L’association valaisanne des professionnels des ressources humaines et de la formation (HR-Valais-Wallis) a organisé le jeudi 16 mars 2023 une conférence sur différents thèmes, soit :
- Comment aborder une procédure prud’homale en tant que RH par Me Valentine Schaller
- Nouvelle loi sur la protection des données (nLPD), nouveautés pour les Ressources humaines, Me Sébastien Fanti
S’agissant de cette deuxième thématique, la présentation (RH – conférence 16 mars 2023 – Moxy) a porté sur les principales modifications législatives en droit fédéral et en droit cantonal, sur l’étendue des risques, ainsi que sur les impacts dans le domaine des ressources humaines. Elle ne se veut pas exhaustive, mais exemplative.
Voici quelques points saillants :
Il existe un référentiel publié par la Commission Nationale de l’Informatique et des Libertés (CNIL), lequel se fonde certes sur le RGPD, mais constitue à ce jour un excellent outil de travail;
Un guide du recrutement a également été récemment publié ; totalisant plus de 100 pages, il offre une appréhension presque exhaustive des interrogations du quotidien de ces professionnels ;
L’une des questions importantes a trait à la nécessité de réaliser ou non une analyse d’impact ;
« Lorsque le traitement envisagé est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée », une analyse d’impact doit être préalablement conduite par le responsable de traitement (art. 22).
L’existence d’un risque élevé dépend de la nature, de l’étendue, des circonstances et de la finalité du traitement. Ce risque existe notamment dans les cas suivants :
- Traitement de données sensibles à grande échelle
- Surveillance systématique de grandes parties du domaine public (hall de gare)
Données sensibles = données sur les opinions ou les activités religieuses, philosophiques, politiques ou syndicales, sur la santé, la sphère intime ou l’origine raciale ou ethnique, les données génétiques, biométriques, relatives aux poursuites ou sanctions pénales et administratives (retrait de permis), ainsi que les données sur des mesures d’aide sociale.
Exceptions :
- Le traitement de données est effectué en vertu d’une obligation légale
- En cas de recours à un système, produit ou service certifié ou qu’il respecte un code de conduite
Parfois, il faut consulter le PFPDT : « lorsque l’analyse d’impact relative à la protection des données révèle que, malgré les mesures prévues par le responsable du traitement, le traitement envisagé présente encore un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. »
La deuxième interrogation a trait au fait de savoir s’il faut appliquer les principes de « protection des données dès la conception et par défaut » (Privacy by design & by default) (art. 7)
La protection des données doit être une préoccupation de chaque projet, dès sa conception en adoptant des mesures préventives, de manière à garantir un niveau de protection des données élevé.
Exemples : en cas de mandat à une société externe dans le but d’opérer des vérifications par exemple (extrait OP, extrait du casier judiciaire, etc.), il faudra s’assurer du respect de la sécurité des données par le sous-traitant et recueillir un consentement préalable, libre et éclairé. Des contrôles ultérieurs doivent être opérés.
Finalement, faut-il choisir un Conseiller à la protection des données (Data Privacy Officer) (art. 10) ?
Il agira en qualité d’interlocuteur de toute personne concernée par un traitement. Ce DPO peut être interne à l’organisation ou externe. Il doit remplir un certain nombre de conditions :
- Exercice indépendant, sans instructions
- Interdiction d’exercer des tâches incompatibles
- Formation professionnelle nécessaire
- Responsabilité
Exemples : un candidat que vous n’avez pas retenu exerce son droit d’accès ; il vous demande de consulter le dossier constitué ; le DPO pourra conseiller l’entreprise notamment en cas de doute relativement aux informations à fournir.
Les responsables de traitement privé peuvent nommer un Conseiller à la protection des données. Il ne s’agit pas d’une obligation, mais bien plutôt d’un outil d’autorégulation.
À la différence des responsables privés, les organes fédéraux doivent désigner un conseiller à la protection des données.
Dans certaines conditions, les responsables de traitement basés à l’étranger qui traitent des données personnelles en Suisse doivent désigner un représentant en Suisse. C’est le cas dans les situations suivantes :
- Lorsque le traitement des données est lié à l’offre de biens et de services ou à l’observation du comportement de personnes en Suisse.
- Lorsqu’il s’agit d’un traitement régulier et de grande ampleur.
- Lorsque le traitement des données présente un risque élevé pour la personne concernée.
Les responsables de traitement privé doivent donc décider, à l’aune de plusieurs facteurs, s’ils désignent ou non un Conseiller à la protection des données. Cette décision doit être prise à l’issue d’un processus de réflexion qui intègre différents facteurs (taille de l’entreprise, nature des données traitées, maturité des sytèmes d’information, etc.).
Notre conseil :
Lexing Switzerland a développé un toolkit spécifique dans le domaine des ressources humaines. Il se fonde sur le référentiel CNIL adapté aux contraintes helvétiques et permet une implémentation rapide et efficiente. En voici quelques composantes :
- Mapping et établissement d’éventuels différentiels aux normes topiques
- Correctifs et rédaction de tous les modèles de documents nécessaires (CG, DC, etc.)
- Veille automatisée
- Formation des collaborateurs (art. 8): l’employeur doit former effectivement son personnel au maniement de données personnelles et à la confidentialité
- DPO externe et représentation vis-à-vis des autorités
- Premier commentaire pratique en ligne de la loi (évolutif)