HIRSCH, Célian. Recension : Les dispositions pénales de la nLPD, par David Rosenthal et Seraina Gubler, 27 mai 2021 in www.swissprivacy.law/75 [en ligne] [Consulté le 06.06.2023]
Rosenthal, David, Gubler, Seraina. Die Strafbestimmungen des neuen DSG, in SWW/RSDA Schweizerische Zeitschrift für Wirtschafts- und Finanzmarktrecht. Schulthess Juristische Medien AG, 1/2021, S. 52- 64 [en ligne] [Consulté le 06.06.2023]
Rosenthal, David. How to avoid criminal liability under the revised Swiss DPA. Vischer AG Blog. 18 juin 2023. [en ligne] [Consulté le 29.06.2023]
Wilhelm Gilliéron Avocats. Révision de la Loi fédérale sur la protection des données (LPD) : les employés susceptibles d'être amendés à hauteur de CHF 250'000 ? 04.02.2019 [en ligne] [Consulté le 20.07.2023]
Dès l’entrée en vigueur de la nLPD, soit le 1er septembre 2023, les autorités judiciaires cantonales auront le droit d’imposer de lourdes amendes pouvant aller jusqu’à CHF 250000 à la personne responsable d’un comportement non conforme.
Les amendes prévues sont de nature personnelle et ne peuvent pas être couvertes par l’entreprise. Les infractions à la nLPD sont des contraventions. Une inscription au casier judiciaire est possible à partir d’une amende de plus de 5000 francs.
Quels sont ces comportements et qui sont ces personnes ?
Quels sont les faits sanctionnés ? (art. 60 à 63 nLPD)
Lorsqu’on utilise un système d’information qui est situé dans un pays ne présentant pas des garanties suffisantes (ex. US) et qu’il n’y a pas de clauses contractuelles types (CCT), quand on exporte des données qui sont stockées dans des data center aux US sans garanties complémentaires, quand on transfère des données à un partenaire dans un pays non reconnu comme adéquat ; risque également en cas de non approbation d’un budget concernant la sécurité des données (les mesures de protection de la confidentialité, de l’intégrité et de la disponibilité des données personnelles doivent correspondre aux normes en vigueur).
Le but est de protéger celui qui confie quelque chose à un professionnel dans et pour sa fonction même dans le cadre de l’exercice de sa profession même s’il n’a pas de relation contractuelle avec lui.
Pour les employés cela signifie qu’ils peuvent à l’avenir être soumis à une obligation de garder le secret, même s’ils n’ont pas de statut particulier (fonctionnaire, avocat, médecin ou banquier). Toute indiscrétion sera considérée comme un comportement pénal. Attention dans le cadre de demandes de renseignements par un tiers, de collaborations entre services, et responsabilité des collaborateurs des domaines RH, service juridique, service IT.
Les infractions à la nLPD exigent que la violation soit commise au moins avec un dol éventuel (=si l’auteur connait ou du moins se doute de l’obligation ou de l’interdiction transgressée et que son comportement va peut-être y contrevenir mais qu’il agit quand même de la sorte)
Quelles sont les personnes visées ?
L’art. 64 nLPD « Infractions commises dans une entreprise » renvoie aux articles 6 et 7 du Droit pénal administratif (DPA) : « lorsqu’une infraction est commise dans […] une entreprise […] les dispositions pénales sont applicables aux personnes physiques qui ont commis l’acte ».
La personne visée est donc la personne physique responsable de l’infraction.
La responsabilité découle d’une obligation légale d’assurer le respect de la nLPD au sein de l’entreprise (ex. Dirigeant) ou du fait que la personne dirige le processus en question (ex collaborateur qui a été désigné comme responsable de la protection des données dans l’entreprise).
= personne qui, en position d’exécution, décide concrètement de ce qui doit être fait/personne qui prend les décisions.
Deux responsabilités en jeu : la responsabilité primaire des personnes physiques et la responsabilité subsidiaire des entreprises.
Comment déterminer la personne responsable : l’autorité va chercher à identifier une personne physique : soit la personne responsable selon règlement interne : personne qui est responsable de s’assurer que les droits ne sont pas violés (ex DPO) et à défaut, la personne ayant pris la décision (pas l’exécutant).
Pour les dirigeants : c’est la violation d’une obligation d’agir qui est sanctionnée (supérieur hiérarchique de la personne physique ayant commis l’acte) en cas d’omission (connaissance de la problématique et inaction).
Afin de protéger les collaborateurs exposés : DPO et responsables de service en première ligne, une identification des responsabilités de chacun est nécessaire.