La protection des données du personnel

Temps de lecture : 9 minutes

Les bonnes pratiques pour une mise en conformité pragmatique et fonctionnelle

Le 25 septembre 2020, le parlement suisse a adopté la nouvelle Loi sur la Protection des Données (nLPD). Cette dernière révise dans sa globalité la Loi fédérale sur la protection des données de 1992 (LPD) qui régissait jusqu’alors le traitement de données personnelles.

La nouvelle Loi sur la Protection des Données (nLPD) améliore notamment le traitement des données personnelles en accordant de nouveaux droits aux citoyens suisses. Cette évolution législative s’accompagne de nouvelles d’obligations pour les entreprises qui devront s’y conformer à partir du 1er septembre 2023, date d’entrée en vigueur de la nLPD.

La nLPD doit aussi permettre de se mettre en conformité avec son équivalent de l’Union Européenne, la RGPD et ainsi faciliter les échanges notamment de données et éviter une perte de compétitivité des entreprises suisses.

Les entreprises qui se sont déjà conformées et familiarisées avec le RGPD auront donc peu de changements à entreprendre.

Pour les autres, les principales nouveautés introduites par cette loi sont :

  • La mise en place de conseillers à la protection des données
  • La notion du devoir d’information qui garantit la transparence des traitements et contribue à renforcer les droits de la personne concernée.
  • La notion de droit d’accès aux données qui permet à toute personne de demander au responsable du traitement si des données personnelles la concernant sont traitées.
  • La définition du rôle du Préposé Fédéral à la Protection des Données et à la Transparence (PFPDT)
  • La définition des dispositions pénales attachées aux violations des obligations instaurées par la LDP.
  • L’établissement d’une activité de surveillance qui comprend l’examen des violations des prescriptions de protection des données et, le cas échéant, l’adoption de mesures administratives pour faire respecter ces règles.
  • La mise en place de la certification de systèmes, de produits et de services qui favorise la transparence du traitement des données.

 

En fonction de leur nature ces données peuvent être distinguer de la manière suivante : 

  • sous le coup de l’obligation de discrétion inhérente au contrat de travail puisque faisant partie l’obligation de loyauté. Il s’agit ici de ne pas porter de préjudice à l’entreprise en révélant des informations qui ne sont pas partagées en interne entre tous les collaborateurs – on parlait parfois de données “sensibles” mais il faudra dorénavant réserver ce terme aux données jugées comme telles par la loi ;
  • confidentielles, tels que certains contrats
  • couvertes par le secret des affaires – principalement les secrets de fabrication, les listes de clients, les actifs incorporels, des prix d’achat préférentiels…
  • personnelles

 

La protection des données du personnelle pour la Fonction Ressources Humaines

La fonction des Ressources Humaines étant au cœur des relations entres les collaborateurs et l’entreprise, il sera essentiel de respecter les législations en vigueur afin de garantir le respect de la vie privée et des droits des employés en matière de traitement de leur donnée personnelles. 

 

Les données collectées et exploitées dans les services RH appartiennent la plupart du temps à la catégorie des données personnelles et sont donc : 

 

  • Soumise à aucune obligation (ex. statut marital, nombre d’enfants), même si il est d’usage de ne pas les diffuser pour respecter la vie privée des collaborateurs 
  • Soumises à discrétion (ex. les salaires de la direction, des bonus importants, retenues sur salaire),
  • Sensibles (ex. détail des arrêts maladies, adhésion aux syndicats…) – dont la loi LIPAD donne la liste 

 

Le département des ressources humaines devra donc porter une attention particulière aux points clés suivants : 

  • Obtenir le consentement explicite des employés pour collecter et traiter leur donnée personnelle et pour se faire faire preuve de transparence auprès de ces derniers afin qu’ils soient conscient de l’utilisation qui en sera faite 
  • Assurer la protection des données dites “sensibles” telle que les données médicales, religieuses ou l’appartenance syndical qui sont particulièrement protégées de par leur nature
  • Assurer le droit d’accès à leur informations personnelles et à demander leur correction au besoin
  • Avoir mis en place une gestion sécurisée des données pour éviter tout accès non autorisé, perte ou divulgation des données personnelles des employés. 
  • Connaitre et respecter les durées de conservation des données.
Illustration 1
cercle des points clés des données personnelles

Plan d'actions pour entrer rapidement en conformité - Bonnes pratiques et pragmatisme

1. Réaliser une matrice de confidentialité

Réaliser une matrice de confidentialité des données afin de cartographier l’ensemble des données en leur allouant le degré de confidentialité qu’elles méritent. En plus d’acter formellement et durablement les décisions prise et ainsi pérenniser la politique d’entreprise, cette matrice a un co-bénéfice :

  • cette démarche, conjointe avec les services informatiques, permet de reposer les questions autour du SIRH actuel et cible.
  • les diverses communications qui concluent cette étape sont l’occasion de sensibiliser l’ensemble des collaborateurs sur l’importance de la protection des données en général et personnelles en particulier et les risques potentiels liés aux violations de la vie privée.

