fachbeiträge_articles spécialisés

TREX L’expert fiduciaire 2/2011 109

fachbeiträge_articles spécialisés

Au lieu d’attendre le premier problème relatif à la protection des données pour réagir, il serait bon de planifier et de coordonner l’usage fait des données personnelles dans une entreprise. Le présent article donne quelques conseils utiles quant aux éléments dont il faut tenir compte lors de la mise en œuvre de la protection des données dans une entre­prise.

1. Gérer la protection des données – qu’est-ce que cela veut dire?

Chaque entreprise travaille avec des données personnelles – que ces dernières concernent des collaborateurs, des clients, des fournisseurs ou d’autres partenaires d’affaires. En règle générale, l’entreprise veillera en premier lieu à ce que ces données puissent être utilisées de manière optimale – les données devront donc être disponibles en permanence et il devra être possible de les analyser et de les lier entre elles. Le plus souvent, les entreprises sont parfaite­ment conscientes qu’il faut également respecter des prescriptions relatives à la protection des données mais elles ne savent pas ce que la loi exige exactement et surtout, comment il faut s’organiser de manière à respecter les prescrip­tions légales.

L’article traite des éléments dont il faut tenir compte pour une application coordonnée et bien planifiée des prescriptions légales dans l’entreprise. Comme les possibilités de traite­ment des données sont pratiquement illimi­tées avec les moyens techniques disponibles aujourd’hui, le présent article se concentre sur les thèmes d’appli cation fondamentaux et ne doit pas être considéré comme une mar­che à suivre exhaustive.

2. Les bases légales – quelles sont celles qui s’appliquent?

Pour être en mesure de planifier l’usage de don­nées personnelles, l’entreprise doit tout d’abord se procurer un aperçu des bases légales à respecter.

Il faut tenir compte du fait qu’en plus de la loi fédérale sur la protection des données (LPD), il existe d’autres bases légales relatives au traite­ment de données. Ainsi, l’art. 328b CO est dé­terminant pour le traitement de données rela­tives aux collaborateurs. Cet article précise que l’employeur ne peut traiter des données rela­tives à ses collaborateurs que dans la mesure où ces données portent sur les aptitudes du travailleur à remplir son emploi ou sont néces­saires à l’exécution du contrat de travail.De plus, de nombreuses branches se distin­guent par des prescriptions légales spéciales pour le traitement de données personnelles qu’il convient de respecter en plus de celles de la loi sur la protection des données. On peut men­tionner, en guise d’exemples, le secteur de la santé, les banques ou encore la branche des assurances. Le secret médical, le secret ban­

La protection des données dans l’entreprise – Un mode d’emploi pour sa mise en œuvre

Maria Winklermag. iur.DirectriceIT & Law Consulting GmbH, Zougwww.itandlaw.ch

110 TREX Der Treuhandexperte 2/2011

fachbeiträge_articles spécialisés fachbeiträge_articles spécialisés

caire ou encore l’obligation de confidentialité imposée par le droit des assurances sociales sont autant de prescriptions spéciales qui défi­nissent de manière déterminante les limites et les possi bilités du traitement de données par les entreprises de ces branches d’activité.Lorsque le traitement des données se fait par­dessus les frontières dans plusieurs pays diffé­rents, il convient en outre de définir quelle loi nationale sur la protection des données est applicable.Il se peut que pour l’entreprise, les prescriptions légales déterminantes pour le traitement de données personnelles soient multiples – en fonction de sa branche et de sa structure d’or­ganisation. Ce n’est qu’après avoir déterminé clairement quelles sont les bases légales appli­cables que l’entreprise pourra mettre en place les mesures concrètes nécessaires à leur appli­cation. L’application pratique des exigences lé­gales générales dans le quotidien est cependant difficile étant donné que la marge d’interpréta­tion est souvent très large. Ci­après, nous expli­querons brièvement les notions et principes les plus importants de la loi fédérale sur la protec­tion des données.

