Traitement des données personnelles: Qu’en est-il avec la LPD révisée?
Sophia Pearson
Sophia Pearson, MLaw, juriste chez IT & Law Consulting GmbH à Zurich. Ses domaines d'activité sont le droit des contrats informatiques, le droit de la protection des données et la gestion des archives.
Maria Winkler
Mag. iur. Maria Winkler est propriétaire de la société IT & Law Consulting GmbH à Zurich, enseignante dans diverses hautes écoles spécialisées, déléguée à la protection des données pour différentes entreprises du secteur privé et public, ainsi qu'experte en matière de certifications de protection des données en Suisse et en Autriche.
Aides de travail appropriées
Le droit d'accès aux données à caractère personnel
De quoi s’agit-il?
Les collaborateurs ont le droit d'exiger de leur employeur des informations complètes sur les données personnelles les concernant qui sont traitées et d'obtenir des informations supplémentaires sur le traitement des données personnelles en question. Ce droit d'accès prévu par la législation sur la protection des données sert la transparence et permet aux collaborateurs de se prémunir contre d'éventuels traitements illicites des données les concernant.
Les conditions fondamentales pour le traitement correct des demandes de renseignements dans le domaine des ressources humaines vous sont résumées ci-dessous.
Premières mesures à prendre à la réception d'une demande
Les collaborateurs ont uniquement le droit d'accéder aux informations concernant leurs propres données personnelles. Le droit d'accès est un « droit strictement personnel », c'est pourquoi les informations ne peuvent être communiquées qu'à la personne concernée elle-même ou à un représentant légal agissant en son nom, qui doit être au bénéfice d'une procuration suffisante.
Si la personne introduisant la demande n'est pas connue, ce qui peut être le cas dans les grandes entreprises, elle doit d'abord être identifiée avant que les informations ne lui soient communiquées. Cela peut se faire à l'aide d'une copie d'une pièce d'identité officielle. Dans le domaine du travail, une identification fiable est toutefois également possible à l'aide d'autres justificatifs moins formels. On peut notamment penser aux cartes d'identité internes délivrées par l'entreprise elle-même selon un processus standardisé ou à l'indication du numéro personnel, éventuellement associé à d'autres informations personnelles telles que la date de naissance. Tous ces paramètres concernent en effet le traitement des données personnelles.
Immédiatement après réception d'une demande d'accès, il convient également de vérifier si l'accès doit être refusé, limité ou différé en raison d'obligations légales s'y opposant ou d'intérêts prépondérants de l'employeur ou de tiers. Conformément à la LPD, il n'est pas nécessaire de répondre aux demandes d'accès manifestement infondées ou abusives.
Les demandes d'accès devant être traitées dans un délai de 30 jours, il est recommandé de définir clairement les compétences et les processus. Si le délai ne peut être respecté ou si les informations ne peuvent être fournies, ou du moins pas dans leur intégralité, l'employeur doit en informer la personne concernée dans le délai de 30 jours et lui indiquer quand elle peut s'attendre à recevoir les informations dans un avenir proche. Le délai ne commence à courir qu'après identification du demandeur.
Dans la pratique, il s'est avéré utile, lors d'une demande d'accès, de demander à la personne concernée si elle souhaitait réellement obtenir des informations sur toutes les données la concernant ayant été traitées. Souvent, les personnes qui déposent des demandes d'accès en vertu de la LPD ne souhaitent obtenir que des informations sur le traitement de données personnelles liées à des incidents spécifiques ou à des informations individuelles. Il est par exemple concevable qu'un collaborateur souhaite uniquement savoir quelles données ont été conservées dans son dossier personnel. Le message relatif à la révision de la LPD indique expressément que la personne soumise à l'obligation de renseigner qui traite une grande quantité de données personnelles peut exiger de la personne habilitée qu'elle précise l'objet exact de sa demande d'accès.
Recommandations de produits
Forme et contenu des renseignements fournis
Lorsque la demande d'accès porte sur toutes les données relatives aux employés traitées par l'employeur ou sur toutes les données figurant dans le dossier personnel, les informations doivent effectivement être fournies de manière exhaustive.
