- Nouveau : les personnes, et non les entreprises, sont punissables en cas de violation de la protection des données, avec des amendes pouvant atteindre 250 000 CHF et une éventuelle inscription au casier judiciaire.
- Sont surtout punissables les obligations d’information, de renseignement, de sécurité des données ainsi que de traitement des commandes et de transfert à l’étranger ; les autres obligations restent impunies.
- Prendre des mesures préventives : Il est recommandé d’aiguiser l’organisation, de mettre en place des voies décisionnelles claires et de documenter de manière exhaustive les décisions relatives aux risques.
- Les assurances ne remplacent pas la responsabilité ; la couverture des amendes est considérée comme non assurable, seuls les frais de défense et de procédure sont assurables.
C’est la nouveauté de la loi révisée sur la protection des données la plus discutée dans les milieux de la protection des données : les nouvelles dispositions pénales. L’incertitude est grande et de nombreuses entreprises – et leurs collaborateurs chargés de la protection des données – se demandent comment “gérer” le risque pénal dans la pratique de l’entreprise.
Rappel : en cas de violation des dispositions relatives à la protection des données, la nouvelle loi sur la protection des données, à la différence du RGPD, ne punit pas les entreprises, mais les personnes qui agissent en leur nom. Une amende pouvant aller jusqu’à 250 000 CHF, combinée dans certains cas à une inscription au casier judiciaire (visible uniquement pour les autorités). Seuls les actes intentionnels sont punissables, ce qui inclut non seulement la commission volontaire de l’infraction, mais aussi l’acceptation de celle-ci. La plupart du temps, une plainte pénale d’une personne concernée est nécessaire pour que les autorités de poursuite pénale agissent. Une personne concernée peut déposer une telle demande, mais pas le PFPDT.
Sont surtout menacées de sanctions les obligations d’information et de renseignement, la garantie d’une sécurité adéquate des données ainsi que les obligations en cas de recours à des sous-traitants et de transferts de données à l’étranger. La violation d’autres obligations reste en revanche impunie. Ainsi, celui qui, par exemple, ne déclare pas une violation de données, ne tient pas de registre des traitements ou omet de procéder à une analyse d’impact sur la protection des données malgré des risques élevés, n’a pas à craindre de sanction. Le choix des obligations punissables est assez aléatoire et ne reflète au mieux qu’en partie le caractère illicite de la violation de l’obligation.
De nombreuses stratégies, mais pas de “Silver Bullet
Quelles précautions peuvent donc être prises en vue du nouveau régime pénal ? La meilleure protection contre une procédure pénale est bien entendu le respect de la législation sur la protection des données. Celui qui respecte la loi n’a rien à craindre. Seulement, le droit de la protection des données est devenu si complexe et si strict qu’il est difficile de respecter toutes les dispositions à tout moment et dans leur intégralité. La réflexion doit donc aller au-delà des efforts visant à garantir au mieux le respect des règles.
Dans la pratique, les stratégies suivantes se sont notamment dégagées pour faire face aux nouvelles dispositions pénales :
- Assurance : De nombreuses entreprises disposent déjà d’une assurance D&O ou d’une assurance contre les cyber-risques. L’idée d’étendre la couverture d’assurance aux nouvelles amendes prévues par la loi sur la protection des données est évidente. Selon l’opinion dominante, les amendes de la nouvelle loi sur la protection des données, en tant que sanctions pénales, sont toutefois de nature hautement personnelle et ne peuvent donc pas être assurées. Selon l’opinion répandue, un assureur se rendrait même coupable de favoritisme et donc lui-même punissable. Seuls (mais tout de même) les frais de défense pénale et de procédure, qui sont déjà inclus dans la couverture de nombreuses assurances D&O courantes, sont assurables.
- Prise en charge des amendes par l’employeur : L’effet est proche de celui d’une assurance lorsque l’entreprise promet à ses collaborateurs de prendre en charge une éventuelle amende. Certaines entreprises envisagent apparemment de le faire, mais la plupart sont réticentes. Les entreprises attendent de leurs collaborateurs qu’ils respectent les lois en vigueur. Il s’agit de créer des incitations pour un comportement conforme à la loi, et non pour des infractions à la loi. La punissabilité dans le cadre de la nouvelle loi sur la protection des données présuppose en outre par définition une intention, et quelle entreprise souhaiterait indemniser ses collaborateurs s’ils ont agi intentionnellement de manière illégale. (Sachant que dans la pratique, le dol éventuel, également punissable, est toutefois plus proche de la négligence que du “savoir et vouloir” classique de l’acte). A cela s’ajoute le fait que, dans ce cas également, l’opinion selon laquelle une prise en charge de l’amende échoue en raison du caractère hautement personnel des sanctions pénales est largement répandue.