3. La protection des données protège la personne, pas les données

Le droit à la protection des données personnel­les est ancré dans la Constitution fédérale. La protection des données ne vise pas à assurer la protection des données mais bien la personna­lité et les droits fondamentaux des personnes dont les données font l’objet d’un traitement. Il peut s’agir aussi bien de personnes physiques que de personnes morales. L’on entend par traitement de données tout usage de données personnelles – de la saisie jusqu’à leur archi­vage et leur destruction.Pour que des prescriptions légales relatives à la protection des données doivent être respec­tées, il faut être en présence d’un traitement de données personnelles – ceci est le cas lors­que les informations se réfèrent à une per­sonne déterminée ou du moins identifiable. Il n’est pas rare que cette disposition apparem­ment simple mène dans la pratique à des dif­ficultés d’interprétation. Ainsi, des numéros d’immatriculation de voitures ou des adresses de courriel font en principe partie des données personnelles, même si la personne qu’elles concernent n’est pas immédiatement identi­fiable. Il suffit qu’il soit possible, sans trop d’ef­forts, d’attribuer ces données à une personne déterminée. Si les données sont rendues ano­nymes, il n’est par contre plus nécessaire de respecter les prescriptions légales mention­nées.

Le risque de violation des droits propres à la personnalité n’est pas le même pour tous les types de données personnelles. Le législateur a ainsi établi dans l’art. 3 lit. c LPD une liste ex­haustive de données personnelles particulière­ment dignes de protection. Il s’agit par exemple des données relatives à la santé, à l’apparte­nance à une race, à la religion, aux opinions politiques ou à d’éventuelles sanctions pénales. Contrairement à ce que l’on croit souvent, les informations relatives au revenu et à la fortune ne font pas partie des données particulièrement sensibles.Il faut traiter avec le même soin ce que l’on ap­pelle les profils de la personnalité. L’on entend par là les assemblages de données qui permet­tent d’apprécier les caractéristiques essentielles de la personnalité d’une personne physique. Dans la pratique, il est souvent difficile de dé­terminer à quel moment ces conditions sont remplies. L’on a par exemple affaire à un profil de personnalité lorsque des informations les plus diverses sont récoltées au sujet d’un inter­locuteur auprès du client dans le cadre de ce que l’on appelle des «Customer Relationship Management Systems» (CRM) afin de l’enca­drer de manière optimale d’un point de vue marketing. Il n’est pas rare que des informations relatives à la position professionnelle, l’apparte­nance à un parti politique, aux hobbies, au nombre d’enfants, à la formation, etc. de la per­sonne concernée soient récoltées. Si l’on dis­pose de toutes ces informations, il est possible de tirer des conclusions sur la sphère privée, la position sociale ou encore la situation financière et l’on peut présumer être en présence d’un

profil de la personnalité. Selon la doctrine, les dossiers du personnel sont également des pro­fils de la personnalité.Lors du traitement de données personnelles particulièrement dignes de protection et de pro­fils de la personnalité, l’entreprise doit procéder avec un soin tout particulier tout en respectant des obligations particulières imposées par la loi dont il sera question plus loin dans le présent article.Lorsqu’une entreprise dispose de fichiers, cer­taines obligations en découlent. Ainsi, le pro­priétaire d’un fichier doit garantir le droit au renseignement selon l’art. 8 LPD et respecter certaines obligations d’information tout en pou­

vant être soumis à déclaration dans certaines circonstances. L’on est en présence d’un fichier lorsqu’une certaine quantité de données per­sonnelles peut être attribuée à certaines per­sonnes. Les dossiers du personnel constituent un bon exemple de fichiers, tout comme les fichiers comportant des données relatives aux clients.

