- La LPD révisée s’applique aux institutions de prévoyance surobligatoires en tant que responsables du traitement des données de droit privé ; les traitements doivent être licites, adéquats et proportionnés.
- Contrairement à ce qui est indiqué dans la communication, le consentement n’est pas requis de manière générale pour les données sensibles (p. ex. données relatives à la santé) ; le caractère explicite du consentement n’est nécessaire que si, dans le cas contraire, un principe serait violé.
L’Office fédéral des assurances sociales OFAS a publié en date du 11 mai 2023 la “Communications relatives à la prévoyance professionnelle No 161″ sont publiés. Ces communications contiennent des “notes” et des “avis” sur divers sujets ainsi que des références jurisprudentielles.
Les remarques concernent également la révision totale de la LPD et les adaptations correspondantes dans le domaine de la prévoyance professionnelle. Malheureusement ou heureusement, l’OFAS ne se prononce pas sur la question controversée, mais très pertinente dans la pratique, de savoir si le directeur d’une institution de prévoyance agit en tant que responsable du traitement des données ou en tant que responsable. Il convient toutefois de noter la référence suivante à la prévoyance extra-obligatoire ou surobligatoire, pour laquelle les institutions de prévoyance n’agissent pas en tant qu’organes fédéraux, mais en tant que particuliers :
Dans le domaine de la prévoyance plus étendue et de la prévoyance extra-obligatoire, les institutions de prévoyance sont considérées comme des institutions de prévoyance. en tant que particuliers et sont donc soumis aux dispositions de la LPD (avec les exceptions de l’art. 49 al. 2 LPP). Le champ d’application et les principes de la protection des données restent pour l’essentiel inchangés, même après la révision totale de la LPD : Le traitement de données personnelles par une institution de prévoyance est soumis à la protection de la personnalité prévue par le droit privé. Il doit être effectué de manière licite et ne doit pas être disproportionné, c’est-à-dire qu’il doit être approprié et nécessaire dans un cas particulier. Des exigences accrues existent en ce qui concerne le traitement des données personnelles sensibles (p. ex. données relatives à la santé), ce à quoi les institutions de prévoyance sont régulièrement confrontées. Dans le domaine de la prévoyance surobligatoire et extra-obligatoire, le traitement de ces données, y compris leur conservation et leur transmission, requiert le consentement de la personne concernée.. Le droit révisé de la protection des données fixe désormais des exigences particulières en ce qui concerne le “profilage”, c’est-à-dire le traitement et l’évaluation automatisés de données à caractère personnel.
Cette affirmation est fausse. Le traitement de données personnelles sensibles ne requiert pas de consentement, même s’il est effectué par une institution de prévoyance. La nLPD définit les exigences relatives au consentement et exige l’expressivité lors du traitement de données personnelles sensibles ; mais cela uniquement dans ce cas, si un consentement est nécessaire. Cela ne s’applique que si le traitement viole un principe et ne peut pas être justifié autrement que par un consentement. Nous avons déjà abordé cette question en détail dans le contexte du profilage – la question se pose ici de la même manière : Nouvelle LPD : pas d’exigence de consentement de principe pour le profilage, même en cas de risque élevé