Loi révisée sur la Protection des Données : quelles conséquences pour le groupe FCT ?
Me Isabelle Hering,
DPO Associates Sarl
La loi révisée sur la Protection des Données (ci-après « nLPD ») est entrée en vigueur le 1er septembre 2023. Afin d’examiner les mesures de mise en conformité qu’elle impose aux institutions de prévoyance, nous avons eu la chance de nous entretenir avec une spécialiste de ce domaine, Me Isabelle Hering. Me Hering qui exerce à Nyon est en effet titulaire du brevet d’avocat et de deux maîtrises (LL.M) en droit international des affaires et en règlement des différends internationaux et est médiatrice FSA. Elle est en outre associée fondatrice de la société DPO Associates Sarl qui propose des services de mise en conformité à la LPD et au règlement européen de protection des données (RGPD) et des services de conseiller à la protection des données (CPD/DPO) externe.
Me Hering, pourriez-vous pour commencer nous parler du but et du champ d’application de la nLPD ?
En premier lieu, je pense qu’il convient de préciser que la LPD vise à protéger la personnalité des personnes concernées et non pas leurs données. Cette loi est la concrétisation de la protection de ce droit fondamental inscrit dans la Constitution suisse ainsi que dans la Convention européenne des droits de l’homme. Son but est de favoriser la transparence des traitements et de redonner la maitrise de leurs données aux personnes concernées (droit à l’autodétermination informationnelle). Cette maîtrise est devenue encore plus indispensable qu’auparavant en raison de l‘évolution extraordinaire des nouvelles technologies qui démultiplient les possibilités d’échange et de stockage des données.
Quels sont les objectifs de la révision récente de cette loi ?
La loi révisée accorde de nouveaux droits aux personnes concernées tout en mettant à niveau la législation suisse avec le droit de l’Union européenne (RGPD). Elle renforce en particulier le droit à l’information en incluant désormais les données simples (comme le nom d’une personne, son numéro de téléphone ou son numéro AVS) alors qu’elle ne concernait précédemment que les données dites « sensibles » (relatives à la santé, la religion ou l’orientation sexuelle par exemple). La LPD introduit également les notions de « privacy by design » et « by default » qui impliquent que les obligations relatives à la protection des données soient prises en compte dès la conception d’un produit ou d’un service et que le plus haut niveau de protection de la vie privée soit applicable par défaut, c’est-à-dire sans intervention de la part des utilisateurs. Enfin, mentionnons encore l’obligation pour les entreprises employant plus de 250 personnes ou traitant beaucoup de données sensibles de tenir un registre des activités de traitement des données et pour les organes fédéraux, non seulement de tenir un tel registre mais également de désigner un conseiller à la protection des données.
Comment s’applique la nLPD aux fondations du groupe FCT ?
Parmi les responsables de traitement de données, la loi opère un distinguo entre les personnes privées, qu’elles soient physiques ou morales comme les sociétés anonymes ou les entreprises individuelles et les organes fédéraux, c’est-à-dire les autorités, services fédéraux ou personnes chargées d’une tâche publique de la Confédération comme l’AVS et toutes les caisses de compensation et de retraite pour l'assurance obligatoire. Pour le groupe FCT, cela signifie que la FCT est considérée comme un organe fédéral dans la mesure où elle est active dans le domaine de la prévoyance professionnelle obligatoire alors que la FCT 1e est considérée comme une personne privée car elle offre des prestations sur-obligatoire. Cela a pour conséquence que la FCT est formellement soumise à des règles de protection des données plus strictes que sa fondation-sœur, mais le groupe FCT a décidé d’appliquer tout de même à la FCT 1e les règles de protection plus strictes.
Qu’en est-il des sous-traitants du groupe FCT, comme sa société de direction, FCT Services SA, et son prestataire responsable de l’Administration des fondations, Trianon SA ?
La mise en conformité du groupe FCT a été menée main dans la main avec FCT Services SA et Trianon SA qui ont fait preuve d’une transparence très appréciée. Leur participation a été essentielle afin d’harmoniser les processus et mettre en place une gouvernance cohérente. Dans leurs activités de sous-traitants du groupe FCT, les deux sous-traitants ont mis en place leur registre des traitements ainsi que tous les documents nécessaires à assurer une protection maximale des données des assurés.
Vous avez été nommée CPO/DPO du groupe FCT. Comment envisagez-vous votre rôle ?
Les activités essentielles du CPO/DPO sont le conseil et l’accompagnement. Le droit suisse utilise d’ailleurs précisément ce terme de conseiller à la protection des données. Je suis là pour m’assurer que les Fondations prennent les bonnes décisions relatives à la protection des données de leurs assurés et rédigent les documents adéquats. Je donne un avis indépendant à chaque fois que cela est nécessaire, en particulier si les choses venaient à aller mal. En revanche, je souligne que le DPO n’a pas la responsabilité de décider pour le responsable de traitement, c’est à ce dernier qu’il appartient de prendre ses propres décisions.
Comment évaluez-vous la mise en place de la LPD au sein du groupe FCT ?
Même si le risque zéro n’existe pas, je pense que du point de vue du CPD/DPO que je suis, le groupe FCT et ses sous-traitants ont mis en place les nouvelles dispositions réglementaires en respectant les meilleures pratiques en la matière. Il est indéniable que cette mise en conformité a représenté un effort considérable mais elle a également été une excellente opportunité de mieux réfléchir à la quantité et à la qualité des données récoltées et sur leur durée de conservation. Elle a permis au fond de renforcer la cartographie des processus internes ou externes en matière de données, de faire les corrections nécessaires et finalement de limiter les traitements au strict minimum. Finalement, il faut souligner que cette tâche a pu être réalisée conjointement avec 5 autres institutions de prévoyance, ce qui a grandement favorisé les échanges de compétences et contribué à réduire significativement les coûts de mise en œuvre. Je suis convaincue que la mise en conformité du groupe FCT avec la LPD contribuera à renforcer le lien de confiance qu’elle maintient avec ses clients et assurés.
***
Merci à Me Isabelle Hering pour cette interview et son précieux soutien en qualité de CPO/DPO du groupe FCT !
