Protection des données

HIRSCH, Célian. Recension : Les dispositions pénales de la nLPD, par David Rosenthal et Seraina Gubler, 27 mai 2021 in www.swissprivacy.law/75 [en ligne] [Consulté le 06.06.2023]

Rosenthal, David, Gubler, Seraina. Die Strafbestimmungen des neuen DSG, in SWW/RSDA Schweizerische Zeitschrift für Wirtschafts- und Finanzmarktrecht. Schulthess Juristische Medien AG, 1/2021, S. 52- 64 [en ligne] [Consulté le 06.06.2023]

Rosenthal, David. How to avoid criminal liability under the revised Swiss DPA. Vischer AG Blog. 18 juin 2023. [en ligne] [Consulté le 29.06.2023]

Wilhelm Gilliéron Avocats. Révision de la Loi fédérale sur la protection des données (LPD) : les employés susceptibles d'être amendés à hauteur de CHF 250'000 ? 04.02.2019 [en ligne] [Consulté le 20.07.2023]

Dès l’entrée en vigueur de la nLPD, soit le 1^er septembre 2023, les autorités judiciaires cantonales auront le droit d’imposer de lourdes amendes pouvant aller jusqu’à CHF 250000 à la personne responsable d’un comportement non conforme.

Les amendes prévues sont de nature personnelle et ne peuvent pas être couvertes par l’entreprise. Les infractions à la nLPD sont des contraventions. Une inscription au casier judiciaire est possible à partir d’une amende de plus de 5000 francs.

Quels sont ces comportements et qui sont ces personnes ?

Quels sont les faits sanctionnés ? (art. 60 à 63 nLPD)

• Violation de l’obligation d’informer et de renseigner : quand une information donnée est intentionnellement fausse, incomplète ou omise sur le traitement des données au moment de la collecte de n’importe quelle donnée personnelle ; quand un formulaire de récoltes de données n’a pas de mention d’information ou qu’elle est incomplète ; quand la privacy policy est incomplète ou incorrecte ; quand dans le cadre d’une demande d’accès, des informations sont intentionnellement fausses, incomplètes ou omises.

• Violation de la sécurité des données et restrictions à l’exportation : on parle de violation de la sécurité des données et de violation des prescriptions dans le cadre d’une communication de données à des pays ne disposant pas d’une protection légale adéquate des données.

Lorsqu’on utilise un système d’information qui est situé dans un pays ne présentant pas des garanties suffisantes (ex. US) et qu’il n’y a pas de clauses contractuelles types (CCT), quand on exporte des données qui sont stockées dans des data center aux US sans garanties complémentaires, quand on transfère des données à un partenaire dans un pays non reconnu comme adéquat ; risque également en cas de non approbation d’un budget concernant la sécurité des données (les mesures de protection de la confidentialité, de l’intégrité et de la disponibilité des données personnelles doivent correspondre aux normes en vigueur).

• Désignation non conforme d’un sous-traitant (ST) (art. 9 al. 1 et 2) : la désignation d’un sous-traitant implique notamment la signature d’un contrat et que le responsable du traitement s’est assuré que le ST est en mesure de garantir la sécurité des données.

• Violation du secret professionnel [NOUVEAU] : jusqu’à présent, le secret professionnel concernait les médecins, avocats, prêtres… et le domaine bancaire. L’art. 62 nLPD instaure un « secret professionnel pour tous ». L’infraction comprend toute communication de données personnelles secrètes dont le professionnel a pris connaissance dans l’exercice de sa profession et dont il a besoin pour l’exercer, à une personne non appelée à le faire.

Le but est de protéger celui qui confie quelque chose à un professionnel dans et pour sa fonction même dans le cadre de l’exercice de sa profession même s’il n’a pas de relation contractuelle avec lui.

Pour les employés cela signifie qu’ils peuvent à l’avenir être soumis à une obligation de garder le secret, même s’ils n’ont pas de statut particulier (fonctionnaire, avocat, médecin ou banquier). Toute indiscrétion sera considérée comme un comportement pénal. Attention dans le cadre de demandes de renseignements par un tiers, de collaborations entre services, et responsabilité des collaborateurs des domaines RH, service juridique, service IT.

• Collecte non autorisée de données personnelles sensibles : c’est-à-dire une collecte qui entraine une atteinte à la personnalité de la personne et qui ne peut se fonder sur un motif justificatif (loi, consentement, intérêt prépondérant)

• Usurpation d’identité (toute personne qui utilise l’identité d’une autre personne sans son consenteme

• Violation de l’obligation d’informer sur les décisions individuelles automatisées : la personne concernée doit être informée en cas de décision négative impliquant un préjudice important du fait que la décision a été prise exclusivement de manière automatisée et doit être informée du droit à la vérification de la décision par un être humain.

• Non-respect d’une décision du PFPDT

Les infractions à la nLPD exigent que la violation soit commise au moins avec un dol éventuel (=si l’auteur connait ou du moins se doute de l’obligation ou de l’interdiction transgressée et que son comportement va peut-être y contrevenir mais qu’il agit quand même de la sorte)

Quelles sont les personnes visées ?

L’art. 64 nLPD « Infractions commises dans une entreprise » renvoie aux articles 6 et 7 du Droit pénal administratif (DPA) : « lorsqu’une infraction est commise dans […] une entreprise […] les dispositions pénales sont applicables aux personnes physiques qui ont commis l’acte ».

La personne visée est donc la personne physique responsable de l’infraction.

La responsabilité découle d’une obligation légale d’assurer le respect de la nLPD au sein de l’entreprise (ex. Dirigeant) ou du fait que la personne dirige le processus en question (ex collaborateur qui a été désigné comme responsable de la protection des données dans l’entreprise).

= personne qui, en position d’exécution, décide concrètement de ce qui doit être fait/personne qui prend les décisions.

Deux responsabilités en jeu :  la responsabilité primaire des personnes physiques et la responsabilité subsidiaire des entreprises.

Comment déterminer la personne responsable : l’autorité va chercher à identifier une personne physique :  soit la personne responsable selon règlement interne : personne qui est responsable de s’assurer que les droits ne sont pas violés (ex DPO) et à défaut, la personne ayant pris la décision (pas l’exécutant).

Pour les dirigeants : c’est la violation d’une obligation d’agir qui est sanctionnée (supérieur hiérarchique de la personne physique ayant commis l’acte) en cas d’omission (connaissance de la problématique et inaction).

Afin de protéger les collaborateurs exposés : DPO et responsables de service en première ligne, une identification des responsabilités de chacun est nécessaire.