- Aiguiser les voies de décision : La volonté d’affiner l’organisation et de créer des structures décisionnelles claires est très répandue. L’objectif est de définir clairement pour toutes les personnes concernées où les décisions sont prises et qui ne fait que créer des bases de décision sans prendre de décision elle-même. Cela permet de clarifier les responsabilités. La plupart des responsables de la protection des données au sein des entreprises voudront préciser à cet égard que les délégués à la protection des données ou les conseillers à la protection des données n’ont qu’un rôle consultatif et non décisionnel. Ces structures décisionnelles devraient également se refléter dans les descriptions de poste et de fonction pertinentes. En complément, des dispositions DPO et des réglementations d’accompagnement similaires peuvent consolider davantage les compétences définies. – La stratégie inverse consisterait d’ailleurs à créer sciemment des structures décisionnelles diffuses et à rendre aussi difficile que possible l’identification de la personne responsable par les autorités de poursuite pénale. Ceci dans l’espoir que les autorités de poursuite pénale fassent usage de la possibilité prévue par la loi de punir l’entreprise commerciale au lieu de la personne physique. Même si cette stratégie pourrait tout à fait aboutir au résultat souhaité, on ne peut pas sérieusement conseiller de dissimuler sciemment les responsabilités.
- Documentation : Un conseil souvent entendu est de documenter autant que possible. Les décisions relatives aux risques, en particulier, devraient être documentées de manière exhaustive et donc compréhensibles. Cela ne permet certes pas toujours d’éviter les violations des dispositions relatives à la protection des données, mais il devrait être difficile de conclure à un acte intentionnel. D’un autre côté, la documentation peut aussi être un échec : s’il est documenté qu’une violation de la protection des données a été sciemment acceptée, l’intention éventuelle est quasiment prouvée.
- Preneur de risque désigné : L’une des approches les plus originales consiste à désigner un “preneur de risque désigné” (Designated Risk Taker), vers lequel les risques de sanction sont canalisés autant que possible. L’avantage : grâce à une attribution claire, le risque de sanction devient “gérable”. Les risques peuvent être évalués et indemnisés, c’est-à-dire rémunérés. La construction dérivée du secteur financier est un jeu d’esprit intéressant, mais dans la pratique, l’approche n’est guère praticable. La responsabilité pénale est déterminée par les conditions et les structures décisionnelles réelles, et non par des affectations conçues. En outre, il faut être d’un naturel très enclin à prendre des risques pour se mettre à disposition en tant que “Designated Risk Taker”.
Un mauvais service rendu à la protection des données
L’aperçu ci-dessus montre qu’il n’existe pas de recette miracle pour faire face aux nouvelles dispositions pénales. Le risque de sanctions pénales dans le cadre de la loi révisée sur la protection des données est une réalité et ne peut être ni assuré ni “organisé”. Il vaut toutefois la peine de se pencher sur les dispositions pénales et d’élaborer une stratégie. Un renforcement de l’organisation et des structures décisionnelles ainsi qu’une documentation conséquente des décisions prises en matière de risques constituent certainement de bons points de départ. Il reste encore un peu de temps. Il reste encore environ un an avant l’entrée en vigueur de la révision.
Cependant, les premiers effets des nouvelles dispositions pénales sont déjà observables aujourd’hui. Les entreprises rapportent que la volonté d’assumer une fonction proche de la protection des données au sein d’une entreprise a sensiblement diminué. L’une des raisons est la crainte de s’exposer au risque de sanctions pénales. C’est un signe d’avertissement : Les organisations de protection des données qui fonctionnent se basent sur des fonctions de protection des données décentralisées dans les secteurs d’activité. Si celles-ci ne sont pas occupées comme souhaité, une protection des données efficace devient difficile. Les nouvelles dispositions pénales rendent un mauvais service aux objectifs essentiels de la protection des données.
Matthias Glatthaar est responsable de la protection des données et chargé de la protection des données à la Fédération des coopératives Migros. Il donne son avis personnel.