4. Recherche transparente d’informations

L’entreprise ne peut procéder qu’à un traite­ment de données personnelles conforme aux prescriptions légales et nécessite, selon la doc­trine actuelle, un motif justificatif. De tels motifs justifiant le traitement de données sont par exemple le consentement de la personne concernée, l’existence d’une base légale ou encore le traitement de données en relation avec la conclusion d’un contrat.Avec la révision partielle de la loi fédérale sur lapro­tection des données qui est entrée en vigueur le 1.01.2008, une attention toute particulière a été vouée à la transparence de la récolte de données. La récolte de données doit être reconnaissable par la personne concernée de manière à empêcher la récolte cachée d’informations. Une récolte de données qui de mande une collaboration de la per­sonne concernée ne pose pas de problèmes. S’il faut par exemple que des données soient saisies sur un site Internet par la personne concernée elle­même, cette récolte d’informations est pour elle transparente. Les installations vidéo par contre, auxquelles la personne concernée n’a pas été ren­due attentive par des panneaux, doivent toute fois être considérées différemment. L’enregistrement secret du comportement de navigation sur le web d’un collaborateur n’est pas transparent non plus.Des exigences plus strictes existent pour la récol­te de données personnelles et de profils de la per­sonnalité particulièrement sensibles. Dans ce cas, la loi demande que les personnes concernées soient informées activement de l’objectif du trai­tement des données, du propriétaire du fichier et des catégories de destinataires (si les données sont transmises à des tiers). Selon l’art. 14 LPD, le maître du fichier est délié de son devoir d’infor­mer si cette information exige des efforts non pro­portionnels à l’intérêt de protection ou si l’entre­prise est tenue par la loi de récolter ces données. C’est ainsi que les maisons de jeux, en raison de leur obligation légale d’empêcher les effets nuisi­bles du jeu de leurs clients, doivent par exemple récolter des données qui touchent aux profils de la personnalité ou aux données personnelles sen­sibles ou encore que les sociétés d’assurance doi­vent récolter, dans le secteur des assurances so­ciales, entre autres, des données relatives à l’état de santé. Dans ces cas, le devoir d’informer prévu

fachbeiträge_articles spécialisés

TREX L’expert fiduciaire 2/2011 111

fachbeiträge_articles spécialisés

par la loi tombe mais de nombreuses entreprises le garantissent néanmoins volon tairement.

5. Les principes de l’affectation à un but et de la proportionnalité

Le traitement de données personnelles n’est autorisé que pour le but indiqué lors de la ré­colte des données. Si les données devaient être utilisées dans un autre but, l’autorisation de la personne concernée est nécessaire. S’il est pré­vu de transmettre les données indiquées par un client sur le formulaire de commande lors de sa commande à une autre entreprise du même groupe afin que cette dernière puisse lui faire parvenir de la publicité pour ses propres biens et prestations de service, il convient d’obtenir préalablement l’autorisation de la personne concernée. Si l’entreprise désire conserver les documents relatifs à une offre d’emploi afin de les utiliser pour pourvoir un autre poste, elle doit obtenir pour cela l’autorisation de la personne concernée.Le traitement des données doit se faire selon le principe de la proportionnalité de façon à ce qu’il occasionne l’intervention la plus réduite possible dans les droits de la personnalité de la personne concernée pour atteindre le but visé. L’interdiction de collecter des données en vrac ou encore une trop longue conservation des données sont autant d’exemples tirés de l’ap­plication pratique de ces principes.

6. Exactitude et sécurité des données

Quiconque procède au traitement de données personnelles doit contrôler régulièrement si ces dernières sont exactes et les corriger, les compléter ou les détruire si ces dernières sont incorrectes ou incomplètes ou si elles ne sont plus nécessaires. Chaque entreprise a intérêt à respecter cette exigence légale vu que des données inexactes ou incomplètes provo­quent dans tous les cas énormément de tra­vail.Dans le cadre de la sécurité des données, il faut en outre garantir l’intégrité, la confidentialité et la disponibilité des données. Les mesures à prendre à cet effet doivent être adéquates – plus le danger de la violation des droits de la person­nalité est grand, plus l’entreprise doit procéder avec soin. Le domaine de la sécurité des données comprend aussi bien des mesures techniques que des mesures d’organisation. Outre l’installation de pare­feux ou de logiciels antivirus, il faut dès lors par exemple limiter ou contrôler les accès si nécessaire et il convient de former les collaborateurs à l’usage des don­

nées personnelles. Dans ce cas, il ne faudrait pas oublier que de très nombreuses données existent non seulement sous forme électronique mais également sur papier.

