PDFTéléchargement gratuit

Checklist conformite nLPD pour DRH — Auto-evaluation

Checklist PDF d'auto-evaluation de conformite a la nLPD pour les departements RH. 20 points de controle, scoring par categorie et plan d'action prioritaire.

Votre email est uniquement utilisé pour vous envoyer le modèle. Pas de spam.

nLPD et ressources humaines : les 20 points de conformite essentiels

Depuis le 1er septembre 2023, la nouvelle loi federale sur la protection des donnees (nLPD) impose des obligations renforcees a toutes les entreprises suisses. Pour les departements RH, qui traitent quotidiennement des donnees personnelles sensibles (donnees de sante, evaluations de performance, informations salariales), la mise en conformite n'est pas une option — c'est une necessite juridique et operationnelle.

Claire, DRH d'une PME de 120 personnes a Fribourg, a decouvert lors d'un audit interne que 14 de ses 20 processus RH presentaient des lacunes de conformite. "Nous pensions etre conformes parce que nous avions une politique de confidentialite sur notre site web. En realite, nos pratiques internes n'avaient pas ete revues depuis l'ancienne LPD."

Les sanctions : une responsabilite personnelle

Contrairement au RGPD europeen qui sanctionne les entreprises, la nLPD vise les personnes physiques responsables. Les amendes peuvent atteindre 250'000 CHF et sont prononcees a l'encontre du dirigeant, du DRH ou du responsable du traitement qui a manque a ses obligations (art. 60-63 nLPD). Cette responsabilite personnelle rend la conformite d'autant plus urgente pour les professionnels RH.

Le Prpose federal a la protection des donnees et a la transparence (PFPDT) a intensifie ses activites de controle depuis l'entree en vigueur de la loi. Plusieurs enquetes sont en cours concernant des traitements de donnees d'employes, notamment dans les domaines de la surveillance au poste de travail et de la gestion des absences maladie.

Les 20 points de controle organises par categorie

Categorie 1 : Collecte des donnees (art. 5-6 nLPD)

Point 1 — Inventaire des donnees collectees. Avez-vous recense l'ensemble des donnees personnelles collectees dans le cadre de la relation de travail ? Cela inclut les donnees du recrutement (CV, lettres de motivation, resultats de tests), les donnees contractuelles (salaire, taux d'activite, horaires), les donnees de sante (certificats medicaux, absences maladie) et les donnees d'evaluation (entretiens annuels, feedback 360).

Point 2 — Principes de proportionnalite. Ne collectez-vous que les donnees strictement necessaires a la finalite declaree ? Par exemple, demander la religion d'un candidat n'est justifie que pour les employeurs confessionnels. Demander l'etat de sante n'est licite que si l'emploi l'exige (poste de securite, par exemple).

Point 3 — Information des personnes concernees. Informez-vous clairement vos collaborateurs et candidats sur les donnees collectees, les finalites du traitement, les destinataires eventuels et la duree de conservation (art. 19-21 nLPD) ? Cette information doit etre fournie au moment de la collecte, idealement via une declaration de confidentialite RH remise a chaque collaborateur.

Point 4 — Base legale du traitement. Chaque traitement de donnees doit reposer sur une base legale : execution du contrat de travail, obligation legale (declarations AVS, LPP, impot a la source), interet preponderant de l'employeur, ou consentement du collaborateur. Le consentement doit rester l'exception dans la relation de travail, car il est rarement considere comme libre compte tenu du lien de subordination.

Categorie 2 : Stockage et securite (art. 7-8 nLPD)

Point 5 — Securite des donnees. Avez-vous mis en place des mesures techniques et organisationnelles appropriees pour proteger les donnees RH contre l'acces non autorise, la perte ou la destruction ? Cela inclut le chiffrement des dossiers personnels numeriques, la protection par mot de passe des fichiers Excel contenant des donnees salariales, et la securisation physique des dossiers papier.

