Skip to Main Content

Protection des données

Références

DI TRIA, Livio. LUBISHTANI, Kastriot. Protection des données et obligations du responsable du traitement privé. In : Epert Focus 12/20, p 958

Groupe de travail "Article 29" sur la protection des données. Lignes directrices sur la transparence au sens du règlement (UE) 2016/679 adoptées le 29 novembre 2017. Version révisée et adoptée le 11 avril 2018. (WP260 rev. 01) [Consulté le 30.03.2021]

Article 29 Data protection working party. Guidelines on transparency under Regulation 2016/679 adopted on 29 November 2017 as last revised and adopted on 11 April 2018. (WT260 rev.01) [Consulté le 30.03.2021]

Les obligations du RT en droit suisse (LPD)

  • L'information (art. 14 al. 1 LPD) et la reconnaissabilité (art. 4 al. 4 LPD) : dans la majorité des cas, obligation de reconnaissabilité (principe fondamental en droit Suisse) : lors de la collecte des données la finalité doit être reconnaissable par la personne concernée. Une information active donnée au moment de la collecte est obligatoire dans le cas de données personnelles sensibles ou d'établissement de profils de personnalités. Elle est écrite et son contenu est défini à l'art. 14 al.2 LPD (identité du maître du fichier, finalités du traitement, catégories de destinataires). Des exceptions sont prévues si la personne concernée a déjà été informée, si l'enregistrement ou la communication sont expressément prévus par la loi ousi le devoir d'informer est impossible ou exige des efforts disproportionnés.
  • La formalisation des rapports avec le sous-traitant (art. 10a LPD) : une convention écrite est obligatoire, dont le contenu est établi par la pratique (pas de cadre légal) : cadre et limitation du traitement, principe de délégation, modalités du traitement, conservation des données, respect des secrets au moins.
  • Le registre des fichiers et sa déclaration (art. 11a LPD) : l'obligation à charge du RT est la déclaration du fichier auprès du Préposé fédéral qui est chargé de tenir le registre des fichiers dans le but d'informer les personnes concernées. Un fichier est un ensemble de données agrégées en un ensemble, qui concernent plusieurs personnes et qui sont liées par un lien thématique logique. Le contenu de la déclaration est prévu à l'art. 3 al. 1 OLPD. Le maître du fichier doit déclarer un fichier s'il traite régulièrement des données sensibles ou des profils de personnalité ou s'il communique régulièrement des données personnelles à des tiers. Les exceptions à la déclaration sont listées aux art. 11a al. 5 LPD et art. 4 al. 1 OLPD. Voir le formulaire et la procédure.
  • Les transferts internationaux de données personnelles (art. 6 LPD) : interdiction de principe si le pays destinataire ne fait pas partie de la liste des pays adéquats établie par le préposé fédéral. Cette liste contient notamment tous les pays de l'UE. L'art. 6 donne toutefois une liste exhaustive de conditions qui permettent quand même de transférer des données vers un pays non adéquat (ex. garanties contractuelles telles que les clauses contractuelles types de l'UE, et le Contrat-type pour l'externalisation du traitement de données à l'étranger).
  • Le conseiller interne à la protection des données (art. 11a al. 5 let. e LPD) : sa nomination doit être déclarée au Préposé fédéral et elle permet de ne pas être soumis à la déclaration des fichiers.

Les obligations du RT en droit suisse (nLPD)

