12/01/2024
En 2023, c’était le principal sujet de discussion jusqu’à la rentrée de l’automne. Le cadre légal de la protection des données, plutôt discret jusqu’ici, allait devenir dès le 1er septembre un casse-tête pour les entreprises au travers de la nouvelle mouture de la LPD. Depuis la fin de l’été, quelques nouveaux ouvrages et commentaires sont encore apparus dans les librairies spécialisées. Il y a aussi eu ça et là quelques séminaires destinés aux plus ou moins initiés. Mais, globalement, le paysage juridique est resté assez calme. Le thème a-t-il déjà fait long feu ? Pas sûr. Les spécialistes attendent maintenant que les autorités judiciaires se prononcent concrètement sur les cas dénoncés et, qu’au travers des décisions à venir, on puisse enfin savoir à quel degré de prudence le gendarme a placé le curseur.
Comme on ne sait pas quand ni jusqu’à quel point nous serons fixés sur toutes les questions qui se posent, mieux vaut rester prudent. En particulier sur la question des risques au niveau pénal, car c’est là que seront vraisemblablement rendues les premières décisions qui auront un réel impact sur les entreprises (et les entrepreneurs).
Jusqu’ici on ne sait toujours pas trop quelles peuvent être les conséquences – notamment pécuniaires – du grand saut dans la new data protection pour la marche des entreprises. La loi sera-t-elle appliquée à tous et dans toute sa rigueur ou seule les violations crasses seront visées et sanctionnées ? Comparé au Règlement général sur la protection des données (RGPD) de l’UE, notre LPD est heureusement moins rigide. Sauf sur le point qui nous intéresse aujourd’hui : la responsabilité pénale dans le cadre entrepreneurial. A priori, les dispositions légales de la loi suisse prévoient toute une série de comportements qui pourraient ne pas être d’emblée identifiés comme problématiques dans la routine de l’entreprise, mais qui selon la LPD sont toutefois sanctionnables.
L’art. 61 LPD nous avertit que, sur plainte du PFPDT (Préposé fédéral à la protection des données et de la transparence) ou d’un particulier, le risque individuel consiste en une amende dont le montant peut aller jusqu’à… CHF 250’000.- ! De quoi être plutôt dissuasif.
En l’état, et considérant la pratique suisse en matière de contraventions dans différents domaines, une amende à six chiffres semble réservée à des infractions particulièrement graves, commises dans un cadre exceptionnel. En pratique, il devrait être rare que la « douloureuse » dépasse quelques milliers ou dizaine de milliers de francs. Difficile toutefois d’anticiper aujourd’hui. Ce sont les autorités de poursuite pénale de chaque canton qui seront compétentes ce qui promet des appréciations très différenciées de Genève à Romanshorn. En attendant d’en savoir plus au travers des décisions qui devraient commencer à être publiée en 2024, on peut déjà être attentif aux points suivants, afin de limiter les risques.
Les violations de la nLPD pouvant faire l’objet d’une poursuite pénale sont au nombre de sept :
– violation des devoirs de diligence, en communiquant sans garantie adéquate des données à caractère personnel à l’étranger, dans un pays ne disposant pas d’un niveau approprié de protection des données (art. 16 et 61 lit. a LPD, sans que les conditions de l’art. 17 soient remplies) ;
– même reproche de défaut de diligence si l’on confie le traitement des données personnelles à un sous-traitant (comme par exemple, un fournisseur de services cloud) sans cadre légal défini et approprié (contrat de service par exemple ; voir les art. 9 et 61 lit bb LPD), étant précisé que nos exigences légales minimales à ce sujet sont moins contraignantes que celles prévues dans le RGPD ;
– ou en violant les exigences minimales en matière de sécurité des données (art. 8 al. 3 et 61 lit. c LPD) [Note : ce point reste toutefois un peu nébuleux pour l’instant, car ces fameuses « exigences minimales » ne sont toujours pas très clairement définies. On peut toutefois anticiper un éventuel reproche en mettant d’ores et déjà en œuvre dans le cadre de l’entreprise les mesures de sécurité et organisationnelles que permet l’état de la technique actuelle(pare-feu, double authentification, etc.), sans devoir être obligatoirement le meilleur élève de la classe] ;
– violation des obligations (notamment d’informer ; art. 60 et 19, 21, 25 à 27 LPD) en fournissant intentionnellement (c’est-à-dire en le voulant) aux personnes auprès desquelles des données personnelles sont collectées des renseignements inexacts ou incomplets à ce propos ;
– omission (toujours intentionnelle) d’informer la personne concernée lors de la collecte de données personnelles (art. 19 et 60 LPD) ou lors d’une décision individuelle automatisée (art 21 et 60 LPD) ;
– omission – intentionnelle également – de fournir à l’intéressé.e les informations minimales prévues par la loi (en particulier les coordonnées du responsable du traitement, sa finalité et les destinataires) ;
– fourniture de renseignements intentionnellement inexacts au PFPDT ou refus de collaborer avec lui dans le cadre d’une enquête (art. 60 LPD).
