12/01/2024

A quel(s) risque(s) s’expose-t-on dans l’entreprise sur le plan pénal en matière de protection des données depuis le 1er septembre 2023 ?

En 2023, c’était le principal sujet de discussion jusqu’à la rentrée de l’automne. Le cadre légal de la protection des données, plutôt discret jusqu’ici, allait devenir dès le 1er septembre un casse-tête pour les entreprises au travers de la nouvelle mouture de la LPD. Depuis la fin de l’été, quelques nouveaux ouvrages et commentaires sont encore apparus dans les librairies spécialisées. Il y a aussi eu ça et là quelques séminaires destinés aux plus ou moins initiés. Mais, globalement, le paysage juridique est resté assez calme. Le thème a-t-il déjà fait long feu ? Pas sûr. Les spécialistes attendent maintenant que les autorités judiciaires se prononcent concrètement sur les cas dénoncés et, qu’au travers des décisions à venir, on puisse enfin savoir à quel degré de prudence le gendarme a placé le curseur.

Comme on ne sait pas quand ni jusqu’à quel point nous serons fixés sur toutes les questions qui se posent, mieux vaut rester prudent. En particulier sur la question des risques au niveau pénal, car c’est là que seront vraisemblablement rendues les premières décisions qui auront un réel impact sur les entreprises (et les entrepreneurs).

De quoi faut-il s’inquiéter alors ?

Jusqu’ici on ne sait toujours pas trop quelles peuvent être les conséquences – notamment pécuniaires – du grand saut dans la new data protection pour la marche des entreprises. La loi sera-t-elle appliquée à tous et dans toute sa rigueur ou seule les violations crasses seront visées et sanctionnées ? Comparé au Règlement général sur la protection des données (RGPD) de l’UE, notre LPD est heureusement moins rigide. Sauf sur le point qui nous intéresse aujourd’hui : la responsabilité pénale dans le cadre entrepreneurial. A priori, les dispositions légales de la loi suisse prévoient toute une série de comportements qui pourraient ne pas être d’emblée identifiés comme problématiques dans la routine de l’entreprise, mais qui selon la LPD sont toutefois sanctionnables.

Que risque-t-on au juste ?

L’art. 61 LPD nous avertit que, sur plainte du PFPDT (Préposé fédéral à la protection des données et de la transparence) ou d’un particulier, le risque individuel consiste en une amende dont le montant peut aller jusqu’à… CHF 250’000.- ! De quoi être plutôt dissuasif.

En l’état, et considérant la pratique suisse en matière de contraventions dans différents domaines, une amende à six chiffres semble réservée à des infractions particulièrement graves, commises dans un cadre exceptionnel. En pratique, il devrait être rare que la « douloureuse » dépasse quelques milliers ou dizaine de milliers de francs. Difficile toutefois d’anticiper aujourd’hui. Ce sont les autorités de poursuite pénale de chaque canton qui seront compétentes ce qui promet des appréciations très différenciées de Genève à Romanshorn. En attendant d’en savoir plus au travers des décisions qui devraient commencer à être publiée en 2024, on peut déjà être attentif aux points suivants, afin de limiter les risques.

Quels manquements peuvent conduire à une amende ?

Les violations de la nLPD pouvant faire l’objet d’une poursuite pénale sont au nombre de sept :

– violation des devoirs de diligence, en communiquant sans garantie adéquate des données à caractère personnel à l’étranger, dans un pays ne disposant pas d’un niveau approprié de protection des données (art. 16 et 61 lit. a LPD, sans que les conditions de l’art. 17 soient remplies) ;

– même reproche de défaut de diligence si l’on confie le traitement des données personnelles à un sous-traitant (comme par exemple, un fournisseur de services cloud) sans cadre légal défini et approprié (contrat de service par exemple ; voir les art. 9 et 61 lit bb LPD), étant précisé que nos exigences légales minimales à ce sujet sont moins contraignantes que celles prévues dans le RGPD ;

– ou en violant les exigences minimales en matière de sécurité des données (art. 8 al. 3 et 61 lit. c LPD) [Note : ce point reste toutefois un peu nébuleux pour l’instant, car ces fameuses « exigences minimales » ne sont toujours pas très clairement définies. On peut toutefois anticiper un éventuel reproche en mettant d’ores et déjà en œuvre dans le cadre de l’entreprise les mesures de sécurité et organisationnelles que permet l’état de la technique actuelle(pare-feu, double authentification, etc.), sans devoir être obligatoirement le meilleur élève de la classe] ;

