Le Parlement européen et le Conseil de l’Union Européenne ont adopté le nouveau Règlement européen relatif à la protection des données (2016/679) dont l’entrée en vigueur est fixée au printemps 2018. Dans cet article, nous  allons procéder à une première analyse des changements qu’il contient et de son impact potentiel pour les employeurs en Suisse.

S’agissant d’un acte législatif européen, le Règlement ne s’applique pas de manière directe à la Suisse, puisqu’il pose comme condition une activité relevant du droit de l’Union. L’activité professionnelle effectuée par un ressortissant européen sur territoire suisse n’entre donc pas dans les champs d’application matériel et territorial du droit de l’UE, décrits aux art. 2 et 3 du Règlement.

Cela dit, l’importance cruciale de l’Union Européenne pour la Suisse sur de nombreux plans a pour conséquence l’adaptation du droit suisse au droit de l’Union, ceci dans un but d’harmonisation. En conséquence, les avancées législatives contenues dans ce Règlement pousseront le législateur suisse à adapter le droit national de la protection des données ; il faut toutefois relever que dans ce domaine précis, la législation suisse – en premier lieu la LPD – offre d’ores et déjà un cadre légal correspondant sur de nombreux points à ce nouveau Règlement.

Le nouveau Règlement remplacera à l’horizon 2018 une directive datant de 1995; à ce titre, les modifications et innovations législatives sont légion. Nous ne mentionnerons dans cet article que trois modifications parmi les plus pertinentes dans le cadre du recrutement et du traitement des données personnelles par un employeur.

Tout d’abord, l’art. 4 ch. 11 du Règlement donne une définition explicite du consentement au traitement de données personnelles et de la forme de celui-ci. L’art. 7 du Règlement explicite quant à lui les conditions et modalités relatives au consentement. Dorénavant, le consentement devra être obtenu de manière obligatoire, explicite et ponctuelle, par opposition à un consentement général donnant carte blanche à l’employeur. Ce qui prévaut actuellement en droit suisse, c’est lorsqu’il s’agira de données sensibles et de profils de la personnalité́ que le consentement de l’employé devra être au surplus explicite (cf. art. 4 al. 5 LPD, art. 9 Règlement).

Deuxièmement, les art. 5 et 6 du Règlement consacrent les principes, également connus en droit suisse, de licéité, de proportionnalité et de finalité, pour ne citer que les plus importants, auquel le traitement de données personnelles doit obéir. Cela signifie que l’employeur ne peut collecter des informations sur ses candidats ou employés que s’il respecte l’obligation légale d’obtention du consentement, s’il ne collecte pas plus d’informations que celles qui sont nécessaires pour le poste en question et si le but de ladite collecte est dès le départ clair pour l’employé actuel ou futur. La plupart de ces conditions semblent néanmoins déjà bien ancrées dans la loi suisse, notamment par l’article 328b CO.

Enfin, le régime de responsabilités et de sanctions pour des manquements à la protection des données a été précisé et renforcé. L’art. 83 du Règlement prévoit une série de critères servant à déterminer si tel ou tel comportement doit être sanctionné administrativement, et pose un cadre maximal pour les sanctions pécuniaires à l’encontre des entreprises, la plus lourde se montant à 20’000’000 € au maximum. L’art. 84 réserve de plus le droit des Etats membres de prévoir d’autres types de sanctions, complémentaires aux sanctions administratives, telles des sanctions pénales.

Même si nous connaitrons seulement dans quelques années les interprétations exactes du nouveau Règlement Européen, toutes ces modifications législatives indiquent une préoccupation toujours plus accrue à l’égard de la protection des données ainsi que du droit des employés et candidats. Bien que la Suisse ait déjà un cadre légal très avancé en la matière, il est probable qu’elle s’alignera sur le Règlement, notamment au niveau des modalités du consentement et des sanctions pénales, très sévères dans ce dernier.

Les auteurs de cet article travaillent comme collaborateurs juridiques au sein de la sociéte Aequivalent SA.