Ce qui revient à dire que, s’agissant d’autres manquements (intentionnels ou non) aux exigences de la LPD, ils pourraient ne pas être sanctionnées (à moins qu’on ne puisse les relier à l’une des violations listées ci-dessus). Par exemple, l’utilisation de données personnelles à des fins non autorisées, mais non préjudiciables à l’intéressé.e, ou le fait de ne pas les supprimer à temps, le défaut de l’obligation de tenir des registres des activités de traitement ou de signaler une violation de données.
On vient de le voir, des amendes ne peuvent être infligées qu’en cas de violation intentionnelle. Donc, si on n’a pas « fait exprès » on est tranquille ? Pas tout à fait. En pratique, cette notion couvre aussi les situations où la personne responsable savait (ou surtout était sensée savoir) qu’une violation allait/pouvait se produire et ne s’en est pas inquiété outre mesure (ce qui devra être prouvé par le procureur chargé de l’enquête).
C’est dire que le risque de sanction concerne aussi celui ou celle qui s’abstient de se poser des questions et d’investiguer une violation potentielle, de crainte de la découvrir. Vu le nouveau degré de contrainte posé par le texte légal, certains entrepreneurs pourraient être tentés de se défendre avec un « je n’avais pas compris que je devais faire aussi ça », à qui le Procureur pourra rétorquer « Nul n’est censé ignorer la loi » !
La direction de la procédure est du ressort de chaque canton. En pratique, une plainte devra être déposée (dans les trois mois suivant la connaissance de la violation et de son auteur) par le PFPDT ou la personne lésée auprès du Ministère public cantonal (et non auprès de l’autorité chargée de la protection des données). Le procureur qui sera chargé de la poursuite ouvrira ensuite une procédure contre les personnes nommément désignées dans la plainte, ou éventuellement contre inconnu.s, s’il y a incertitude sur le potentiel fautif.
Les amendes ne s’appliquent – sauf rares exceptions – qu’aux « personnes privées ». Traduit en terme commercial, pas la société en tant que personne juridique, mais les membres de sa direction, cas échéant ses employés, voire même des collaborateurs externes. On ne vise aussi que le secteur privé et non les entités publiques, soumises à d’autres règles.
En pratique, si la plainte vise une entreprise, sans qu’il soit immédiatement possible d’identifier la personne potentiellement responsable, la procédure s’engagera d’abord contre le ou les membre(s) de la direction, qui sera/seront vraisemblablement entendu(s) dans un premier temps non pas comme prévenu(s), mais comme personne(s) appelée(s) à fournir des renseignements. L’enquête aura alors pour but de déterminer qui a commis la faute, respectivement qui était au courant, a couvert l’infraction, ou a volontairement fermé les yeux.
Sont dès lors amendables :
– celles et ceux qui commettent effectivement la violation, parce qu’ils sont responsables de l’activité enfreignant la LPD (p. ex. : en fournissant délibérément une réponse incorrecte ou incomplète à une demande de la personne concernée, en utilisant un sous-traitant sans convention préalable sur le traitement approprié des données, en rendant des données personnelles disponibles à l’étranger, etc.).
