur du secret?
- Les données personnelles secrètes ont-elles été portées à la connaissance d'un tiers non autorisé ou le tiers a-t-il pu en prendre connaissance? (Si non: la punissabilité selon l'art. 62 LPD est exclue)
- Le détenteur du secret a-t-il au moins considéré comme possible que des tiers puissent avoir connaissance des données personnelles, mais a-t-il quand même agi parce qu'il s'en est accommodé? (Si non: la punissabilité selon l'art. 62 LPD est exclue)
- Existe-t-il un motif justificatif (tel que le consentement du maître du secret ou l'obligation procédurale de collaborer) ou un motif d'exclusion de la faute (tel que l'erreur sur l'interdiction) pour la divulgation des données personnelles secrètes? (Si oui: la punissabilité selon l'art. 62 LPD est exclue)
- La révélation des données personnelles secrètes entraîne-t-elle vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux de la ou des personnes concernées? (Si oui: communication au PFPDT nécessaire)
- Une information de la/des personne(s) concernée(s) sur la divulgation effectuée des données personnelles secrètes est-elle nécessaire pour leur protection ou le PFPDT a-t-il exigé une telle information? (Si oui: notification à la/aux personne(s) concernée(s) nécessaire)
- Les collaborateurs sont-ils suffisamment sensibilisés à la norme pénale de l'art. 62 LPD et, en particulier, aux données personnelles qui doivent être considérées comme "secrètes" et à celles qui peuvent être transmises à qui (éventuellement réglées expressément dans un règlement du personnel), ou des adaptations sont-elles nécessaires à cet égard?
- La communication de données personnelles à des tiers est-elle réglée de manière suffisamment claire dans la déclaration de protection des données et/ou dans le contrat ou des adaptations sont-elles nécessaires?
- Des mesures relevant du droit du travail sont-elles indiquées à l'encontre du collaborateur concerné (porteur du secret professionel)?
