Révision de la Loi fédérale sur la protection des données (LPD) : les employés susceptibles d’être amendés à hauteur de CHF 250'000.- ?

Actuellement, l’amende maximale à laquelle une personne privée peut être condamnée par la Loi fédérale sur la protection des données (LPD) s’élève à CHF 10’000.- (art. 34 et 35 LPD).

Ce montant apparaît tout à fait dérisoire face au RGPD, qui prévoit des sanctions allant jusqu’à 20 millions d’euros ou 4% du chiffres d’affaires annuel mondial total de l’exercice précédent (art. 83 RGPD).

Cependant, la LPD actuelle, qui date de 1992, fait actuellement l’objet d’une révision totale. Dans ce cadre, les dispositions pénales de la LPD seront complétées et l’amende maximale augmentée de CHF 10’000.- à CHF 250’000.-, ce qui correspond à une augmentation d’environ 2400%.  Le Projet initial prévoyait d’ailleurs une amende maximale de CHF 500’000.-.

Ceci n’est pas la seule modification notable : les sanctions pénales du P-LPD visent non plus le « maître du fichier », mais le « responsable de traitement ». Il est alors à craindre que les employés et administrateurs personnellement soient condamnés, en lieu et place de la société, à payer cette amende, dont le montant maximal apparaît alors tout de suite exorbitant.

Cette crainte, exprimée notamment dans la procédure de consultation, ressort notamment de la Synthèse datée du 10 août 2017, qui expose ce qui suit :

« La principale critique provient du fait que les sanctions pénales visent prioritairement les personnes physiques, alors que, selon les participants, ce sont les entreprises qui devraient être punissables directement. On craint notamment que de simples employés, sans pouvoir de décision et de représentation au sein de l’entreprise, ne soient condamnés. Le spectre de la sanction pénale rendrait par ailleurs difficile le recrutement de personnel qualifié et motivé, notamment de conseillers à la protection des données, du fait que les sanctions pénales visent prioritairement les personnes physiques, alors que, selon les participants, ce sont les entreprises qui devraient être punissables directement ».

Le Message du Conseil fédéral, disponible dans la FF n° 45 du 14 novembre 2017 (FF 2017 p. 6565) et sous le lien https://www.admin.ch/opc/fr/federal-gazette/2017/6565.pdf, se veut rassurant en expliquant ce qui suit : « La crainte que n’importe quel employé d’une entreprise traitant des données puisse être condamné est infondée. ». Il ajoute que « la plupart des comportements punissables concernent en effet le responsable du traitement. Lorsque ce dernier est une entreprise, l’infraction est alors imputée aux représentants des organes dirigeants, en application de l’art. 29 CP » (p. 6597).

Or, cet argument ne suffit pas à apaiser la crainte exprimée ci-dessous, ce pour les raisons suivantes :

• La notion de « responsable du traitement» est définie à l’art. 4 let. i P-LPD comme « la personne privée ou l’organe fédéral qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données personnelles » ;

En pratique, ceci signifie que si le directeur d’un département RH donne l’instruction, dans l’exercice de ses fonctions, à l’un de ses employés de créer un fichier des employés grâce au logiciel Excel, il est le responsable de traitement. Il engage alors sa responsabilité personnelle à hauteur de CHF 250’000.- s’il viole certaines de ses obligations légales en lien avec ce fichier.

• Même si on admet que le responsable de traitement est la société, ce seront ses administrateurs personnellement qui seront visés par l’amende de CHF 250’000.-, et non la société, comme le confirme le Message du Conseil fédéral par les termes « l’infraction est alors imputée aux représentants des organes dirigeants ».

En effet, l’organe dirigeant d’une société anonyme est le Conseil d’administration, dont les représentants sont impérativement des personnes physiques.

Ceci implique qu’il n’est dès lors pas exclu que les administrateurs de la société soient condamnés personnellement à une amende jusqu’à CHF 250’000.- en cas de violation de certaines dispositions pénales de la P-LPD.

Au vu de ce qui précède, il est à craindre que cette refonte, qui impose une responsabilité considérable à des personnes physiques actives au sein de personnes morales et qui risque de faire largement parler d’elle lors de l’entrée en vigueur de la nouvelle LPD, soit une embûche future pour le recrutement de personnel compétent à des postes élevés.

WILHELM Avocats SA – 4 février 2019