– celles et ceux qui ont l’obligation d’empêcher qu’une violation soit commise au sein de l’entreprise et qui peuvent le faire, mais ne le font pas. Ou, après avoir constaté la violation, ne font rien pour la corriger ou en atténuer les conséquences. Les personnes visées sont donc ici les membres du conseil d’administration, la direction ou une autre personne physique ayant la fonction d’organe formel et qui ont le pouvoir de donner des instructions pour empêcher la violation. Soulignons encore une fois que la passivité est aussi amendable, par exemple en omettant de mettre en place des politiques adéquates ou de réagir de manière appropriée.
Avant tout, la problématique principale est celle de la taille de l’entreprise. Telle qu’elle est conçue, la nouvelle LPD s’applique de la même manière aux grandes sociétés nationales ou multinationales implantées en Suisse qu’aux PME ou entreprises individuelles.
Les moyennes et grandes sociétés – qui ont par définition de gros moyens à disposition – n’ont pas eu trop de problème à mettre en place une organisation spécifique et le contrôle de la conformité en accord avec le système légal. L’organisation basique peut se présenter plus ou moins de la manière suivante :
– au niveau de la direction, elle organise la supervision et le contrôle des différentes personnes et processus impliquées dans la conformité à la protection des données personnelles traitées par l’entreprise;
– une personne (ou un groupe de personnes) spécifique chargé de prendre les décisions basiques relatives au respect de la protection des données et de les mettre en œuvre (contrat avec les sous-traitants par exemple) ;
– un responsable de la protection des données qui conseille et soutien la personne ou le service spécifique et qui signale à la direction d’éventuels problèmes, pour qu’elle puisse prendre cas échéant les mesures adéquates qui échappent au pouvoir des personnes visées au tiret précédent (ou que celles-ci ne veulent pas prendre pour différentes raisons).
Pour les petites entreprises ou les entrepreneurs individuels, c’est plus compliqué financièrement surtout de mettre en place un tel système. Les diverses tâches décrites ci-dessus sont vraisemblablement dévolues à une seule et même personne. Généralement, il s’agit du/de la directeur/trice, qui se voit donc affubler d’une nouvelle casquette, dont la taille est encore mal définie, soit une nouvelle source d’incertitudes entrepreneuriales. En théorie, le risque de se « faire taper sur les doigts » a augmenté depuis le 1er septembre. En pratique, vu l’ampleur de la tâche de surveillance, la probabilité de se voir reprocher une violation est proportionnelle à la taille de l’entreprise (sauf pour les professions traitant exclusivement de données personnelles sensibles (avocats, médecins, fiduciaires, etc. qui, elles, resteront en 1ère ligne).
Sinon, la meilleure stratégie pour éviter les amendes est bien évidemment de se conformer, autant que faire se peut, aux contraintes de la nouvelle LPD. Il faudra aussi rester attentif à l’actualité juridique pour tirer les leçons des décisions à venir. Car elles poseront clairement qu’elles sont les limites à respecter du point de vue de la Justice. Comme la plupart des entreprises n’ont pas les moyens de se payer un juriste uniquement dédié à ces questions de protection des données, le recours à un conseil juridique externe représente la meilleure solution et le meilleur rapport efficacité/coût.
Spécifiquement, pour garantir la conformité dans un environnement d’entreprise, plusieurs mesures techniques et organisationnelles peuvent être conseillées, comme par exemple définir une politique de protection des données, donner des instructions claires et compréhensibles aux employé.e.s, même s’il n’y en a qu’un.e, mettre en place des programmes de formation et de sensibilisation à leur intention, réviser les accords avec les sous-traitants, etc.
La nouvelle loi est là, pas moyen de l’éviter. La manière dont elle va maintenant être appliquée reste par contre encore à définir. Les grandes structures, qui savent qu’elles sont en première ligne, ont en principe fait le nécessaire. Pour les PME, la situation est plus floue et beaucoup attendent encore de voir comment les choses vont évoluer avant de bouger. Choix courageux et peut-être efficace à terme… à condition de ne pas être le dindon de la farce ! En effet, cette position n’est pas sans risque, puisqu’il s’agit d’éviter de « servir de mauvais exemples ». Et le danger peut venir du PFPDT, d’un particulier, voire d’un client.
Dès lors, une prudence minimale par la compréhension des exigences légales et la mise en place de processus basiques semblent la démarche minimale adéquate à entreprendre sans tarder, si ce n’est pas déjà fait.
jlm/202401012