– violation des obligations (notamment d’informer ; art. 60 et 19, 21, 25 à 27 LPD) en fournissant intentionnellement (c’est-à-dire en le voulant) aux personnes auprès desquelles des données personnelles sont collectées des renseignements inexacts ou incomplets à ce propos ;

– omission (toujours intentionnelle) d’informer la personne concernée lors de la collecte de données personnelles (art. 19 et 60 LPD) ou lors d’une décision individuelle automatisée (art 21 et 60 LPD) ;

– omission – intentionnelle également – de fournir à l’intéressé.e les informations minimales prévues par la loi (en particulier les coordonnées du responsable du traitement, sa finalité et les destinataires) ;

– fourniture de renseignements intentionnellement inexacts au PFPDT ou refus de collaborer avec lui dans le cadre d’une enquête (art. 60 LPD).

Ce qui revient à dire que, s’agissant d’autres manquements (intentionnels ou non) aux exigences de la LPD, ils pourraient ne pas être sanctionnées (à moins qu’on ne puisse les relier à l’une des violations listées ci-dessus). Par exemple, l’utilisation de données personnelles à des fins non autorisées, mais non préjudiciables à l’intéressé.e, ou le fait de ne pas les supprimer à temps, le défaut de l’obligation de tenir des registres des activités de traitement ou de signaler une violation de données.

Quand peut-on considérer l’infraction comme étant « intentionnelle » ?

On vient de le voir, des amendes ne peuvent être infligées qu’en cas de violation intentionnelle. Donc, si on n’a pas « fait exprès » on est tranquille ? Pas tout à fait. En pratique, cette notion couvre aussi les situations où la personne responsable savait (ou surtout était sensée savoir) qu’une violation allait/pouvait se produire et ne s’en est pas inquiété outre mesure (ce qui devra être prouvé par le procureur chargé de l’enquête).

C’est dire que le risque de sanction concerne aussi celui ou celle qui s’abstient de se poser des questions et d’investiguer une violation potentielle, de crainte de la découvrir. Vu le nouveau degré de contrainte posé par le texte légal, certains entrepreneurs pourraient être tentés de se défendre avec un « je n’avais pas compris que je devais faire aussi ça », à qui le Procureur pourra rétorquer « Nul n’est censé ignorer la loi » !

Qui poursuit qui ?

La direction de la procédure est du ressort de chaque canton. En pratique, une plainte devra être déposée (dans les trois mois suivant la connaissance de la violation et de son auteur) par le PFPDT ou la personne lésée auprès du Ministère public cantonal (et non auprès de l’autorité chargée de la protection des données). Le procureur qui sera chargé de la poursuite ouvrira ensuite une procédure contre les personnes nommément désignées dans la plainte, ou éventuellement contre inconnu.s, s’il y a incertitude sur le potentiel fautif.

Qui est « amendable » ?

Les amendes ne s’appliquent – sauf rares exceptions – qu’aux « personnes privées ». Traduit en terme commercial, pas la société en tant que personne juridique, mais les membres de sa direction, cas échéant ses employés, voire même des collaborateurs externes. On ne vise aussi que le secteur privé et non les entités publiques, soumises à d’autres règles.

En pratique, si la plainte vise une entreprise, sans qu’il soit immédiatement possible d’identifier la personne potentiellement responsable, la procédure s’engagera d’abord contre le ou les membre(s) de la direction, qui sera/seront vraisemblablement entendu(s) dans un premier temps non pas comme prévenu(s), mais comme personne(s) appelée(s) à fournir des renseignements. L’enquête aura alors pour but de déterminer qui a commis la faute, respectivement qui était au courant, a couvert l’infraction, ou a volontairement fermé les yeux.

Sont dès lors amendables :

– celles et ceux qui commettent effectivement la violation, parce qu’ils sont responsables de l’activité enfreignant la LPD (p. ex. : en fournissant délibérément une réponse incorrecte ou incomplète à une demande de la personne concernée, en utilisant un sous-traitant sans convention préalable sur le traitement approprié des données, en rendant des données personnelles disponibles à l’étranger, etc.).

– celles et ceux qui ont l’obligation d’empêcher qu’une violation soit commise au sein de l’entreprise et qui peuvent le faire, mais ne le font pas. Ou, après avoir constaté la violation, ne font rien pour la corriger ou en atténuer les conséquences. Les personnes visées sont donc ici les membres du conseil d’administration, la direction ou une autre personne physique ayant la fonction d’organe formel et qui ont le pouvoir de donner des instructions pour empêcher la violation. Soulignons encore une fois que la passivité est aussi amendable, par exemple en omettant de mettre en place des politiques adéquates ou de réagir de manière appropriée.

