Protection des données RH en Suisse

La Suisse n’est pas un Etat membre de l’Union Européenne et ne devrait donc logiquement pas être soumise au Règlement Général sur la Protection des données (RGPD). Cette norme européenne entrée en vigueur le 25 mai 2018. Cependant la Suisse est « proche » de l’UE et adopte volontiers de nombreuses règles européennes par le biais d'accords bilatéraux multiples, notamment concernant la fiscalité, l'épargne, l'agriculture, les marchés publics et les conventions de Schengen. Ce texte est directement applicable dans l’ensemble des Etats membres de l’Union Européenne sans nécessiter de transposition. Ce texte de référence en Europe a des répercussions directes sur un grand nombre d’entreprises Suisses.

Depuis 1992, la Suisse dispose d’une loi fédérale sur la protection des données (LPD). Cette loi vise à protéger la personnalité et les droits fondamentaux des personnes qui font l’objet d’un traitement des données. Les données personnelles sont, selon l’article 3 de la LPD, l’ensemble des informations qui se rapportent à une personne identifiée ou indentifiable.

En Suisse toute opération en lien avec les données personnelles d’une personne est soumise à la LPD. Les données doivent être traité conformément à la motivation de leur collecte. Une fois l’utilisation terminée, les données doivent être détruites. L'exactitude des données et leur sécurité doivent être garanties. Le droit d'accès aux données doit être garanti à la personne concernée.

Depuis 3 ans le Parlement suisse travaille à réviser la loi sur la protection des données. Le nouveau texte a été validé en 2021 et entrera en vigueur courant 2022. Cette révision de la loi va permettre à la Confédération Suisse de ratifier la Convention 108 révisée relative aux traitements automatisés de données à caractère personnel. Si le RGPD était en ligne de mire de cette révision, cette révision visait trois objectifs principaux :

• Renforcer les droits des personnes concernées
• Consolider les obligations du responsable du traitement
• Renforcer les pouvoirs du Préposer fédéral à la protection des données.

Le delta entre la LPD en vigueur et sa version révisée est assez important. Les évolutions ne vont donc pas manquer dans le domaine de la gestion des données personnelles. A noter par exemple l’entrée en vigueur du registre des traitements. Ce registre aura la forme d’un document décrivant de manière détaillée l’ensemble des actions et processus impliquant des données personnelles au sein de l’entreprise.

Les principes de Privacy by Default et by Design visent à intégrer la protection de la vie privée tout au long du cycle de vie des diverses technologies et applications qui traitent des données. Par défaut les logiciels, applications, fonctionnalités, … doivent assurer le plus haut niveau de protection des données personnelles.

La nouvelle loi sur la protection des données (LPD) devrait entrer en vigueur en 2022. Les traitements de données personnelles en cours devront être conformes à la nouvelle LPD. Le principe de privacy by design & by default ne s’appliquera pas rétroactivement. Les analyses d’impact ne devront pas être effectuées sur des traitements existants tant que les finalités de ces derniers ne sont pas modifiées et que de nouvelles données ne sont pas collectées.

La loi Suisse découpe les données selon 4 niveaux de risque :

1. Les données à risque minimal qui concernent celles dont l’abus ne semble pas, d’une manière générale, avoir de conséquence particulière pour la personne concernée. On peut citer par exemple le nom, le prénom, l’adresse postale, la date de naissance ou encore la nationalité.
2. Les donnée à risque moyen pour toutes celles dont l’abus peut affecter la situation économique ou la place dans la société de la personne concernée. Il s’agit par exemple de données relatives à la situation d’un locataire ou aux relations professionnelles.
3. Les données à risque élevé pour les informations dont l’abus peut gravement affecter la situation économique ou la place dans la société pour le collaborateur concerné. Les données de santé sont par exemple concernées.
4. Les données à risque très élevé qui concernent celles dont l’abus peut mettre en danger la vie de la personne impactée. Il s’agit par exemple d’adresses d’hommes de liaison de la police, d’adresses de témoins dans certaines poursuites pénales ou d’adresses de personnes qui sont menacées suite à l’expression de leur opinion ou de leur appartenance religieuse ou politique.