7. Le droit de renseignement

Pour que la personne concernée puisse faire valoir son droit à la rectification de données in­correctes et à la destruction de données traitées sans motif justificatif, elle doit pouvoir savoir quelles données le concernant ont été traitées. Chaque maître de fichier est dès lors tenu par la loi de garantir qu’il peut, sur demande, four­nir des renseignements au sujet de toutes les données dont il dispose sur une personne. Les demandes de renseignement selon l’art. 8 LPD sont particulièrement fréquentes dans les bran­ches qui traitent des données sensibles de leurs clients, par exemple les assurances maladie. Ce renseignement doit pouvoir être fourni gratuitement et dans les 30 jours. Afin de pou­voir garantir le respect de ce délai très court, l’entreprise devrait nommer des personnes chargées de cette tâche et définir le processus de mise à disposition des renseignements. Il convient de s’assurer que ces renseignements ne sont pas fournis à des personnes non auto­risées. Il faut donc procéder à une vérification d’identité de la personne, par exemple une copie d’un document d’identité ou d’un passe­port. Un renseignement ne devrait être fourni à un tiers que si celui­ci peut prouver qu’il dis­pose d’une procuration en bonne et due forme. La réponse à une demande de renseignement devrait être fournie par la personne compétente qui se charge ensuite de vérifier l’identité, coor­donne le rassemblement des données, fournit finalement le renseignement tout en restant à disposition pour répondre à d’éventuelles ques­tions supplémentaires. Dans de nombreuses entreprises, cette tâche est en général du res­sort de la personne chargée de la protection des données. Souvent le patron s’en charge person­nellement.

8. L’obligation d’annoncer des fichiers

Toute personne qui traite régulièrement des données personnelles sensibles ou des profils de la personnalité ou qui transmet régulière­ment des données personnelles à des tiers doit annoncer ces fichiers auprès du Préposé fédé­ral à la protection des données et à la transpa­rence (PFPDT). Ce dernier tient un registre des fichiers accessible au public.Cependant, il y a de nombreuses exceptions à cette obligation de s’annoncer. Ainsi, des fi­

chiers ne doivent pas être annoncés lorsque l’entreprise est tenue par la loi de traiter les don­nées qu’ils contiennent. Le PFPDT a expressé­ment dispensé de l’obligation d’annoncer les dossiers du personnel pour autant qu’ils ne contiennent pas plus de données que ne le permet la loi. D’autres exceptions concernent les fichiers de fournisseurs et de clients, la comptabilité ou des fichiers dits auxiliaires de la gestion du personnel. L’on entend par là les copies de travail de documents établis dans presque toutes les entreprises pour des raisons d’organisation. Ces dernières ne doivent pas être annoncées si elles ne contiennent qu’un extrait d’un fichier et pas d’autres nouvelles données.Une dispense générale de l’obligation d’annon­cer est possible si l’entreprise annonce un pré­posé à la protection des données auprès du PFPDT ou si elle acquiert un certificat conforme à l’ordonnance sur les certifications en matière de protection des données (OCPD) et l’annonce auprès du PFPDT. Dans tous ces cas, une liste des fichiers doit cependant être tenue à l’in­terne.