  • L'information : obligation générale d'information (art. 19 al. 1 nLPD) avec un contenu identifié par la loi (art. 19 al. 2 nLPD) et des exceptions notamment si la personne concernée dispose déjà des informations ou si le traitement est prévu par la loi (art. 20 nLPD). La prise de décisions individuelles automatisées exige un devoir particulier d'information (art. 21 nLPD).
  • Le registre des activités de traitement (art. 12 nLPD) : obligation générale pour le RT et le ST, avec un contenu détaillé aux art. 12 al. 2 et 3 nLPD (identité du RT, finalité du traitement, catégories de personnes concernées, de données traitées, catégories de destinataires ...). Dans la mesure du possible le délai de conservation des données personnelles et une description des mesures visant à garantir la sécurité des données selon l'art. 8 nLPD. En cas de communication de données personnelles à l'étranger, le nom de l'Etat concernées et les garanties prévues à l'art. 16, al. 2 nLPD. Le registre des activités de traitement remplace le registre des fichiers de la LPD.
  • L'analyse d'impact : une analyse supplémentaire réalisée avant le traitement de données est nécessaire lorsque le traitement est susceptible d'entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée (art. 22 al. 1 nLPD) par exemple lors du traitement de données sensibles à grande échelle ou lors de l'utilisation d'une nouvelle technologie. Son contenu est détaillé à l'art. 22 al. 3 nLPD (description du traitement, évaluation des risques, mesures envisagées). La consultation du PFPDT est obligatoire en cas de risque élevé sauf en cas de DPO.
  • Les obligations en cas de faille de sécurité (art. 24 nLPD) : en cas de faille de sécurité (hacking, pertes de données, accès non autorisé ...), obligation de notification au Préposé fédéral si le risque est élevé (données sensibles, données bancaires ou financières qui pourraient être réutilisées) et à la personne concernée. La définition de "violation de la sécurité des données" se trouve à l'art. 5 let. h nLPD.
  • Les transferts internationaux de données personnelles (art. 16 ss nLPD) : régime similaire à celui déjà en place dans la LPD sauf que la liste des pays adéquats sera tenue par le Conseil fédéral et plus par le Préposé.
  • Obligation de nommer un représentant : obligation générale à charge des entreprises étrangères qui respectent les conditions cumulatives définies à l'art. 14 al.1 nLPD).
  • Le conseiller interne à la protection des données (art. 10 nLPD) : pas d'obligation. En cas de nomination le conseiller doit être indépendant, ne pas exercer de tâches incompatibles avec sa fonction, disposer des connaissances professionnelles nécessaires et être déclaré auprès du Préposé fédéral.
  • Les autres obligations de la LPD sont également toujours valables (sauf le fichier)

Les obligations du RT dans le RGPD

  • Obligation d'assurer la licéité du traitement selon l'art. 6 RGPD.
  • Obligation de conformité : le RT a une obligation de se conformer au RGPD et il a donc une responsabilité générale quant aux traitements qu'il effectue lui-même ou qui sont effectués par un ST pour son compte (art. 24 RGPD et Par. 74 du préambule). Le RT a des obligations documentaires (analyse d'impact et registre des activités de traitement) et des obligations en matière de sécurité des données personnelles.
  • Obligation d'information de la personne concernée (art. 12 RGPD) : cette obligation est liée au principe de transparence. Elle s'applique dans tous les cas,  au moment de la récolte de données et souvent au moyen d'une notice d'information (privacy notice). Le contenu de l'information à donner est détaillé aux art. 13 RGPD (cas où les données sont récoltées auprès de la personne concernée) et 14 RGPD (cas où les données sont récoltées auprès de tiers). Dans tous les cas l'information donnée doit être claire, concise, compréhensible et facilement accessible. Par principe, la forme est écrite.
  • Obligation de formalisation contractuelle dans trois cas : le contrat de sous-traitance (art. 28 RGPD), le contrat de contrôleur-joint en cas de responsables conjoints de traitement (art. 26 RGPD), et le contrat avec le représentant dans l'UE (art. 27 RGPD)
  • Obligation documentaire : établissement d'un registre des activités de traitement (art. 30 RGPD) et établissement d'analyses d'impact (art. 35 RGPD)
  • La nomination d'un délégué à la protection des données (DPO) : art. 37 ss RGPD dont le but est d'assurer le respect du droit de la protection des données au sein de l'entreprise, notamment en ce qui concerne les obligations du responsable du traitement.
  • La sécurité des données personnelles : c'est un élément central et très important et c'est dans ce domaine qu'il y a de plus grands risques (financier, réputationnel). Il y a une obligation d'information et une obligation d'instruction en cas de faille de sécurité (art. 33 et 34 RGPD)
  • Les transferts internationaux : les obligations sont plus ou moins similaires au droit suisse. Trois cas : 1) le pays est adéquat selon l'UE, le transfert est possible sans autre formalité (art 45 RGPD) ; 2) le pays n'est pas adéquat mais il existe des garanties appropriées (art. 46 RGPD) (clauses contractuelles types ou règles d'entreprise contraignantes) ; 3) le pays n'est pas adéquant mais il y a un consentement de la personne concernée, une obligation liée à l'exécution d'un contrat, une décision de justice ou un intérêt public important (art. 49 RGPD).
  • Le représentant dans l'UE (art. 27 RGPD): obligatoire dans le cas d'application extraterritoriale du RGPD (art. 3 al. 2 RGPD). C'est la personne à qui, les autorités de contrôle et les personnes concernées doivent s'adresser en plus ou à la place du RT. Sa nomination fait l'objet d'un contrat écrit (nomination, obligations, responsabilité, transparence) et il est établi dans un des Etats de l'UE où se trouvent des personnes concernées. Ses coordonnées sont mises à disposition des personnes concernées.
  • La coopération avec l'autorité de contrôle (art. 51 ss RGPD). Le RT doit collaborer à toute mesure ou enquête de l'autorité et a une obligation d'information et de notification. Le principe général de la coopération est posé à l'art. 31 RGPD.