Comment éviter les amendes alors ?

Avant tout, la problématique principale est celle de la taille de l’entreprise. Telle qu’elle est conçue, la nouvelle LPD s’applique de la même manière aux grandes sociétés nationales ou multinationales implantées en Suisse qu’aux PME ou entreprises individuelles.

Les moyennes et grandes sociétés – qui ont par définition de gros moyens à disposition – n’ont pas eu trop de problème à mettre en place une organisation spécifique et le contrôle de la conformité en accord avec le système légal. L’organisation basique peut se présenter plus ou moins de la manière suivante :

– au niveau de la direction, elle organise la supervision et le contrôle des différentes personnes et processus impliquées dans la conformité à la protection des données personnelles traitées par l’entreprise;

– une personne (ou un groupe de personnes) spécifique chargé de prendre les décisions basiques relatives au respect de la protection des données et de les mettre en œuvre (contrat avec les sous-traitants par exemple) ;

– un responsable de la protection des données qui conseille et soutien la personne ou le service spécifique et qui signale à la direction d’éventuels problèmes, pour qu’elle puisse prendre cas échéant les mesures adéquates qui échappent au pouvoir des personnes visées au tiret précédent (ou que celles-ci ne veulent pas prendre pour différentes raisons).

Pour les petites entreprises ou les entrepreneurs individuels, c’est plus compliqué financièrement surtout de mettre en place un tel système. Les diverses tâches décrites ci-dessus sont vraisemblablement dévolues à une seule et même personne. Généralement, il s’agit du/de la directeur/trice, qui se voit donc affubler d’une nouvelle casquette, dont la taille est encore mal définie, soit une nouvelle source d’incertitudes entrepreneuriales. En théorie, le risque de se « faire taper sur les doigts » a augmenté depuis le 1er septembre. En pratique, vu l’ampleur de la tâche de surveillance, la probabilité de se voir reprocher une violation est proportionnelle à la taille de l’entreprise (sauf pour les professions traitant exclusivement de données personnelles sensibles (avocats, médecins, fiduciaires, etc. qui, elles, resteront en 1ère ligne).

Sinon, la meilleure stratégie pour éviter les amendes est bien évidemment de se conformer, autant que faire se peut, aux contraintes de la nouvelle LPD. Il faudra aussi rester attentif à l’actualité juridique pour tirer les leçons des décisions à venir. Car elles poseront clairement qu’elles sont les limites à respecter du point de vue de la Justice. Comme la plupart des entreprises n’ont pas les moyens de se payer un juriste uniquement dédié à ces questions de protection des données, le recours à un conseil juridique externe représente la meilleure solution et le meilleur rapport efficacité/coût.

Spécifiquement, pour garantir la conformité dans un environnement d’entreprise, plusieurs mesures techniques et organisationnelles peuvent être conseillées, comme par exemple définir une politique de protection des données, donner des instructions claires et compréhensibles aux employé.e.s, même s’il n’y en a qu’un.e, mettre en place des programmes de formation et de sensibilisation à leur intention, réviser les accords avec les sous-traitants, etc.

Quel futur pour les entreprises en 2024 ?

La nouvelle loi est là, pas moyen de l’éviter. La manière dont elle va maintenant être appliquée reste par contre encore à définir. Les grandes structures, qui savent qu’elles sont en première ligne, ont en principe fait le nécessaire. Pour les PME, la situation est plus floue et beaucoup attendent encore de voir comment les choses vont évoluer avant de bouger. Choix courageux et peut-être efficace à terme… à condition de ne pas être le dindon de la farce ! En effet, cette position n’est pas sans risque, puisqu’il s’agit d’éviter de « servir de mauvais exemples ». Et le danger peut venir du PFPDT, d’un particulier, voire d’un client.

Dès lors, une prudence minimale par la compréhension des exigences légales et la mise en place de processus basiques semblent la démarche minimale adéquate à entreprendre sans tarder, si ce n’est pas déjà fait.

 

jlm/202401012

 

18/06/2023

Responsabilité pénale d’une entreprise

Question récurrente des chefs d’entreprise ou membres d’une direction : quelle responsabilité devrions-nous assumer sur le plan pénal, s’agissant d’actes commis par notre société, respectivement par l’un de ses membres ?

La réponse peut se décomposer en deux axes principaux.

Le premier consiste en une responsabilité principale pour les infractions commises dans le cadre de l’entreprise (p. ex. : mise en danger de la vie ou de l’intégrité des employés, harcèlement sexuel, violation de droits humains), ou dans lesquelles elle serait impliquée ou dont elle se serait rendue complice (par exemple dans le cadre d’un consortium d’entreprises créé pour réaliser un ouvrage).