9. Transfert de données personnelles à l’étranger

Avant de transmettre des données personnelles à l’étranger, l’entreprise doit s’assurer qu’une protection suffisante est garantie dans le pays destinataire (art. 6 LPD). Une telle communica­tion transfrontalière n’exige pas obligatoirement une transmission active mais est également donnée lorsque le destinataire étranger peut accéder de manière électronique aux données. En cas de sous­traitance à l’étranger, les dispo­sitions légales de l’art. 6 LPD doivent également être respectées!Le PFPDT publie sur son site une liste d’Etats dont la législation relative à la protection des données garantit une sécurité adéquate. Si le transfert de données doit se faire vers un pays qui ne figure pas sur cette liste, il convient de prendre des mesures supplémentaires afin de garantir la protection des données. Si les parties utilisent des contrats­types ou des clauses contractuelles standard établis par le PFPDT ou reconnus par ce dernier et si le PFPDT en est avisé, les garanties légales exigées sont rem­plies. Cependant, les parties peuvent également établir de propres contrats mais doivent néan­moins les annoncer auprès du PFPDT. Si une protection adéquate n’est pas garantie dans le pays destinataire et si aucun contrat n’est conclu, la légalité du transfert peut également être assuré d’une autre façon, par exemple avec l’accord des personnes concernées. En pra­tique, cela risque toutefois d’être difficile s’il ne

112 TREX Der Treuhandexperte 2/2011

fachbeiträge_articles spécialisés fachbeiträge_articles spécialisés

s’agit pas seulement des données d’une seule personne.

10. La mise en application systémati que de la protection des données

Afin de satisfaire à toutes les exigences légales mentionnées et afin de standardiser le traite­ment des données dans l’entreprise de ma nière à rendre le contrôle de ce dernier plus aisé, il est recommandé de prendre quelques mesures minimales que nous expliquons brièvement ci­après.Parmi les mesures minimales recommandées, mentionnons tout particulièrement les suivantes:

recenser les bases légales•nommer un préposé d’entreprise à la protec­•tion des donnéesédicter des instructions•recenser les fichiers, y compris l’évaluation •de conformitégarantir la sécurité des données et•assurer une formation correspondante des •collaborateurs.

Nous avons déjà abordé plus haut la question du recensement des bases légales. Ci­après, nous expliquons brièvement à quoi il convient de faire attention en ce qui concerne les autres mesures recommandées.

10.1 Le préposé à la protection des données interne à l’entreprise

La liste ci­dessus, fortement abrégée, des prin­cipales exigences légales montre qu’au moins une personne devrait s’occuper dans l’entre­prise de manière approfondie de la protection des données. Entre­temps, de nombreuses en­treprises suisses l’ont bien compris, raison pour laquelle la fonction du préposé à la protection de données se rencontre d’ores et déjà assez fréquemment dans les entreprises.Contrairement à d’autres Etats, la Suisse ne connaît pas d’obligation de principe de nom­mer un préposé à la protection des données. Il en va tout autrement cependant si l’entreprise désire se libérer d’une éventuelle obligation d’annoncer la constitution de fichiers. A cet effet, il lui faut annoncer un préposé à la pro­tection des données auprès du Préposé fédéral à la protection des données et à la transpa­rence ou acquérir un certificat de protection de données conforme à l’ordonnance sur les cer­tifications en matière de protection des don­nées (OCPD) qui exige également la nomina­tion d’un préposé à la protection des données.Une libération de l’obligation d’annoncer suppo­se toutefois que le préposé à la protection des