2. Désigner un référent

Désigner un référent sur le sujet des données du personnel, de préférence au sein des ressources humaines ou du service juridique. il fera le lien avec 

  • La veille réglementaire et juridique 
  • Point de contact privilégié en cas de question des collaborateurs ;
  • lien avec le service informatique, au premier plan pour tous les aspects de sécurité et protection des données et avec le service achats pour les obligations concernant les sous-traitants

3. Documenter et cartographier

  • Quels sont les outils et fichiers utilisant les données personnelles ?
  • Quelles sont les données traitées, et en justifier l’intérêt ?
  • En profiter pour documenter les flux d’information, interface, échanges de mails, documents papiers.
  • Un résumé de cette documentation peut être mis à disposition des managers et des employés (obligation d’informer). 

4. Vérifier la conformité

Vérifier la conformité en matière de

  • contrôle d’accès, protection des données du personnel contre les accès non autorisés, les fuites et les violations ;
  • contrats et certificats concernant les logiciels tiers ;
  • accès par des sous-traitants et tiers à ces données (maintenance des logiciels par exemple).

5. Réaliser annuellement des audits internes

Réaliser annuellement des audits internes pour vous assurer que vos pratiques de gestion des données sont conformes aux réglementations applicables.

Illustration 2 - Matrice simplifiée de confidentialité
Degré de confidentialité
Type de données
Professionnel
Discrétion
Confidentialité
Secret
Non personnelle
Personnelle – non sensible
Employés
Autres tiers (ex. clients, contacts, prospects)
Personnelle – sensible
Employés
Autres tiers (ex. clients, contacts, prospects)

La protection des données du personnel - Cas client

Bien que la question de la protection des données du personnel soit un sujet à part entière et requiert un réel travail de réflexion et de structuration. Ce dernier est rarement pris en main par les Ressources Humaines comme un projet à part entière, mais au détour d’un projet informatique. 

Un de nos clients du secteur publique a profité du projet de migration d’ERP (passage de SAP ECC à SAP S/4Hana) pour initier la digitalisation des dossiers du personnel.

Face à ce souhait de digitalisation, toutes les notions autour de la protection des données du personnel furent abordées à savoir : 

  • Quels sont les outils concernés et quel est le paysage applicatif cible ? Où est-ce que les données vont être stockées ? (cloud ou on premises) 
  • Quels sont les personnes et/ou services autorisés à consulter et/ou manipuler les documents ? 
  • Quelles sont les données à reprendre des anciens systèmes ? 
    • Quels sont les besoins du service ? 
    • Quelle est la législation en rigueur pour chaque type de document ? 
  • Combien de temps les données doivent-elles être conservées et quelles sont les règles de gestion internes à l’organisation ? 
    • Comment le consentement des collaborateurs va-t-il être collecté ? (exemple : au cours du processus de recrutement sur l’application SuccessFactors par le biais d’une case à cocher ou encore au moment de la signature du contrat via par le biais d’un courrier signé).

Pour répondre à l’ensemble de ces questions, nous nous sommes basés sur une analyse des processus RH. Ces processus ont été modélisés de manière fine dans le cadre du projet en reprenant les informations suivantes : 

  • Détail du processus au niveau transactionnel
  • Objet fonctionnel SAP en lien avec le document 
  • Liste des documents stockés 
  • Déclenchement du document
  • Outil pour générer le document 
  • Workflow 
  • Outil de stockage
  • Reprise de l’historique depuis ECC 

 

Ce document avait un double objectif : 

  1. La validation des process en répertoriant avec le client l’ensemble des documents stockés 
  2. La validation des différentes interfaces qui intervenaient dans le process pour manipuler les documents 

Une fois ce travail fait nous nous sommes appuyés sur les données des processus pour déterminer les règles de stockage et d’autorisation d’accès pour alimenter ainsi diverses matrices (de confidentialité, d’accès, de stratégie de migration, etc).

C’est ainsi qu’une grande partie du dossier du personnel a été dématérialisée, en alliant le changement d’ERP, la mise en place d’une gestion documentaire et le respect de la nLDP.

Acronymes
  • ERP : Enterprise Resrouce Planning

  • LPD : Loi sur la Protection des Données

  • SIRH : Système d’Information des Ressources Humaines

  • RGP : Règlement Général sur la Protection des Données
Références et notes​

Loi fédérale sur la protection des données

Principales nouveautés introduites par la nLPD

Dans le secteur public on va trouver en la notion de secret de fonction avec ses propres définitions, obligations et fonctionnement.

Pour certaines professions réglementées (avocats, médecins…) on aura aussi la notion de Secret Professionnel avec là aussi ses propres obligations et devoirs.

AUTEUR DE LA PUBLICATION​

Tomorrow

Acteur du conseil en stratégie et management

BLOG

D'autres publications peuvent également vous intéresser

Découvrez davantage d’inspiration ! Notre sélection de publications, cas clients inspirants et livres blancs exclusifs vous ouvre la porte vers un monde d’opportunités. Explorez des récits de réussite, des analyses pointues et des conseils pratiques qui vous aideront à façonner l’avenir de votre entreprise.