Dans ce cas, quelles seraient les personnes amenées à répondre devant un juge et sur quelles bases ?

Le code pénal suisse (CP) ne vise pas les entreprises et ne contient pas de dispositions spécifiques s’appliquant aux infractions commises par elles. En principe, seules les personnes physiques (vous et moi) sont visées par cette loi et répondent chacune individuellement pour leurs actes. Il existe cependant une norme générique sur la responsabilité pénale des entreprises qui se trouve à l’art. 102 CP. Elle prévoit une responsabilité pour les délits et les crimes commis au sein de l’entreprise et dans le cadre d’activités commerciales en rapport avec l’objet de l’entreprise (conforme à ses buts). La responsabilité au sens large concerne les situations où un défaut dans l’organisation de l’entreprise a causé ou n’a pas empêché la commission d’une infraction grave, comme le blanchiment d’argent (alinéa 2). Subsidiairement, si une déficience organisationnelle empêche l’identification d’un auteur individuel d’une infraction commise au sein de l’entreprise, celle-ci se verra imputer l’acte et pourra être astreinte à une amende pouvant aller jusqu’à 5 millions, en fonction de la gravité de l’acte commis (alinéa premier).

Qui est concrètement visé ?

Les entreprises définies à l’alinéa 4 de l’art. 102, soit à peu près toutes les formes de sociétés commerciales selon le droit suisse. Ensuite, il faut qu’une infraction pénale définie dans la loi (CP ou autres) ait été commise par un employé ou un membre de la direction, dans l’exercice de ses fonctions (telles qu’elles ressortent du but de l’entreprise). Enfin, et c’est là un élément fondamental, l’auteur ne peut être identifié en raison d’un déficit organisationnel affectant (volontairement ou non) la société.

Et quels sont les moyens de défense ?

En premier lieu, la société peut avancer qu’il n’y a pas eu de défaut d’organisation. Sa ? tâche (et/ou celle de son ? défenseur) consistera alors à démontrer qu’elle a pris toutes les mesures organisationnelles possibles pour empêcher la commission de l’infraction, subsidiairement pour permettre l’identification de son auteur parmi son personnel ou sa direction. Il n’y a pas de critères précis sur lesquels pointe la loi. Cela dépendra du secteur d’activité, de la taille de l’entreprise, du niveau de formation de son personnel, etc. Le pouvoir d’appréciation du Juge étant large, les éléments dont il peut tenir compte le sont aussi.

Mais, s’agissant spécifiquement des administrateurs et des dirigeants (au sens large, puisque différents types d’entreprises commerciales peuvent être concernées), dans quelles situations peuvent-ils être finalement tenus pénalement responsables ?

Selon une pratique bien établie par notre Haute Cour (Tribunal fédéral), d’abord, les personnes qui ont une position de contrôle dans l’entreprise peuvent être tenues pénalement responsables s’ils avaient connaissance de la commission d’infractions par d’autres personnes dans l’entreprise, mais n’ont rien fait pour empêcher ou faire cesser ce comportement (on parle alors de responsabilité par omission).

En ce qui concerne, le second axe, soit la responsabilité subsidiaire de l’entreprise au sens de l’alinéa premier de l’art. 102 CP, la situation visée est celle où, en raison d’une organisation inadéquate, l’infraction ne peut être imputée à une personne physique au sein de l’entreprise, car elle n’a pas été identifiée. Là, on parle des infractions commises par des employés, comme par exemple l’excès de vitesse du conducteur d’un véhicule d’entreprise, mais qu’on ne parvient pas à identifier. Dans ce cas de figure également, la société pourra se défendre en invoquant le fait qu’elle a pourtant pris toutes les mesures organisationnelles nécessaires et possibles pour identifier l’auteur, sans succès dans le cas précis.

Et que se passe-t-il s’il s’agit d’un acte répréhensible commis par un sous-traitant (par exemple dans le domaine de la construction) ?

L’entrepreneur général ne peut être tenu pénalement responsable des infractions d’un de ses sous-traitants, à condition que ceux-ci soient indépendants sur le plan organisationnel et ne soient pas subordonnés à l’entreprise. Par contre, si la relation entre le contractant et l’entreprise s’apparente à celle d’employé/employeur, comme par exemple en matière de location de personnel, la responsabilité subsidiaire de l’entreprise principale pourrait être donnée.