données dispose des connaissances spécia lisées nécessaires et qu’il puisse exercer son activité de manière indépendante. Souvent, la fonction de préposé à la protection des données est confiée à des collaborateurs issus du département infor­matique. Le PFPDT précise clairement dans ses publications que la fonction de préposé à la pro­tection des données dans l’entreprise exige éga­lement que le titulaire dispose de connaissances approfondies du droit relatif à la protection des données. Il recommande dès lors que les prépo­sés à la protection des données qui ne sont pas au bénéfice d’une formation juridique aient tra­vaillé au moins six mois dans le secteur de la pro­tection des données ou qu’ils aient suivi une for­mation de même durée. Comme il n’existe sur le marché de la formation que peu de cours qui ré­pondent à cette exigence, l’expérience pratique revêt une très grande importance.Le préposé à la protection des données a, entre autres, pour tâches de contrôler en toute indé­pendance les traitements de données effectués par l’entreprise, de recommander des mesures de correction et de tenir la liste des fichiers.L’indépendance exigée est assurée s’il n’est pas lié, dans l’exercice de cette fonction, aux directi­ves de ses supérieurs hiérarchiques et s’il ne peut pas être sanctionné pour ses décisions. Il ne doit en outre exercer aucune autre fonction au sein de l’entreprise qui pourrait entraîner un conflit d’in­térêts. C’est la raison pour laquelle la fonction de préposé à la protection des données ne convient pas à des personnes qui assument simultanément une fonction dans le domaine de la gestion du personnel, une responsabilité pour la gestion de fichiers et encore une fonction de CEO.Afin que le préposé à la protection des données puisse assumer ses tâches correctement, il doit disposer des ressources financières et en per­sonnel nécessaires et avoir accès à tous les pro­cessus de traitement de données. Pour prévenir à temps d’éventuelles violations de la protection des données, il devrait en outre être impliqué dès le début dans tous les projets qui concer­nent le traitement de données personnelles. En fonction de la taille de l’entreprise, il est recom­mandé en outre de confier certaines tâches dans le domaine de la protection des données à des personnes supplémentaires dans toutes les unités d’organisation de l’entreprise qui collaborent avec le préposé – une telle mesure favorise la compréhension pour les exigences de protection des données auprès des collabo­rateurs et garantit que le préposé reçoive le cas échéant les informations dont il a besoin.Quoi qu’il en soit, l’entreprise devra toujours assumer seule une violation de la protection des données, même si elle a nommé un préposé à la protection des données. Le PFPDT insiste dès lors clairement sur le fait que la dénomination de «responsable de la protection des données»

inscrite dans la loi ne signifie pas que ce dernier assume seul la responsabilité de la protection des données mais qu’il assume bien plutôt une fonction de conseil et de contrôle.

10.2 «Policies» et instructions – quelles règles faut-il édicter?

Une des conditions de base pour une stan­dardisation de l’usage qui est fait des données personnelles est d’édicter des prescriptions internes à l’entreprise. Il est toutefois peu ju­dicieux de se contenter de copier les disposi­tions de la loi sur la protection des données comme c’est malheureusement trop souvent le cas dans la pratique. Une instruction rela­tive à la protection des données devrait au contraire plutôt définir comment les exigences légales sont appliquées au sein de l’entreprise. Il convient de prendre en compte aussi bien le lien pratique avec les propres activités de l’entreprise et avec les processus concrets in­ternes à l’entreprise que les bases légales spé­cifiques s’appliquant à l’entreprise. Pour sim­plifier, disons qu’une réglementation relative à la protection des données qui ne permet pas de déduire si l’entreprise est un hôpital ou une fiduciaire n’est pas très utile.Les sujets qui devraient être abordés dans une réglementation relative à la protection des données sont par exemple les bases légales concrètes à respecter, le règlement de la res­ponsabilité relative à l’usage de données per­sonnelles à tous les niveaux, la manière de procéder en cas de demandes de renseigne­ment selon l’art. 8 LPD, les mesures visant à assurer la sécurité des données ainsi que d’éventuelles sanctions en cas de violation. Une réglementation relative à la protection des données bien faite qui reflète le traitement des données dans l’entreprise et donc les risques qui y sont liés constitue un précieux instrument de gestion que les collaborateurs apprécient en règle générale beaucoup.L’usage fait des moyens informatiques, en par­ticulier en relation avec Internet et les courriels, est souvent régi par un règlement d’utilisation séparé. Dans le cadre de son droit de pouvoir imposer des directives, l’employeur a le droit de définir de quelle manière les moyens informa­tiques mis à disposition peuvent être utilisés. Il est recommandé d’émettre expressément une directive relative à l’admissibilité d’un usage privé des moyens informatiques afin que ce point soit bien clair. Si l’employeur désire contrôler si le règlement d’utilisation est bien respecté, il doit clairement communiquer le fait qu’une surveillance est exercée et les conditions ainsi que les conditions­cadres de cette der­nière. En effet, à défaut d’une telle information expresse des collaborateurs, la surveillance est interdite.