Dans le cadre de la gestion courante, les RH collectent et manipulent de nombreuses données personnelles (identité, adresse, coordonnées, rémunération, …) au quotidien. Ces données sont directement impactées par la LPD révisée. Garantes de la gestion des données personnelles des employés (rémunération, comptes bancaires, documents, coordonnées, appartenance à un syndicat, sécurité sociale, informations familiales…), les ressources humaines sont parmi les métiers les plus impactés. Bien qu’un Data Protection Officer (DPO) puisse être nommé dans les entreprises pour assurer la mise en conformité, le département RH doit faire un travail important pour cartographier les données et justifier leur utilisation, et pour respecter les droits des collaborateurs, notamment en supprimant les informations qui les concernent à leur départ.

Dans le cadre de la protection des données, les entreprises sont tenues d’informer les collaborateurs (et également les candidats enregistrés dans votre système d'information) sur la détention des données qui les concernent, d’obtenir leur consentement et de pouvoir le prouver. Seules les données nécessaires à une finalité bien identifiée pourront être recueillies. Les données ne devront pas être conservées plus longtemps que nécessaire. Dans le cadre de la LPD révisée, une personne pourra demander que toutes les données qui ont été collectées sur elle soient effacer ou anonymiser. C’est le principe du droit à l’oubli.

Sans un SIRH adapté à la LPD, il sera principalement impossible de respecter les nouvelles obligations efficacement. Par exemple, restreindre les droits d’accès à l’information aux personnes habilitées est délicat lorsque les données d’un collaborateur sont dans un dossier papier ou en libre accès pour les RH dans des documents Excel. Adequasys vous accompagne dans la mise en conformité de votre SIRH :

• Visualiser rapidement qui voit quoi sur qui
• Contrôler et limiter simplement l’accès aux données personnelles et sensibles

Bénéficier d’une aide dans l’établissement du registre des traitements RH.

Dans le cadre de la LPD, le principe se sécurité des données doit être respecté. Il est important de veiller à ce que des traitements non autorisés soient réalisés (consultation d’un document par un collaborateur non autorisé par exemple). La consultation et le stockage des documents concernant les collaborateurs doivent absolument être maîtrisés. Avec Adequasys SIRH il est possible de cartographier précisément les traitements de données personnelles.

Un collaborateur (ou ex-collaborateur) peut à tout moment demander à récupérer les données qu’une entreprise dispose sur lui. Cet export peut être difficile et chronophage en l’absence d’outil adéquat. Adequasys SIRH intègre une gestion documentaire et permet d’éviter un travail fastidieux de recherches. Le collaborateur peut accéder à tout moment à son dossier collaborateur et à l’ensemble des données dont dispose l’entreprise. De plus, une solution de gestion documentaire dispose d’un système de recherche avancée offrant au service RH la possibilité d’extraire en quelques clics les informations souhaitées.

Les ressources humaines doivent traiter dans le délai légal les demandes et réclamations des collaborateurs liés à l’exercice de leur droit comme le droit à l’oubli ou le droit de rectification. Grâce au SIRH il est rapide est simple de supprimer, modifier ou d’anonymiser les données d’un collaborateur.

Adequasys, éditeur et intégrateur Suisse d’un SIRH accompagne les entreprises dans la mise en conformité des outils avec la LPD révisée. Le logiciel RH permet de visualiser rapidement qui voit quoi sur qui (cartographie des accès et des données). Au sein du SIRH il est possible de contrôler et limiter simplement l’accès aux données personnelles et sensibles.

Avec un outil adapté tel Adequasys SIRH, la mise en conformité est simplifiée. Elle repose sur cinq étapes pour lesquelles les consultants d’Adequasys peuvent vous accompagner afin de les réussir.

1. Définir dans le SIRH les finalités de traitement pour chaque module installé
2. Définir les niveaux de sensibilité des données
3. Association des niveaux de sensibilité des données aux liens de chaque finalité de traitement
4. Vérification du paramétrage du SIRH grâce à la cartographie des liens
5. Exploitation de la cartographie pour remplir le registre des traitements.