Le CP (art. 102 al. 1) prévoit que l’amende peut aller jusqu’à 5 millions. Comment le juge détermine-t-il le montant de l’amende ?

Il se fondera d’abord sur la gravité de l’infraction (homicide par négligence, blanchiment, corruption, excès de vitesse, etc.). Ensuite, puisqu’il s’agit d’une spécificité de la loi où l’on ne peut appliquer une sanction directe contre l’auteur, il s’attachera à qualifier le degré de la défaillance organisationnelle au sein de l’entreprise, le dommage causé à la/aux victime(s) et, en dernier lieu, sa capacité économique.

Quelques considérations procédurales pour terminer.

Qui peut engager une action pénale contre une entreprise ?

C’est le procureur cantonal (MP), éventuellement fédéral, en fonction de l’infraction pénale dénoncée. En cas de soupçon de blanchiment au sein de l’entreprise, en lien avec une infraction commise à l’étranger, c’est le Ministère public de la Confédération, le MPC, qui pourrait être compétent. Mais, si c’est la police cantonale qui a constaté un excès de vitesse d’un véhicule d’entreprise au moyen d’un radar, donc sans identification du conducteur, l’enquête et la condamnation seront du ressort du Parquet cantonal.

Les particuliers (victimes) peuvent aussi signaler une infraction au MP ou à la police. Le procureur doit alors diligenter une enquête, destinée à établir s’il existe – ou non – des soupçons raisonnables de commission d’une infraction relevant de sa compétence. En fonction du résultat de son instruction, il classera l’affaire (pas de concrétisation du soupçon), rendra une ordonnance pénale pour les cas bénins ou renverra le dossier devant le Tribunal pour les infractions plus graves.

Les victimes peuvent participer pleinement à la procédure et se constituer partie civile. En outre, elles peuvent contester la décision de classement d’un procureur. Les particuliers ou tout tiers qui auraient simplement signalé une infraction, sans en être eux-mêmes victimes, ne bénéficient en revanche pas de ces droits.

 

08/05/2023

Un grand merci à toute notre équipe, en particulier Aline Fragnoli, pour leurs recherches et leur travail, dans la cause de ce réfugié syrien que nous avons plaidé à nouveau devant la Cour d’appel pénal du Tribunal cantonal et nous a permis – pour notre seconde tentative – d’obtenir l’annulation de son expulsion.

L’expulsion vers le pays d’origine est en principe obligatoire pour tout ressortissant étranger condamné pour une infraction grave. Le Tribunal fédéral avait cependant admis notre recours, acceptant notre argument que la faisabilité d’un renvoi dans un pays comme la Syrie était, à l’heure actuelle, problématique et devait faire l’objet d’une meilleure instruction de la part des autorités judiciaires cantonales.

Nous avons donc réuni un maximum d’informations provenant des sources disponibles. Elles ont démontré que toute personne ayant obtenu le statut de réfugié en Suisse (ou ailleurs) était inévitablement considérée comme un traître par les forces syriennes et, donc, un retour forcé ou non dans ce pays l’emmenait ni plus ni moins au-devant de la mort.

La Cour d’appel a entendu notre plaidoyer et annulé le renvoi. C’est un immense soulagement pour notre client, mais aussi pour sa famille et ses enfants.

C’est aussi une satisfaction d’avoir pu mener ce dossier vers un succès, résultat qui n’est jamais garanti dans notre profession. C’est, d’une part, le juste retour du travail accompli par toute notre équipe. Et, aussi, un certain soulagement de voir que nos autorités judiciaires se sensibilisent désormais aux situations politiques et juridiques problématiques qui interviennent loin de nos frontières.

Pour avoir défendu des clients étrangers, sous le coup de mesures de confiscation de la part du Parquet fédéral, au motif que ces personnes étaient ciblées dans des pays comme la Russie ou le Kazakhstan et que, au-delà de tout bon sens, on nous répondait qu’il fallait donner suite aux mesures d’entraide que ces pays demandaient, car, puisque nous avions des accords internationaux avec eux, la Suisse devait les exécuter sans se poser trop de questions. Il aura fallu une guerre à nos portes pour que, depuis février 2022, on admette enfin que, dans certaines contrées, les droits humains sont systématiquement bafoués. Si la « neutralité » de la Suisse peut être un sujet de débat controversé, sa vocation à de défendre les Droits de l’Homme ne devrait jamais être remise en question par ses autorités politiques et judiciaires. Au travers de la Défense, les avocats défendent cet idéal avec, heureusement, parfois du succès, comme ici. Mais il y a encore beaucoup de travail à accomplir…