fachbeiträge_articles spécialisés

TREX L’expert fiduciaire 2/2011 113

fachbeiträge_articles spécialisés

10.3 Recensement et évaluation de fichiers

Un usage contrôlé de données personnelles dans l’entreprise exige obligatoirement que l’en­treprise ait un aperçu de tous ses fichiers. Si un préposé à la protection des données a été nom­mé, c’est lui qui assumera en règle générale cette tâche. Sans le soutien des divers collabo­rateurs, il est toutefois impossible de réaliser un recensement exhaustif des fichiers étant donné qu’il ne sait en règle générale pas où de tels fichiers ont été constitués. La décision de pro­céder à un recensement des fichiers et l’encou­ragement des employés à collaborer devraient donc être expressément communiqués par la direction aux collaborateurs.Après le recensement, il faudrait évaluer pour chaque fichier si les exigences légales sont rem­plies lors du traitement des données. Cette étape demande effectivement pas mal de travail mais débouche aussi très souvent sur une destruction ou une actualisation de nombreux fichiers qui ne sont plus à jour. De plus, cette évaluation dite de conformité constitue une condition indispensable à une analyse des risques. Une fois que les risques liés à la pro­tection des données ont été identifiés, il est pos­sible de les évaluer et de prendre d’éventuelles mesures préventives pour les réduire.

10.4 Sécurité des données – bien plus qu’une protection contre les virus et un pare-feu

Dans le cadre de l’application des exigences de la sécurité des données, il convient d’opter pour une solution globale. Il faut dès lors prendre en

compte à la fois la sécurité IT et la sécurité phy­sique et les documents enregistrés tant sous forme électronique que sous forme physique. Les objectifs visés dans le cadre de la garantie de la confidentialité et de la disponibilité des don­nées sont précisés dans l’art. 9 de l’ordonnance relative à la loi fédérale sur la protection des don­nées (OLPD). Il est en outre important que l’en­treprise s’assure que ces derniers soient égale­ment garantis lorsque le traitement des données est confié à un sous­traitant. Selon l’art. 10a LPD, l’entreprise reste responsable d’un traitement des données personnelles conforme aux exigen­ces de la protection des données. Par consé­quent, il faut garantir dans le cadre d’une sous­traitance que le partenaire contractuel n’utilise les données que de la manière dont l’entreprise elle­même le devrait. Une utilisation de telles données pour son propre usage ou un transfert de ces dernières à des tiers devraient donc être expressément exclus. Comme l’entreprise est tenue de s’assurer que le sous­traitant garantit la sécurité des données, un droit d’information et de contrôle devrait être prévu dans le contrat.

11. Conclusion et remarque finale

Les mesures d’application décrites dans le présent article ne peuvent pas empêcher de manière absolue des violations du droit de la protection des données de se produire. Si les responsabilités et les processus font l’objet d’une réglementation spécifique, de telles vio­lations pourront en règle générale être iden­tifiées suffisamment tôt et les compétences et

les processus seront également clairs pour les collaborateurs. Cela permet également de baisser le risque qu’un tel incident ne cause des dommages importants à l’image de l’entreprise. Les mesures décrites font partie d’un système de gestion de la protection des données qui doit être mis en place selon l’ordonnance sur les certifications en matière de protection des don­nées (OCPD) dans le cadre d’une certification relative à la protection des données. Toutefois, l’obtention d’un certificat en matière de pro­tection des données pose encore d’autres exi­gences qui concernent pour la plupart la docu­mentation des processus dans le cadre de la protection des données.La pratique démontre qu’un usage contrôlé et systématisé de données personnelles ainsi qu’une réglementation claire des responsabili­tés correspondantes permettent d’accroître la qualité du traitement de données et facilite le contrôle des processus correspondants. L’effort initial vaut donc toujours la peine d’être entre­pris. n

Informations ➜➜complémentaires

Préposé fédéral à la protection des don­•nées et à la transparence (PFPDT) avec lignes directrices, fiches et recommanda­tions: www.edoeb.admin.ch/dokumenta tion/00651/index.html?lang=frPréposé à la protection des données •(DSB) du canton de Zurich: www.daten schutz.ch