Point 6 — Acces restreint. L'acces aux donnees du personnel est-il limite aux personnes qui en ont besoin dans le cadre de leur fonction ? Thomas, responsable IT d'une PME a Winterthour, a decouvert que 15 personnes avaient acces au repertoire des dossiers personnels alors que seuls 3 collaborateurs RH en avaient legitimement besoin.

Point 7 — Sous-traitants (art. 9 nLPD). Si vous utilisez un logiciel de paie en cloud, un outil de recrutement en ligne ou un prestataire de gestion des absences, avez-vous conclu un contrat de sous-traitance conforme a l'art. 9 nLPD ? Ce contrat doit garantir un niveau de protection des donnees equivalent.

Point 8 — Transfert a l'etranger. Si vos donnees RH sont hebergees hors de Suisse (serveurs d'un fournisseur cloud aux Etats-Unis, par exemple), avez-vous verifie que le pays de destination offre un niveau de protection adequat selon la liste du Conseil federal, ou avez-vous mis en place des garanties appropriees (clauses contractuelles types) ?

Categorie 3 : Droits des personnes concernees (art. 25-29 nLPD)

Point 9 — Droit d'acces. Etes-vous en mesure de repondre a une demande d'acces d'un collaborateur dans un delai de 30 jours (art. 25 nLPD) ? Le collaborateur a le droit de savoir quelles donnees vous detenez sur lui, les finalites du traitement, les destinataires et la duree de conservation.

Point 10 — Droit de rectification. Disposez-vous d'une procedure pour corriger les donnees inexactes signalees par un collaborateur ? Cela concerne aussi bien les erreurs dans le dossier personnel que les appreciations contestees dans un entretien d'evaluation.

Point 11 — Droit de suppression. Etes-vous en mesure de supprimer les donnees d'un ancien collaborateur lorsqu'elles ne sont plus necessaires ? Attention aux delais de conservation legaux (10 ans pour les documents comptables, 5 ans pour les creances salariales) qui peuvent justifier le maintien de certaines donnees.

Categorie 4 : Conservation et suppression

Point 12 — Politique de retention. Avez-vous defini des durees de conservation pour chaque categorie de donnees RH ? Les dossiers de candidats non retenus doivent etre supprimes dans un delai raisonnable (3 a 6 mois apres la fin du processus de recrutement).

Point 13 — Suppression effective. Les donnees sont-elles reellement supprimees a l'echeance de la duree de conservation, ou restent-elles dans vos systemes par defaut ? Mettez en place un processus de purge automatique ou un rappel periodique.

Categorie 5 : Gestion des incidents (art. 24 nLPD)

Point 14 — Procedure de notification. En cas de violation de la securite des donnees (fuite de donnees salariales, acces non autorise a un dossier medical), disposez-vous d'une procedure pour notifier le PFPDT dans les meilleurs delais (art. 24 nLPD) ? La notification est obligatoire lorsque la violation entraine un risque eleve pour les personnes concernees.

Point 15 — Registre des incidents. Tenez-vous un registre des incidents de securite, meme mineurs ? Ce registre est essentiel pour demontrer votre diligence en cas de controle.

Categorie 6 : Gouvernance

Point 16 — Registre des activites de traitement. Avez-vous etabli un registre des activites de traitement RH ? Ce registre est obligatoire pour les entreprises de plus de 250 collaborateurs, et fortement recommande pour toutes les PME.

Point 17 — Analyse d'impact. Avez-vous realise une analyse d'impact relative a la protection des donnees (AIPD) pour les traitements a risque eleve, comme la videosurveillance sur le lieu de travail ou les outils de monitoring informatique ?

Point 18 — Formation des equipes RH. Vos collaborateurs RH sont-ils formes aux exigences de la nLPD ? Une formation annuelle est recommandee pour maintenir le niveau de sensibilisation.

Point 19 — Conseiller a la protection des donnees. Avez-vous designe un conseiller a la protection des donnees (DPO) ? Cette designation est facultative en droit suisse, contrairement au RGPD, mais fortement recommandee pour les entreprises qui traitent des donnees sensibles a grande echelle.