Le tableau suivant vous indiquera les exigences posées par la LPD.
| LPD |
|---|
Toutes les informations nécessaires pour que la personne concernée puisse faire valoir ses droits en vertu de la LPD et pour garantir la transparence du traitement des données. [Remarque: dans le cas de traitements de données complexes, cette clause générale peut entraîner la nécessité de fournir davantage d'informations que les informations minimales mentionnées ci-dessous.] |
Identité et coordonnées du responsable [Remarque: le responsable est la personne morale qui détermine les finalités et les moyens du traitement des données – dans le domaine des ressources humaines, il s'agit de l'employeur. Il peut y avoir d'autres responsables, par exemple dans le cas d'un groupe, lorsque les données personnelles sont également traitées pour les besoins de la société mère et que celle-ci décide également que les données doivent être hébergées dans un système RH centralisé.] |
| Les données personnelles traitées en tant que telles |
| La finalité du traitement |
Les informations disponibles sur l'origine des données personnelles, dans la mesure où elles n'ont pas été obtenues auprès de la personne concernée [Remarque: cela signifie que les informations relatives à leur origine ne doivent être fournies que si elles ont été documentées.] |
| Destinataires ou catégories de destinataires auxquels les données personnelles sont communiquées |
| La durée de conservation des données à caractère personnel ou, si cela n'est pas possible, les critères permettant de déterminer cette durée |
| Le cas échéant, l'existence d'une décision individuelle automatisée et la logique sur laquelle repose cette décision. |
La LPD impose l'obligation de fournir des informations sur les « données personnelles traitées en tant que telles ». Le législateur souhaite ainsi préciser que ce ne sont pas les documents qui peuvent être exigés, mais une liste des données personnelles traitées. Toutefois, compte tenu notamment de la clause générale de la LPD citée dans le tableau ci-dessus, des copies de documents devront être remises, du moins en partie.
Le droit à la rectification ou à la suppression
Les collaborateurs peuvent exiger que les données inexactes les concernant soient rectifiées. Si l'exactitude des données ne peut être établie sans aucun doute, une mention correspondante peut être exigée.
Le droit d'exiger la suppression de ses propres données existe, mais il n'est pas illimité. Il n'existe pas, en Suisse, de «droit à l'oubli» inconditionnel.
Lorsqu’une entreprise est confrontée à une demande de suppression émanant d'un collaborateur actuel ou ancien, elle doit vérifier si les données peuvent être supprimées. Les délais légaux de conservation et d'archivage interdisent toute suppression si celle-ci n'est pas exigible. Si la suppression de données relatives à des collaborateurs est demandée alors que l'employeur en a besoin comme preuve dans le cadre d'un litige imminent, il n'est pas tenu de les supprimer.
Définir processus et responsabilités
Pour une mise en œuvre systématique des exigences légales, il est recommandé de mettre en place des processus internes. Les questions suivantes doivent notamment être clarifiées :
- Qui doit être chargé de répondre ?
- Quelles personnes et quels services doivent intervenir ?
- Comment le contrôle des délais est-il effectué ?
- Comment s'assurer que toutes les données concernées sont saisies ?
- Quelles obligations (légales) ou quels intérêts prépondérants peuvent s'opposer à une demande ?
Ci-dessous, vous trouverez à titre d'exemple une liste de contrôle dudit processus:
Liste de contrôle
- Réception de la demande d'accès / fixation de la date de réception : cela permet de garantir que le délai de réponse de 30 jours puisse être respecté.
- Transmission au service interne compétent.
- Identification du demandeur et, le cas échéant, vérification de son habilitation.
- Détermination du délai de réponse à la demande d'accès.
- Si, pour une raison quelconque, le délai de 30 jours pour répondre à la demande d'accès ne peut être respecté, le demandeur doit en être informé immédiatement. En outre, le nouveau délai doit lui être communiqué.
- Vérifier si des données personnelles concernant le demandeur sont traitées et, le cas échéant, lesquelles. Impliquer les services concernés dans l'ensemble de l'entreprise.
- Si aucune donnée personnelle concernant la personne concernée n'est traitée, celle-ci en est informée.
- Si des données personnelles sont traitées, toutes les données personnelles et tous les documents doivent être rassemblés.
- Il convient de vérifier s'il existe des motifs de refus, de restriction ou de report de la communication des informations.
- Si le droit d'accès n'est pas restreint, la personne concernée doit recevoir toutes les informations dont elle a besoin pour faire valoir ses droits.
- Communiquer les informations, le cas échéant à l'aide de lettres-types.
Recommandations
Les entreprises sont tenues de respecter les droits de toutes les personnes concernées. Etant donné que le fait de répondre de manière intentionnellement erronée ou incomplète à une demande d'accès peut avoir des conséquences pénales (contrairement au fait de ne pas répondre), il est recommandé aux entreprises de mettre en place des processus internes appropriés. Cela favorise l'efficacité des processus opérationnels et témoigne d'une gestion respectueuse et rigoureuse des données des collaborateurs.