Point 20 — Audit periodique. Realisez-vous un audit de conformite au moins une fois par an ? La conformite n'est pas un etat statique — elle doit etre maintenue face a l'evolution des processus, des outils et de la legislation.

Systeme de scoring : evaluez votre maturite

Pour chaque point de controle, attribuez-vous un statut : Conforme (le processus est en place et documente), A risque (le processus existe partiellement mais necessite des ameliorations), ou Non conforme (le processus n'existe pas ou presente des lacunes majeures).

Priorisez vos actions en commencant par les points non conformes lies aux sanctions les plus severes : collecte disproportionnee de donnees, absence d'information des collaborateurs, defaut de securite des donnees sensibles et absence de procedure de notification des incidents.

Notre checklist PDF gratuite

La checklist d'auto-evaluation que nous mettons a votre disposition reprend ces 20 points de controle avec un systeme de scoring visuel, des recommandations pratiques pour chaque point et un plan d'action prioritaire. Elle est concue pour etre completee en 60 a 90 minutes par le responsable RH, idealement en collaboration avec le responsable informatique et, le cas echeant, le conseiller a la protection des donnees.

Questions fréquentes

La nLPD s'applique-t-elle a toutes les entreprises, quelle que soit leur taille ?

Oui, la nLPD s'applique a toutes les entreprises suisses, de l'independant a la multinationale, des lors qu'elles traitent des donnees personnelles. Il n'existe pas de seuil minimal comme dans certains reglements europeens. Seule difference : le registre des activites de traitement n'est obligatoire que pour les entreprises de plus de 250 collaborateurs, bien qu'il soit fortement recommande pour toutes les organisations.

Quelles sont les sanctions en cas de non-conformite ?

Les amendes peuvent atteindre 250'000 CHF et visent les personnes physiques responsables, pas l'entreprise elle-meme (art. 60-63 nLPD). Sont concernes les dirigeants, DRH et responsables du traitement qui violent intentionnellement les obligations d'information, de securite ou de confidentialite. Les violations par negligence peuvent egalement etre sanctionnees dans certains cas. En plus des amendes, le PFPDT peut ordonner la cessation du traitement litigieux.

Faut-il designer un DPO (Data Protection Officer) ?

Contrairement au RGPD europeen, la nLPD ne rend pas la designation d'un conseiller a la protection des donnees obligatoire. Toutefois, elle est fortement recommandee pour les entreprises qui traitent des donnees sensibles a grande echelle — ce qui est le cas de la plupart des departements RH. Le conseiller peut etre un collaborateur interne ou un prestataire externe. Sa designation offre un avantage pratique : elle permet de beneficier d'une procedure de consultation facilitee avec le PFPDT.

Le consentement du collaborateur est-il toujours necessaire pour traiter ses donnees ?

Non, le consentement n'est qu'une des bases legales possibles. Dans le contexte de la relation de travail, la plupart des traitements reposent sur l'execution du contrat (paie, gestion des absences), des obligations legales (declarations AVS, LPP, impot a la source) ou l'interet preponderant de l'employeur. Le consentement est d'ailleurs problematique dans la relation de travail car il est rarement considere comme libre, en raison du lien de subordination. Reservez-le aux situations ou aucune autre base legale ne s'applique.

A quelle frequence faut-il realiser un audit de conformite ?

Il est recommande de proceder a un audit complet au moins une fois par an. Des revues intermediaires sont egalement conseillees lors de changements significatifs : introduction d'un nouveau logiciel RH, modification des processus de recrutement, mise en place de la videosurveillance ou du monitoring informatique, changement de prestataire de paie. L'audit annuel permet de verifier que les pratiques restent conformes et d'identifier les eventuels ecarts apparus depuis le dernier controle.

Références légales

Art. 5-8 nLPD — Principes de traitement des donnees personnelles
Art. 19-21 nLPD — Devoir d'information du responsable du traitement
Art. 25 nLPD — Droit d'acces de la personne concernee
Art. 60-63 nLPD — Dispositions penales (sanctions jusqu'a 250'000 CHF)